La Dark Web cada vez facilita más la labor a los delincuentes online, incluyendo los menos habilidosos. En esa dirección funciona Telekopye, un grupo de herramientas tecnológicas que crea páginas web de phishing a partir de plantillas predefinidas y, a continuación, genera y envía correos electrónicos y mensajes SMS de phishing. El kit de herramientas está concebido para generar fraude en todo tipo de marketplaces, sobre todo los más populares en Rusia, y otros de alcance planetario como BlaBlaCar y eBay. La herramienta se ha subido a VirusTotal (un servicio en línea que permite analizar archivos y URLs en busca de malware y amenazas de seguridad) en múltiples ocasiones, principalmente desde Rusia, Ucrania y Uzbekistán, países desde los que suelen operar los atacantes y constituyen la mayoría de los mercados objetivos.
Características que definen el daño de Telekopye
Las capacidades de Telekopye abarcan la creación de sitios web de phishing, el envío de SMS y correos electrónicos de phishing y la creación de capturas de pantalla falsas. El kit de herramientas se integra como un bot de Telegram y apoya a los estafadores menos técnicos en su deseo de engañar a sus víctimas. Este tipo de fraude ha sido detectado por un grupo de investigadores de ESET, que han acuñado el nombre Telekopye como una mezcla de Telegram y kopye (копье), la palabra rusa con la que se designa el concepto de lanza, debido a que este conjunto de herramientas tecnológicas posibilita el uso de phishing muy dirigido.
“Descubrimos el código fuente de un conjunto de herramientas que ayuda a los estafadores sin demasiados conocimientos informáticos, ya que solo necesitan tener una discurso persuasivo para convencer a sus víctimas. Este conjunto de herramientas se implementa como un bot de Telegram que, cuando se activa, proporciona varios menús de fácil navegación en forma de botones que se pueden usar para muchos estafadores a la vez”, explica Radek Jizba, investigador de ESET. Así mismo, este investigador informático aporta una serie de parámetros para identificar el fraude que genera este conjunto de herramientas maliciosas: “la forma más fácil de saber si se trata de un estafador de Telekopye, o de cualquier otro estafador, es buscar anomalías, errores y discrepancias en el lenguaje utilizado. En ese sentido, es importante que insista en el intercambio de dinero y bienes en persona siempre que sea posible cuando trate con artículos de segunda mano en marketplaces y evite enviar dinero a menos que esté seguro de adónde irá”, señala Jizba.
Estafadores que ofician como neandertales y llaman mamuts a las víctimas
Recapitulemos: Telekopye es un bot de Telegram que facilita la creación de contenido falso para plataformas de compraventa online y es empleada por un grupo bien organizado y jerarquizado que sale a la caza de sus víctimas. El código fuente de este conjunto de herramientas hace que los estafadores no necesiten ser especialmente duchos en informática. Este kit de herramientas se implementa como un bot de Telegram que, cuando se activa, proporciona varios menús fáciles de navegar en forma de botones.
Los estafadores denominan mamuts a las víctimas de esta operación y varios indicadores señalan a Rusia como país de origen de los autores y usuarios del kit de herramientas. Siguiendo una línea coherente con el ámbito prehistórico en el que enmarcan estas prácticas fraudulentas, los investigadores han descrito a los estafadores que utilizan Telekopye como neandertales.
Aunque los principales objetivos de 'los neandertales' son los mercados de Internet más frecuentados en Rusia, como OLX y YULA, los expertos en delitos online han consignado que los objetivos de estos ciberdelincuentes son también mercados online que no son nativos de Rusia, como BlaBlaCar o eBay, e incluso otros marketplace que no tienen nada en común con Rusia, como JOFOGAS y Sbazar. Para dimensionar la oportunidad de robo que representan estos mercados para los piratas online, la plataforma OLX género, según Fortune (revista global de negocios de gran reputación internacional) 11.000 millones de páginas vistas y 8,5 millones de transacciones al mes en 2014, según se apunta en la web WeLiveSecurity.
Modus operandi de los estafadores
Los investigadores han estructurado los pasos en los que se desarrolla esta clase de estafa. En primer lugar, los 'neandertales' localizan a sus víctimas ('mamuts'). A continuación, procuran ganarse su confianza y convencerles de que son legítimos. Concretado el engaño, los estafadores emplean Telekopye para generar una página web de phishing a partir de una plantilla prefabricada y envían la URL al 'mamut' -la víctima del engaño- (la URL también puede enviarse por SMS o correo electrónico). Después de que 'el mamut' envíe los datos de la tarjeta bancaria a través de esta página, 'los neandertales' emplean estos datos de la tarjeta para robar dinero de la tarjeta de crédito/débito del 'mamut', mientras ocultan el dinero utilizando varias técnicas diferentes, por ejemplo: blanqueándolo mediante el uso de criptomonedas.
En este punto culminante de la estafa, resulta pertinente aclarar que los estafadores no transfieren el dinero robado a las víctimas a sus propias cuentas. En su lugar, todos los atacantes emplean una cuenta compartida de Telekopye gestionada por el administrador. De manera que Telekopye desarrolla un análisis del éxito de cada estafador, consignando las contribuciones vinculadas a esa cuenta compartida, ya sea en un simple archivo de texto o en una base de datos SQL. Como consecuencia, el administrador de Telekopye paga a los estafadores, restándoles los gastos de administración.
Los grupos de estafadores que emplean Telekopye están organizados en una jerarquía de menos a más privilegios en cinco clases, por lo que los atacantes de las clases superiores pagan comisiones más bajas.