Er zijn meer details naar voren gekomen over een kwaadaardige Telegram-bot genaamd Telekopie die door bedreigingsactoren wordt gebruikt om grootschalige phishing-aanvallen uit te voeren.
“Telekopye kan phishing-websites, e-mails, sms-berichten en meer maken”, zegt ESET-beveiligingsonderzoeker Radek Jizba in een nieuwe analyse.
Het is bekend dat de bedreigingsactoren achter de operatie – met de codenaam Neanderthals – de criminele onderneming runnen als een legitiem bedrijf, waarbij een hiërarchische structuur ontstaat die verschillende leden omvat die verschillende rollen op zich nemen.
Zodra aspirant-Neanderthalers zijn gerekruteerd via advertenties op ondergrondse forums, worden ze uitgenodigd om zich aan te sluiten bij speciale Telegram-kanalen die worden gebruikt om met andere Neanderthalers te communiceren en om transactielogboeken bij te houden.
Het uiteindelijke doel van de operatie is om een van de drie soorten oplichting uit te voeren: verkoper, koper of terugbetaling.
In het eerste geval doen Neanderthalers zich voor als verkopers en proberen ze onoplettende mammoeten ertoe te verleiden een niet-bestaand voorwerp te kopen. Oplichting door kopers houdt in dat de Neaderthalers zich voordoen als kopers om zo de Mammoeten (dwz handelaars) te misleiden om hun financiële gegevens in te voeren om afstand te doen van hun geld.
Andere scenario’s vallen in een categorie die terugbetalingszwendel wordt genoemd, waarbij Neaderthals de Mammoeten een tweede keer misleidt onder het voorwendsel van het aanbieden van een terugbetaling, om vervolgens hetzelfde bedrag opnieuw af te trekken.
Het in Singapore gevestigde cyberbeveiligingsbedrijf Group-IB vertelde eerder aan The Hacker News dat de activiteit die wordt gevolgd door Telekopye dezelfde is als Classiscam, dat verwijst naar een scam-as-a-service-programma dat de criminele actoren sinds de opkomst $64,5 miljoen aan illegale winst heeft opgeleverd. in 2019.
“Voor het oplichtingsscenario van de verkoper wordt Neanderthalers geadviseerd om extra foto’s van het item klaar te maken, zodat ze klaar zijn als mammoeten om aanvullende details vragen”, merkte Jizba op. “Als Neanderthalers afbeeldingen gebruiken die ze online hebben gedownload, moeten ze deze bewerken om het zoeken naar afbeeldingen moeilijker te maken.”
Het kiezen van een Mammoet voor een koperszwendel is een doelbewust proces waarbij rekening wordt gehouden met het geslacht, de leeftijd, de ervaring van het slachtoffer op online marktplaatsen, de beoordeling, recensies, het aantal voltooide transacties en het soort items dat ze verkopen. Dit duidt op een voorbereidende fase waarbij uitgebreid marktonderzoek.
Ook door Neanderthalers worden webschrapers gebruikt om de aanbiedingen op online marktplaatsen te doorzoeken en een ideale Mammoet te kiezen die waarschijnlijk voor het nepplan zal trappen.
Mocht een mammoet de voorkeur geven aan persoonlijke betaling en persoonlijke bezorging van verkochte goederen, dan beweren de Neanderthalers dat ‘ze te ver weg zijn of dat ze de stad voor een paar dagen verlaten voor een zakenreis’, terwijl ze tegelijkertijd een verhoogde belangstelling tonen voor de item om de kans op succes van de zwendel te vergroten.
Er is ook waargenomen dat Neanderthalers VPN’s, proxy’s en TOR gebruiken om anoniem te blijven, terwijl ze ook vastgoedfraude onderzoeken waarbij ze valse websites met appartementenadvertenties creëren en Mammoeten ertoe verleiden een reserveringskosten te betalen door op een link te klikken die naar een phishing-website verwijst. .
“Neanderthalers schrijven naar een legitieme eigenaar van een appartement, doen alsof ze geïnteresseerd zijn en vragen om verschillende details, zoals extra foto’s en wat voor soort buren het appartement heeft”, zei Jizba.
“De Neanderthalers gebruiken al deze informatie en creëren hun eigen vermelding op een andere website, waarbij ze het appartement te huur aanbieden. Ze verlagen de verwachte marktprijs met ongeveer 20%. De rest van het scenario is identiek aan het zwendelscenario van de verkoper.”
De onthulling komt op het moment dat Check Point een ‘rug pull’-zwendel beschreef die erin slaagde bijna $1 miljoen te stelen door nietsvermoedende slachtoffers te verleiden om in valse tokens te investeren en gesimuleerde transacties uit te voeren om een laagje legitimiteit te creëren.
“Toen het token voldoende investeerders had gelokt, voerde de oplichter de laatste stap uit: het terugtrekken van liquiditeit uit de tokenpool, waardoor tokenkopers met lege handen en uitgeputte fondsen achterbleven”, aldus het bedrijf.
