Hace poco publicamos un blog sobre Telekopye, un bot de Telegram que ayuda a los ciberdelincuentes a estafar a personas en mercados online. Telekopye puede crear sitios web de phishing, correos electrónicos, mensajes SMS y similares.

En la primera parte, escribimos sobre los detalles técnicos de Telekopye e insinuamos la estructura jerárquica de sus grupos operativos. En esta segunda parte, nos centraremos en lo que hemos podido averiguar sobre los Neandertales -los estafadores que operan Telekopye- su proceso interno de incorporación, los diferentes trucos que utilizan.

Puntos clave de este blogpost:

  • Cómo se unen los aspirantes a Neandertales a los grupos de Telekopye.
  • Visión detallada de toda la operación de estafa desde la perspectiva de los Neandertales.
  • Análisis de los escenarios de estafa y lo que cada Neandertal tiene que hacer para tener éxito.
  • Las herramientas utilizadas por los más veteranos.
  • Los trucos que utilizan para atraer a sus víctimas.
  • Lo más destacado de una entrevista con uno de los administradores de Telekopye.

Resumen

Hace poco publicamos un análisis de Telekopye; en esta entrada del blog nos centramos en las tácticas y el modus operandi de los neandertales. Nuestra información procede de tres fuentes principales

  1. el código fuente del propio bot
  2. análisis de las conversaciones de los Neanderthals en grupos de estafa en los que nos hemos infiltrado, y
  3. nuestro análisis de la documentación interna de Neanderthals -una colección de documentos, gráficos, imágenes, etc.- que utilizan como su propia base de conocimientos personal. Esta información se facilita a los recién llegados para ayudarles en su incorporación.

También queremos dar las gracias a Flare, que nos ayudó en nuestra investigación.

Unirse a un grupo

Los grupos de Telekopye reclutan nuevos Neandertales a través de anuncios en diferentes canales, incluidos los foros clandestinos. Estos anuncios indican claramente el propósito: estafar a los usuarios del mercado online, como se ve en la Figura 1.

Figure 1 Recruitment Telekopye scamming group
Figura 1. Reclutamiento para un grupo Telekopye

Los aspirantes a neandertales deben rellenar una solicitud en la que responden a preguntas básicas como dónde conocieron el grupo y qué experiencia tienen en esta línea de "trabajo". Si son aprobados por los miembros existentes del grupo con un papel suficientemente alto, los nuevos Neandertales pueden empezar a utilizar Telekopye en toda su extensión. Además, se exige a cada neandertal que se una a dos canales: un chat de grupo donde los neandertales se comunican y donde se guardan las normas y manuales, y un canal aparte donde se guardan los registros de transacciones. El proceso se muestra en la Figura 2.

Figure 2 Application accepted
Figura 2. Aplicación aceptada que permite a un nuevo Neanderthal unirse al chat de grupo y al chat de registros de transacciones a través de enlaces en el mensaje

Tipos de estafas

Existen tres escenarios principales de estafa:

1. Vendedor, denominado internamente 1.0.

2. Comprador, denominado internamente 2.0.

3. Reembolso.

La Figura 3 es el menú de creación de los dos primeros escenarios de estafa, donde la columna 1 en la parte inferior representa las estafas del Vendedor (1.0). A continuación, el escenario de estafa Reembolso se vincula a cada escenario de estafa individualmente. Estos tipos de estafa se describen en las siguientes subsecciones.

Figure 3 Example of creation menu
Figura 3. Ejemplo de menú de creación de menú de creación de diferentes escenarios de estafas.

Estafa del vendedor

En este escenario, los Neandertales se hacen pasar por vendedores e intentan atraer a Mamuts desprevenidos para que compren algún artículo inexistente. Cuando un mamut muestra interés por el artículo, el neandertal le convence para que pague online en lugar de en persona. Si el mamut está de acuerdo, el neandertal proporciona un enlace a un sitio web de phishing proporcionado por Telekopye y cuidadosamente diseñado para parecerse a la página de pago del mercado en línea legítimo en el que aparece el artículo reputado. Sin embargo, a diferencia de la página web legítima, esta página solicita un nombre de usuario de banca en línea, datos de la tarjeta de crédito (a veces incluido el saldo) u otra información confidencial. Si el Mamut introduce estos datos, el sitio web de phishing los roba automáticamente. Curiosamente, estos datos no quedan a disposición del neandertal que ofrece el artículo en venta, sino que son procesados por otros neandertales. La figura 4 muestra el menú Telekopye con enlaces de phishing ya creados y la figura 5 muestra la comunicación durante este escenario de estafa.

Figure 4 Example of phishing links
Figura 4. Ejemplo de enlaces de phishing creados por Telekopye para el escenario de estafa al vendedor

Estafa al Comprador

Figure 5 Fabricated example
Figura 5. EJemplo de conversación para el vendedor en un escenario de estafa

En este escenario, los Neandertales se hacen pasar por compradores y buscan un Mamut como objetivo. Muestran interés por el artículo que vende el Mamut y afirman que ya han pagado a través de la plataforma que lo ofrece. Los neandertales envían a los mamuts mensajes de correo electrónico o SMS (creados a través de Telekopye) con un enlace a un sitio web de phishing cuidadosamente diseñado (también creado a través de Telekopye; véase la figura 6), alegando que el mamut debe hacer clic en este enlace para recibir el dinero de la plataforma. El resto del escenario es muy similar a la estafa del Vendedor, con ligeras variaciones durante la conversación (representada en la Figura 7).

Figure 6 Example of Buyer scam scenario
Figura 6. Ejemplo del sitio web de phishing del escenario de estafa

Figure 7 Example of conversation for Buyer scam scenario

Estafa de reembolso

En este escenario, los neandertales crean una situación en la que el mamut espera un reembolso y, a continuación, le envían un correo electrónico de phishing con un enlace al sitio web de phishing, una vez más con el mismo propósito. Los neandertales envían este tipo de correos electrónicos a los mamuts con los que no habían contactado antes, contando con que se vuelvan codiciosos e intenten conseguir este "reembolso", o lo combinan con el escenario de estafa al vendedor: cuando los mamuts se quejan de que no han recibido sus productos, los neandertales les envían correos electrónicos de phishing de reembolso para intentar estafarlos por segunda vez.

Modus operandi

Ahora que hemos descrito los diferentes escenarios de estafa, veamos qué conocimientos han reunido los Neandertales a lo largo de los años que llevan operando. Su documentación interna consta de imágenes, gráficos, guías breves e incluso documentos complejos. En la figura 8 se muestra el índice de uno de estos documentos.

Figure 8 Table of contents
Figura 8. Índice de contenidos de la documentación interna (traducido del ruso).

También hemos descubierto que hay dos tipos de neandertales. El primero escribe a todos los mamuts posibles y el otro es mucho más exigente a la hora de buscar un mamut potencial. Existe cierta rivalidad entre ellos, ya que los más precavidos argumentan que el comportamiento "imprudente" de los estafadores menos precavidos puede reportarles un poco más de beneficios, pero crea mucha más conciencia pública.

Preparación

La preparación para una estafa difiere en función del escenario elegido. En el caso de la estafa al vendedor, se aconseja a los neandertales que preparen fotos adicionales del artículo por si los mamuts les piden más detalles. Si los neandertales utilizan fotos que han descargado de Internet, deben editarlas para dificultar la búsqueda de imágenes.

Para el escenario de estafa al comprador, la parte clave de la preparación de un Neandertal es cómo elige al Mamut. A lo largo de los años, los Neandertales han creado pautas a seguir a la hora de elegir a sus objetivos: tienen en cuenta el sexo, la edad, la experiencia en mercados online, la valoración, las reseñas, el número de operaciones realizadas y muchos más indicadores.

Estudio de mercado

En casi todos los grupos de Neanderthals, podemos encontrar referencias a manuales con estudios de mercado online de los que los Neanderthals extraen sus estrategias y conclusiones. La fuente de esta investigación suele ser un estudio de 2017 de la agencia Avito y Data Insight. La figura 9 ilustra los resultados de una de estas investigaciones, en la que se representan gráficos de distribución de género, edad, experiencia e ingresos en un mercado online concreto.

Figure 9 Neanderthals’ analysis of typical buyer
Figura 9. Análisis de Neanderthals de un comprador típico (traducido del ruso)

Durante el escenario de estafa al comprador, los Neanderthals eligen sus objetivos en función del tipo de artículos que venden. Por ejemplo, algunos grupos evitan por completo la electrónica. En cambio, los dispositivos móviles son una categoría muy valorada por otros grupos. El precio del artículo también es importante: si es demasiado alto, los Neandertales no se fijarán en esos Mamuts, ya que creen que su vigilancia será mucho mayor por defecto. Los manuales recomiendan que los neandertales, en el escenario de estafa al comprador, elijan artículos con un precio de entre 1.000 y 30.000 rublos (de 9,50 a 290 euros a20 de octubre de 2023).

La ubicación del Mamut también es importante. Los neandertales se centran más en las ciudades más ricas, donde esperan más listados y gente que no vigile tanto sus propias finanzas.

Por último, los estafadores también tienen en cuenta el día del mes. Apuntan a los días justo después de que la gente reciba su paga, ya que naturalmente esperan que tengan más dinero en sus cuentas bancarias.

Web scraping

Los neandertales utilizan raspadores web para examinar rápidamente los listados de muchos mercados en línea y elegir a un mamut perfecto que caiga en la estafa; ésta es, como ya hemos escrito, una parte inicial crucial del escenario de la estafa al comprador.

No tenemos conocimiento de raspadores web personalizados implementados por Neanderthals, pero su documentación menciona algunos que se ofrecen como servicios legítimos. Neanderthals rastrea el mercado objetivo en busca de listados, detalles de los artículos e información del usuario, lo que resulta en un archivo CSV o XML. Neanderthals utiliza entonces los resultados para encontrar rápidamente los objetivos adecuados. En la figura 10 se muestra un ejemplo de este tipo de archivo.

Figure 10 Parsed info from Avito website
Figura 10. Información analizada del sitio web de Avito en la categoría "teléfonos móviles" (traducido del ruso)

Las valoraciones y la experiencia de los usuarios son de especial interés para los neandertales, ya que utilizan esta información para evitar objetivos que consideran susceptibles de detectar la estafa.

Evitar la entrega en persona

Por razones de seguridad, muchos Mamuts prefieren tanto el pago como la entrega en persona de los productos vendidos. Esto supone un problema para los neandertales, ya que tienen que persuadir a los mamuts para que acepten utilizar un servicio de entrega y pago en línea, de modo que puedan dirigirlos al sitio web de phishing. Normalmente, alegan que están demasiado lejos o que van a salir de la ciudad por un viaje de negocios durante unos días. Al mismo tiempo, intentan parecer muy interesados en el artículo para aumentar las posibilidades de que el Mamut acceda a su sugerencia.

Envío de enlaces a páginas web de phishing

Muchos mercados en línea legítimos disponen de una función de chat integrada y, junto a ella, de moderación. Enviar a alguien un enlace a través de un chat de este tipo suele ser una señal de alarma y puede muy bien dar lugar a un baneo. Los neandertales intentan superar este obstáculo persuadiendo a los mamuts de que continúen su conversación en otra plataforma de chat menos vigilada.

Sus argumentos son muy similares a los que esgrimen contra la entrega en persona. Alegan que tienen que salir de casa y no pueden acceder al chat desde su teléfono móvil, pero pueden continuar su charla en una de las aplicaciones de chat.

Según sus propias estadísticas, los neandertales afirman que alrededor del 50% de los mamuts accederán a un cambio de plataforma y el 20% de ellos caerán en la estafa. Esto se traduce en una tasa de éxito global del 10%.

Otro método preferido es el correo electrónico o los SMS. Telekopye es capaz de generar rápidamente mensajes de phishing convincentes. Los neandertales utilizan trucos (algunos de ellos ilustrados en la Figura 11) para conocer las direcciones de correo electrónico o los números de teléfono de los mamuts y poder enviarles dichos mensajes. La ventaja de este enfoque es que pedir un número de teléfono o una dirección de correo electrónico probablemente no activará ninguna bandera roja ni para el Mamut ni para la plataforma de chat y el Neandertal no necesita persuadir al Mamut para que se cambie a una plataforma de chat diferente.

Figure 11 Copy-n-paste text example
Figura 11. Ejemplo de texto copiado y pegado (traducido del ruso)

Comunicación

Telekopye no utiliza IA. Puede resultar sorprendente, pero los neandertales creen que su método es superior y menos susceptible de ser detectado por los mecanismos de vigilancia. Por ello, la mayor parte de su documentación interna se centra en las técnicas de comunicación para lograr los mejores resultados.

Ganarse la confianza del Mamut es crucial para el éxito de una estafa. A menudo, los Neandertales no responden inmediatamente a todos los mensajes, sino que esperan (a veces incluso unas horas) para crear la ilusión de que están ocupados con la vida cotidiana. Hablando de tiempo: intentan adaptarse al huso horario del Mamut para no levantar sospechas.

Suelen entablar cháchara primero; incluso pueden compartir una historia personal falsa. El objetivo es buscar banderas rojas, señales que indiquen al neandertal que el mamut es demasiado desconfiado o experimentado. Como los neandertales se centran en el beneficio, no quieren dedicar tiempo a los mamuts que acaban descubriendo la trampa.

Otro gran ejemplo es que cuando los Neandertales utilizan el escenario de la estafa del Comprador, aseguran a los Mamuts que ya han pagado por el artículo. Esto, combinado con el diseño del correo electrónico de phishing que promete una rápida recuperación del dinero, hace que los Mamuts estén menos atentos.

Los neandertales experimentados ofrecen a los recién llegados conversaciones completas en las que inspirarse; en la figura 12 se muestra un ejemplo de ello.

Figure 12 Suggested conversation with Mammoth
Figura 12. Conversación sugerida con un Mamut (traducido del ruso)

Los neandertales sólo toleran un cierto nivel de resistencia por parte de los mamuts: si consideran que no es probable que la estafa tenga éxito, cambian de objetivo. Sin embargo, si sienten que casi han ganado, son muy persuasivos. Un ejemplo perfecto es su enfoque documentado de las situaciones en las que consiguen recopilar los datos confidenciales del mamut, pero el banco bloquea la transacción o no hay fondos suficientes. En ese caso, los Neanderthals pueden llegar a pedir al Mamut que utilice la tarjeta de un familiar o incluso llamar a su banco y autorizar ellos mismos la transferencia.

Los neandertales están preparados para responder a muchas preguntas inesperadas sobre la legitimidad de sus solicitudes (véase la figura 13).

Figure 13 Suggested way to scam
Figura 13. Sugerencia para estafar a los mamuts más perspicaces (traducido del ruso)

Traducción

Como esta operación se dirige a Mamuts de todo el mundo, los neandertales tienen que crear la ilusión de que hablan el idioma del Mamut lo suficientemente bien. Es bastante común encontrarse con Neandertales que hablan ruso y pueden escribir en inglés. Curiosamente, pudimos cruzar los nicks de Telegram de muchos neandertales con perfiles de plataformas de aprendizaje de idiomas. Estas cuentas solían indicar que el propietario habla ruso e inglés. Obviamente, la conexión puede ser una mera coincidencia.

Durante muchos años, los neandertales utilizaron Google Translate. Desde al menos 2021, los neandertales se decantaron por otros traductores, como DeepL, ya que (en su opinión) entiende mejor el contexto.

Además de utilizar traductores, han creado muchas tablas de traducción a lo largo de los años, con traducciones verificadas de frases comunes a varios idiomas. Estas traducciones suelen ser del ruso a lenguas europeas (véase la Figura 14). Los Neandertales sólo tienen que copiar y pegar estas frases traducidas en el chat con el Mamut.

Figure 14 Romanian-Russian and Portuguese-Russian
Figura 14. Ejemplo detablas de traducciónportugués-ruso y rumano-ruso

Características específicas de cada grupo

También debemos mencionar que los diferentes grupos tienen diferentes mejoras de calidad de vida para Telekopye. Por ejemplo, al generar un enlace de phishing (un resultado se puede ver en la Figura 15), a los neandertales de uno de estos grupos se les hacen varias preguntas que les permiten tener cierto grado de personalización de cada sitio web de phishing. La más interesante es la pregunta sobre la generación manual/automática del sitio de phishing. En el caso de la generación manual, el neandertal debe especificar toda la información necesaria para crear el sitio web de phishing. Para los neandertales que se hacen pasar por compradores, esto requiere entre 10 y 15 preguntas (Figura 16).

Figure 15 Example of phishing website creation process
Figura 15. Ejemplo de creación automática de un sitio web de phishing por Telekopye, en el que el Neandertal se hace pasar por comprador.
Figure 16 Manual of phishing link creation process
Figura 16. Proceso manual de creación de enlaces de phishing

En el caso de la generación automática de páginas, el Neanderthal sólo tiene que especificar la URL del artículo a "comprar" y responder a cinco preguntas (como cuál es el nombre y el número de teléfono del comprador). A continuación, Telekopye extrae toda la información del sitio web y crea la página de phishing.

Anonimato y evasión

Los neandertales creen que sus grupos están llenos de "ratas" (por ejemplo, agentes de la ley o investigadores). Por ello, se ciñen religiosamente a las normas, principalmente a no sondear información que pueda identificar a otros miembros del grupo. Incumplir estas normas puede suponer la expulsión del grupo. La regla de oro es "trabajar más, hablar menos". Además, se les anima a utilizar VPN, proxies y TOR para mantenerse a salvo. Los neandertales proporcionan a los recién llegados extensas guías e incluso se enzarzan en acaloradas discusiones sobre qué programas o servicios utilizar y por qué, incluidas las preferencias del navegador. Algunos neandertales incluso utilizan Orbot, una variante de TOR para Android.

Dinero

Los neandertales no sólo necesitan ocultar su identidad y ubicación, sino también su dinero. Naturalmente, las criptomonedas son la respuesta. No hemos podido sacar conclusiones sobre la preferencia por las criptomonedas.

Por último, los neandertales prefieren los servicios en los que pueden registrarse utilizando únicamente un número de teléfono móvil. Consideran que este es el mejor enfoque, ya que es relativamente fácil comprar una tarjeta SIM sin revelar su identidad.

Eludir la detección automática

Las estafas en los mercados en línea no son nada nuevo. A lo largo de los años, las plataformas que prestan estos servicios han aplicado una serie de técnicas para contrarrestar a los estafadores y aumentar la seguridad de sus clientes. Los neandertales son conscientes de ello y siguen experimentando con diferentes enfoques para superar las políticas de moderación de las plataformas. Uno de los primeros intentos, bastante tonto, fue utilizar los formularios de Google para robar información personal a los mamuts (como se ve en la figura 17). Teniendo en cuenta la información a la que se dirigían, el objetivo era obtener un medio para comunicarse a través de un canal diferente -correo electrónico o SMS- en el que no se produjera una moderación estricta.

Figure 17 Phishing with Google Forms
Figura 17. Ejemplo de phishing con Google Forms

 

Hoy en día, casi todos los neandertales intentan transferir sus mamuts a plataformas de chat legítimas y menos vigiladas. Los neandertales las eligen porque creen que prohibir cuentas allí lleva tiempo. Además, enviar varios enlaces a través de plataformas de chat es una práctica común más que un comportamiento sospechoso. Además, casi todo el mundo está familiarizado con estas aplicaciones, por lo que los neandertales no tienen que explicar cómo funcionan.

A pesar de considerar estas plataformas mucho más seguras, los neandertales andan con cuidado. Evitan enviar demasiados mensajes en poco tiempo e intentan personalizar los mensajes para los distintos Mamuts: Telekopye les ayuda mucho en este esfuerzo.

Explorando nuevos territorios: Estafa inmobiliaria

Algunos grupos de neandertales mencionan otro tipo de estafa, dirigida a los inquilinos de inmuebles. La estafa funciona de la siguiente manera. Durante la fase de preparación, los neandertales escriben al propietario legítimo de un piso, fingiendo estar interesados y pidiéndole diversos detalles, como fotos adicionales y qué tipo de vecinos tiene el piso. A continuación, los neandertales toman toda esta información y crean su propio anuncio en otro sitio web, ofreciendo el apartamento en alquiler. Reducen el precio de mercado previsto en un 20%. El resto del escenario es idéntico al de la estafa del vendedor: el neandertal espera a que un mamut muestre interés y le indica que pague una tasa de reserva a través de un enlace que, por supuesto, en realidad apunta a un sitio web de phishing.

Gracias a la telemetría de ESET descubrimos que los sitios web de phishing utilizados en este escenario de estafa son sospechosamente similares a los que Telekopye crea para los escenarios de Comprador y Vendedor. Esto, combinado con la estafa anunciada por los grupos de Telekopye, nos lleva a creer que existe una conexión. Sin embargo, ni nos infiltramos en ningún grupo especializado en este escenario ni obtuvimos una variante de Telekopye diseñada para él.

Entrevista

Al rastrear diferentes manuales, grupos y materiales adicionales, encontramos una entrevista con un administrador de Telekopye que se realizó a finales de 2020. Esto nos ayudó a obtener una visión única de la mente de un neandertal de alto rango. El administrador de Telekopye entrevistado dirigía un grupo de Telekopye especializado en enseñar a nuevos neandertales.

En un momento dado se le pregunta al administrador cómo ve el futuro de esta línea de "trabajo". A lo que responde que "las estafas en los mercados en línea siempre estarán presentes. Es mucho más difícil [estafar] que antes gracias a las políticas de prohibición de los distintos sitios. Pero no es posible detener todo el phishing en estos sitios". También dice que ya no estafa. Simplemente se cansó de ello y ahora sólo trabaja como administrador/tutor, y ésa es la razón por la que su grupo es tan único: "No temo a los Mamuts. Todos los Mamuts te amenazan cuando se dan cuenta de que les han estafado. Por lo visto, hoy en día todo el mundo es esposa o amiga de un ministro del Interior", dice el administrador.

Cuando se le pregunta si está pensando en crear un nuevo proyecto de estafa, responde que no tiene tiempo para eso. Modera dos canales, tiene un estilo de vida activo, hace muchos cursos de formación y sólo dispone de cuatro horas al día en casa.

También confiesa que es plenamente consciente de que este tipo de trabajo no es honesto, pero encuentra la típica excusa para sí mismo: "... algunas personas pagarán constantemente por enlaces, y alguien los lanzará constantemente. Quien se esfuerza en la vida lo consigue". Además, dice que si siente pena por Mammoth, se pregunta: "¿Por qué les estoy estafando en primer lugar? Bueno... sólo robo a los ricos (nota de investigación: mamuts que probablemente tengan al menos 200 euros en su cuenta) y si mi conciencia fuera tan frágil, me iría a trabajar de repartidor".

Conclusión

En esta segunda entrega dedicada a Telekopye, nos hemos centrado en lo que hemos aprendido sobre los neandertales. Gracias a tener acceso tanto a su comunicación interna como a su base de conocimientos, hemos proporcionado no sólo descripciones de diferentes escenarios de estafa, sino sobre todo una visión única de su modus operandi y mentalidad.

Hemos demostrado cómo es el proceso de admisión de los recién llegados y cómo Telekopye ayuda a los neandertales en su trabajo diario. Además, hemos demostrado que probablemente también estén experimentando con estafas inmobiliarias.

Es probable que las estafas en los mercados en línea no desaparezcan. Como demostramos en la primera entrega, pudimos descubrir docenas de grupos que operan Telekopye. Dicho esto, al tener nuestra visión única del funcionamiento de los estafadores, creemos que se puede aprender mucho con el fin de proteger a los usuarios de este tipo de plataformas de cualquier daño.

Los IoC y la tabla de técnicas ATT&CK de MITRE se proporcionaron en la primera parte de este análisis, y no se han modificado, por lo que rogamos consulten dicho artículo.

Para cualquier consulta sobre nuestras investigaciones publicadas en WeLiveSecurity, póngase en contacto con nosotros en threatintel@eset.com.
ESET Research ofrece informes privados de inteligencia APT y fuentes de datos. Para cualquier consulta sobre este servicio, visite la página de ESET Threat Intelligence.