Recentemente, publicamos um blog sobre Telekopye, um bot do Telegram que ajuda cibercriminosos a enganar pessoas em mercados online. Telekopye pode criar sites de phishing, e-mails, mensagens SMS e afins.

Na primeira parte, escrevemos sobre os detalhes técnicos da Telekopye e sugerimos a estrutura hierárquica de seus grupos operacionais. Nesta segunda parte, vamos nos concentrar no que conseguimos descobrir sobre os neandertais – os golpistas que operam o Telekopye – seu processo interno de integração, os diferentes truques que eles usam.

Principais pontos deste blogpost:

  • Como aspirantes a neandertais se juntam aos grupos Telekopye
  • Visão geral detalhada de toda a operação fraudulenta da perspectiva dos neandertais.
  • Análise de cenários de golpes e o que cada neandertal tem que fazer para ter sucesso
  • As ferramentas utilizadas pelos mais veteranos
  • Os truques que eles usam para atrair suas vítimas.
  • Destaques de uma entrevista com um dos administradores da Telekopye.

Resumo

Recentemente publicamos uma análise de Telekopye; Neste post, nos concentramos nas táticas e no modus operandi dos neandertais. Nossas informações provêm de três fontes principais

  1. O código-fonte do próprio bot
  2. análise de conversas de neandertais em grupos fraudulentos em que nos infiltramos, e
  3. nossa análise da documentação interna dos neandertais – uma coleção de documentos, gráficos, imagens, etc. – que eles usam como sua própria base de conhecimento pessoal. Essas informações são fornecidas aos recém-chegados para ajudá-los em sua integração.

Gostaríamos também de agradecer Fulgurar, o que nos ajudou em nossa pesquisa.

Ingressar em um grupo

Os grupos Telekopye recrutam novos neandertais através de anúncios em diferentes canais, incluindo fóruns subterrâneos. Esses anúncios indicam claramente o objetivo: enganar os usuários do mercado online, como pode ser visto na Figura 1.

Figure 1 Recruitment Telekopye scamming group
Gráfico 1. Recrutamento para um grupo Telekopye

Os aspirantes a neandertais devem preencher um formulário no qual respondem a perguntas básicas, como onde conheceram o grupo e que experiência têm nessa linha de "trabalho". Se aprovados pelos membros existentes do grupo com um papel suficientemente alto, os novos neandertais podem começar a usar o Telekopye em toda a sua extensão. Além disso, cada neandertal é obrigado a participar de dois canais: um bate-papo em grupo onde os neandertais se comunicam e onde as regras e manuais são mantidos, e um canal separado onde os registros de transações são mantidos. O processo é mostrado na Figura 2.

Figure 2 Application accepted
Gráfico 2. Aplicativo aceito que permite que um novo neandertal participe do bate-papo em grupo e do bate-papo de log de transações por meio de links na mensagem

Tipos de Golpes

Existem três cenários principais de fraude:

1. Vendedor, denominado internamente 1.0..

2. Comprador, denominado internamente 2.0.

3. Reembolso.

A Figura 3 é o menu de criação para os dois primeiros cenários de golpe, onde a coluna 1 na parte inferior representa os golpes do vendedor (1.0). O cenário de golpe de reembolso é vinculado a cada cenário de golpe individualmente. Esses tipos de golpes são descritos nas subseções a seguir.

Figure 3 Example of creation menu

Gráfico 3. Exemplo de um menu de criação de menu para diferentes cenários de fraude.<p>Golpe do vendedor

Golpe do vendedor

Nesse cenário, os neandertais se passam por vendedores e tentam atrair Mamuts desavisados para comprar algum item inexistente. Quando um Mamuts demonstra interesse no item, o neandertal o convence a pagar online em vez de pessoalmente. Se o Mamuts concordar, o neandertal fornece um link para um site de phishing fornecido pela Telekopye e cuidadosamente projetado para se assemelhar à página de pagamento legítima do mercado on-line na qual o item de renome aparece. No entanto, ao contrário da página web legítima, esta página pede um nome de usuário bancário on-line, detalhes do cartão de crédito (às vezes incluindo o saldo) ou outras informações confidenciais. Se o Mamuts inserir esses dados, o site de phishing os roubará automaticamente. Curiosamente, esses dados não são disponibilizados para os neandertais que oferecem o item para venda, mas são processados por outros neandertais. A Figura 4 mostra o menu Telekopye com links de phishing já criados e a Figura 5 mostra a comunicação durante esse cenário de golpe.

Figure 4 Example of phishing links

Gráfico 4. Exemplo de links de phishing criados pela Telekopye para o cenário de fraude do vendedor<p>Golpe do comprador

Figure 5 Fabricated example

Gráfico 5. Exemplo de conversa para o vendedor em um cenário de fraude

Golpe do comprador

Nesse cenário, os neandertais se passam por compradores e buscam um mamut como alvo. Eles demonstram interesse no item que o Mamut vende e afirmam que já pagaram por meio da plataforma que o oferece. Os neandertais enviam e-mails ou mensagens SMS gigantescos (criados através da Telekopye) com um link para um site de phishing cuidadosamente elaborado (também criado através da Telekopye; veja a Figura 6), alegando que o mamut deve clicar neste link para receber o dinheiro da plataforma. O restante do cenário é muito semelhante ao golpe do vendedor, com pequenas variações durante a conversa (ilustrado na Figura 7).

Figure 6 Example of Buyer scam scenario
Gráfico 6. Exemplo de site de phishing de cenário de fraude

Figure 7 Example of conversation for Buyer scam scenario
Gráfico 6. Exemplo de site de phishing de cenário de fraude

Golpe do reembolso

Nesse cenário, os neandertais criam uma situação em que o mamute espera por um reembolso e, em seguida, envia um e-mail de phishing com um link para o site de phishing, novamente com o mesmo propósito. Os neandertais enviam esses tipos de e-mails para mamutes que não contataram antes, contando com eles para ficarem gananciosos e tentarem obter esse "reembolso", ou combiná-lo com o golpe do cenário do vendedor: quando os mamutes reclamam que não receberam seus produtos, os neandertais enviam e-mails de phishing de reembolso para tentar enganá-los uma segunda vez.

Modus operandi

Agora que descrevemos os diferentes cenários de golpe, vamos ver que conhecimento os neandertais acumularam ao longo dos anos em que operaram. Sua documentação interna é composta por imagens, gráficos, guias curtos e até documentos complexos. A Figura 8 mostra o sumário de um desses documentos.

Figure 8 Table of contents
Gráfico 8. Sumário da documentação interna (traduzido do russo).

Também descobrimos que existem dois tipos de neandertais. O primeiro escreve para o maior número possível de mamutes e o outro é muito mais exigente quando se trata de procurar um mamute em potencial. Há alguma rivalidade entre eles, com os mais cautelosos argumentando que o comportamento "imprudente" dos golpistas menos cautelosos pode lhes trazer um pouco mais de lucro, mas cria muito mais consciência pública.

Preparação

A preparação para um golpe difere dependendo do cenário escolhido. No caso do golpe do vendedor, os neandertais são aconselhados a preparar fotos adicionais do item, caso os mamutes peçam mais detalhes. Se os neandertais usam fotos que baixaram da internet, eles devem editá-las para dificultar a localização de imagens.

Para o cenário de golpe do comprador, a parte chave da preparação de um neandertal é como ele escolhe o Mamute. Ao longo dos anos, os neandertais criaram diretrizes a serem seguidas ao escolher seus alvos: eles levam em conta gênero, idade, experiência em mercados online, classificação, avaliações, número de negociações feitas e muitos outros indicadores.

Pesquisa de mercado

Em quase todos os grupos de neandertais, podemos encontrar referências a manuais com estudos de mercado on-line dos quais os neandertais tiram suas estratégias e conclusões. A fonte dessa pesquisa costuma ser um https://avito-club.ru/archives/677 estudo de 2017 da agência Avito and Data Insight. A Figura 9 ilustra os resultados de uma dessas investigações, que traça a distribuição de gênero, idade, experiência e renda em um determinado mercado online

Figure 9 Neanderthals’ analysis of typical buyer

Gráfico 9. Análise Neandertal de um Comprador Típico (traduzido do russo)

Durante o cenário de golpe do comprador, os neandertais escolhem seus alvos com base no tipo de itens que vendem. Por exemplo, alguns grupos evitam completamente os eletrônicos. Por outro lado, os dispositivos móveis são uma categoria muito valorizada por outros grupos. O preço do item também é importante: se for muito alto, os neandertais não notarão esses mamutes, pois acreditam que sua vigilância será muito maior por padrão. Os manuais recomendam que os neandertais, no cenário de fraude do comprador, escolham itens com preços entre 1.000 e 30.000 rublos (de 9,50 a 290 euros em 20 de outubro de 2023)

A localização do Mamute também é importante. Os neandertais estão mais focados em cidades mais ricas, onde esperam mais anúncios e pessoas que não acompanham tão de perto suas próprias finanças.

Por fim, os golpistas também levam em conta o dia do mês. Eles visam os dias logo após as pessoas receberem o pagamento, pois naturalmente esperam que elas tenham mais dinheiro em suas contas bancárias.

Web scraping

Os neandertais usam web scrapers para vasculhar rapidamente listagens de muitos mercados on-line e escolher um mamute perfeito que cai no golpe; Esta é, como já escrevemos, uma parte inicial crucial do cenário de golpe do comprador.

Não temos conhecimento de nenhum web scraper personalizado implementado por neandertais, mas sua documentação menciona alguns que são oferecidos como serviços legítimos. Os neandertais rastreiam o mercado-alvo em busca de listagens, detalhes de itens e informações do usuário, resultando em um arquivo CSV ou XML. Os neandertais usam os resultados para encontrar rapidamente os alvos certos. A Figura 10 mostra um exemplo desse tipo de arquivo.

Figure 10 Parsed info from Avito website
Figura 10. Informações analisadas do site da Avito na categoria "telefones celulares" (traduzido do russo)

As avaliações e a experiência dos usuários são de particular interesse para os neandertais, pois eles usam essas informações para evitar alvos que consideram propensos a detectar o golpe.

Evitando a entrega presencial

Por questões de segurança, muitos mamutes preferem tanto o pagamento quanto a entrega presencial dos produtos vendidos. Isso representa um problema para os neandertais, pois eles precisam persuadir os mamutes a concordar em usar um serviço de entrega e pagamento online, para que possam direcioná-los para o site de phishing. Normalmente, eles alegam que estão muito longe ou que estão saindo da cidade para uma viagem de negócios por alguns dias. Ao mesmo tempo, eles tentam parecer muito interessados no artigo para aumentar as chances de que o Mamute aceda à sua sugestão

Envio de links para sites de phishin

Muitos mercados on-line legítimos têm um recurso de bate-papo embutido e, junto com ele, moderação. Enviar um link para alguém através de um bate-papo desse tipo geralmente é um sinal vermelho e pode muito bem levar a um banimento. Os neandertais tentam superar esse obstáculo persuadindo os mamutes a continuar sua conversa em outra plataforma de bate-papo menos policiada.

Seus argumentos são muito semelhantes aos contrários ao parto presencial. Eles alegam que precisam sair de casa e não conseguem acessar o chat pelo celular, mas podem continuar o bate-papo em um dos aplicativos de bate-papo.

De acordo com suas próprias estatísticas, os neandertais afirmam que cerca de 50% dos mamutes concordarão com uma mudança de plataforma e 20% deles cairão no golpe. Isso se traduz em uma taxa de sucesso geral de 10%.

Outro método preferido é o e-mail ou SMS. Telekopye é capaz de gerar rapidamente mensagens de phishing convincentes. Os neandertais usam truques (alguns deles ilustrados na Figura 11) para aprender os endereços de e-mail ou números de telefone dos mamutes para que eles possam enviar essas mensagens. A vantagem dessa abordagem é que pedir um número de telefone ou endereço de e-mail provavelmente não desencadeará nenhum sinal vermelho para o Mamute ou para a plataforma de bate-papo e o Neandertal não precisa persuadir o Mamute a mudar para uma plataforma de bate-papo diferente.

Figure 11 Copy-n-paste text example
Gráfico 11. Exemplo de texto copiado e colado (traduzido do russo)<p>Comunicação

Comunicação

A Telekopye não usa IA. Pode ser uma surpresa, mas os neandertais acreditam que seu método é superior e menos suscetível à detecção por mecanismos de vigilância. Como resultado, a maior parte de sua documentação interna se concentra em técnicas de comunicação para alcançar os melhores resultados.

Ganhar a confiança do Mamute é crucial para o sucesso de um golpe. Muitas vezes, os neandertais não respondem imediatamente a todas as mensagens, mas esperam (às vezes até algumas horas) para criar a ilusão de que estão ocupados com a vida cotidiana. Falando em tempo: eles tentam se adaptar ao fuso horário do Mamute para não levantar suspeitas.

Eles tendem a se envolver em conversas primeiro; Eles podem até compartilhar uma história pessoal falsa. O objetivo é procurar bandeiras vermelhas, sinais que indicam ao neandertal que o mamute é muito cauteloso ou experiente. Como os neandertais estão focados no lucro, eles não querem gastar tempo com mamutes que acabam descobrindo a armadilha.

Outro ótimo exemplo é que, quando os neandertais usam o cenário de golpe do comprador, eles garantem aos mamutes que já pagaram pelo item. Isso, combinado com o design do e-mail de phishing que promete um retorno rápido sobre o dinheiro, torna os Mamutes menos vigilantes.

Neandertais experientes oferecem aos recém-chegados conversas abrangentes para se inspirar; Um exemplo disso é mostrado na Figura 12.

Figure 12 Suggested conversation with Mammoth

Gráfico 12. Sugestão de Conversa com um Mamute (traduzido do russo)

Os neandertais só toleram um certo nível de resistência dos mamutes: se sentirem que o golpe provavelmente não terá sucesso, eles mudam de alvo. No entanto, se eles sentem que quase venceram, eles são muito persuasivos. Um exemplo perfeito é sua abordagem documentada para situações em que eles conseguem coletar os dados confidenciais do mamute, mas o banco bloqueia a transação ou há fundos insuficientes. Nesse caso, os neandertais podem chegar ao ponto de pedir ao mamute para usar o cartão de um parente ou até mesmo ligar para o banco e autorizar a transferência.

Os neandertais estão prontos para responder a muitas perguntas inesperadas sobre a legitimidade de seus pedidos (veja a Figura 13).

Figure 13 Suggested way to scam
Gráfico 13. Dica para enganar os mamutes mais perspicazes (traduzido do russo)

Tradução

Como esta operação tem como alvo mamutes em todo o mundo, os neandertais têm de criar a ilusão de que falam bem a língua do mamute. É bastante comum se deparar com neandertais que falam russo e sabem escrever em inglês. Curiosamente, conseguimos cruzar os apelidos do Telegram de muitos neandertais com perfis de plataformas de aprendizagem de idiomas. Essas contas indicavam que o proprietário fala russo e inglês. Obviamente, a conexão pode ser uma mera coincidência.

Por muitos anos, os neandertais usaram o Google Tradutor. Desde pelo menos 2021, os neandertais optaram por outros tradutores, comoDeepL,como (em sua opinião) ele entende melhor o contexto.

Além de usar tradutores, eles criaram muitas tabelas de tradução ao longo dos anos, com traduções verificadas de frases comuns em vários idiomas. Estas traduções são geralmente do russo para línguas europeias (ver Figura 14). Os neandertais só precisam copiar e colar essas frases traduzidas no bate-papo com o Mamute.

Figure 14 Romanian-Russian and Portuguese-Russian
Gráfico 14. Exemplo de tabelas de tradução português-russo e romeno-russo

Características específicas de cada grupo

Devemos mencionar também que diferentes grupos têm diferentes melhorias de qualidade de vida para Telekopye. Por exemplo, ao gerar um link de phishing (um resultado pode ser visto na Figura 15), os neandertais em um desses grupos recebem várias perguntas que lhes permitem ter algum grau de personalização de cada site de phishing. A mais interessante é a pergunta sobre a geração manual/automática do site de phishing. No caso da geração manual, o neandertal deve especificar todas as informações necessárias para criar o site de phishing. Para os neandertais que se fazem passar por compradores, isso requer entre 10 e 15 perguntas (Figura 16).

Figure 15 Example of phishing website creation process
Gráfico 15. Exemplo de criação automática de um site de phishing pela Telekopye, em que o neandertal se passa por comprador
Figure 16 Manual of phishing link creation process
Figura 16. Processo manual de criação de links de phishing

No caso da geração automática de páginas, o neandertal só precisa especificar a URL do item a ser "comprado" e responder a cinco perguntas (como qual é o nome e o número de telefone do comprador). Telekopye então extrai todas as informações do site e cria a página de phishing.

Anonimato e evitação

Os neandertais acreditam que seus grupos estão cheios de "ratos" (por exemplo, policiais ou investigadores). Por esse motivo, aderem religiosamente às regras, principalmente para não sondar informações que possam identificar outros membros do grupo. O não cumprimento dessas regras pode resultar na expulsão do grupo. A regra de ouro é "trabalhar mais, falar menos". Além disso, eles são incentivados a usar VPNs, proxies e TOR para se manterem seguros. Os neandertais fornecem aos recém-chegados guias extensos e até se envolvem em discussões acaloradas sobre quais programas ou serviços usar e por quê, incluindo preferências do navegador. Alguns neandertais até usamOrbot, uma variante do TOR para Android.

Dinheiro

Os neandertais não precisam apenas esconder sua identidade e localização, mas também seu dinheiro. Naturalmente, as criptomoedas são a resposta. Não conseguimos tirar nenhuma conclusão sobre a preferência pelas criptomoedas.

Finalmente, os neandertais preferem serviços em que podem se inscrever usando apenas um número de telefone celular. Eles consideram que esta é a melhor abordagem, pois é relativamente fácil comprar um cartão SIM sem revelar sua identidade.

Ignorar detecção automática

Golpes em marketplaces online não são novidade. Ao longo dos anos, as plataformas que prestam esses serviços aplicaram uma série de técnicas para combater os golpistas e aumentar a segurança de seus clientes. Os neandertais estão cientes disso e continuam a experimentar diferentes abordagens para superar as políticas de moderação de plataformas. Uma das primeiras tentativas, bastante bobas, foi usar o Google Forms para roubar informações pessoais de mamutes (como visto na Figura 17). Considerando as informações que eles estavam visando, o objetivo era obter um meio de comunicação por meio de um canal diferente – e-mail ou SMS – no qual não ocorresse moderação estrita.

Figure 17 Phishing with Google Forms
Figura 17. Exemplo de phishing com o Google Forms

 

Hoje, quase todos os neandertais tentam transferir seus mamutes para plataformas de bate-papo legítimas e menos policiadas. Os neandertais os escolhem porque acreditam que banir contas lá leva tempo. Além disso, o envio de vários links por meio de plataformas de bate-papo é uma prática comum, em vez de um comportamento suspeito. Além disso, quase todo mundo está familiarizado com esses aplicativos, então os neandertais não precisam explicar como eles funcionam.

Apesar de considerarem essas plataformas muito mais seguras, os neandertais caminham com cuidado. Eles evitam enviar muitas mensagens em pouco tempo e tentam personalizar as mensagens para os vários Mamutes: Telekopye os ajuda muito nessa empreitada.

Explorando Novo Território: Golpe Imobiliário

Alguns grupos neandertais mencionam outro tipo de golpe, visando inquilinos de imóveis. Veja como funciona o golpe. Durante a fase de preparação, os neandertais escrevem para o legítimo proprietário de um apartamento, fingindo estar interessado e pedindo vários detalhes, como fotos adicionais e que tipo de vizinhos o apartamento tem. Os neandertais, então, pegam todas essas informações e criam seu próprio anúncio em outro site, oferecendo o apartamento para alugar. Eles reduzem o preço de mercado esperado em 20%. O resto do cenário é idêntico ao do golpe do vendedor: o neandertal espera que um mamute demonstre interesse e o instrui a pagar uma taxa de reserva por meio de um link que, é claro, aponta para um site de phishing.

Graças à telemetria ESET, descobrimos que os sites de phishing usados neste cenário de fraude são suspeitosamente semelhantes aos que a Telekopye cria para os cenários de Comprador e Vendedor. Isso, combinado com o golpe anunciado pelos grupos Telekopye, nos leva a acreditar que há uma conexão. No entanto, não nos infiltramos em nenhum grupo especializado neste cenário nem obtivemos uma variante de Telekopye projetada para ele.

Entrevista

Ao vasculhar diferentes manuais, grupos e materiais adicionais, encontramos uma entrevista com um administrador da Telekopye que foi realizada no final de 2020. Isso nos ajudou a obter uma visão única da mente de um neandertal de alto escalão. O administrador da Telekopye entrevistou um grupo da Telekopye especializado no ensino de novos neandertais.

Em determinado momento, o administrador é questionado sobre como vê o futuro dessa linha de "trabalho". Ao que ele responde que "golpes em marketplaces online sempre estarão presentes. É muito mais difícil [aplicar golpes] do que costumava ser graças às políticas de banimento dos vários sites. Mas não é possível parar todo o phishing nesses sites." Também diz que não aplica mais golpes. Cansou-se e agora só trabalha como administrador/tutor, e é por isso que o seu grupo é tão único: "Não tenho medo de mamutes. Todos os mamutes ameaçam quando percebem que foram enganados. Aparentemente, hoje em dia todo mundo é esposa ou amiga de um ministro do Interior", diz o administrador.

Quando perguntado se está pensando em criar um novo projeto de golpe, ele responde que não tem tempo para isso. Ele modera dois canais, tem um estilo de vida ativo, faz muitos cursos de treinamento e só tem quatro horas por dia em casa.

Confessa ainda que tem plena consciência de que este tipo de trabalho não é honesto, mas encontra a desculpa típica para si próprio: "... Algumas pessoas pagam constantemente por links, e alguém constantemente os lança. Quem trabalha duro na vida consegue." Além disso, ele diz que, se sente pena de Mamute, ele se pergunta: "Por que estou enganando-os em primeiro lugar? Poço... Só roubo aos ricos (nota de pesquisa: mamutes que provavelmente têm pelo menos 200 euros na conta) e se minha consciência estivesse tão frágil, eu iria trabalhar como entregador."

Conclusão

Nesta segunda parte dedicada a Telekopye, nos concentramos no que aprendemos sobre os neandertais. Graças ao acesso à sua comunicação interna e à sua base de conhecimento, fornecemos não apenas descrições de diferentes cenários fraudulentos, mas acima de tudo uma visão única sobre seu modus operandi e mentalidade.

Mostramos como é o processo de admissão para os recém-chegados e como a Telekopye ajuda os neandertais em seu trabalho diário. Além disso, mostramos que eles provavelmente também estão experimentando golpes imobiliários.

Os golpes em mercados on-line provavelmente não desaparecerão. Como demonstramos na primeira parte, conseguimos descobrir dezenas de grupos operando a Telekopye. Dito isso, ao ter nossa visão única de como os golpistas funcionam, acreditamos que muito pode ser aprendido para proteger os usuários desses tipos de plataformas de danos.

A tabela de técnicas MITRE IoCs e ATT&CK foi fornecida na primeira parte desta revisão, e não foi alterada, portanto, consulte esse artigo.

Para qualquer dúvida sobre nossa pesquisa publicada no WeLiveSecurity, entre em contato conosco em threatintel@eset.com.
A ESET Research oferece relatórios de inteligência APT privados e fontes de dados. Para qualquer dúvida sobre este serviço, visite a página ESET Threat Intelligence.