Por estrategiaynegocios.net
Cada vez más personas optan por las compras en línea dado su comodidad, que las entregas son al domicilio y a veces es posible incluso ahorrar dinero. Desgraciadamente, los estafadores abusan de ello y se dirigen a estos servicios y a sus clientes en beneficio propio. De esta manera, pueden crear un anuncio de productos que no existe y, una vez que la víctima paga, desaparecen en el éter.
Recientemente ESET identificó el código fuente de un conjunto de herramientas que hace que los estafadores no necesiten ser expertos en informática. En este kit de herramientas se implementa como un bot de Telegram que, cuando se activa, proporciona varios menús fáciles de navegar en forma de botones.
A este kit ESET lo nombró Telekopye como la combinación de Telegram y kopye (копье), que en ruso significa lanza, debido al uso de phishing altamente dirigido. Los estafadores llaman mamuts a las víctimas de esta operación y varias pistas apuntan a Rusia como país de origen de los autores y usuarios del kit de herramientas. Telekopye fue subido a VirusTotal en múltiples ocasiones.
“Hemos descubierto y analizado Telekopye, un conjunto de herramientas que ayuda a las personas menos técnicas a realizar estafas en línea con mayor facilidad. Estimamos que Telekopye estaba en uso desde al menos 2015. Nos centramos en una versión, analizando sus principales capacidades y descubriendo cómo funcionan internamente. Estas capacidades incluyen la creación de sitios web de phishing, el envío de SMS y correos electrónicos de phishing y la creación de capturas de pantalla falsas”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Aunque los principales objetivos de Neanderthals son los mercados online como OLX y YULA, desde ESET se observó que sus objetivos son también mercados online como BlaBlaCar o eBay, e incluso otros como JOFOGAS y Sbazar.
En cuanto a la estafa Telekopye, en primer lugar, los Neandertales una vez que encuentran a sus víctimas (mamuts) intentan ganarse su confianza y persuadirles de que son confiables. Cuando los atacantes creen que un “mamut” confía lo suficiente en ellos, utilizan Telekopye para crear una página web de phishing a partir de una plantilla prefabricada y envían la URL a la posible víctima, incluso a través de mensajes SMS o correo electrónico. Después de que el mamut envía los datos de la tarjeta a través de esta página, los neandertales utilizan estos datos de la tarjeta para robar dinero de la tarjeta de crédito/débito del mamut, mientras ocultan el dinero utilizando varias técnicas diferentes, como blanquearlo a través de criptomonedas; desde ESET se identificaron algunos servicios de cryptocurrency mixing involucrados en estas operaciones.
Telekopye dispone de varias funcionalidades diferentes que los Neandertales pueden aprovechar al máximo. Estas funcionalidades incluyen el envío de correos electrónicos de phishing, la generación de páginas web de phishing, el envío de mensajes SMS, la creación de códigos QR y la creación de capturas de pantalla de phishing.
La característica principal de Telekopye es que crea páginas web de phishing a partir de plantillas HTML predefinidas bajo demanda. Un Neanderthal debe especificar en esta plantilla detalles como la cantidad de dinero, el nombre del producto, ubicación a la que se enviaría el producto, la foto, el peso, y el nombre del comprador. A continuación, Telekopye toma toda esta información y crea una página web de phishing para materializar el engaño.
Estas páginas están diseñadas para imitar diferentes sitios de inicio de sesión de pagos/bancos, pasarelas de pago de tarjetas de crédito/débito, o simplemente páginas de pago de diferentes sitios web. Para facilitar el proceso de creación de páginas web de phishing, estas plantillas de páginas web están organizadas por países a los que se dirigen.
