现如今,越来越多的人选择在线购买商品。不仅因为它方便,商品会直接送到你家门口,而且有的购物网站价格还相对便宜。但可悲的是,骗子们滥用了这个机会,为了自身利益瞄准用户进行欺诈。而网络欺诈者们主要通过创建虚假的商品列表进行诈骗,一旦用户进行支付,他们则消失得无影无踪。
最近,我们发现了一个工具包的源代码,这个工具包为骗子们提供了很大的帮助。骗子们无需精通技术,只需说服受害者即可。这个工具包的实现主要依靠一个Telegram机器人,当激活时,它以可点击按钮的形式提供几个易于导航的菜单,骗子们可以同时进行操作。本文我们将重点分析这个工具包的特性和功能,以及使用它的群体结构。我们将这个工具包命名为Telekopye。
本文是系列文章中第一部分,在这里我们将更详细地了解Telekopye,并展示一些对骗子们非常有帮助的关键功能。在第二部分中,我们将更多地关注群组操作。
概要
Telekopye取自于Telegram和kopye,kopye是俄语中“长矛”的意思,选用的原因是因为这种欺诈活动使用了网络钓鱼手法,欺诈中,受害者被骗子戏称为 Mammoths(猛犸象)(见图1),为了更好的理解其中的含义,我们沿用相同的逻辑,将称使用Telekopye进行欺诈的骗子为Neanderthals。
Telekopye被多次上传到 VirusTotal,其用户主要来自俄罗斯、乌克兰和乌兹别克斯坦,这些地区通常是Neanderthals活动最活跃的地方,可以根据代码中的评论和目标市场进行判断。尽管Neanderthals的主要目标是俄罗斯(如OLX和YULA),但在实际操作过程中,俄罗斯以外的市场(如BlaBlaCar或eBay)也没能幸免。为了说明这些市场有多么庞大,根据《财富》杂志的数据,2014年OLX平台每月有110亿次页面浏览量和850万次交易量。
我们收集了几个迭代版本的Telekopye,所有版本都可用于创建钓鱼网页,发送钓鱼邮件和短信。此外,一些版本的Telekopye可以将受害者数据(通信地址或电子邮件地址)存储在运行该机器人的磁盘上。Telekopye非常通用,但不具有聊天机器人的AI功能。因此,它实际上并不执行漏洞,只是简化了用于此类骗局的内容生成过程。2023年7月,我们检测到符合Telekopye操作者模式的新域名,因此他们仍然活跃。我们所能收集到的最新版本的Telekopye是2022年4月11日的。因此可以评估,Telekopye至少从2015年开始使用,根据Neanderthals之间的对话片段,可以推测黑客团体们仍在使用它。
Telekopye 功能
Telekopye具有多种不同的功能, Neanderthals可以充分利用这些功能。其中包括发送钓鱼邮件、生成钓鱼网页、发送短信、创建QR码和创建钓鱼截图。在接下来的部分,我们将重点介绍对Neanderthals来说最有用的Telekopye的部分。
连接
每个使用Telekopye的Telegram群组都由一个或多个同时独立操作的Neanderthals组成。功能主要通过按钮提供,而这很可能是为了让Neanderthals更容易进行诈骗活动。
本文显示了Telekopye在一个正在运作的Telegram群组中的一个菜单。特别值得注意的是“我的广告”按钮,显示每个Neanderthals所打开的列表(进行中的诈骗广告),以及“我的资料”按钮,允许Neanderthals查看他们在该平台上的个人资料信息,如诈骗的数量,准备下次支付的金额等。
更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/3023/
消息来源:welivesecurity,译者:知道创宇404实验室翻译组;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文