El grupo de investigadores de ESET (ESET Research) ha anunciado recientemente el descubrimiento y análisis de Telekopye, una herramienta que facilita a personas menos familiarizadas con la tecnología llevar a cabo estafas en línea de manera más sencilla. En este sentido, los investigadores involucrados en desentrañar este bot de Telegram exponen la segunda parte del estudio, centrada en el proceso interno de incorporación de los estafadores a los grupos de Telekopye, y proporcionan una visión detallada de todas las operaciones relacionadas con estafas, así como un análisis exhaustivo de los escenarios de fraude.
Las capacidades de Telekopye incluyen la creación de sitios web de phishing, el envío de SMS y correos electrónicos de phishing, y la generación de capturas de pantalla falsas. Según la telemetría de ESET, esta herramienta aún está en uso y en desarrollo activo, implementada como un bot de Telegram. Los afectados por estas estafas son denominados «Mamuts» por los estafadores. Siguiendo la misma lógica, ESET se refiere en sus hallazgos a los estafadores que utilizan Telekopye como «Neandertales».
Los grupos de Telekopye reclutan nuevos Neandertales a través de anuncios en diversos canales, incluidos foros clandestinos. Estos anuncios indican claramente el propósito: estafar a los usuarios de tiendas online. Los aspirantes a Neandertales deben completar una solicitud, respondiendo preguntas básicas sobre su experiencia en esta «profesión». Si son aprobados por los miembros existentes con un rango suficientemente alto, los nuevos Neandertales pueden comenzar a utilizar Telekopye en su máxima capacidad.
Existen tres escenarios principales de estafa: vendedor, comprador y reembolso. En el fraude del vendedor, los atacantes se hacen pasar por vendedores e intentan atraer a víctimas desprevenidas para que compren un artículo inexistente. Cuando la víctima muestra interés en el artículo, el «vendedor» la persuade para que pague en línea en lugar de en persona y proporciona un enlace a un sitio web de phishing que simula ser un sitio de pago legítimo. A diferencia de la página web legítima, esta solicita información sensible como el inicio de sesión de la banca digital, detalles de la tarjeta de crédito (a veces incluso el saldo) u otra información confidencial.
En el fraude del comprador, los atacantes se hacen pasar por compradores, investigando previamente a las víctimas a las que se dirigen. Muestran interés en un artículo y afirman que ya han pagado a través de la plataforma proporcionada. Luego envían a la víctima un correo electrónico o mensaje de SMS (creado a través de Telekopye) con un enlace a un sitio web de phishing cuidadosamente elaborado, afirmando que la víctima debe hacer clic en este enlace para recibir su dinero de la plataforma. El resto del escenario es muy similar al fraude del «vendedor». En el escenario de reembolso, los atacantes crean una situación en la que la víctima espera un reembolso y posteriormente le envían un correo electrónico de phishing con un enlace al sitio web de phishing, sirviendo una vez más al mismo propósito.
Los atacantes de Telekopye creen que sus grupos están llenos de «ratas» (por ejemplo, fuerzas del orden o investigadores). Por lo tanto, se adhieren religiosamente a las reglas; principalmente, no indagar en información que pueda identificar a otros miembros del grupo. Incumplir estas normas puede suponer la expulsión del grupo. Su principal lema es «Trabaja más, habla menos».
Aunque los objetivos principales de los estafadores son las tiendas online populares en Rusia, como OLX y YULA, ESET también ha observado objetivos que no son nativos de Rusia, como BlaBlaCar y eBay, e incluso otros que no tienen nada que ver con Rusia, como Jófogás y Sbazar.
