如今,越来越多的人喜欢在网上购买商品。那么为何不?很方便,货物会送到您家门口,如果您选择众多在线市场之一,甚至可以节省一些钱。可悲的是,诈骗者滥用了这一点,将这些服务及其客户作为诈骗者的利益目标。他们可以为他们不拥有或不打算出售的商品创建列表。一旦受害者付款,他们似乎就消失在了以太里。
最近,我们发现了一个工具包的源代码,它可以为诈骗者提供很大的帮助,他们不需要特别精通 IT,只需要能说会道就可以说服受害者。该工具包以 Telegram 机器人的形式实现,激活后会以可点击按钮的形式提供多个易于导航的菜单,可同时容纳多个骗子。在这篇博文中,我们将重点关注工具包分析和功能,以及使用它的组的结构。我们将此工具包命名为 Telekopye。
这篇博文是由两部分组成的系列文章的第一篇,我们将仔细研究 Telekopye 并展示一些对诈骗者非常有帮助的关键功能。在第二部分中,我们将更多地关注集团运营。
这篇博文的要点:
1、Telekopye 是一个作为 Telegram 机器人运行的工具包,可帮助诈骗者欺骗受害者。
2、Telekopye 旨在瞄准在线市场;主要(但不限于)在俄罗斯流行的。
3、Telekopye 根据预定义模板创建网络钓鱼网页,并生成和发送网络钓鱼电子邮件和短信。
4、Telekopye 的用户和运营商按清晰的层次结构组织。
概述
由于使用了高度针对性的(又名矛式)网络钓鱼,我们将 Telekopye 这个名称设计为 Telegram 和 kopye (копье)(俄语中“矛”的意思)的组合。此骗局操作的受害者被骗子称为 Mammoths(见图1 ),并且一些线索指向俄罗斯是该工具包的作者和用户的原籍国。为了清楚起见,并遵循相同的逻辑,我们将使用 Telekopye 的诈骗者称为尼安德特人。
图1.尼安德特人发布的群组对话中的模因之一(猛犸象丢失了)
Telekopye 被多次上传到 VirusTotal,主要来自俄罗斯、乌克兰和乌兹别克斯坦,尼安德特人通常根据代码中注释中使用的语言进行操作(我们在本博文中的各种图像的括号中添加了英语的机器翻译),并且大多数目标市场。尽管尼安德特人的主要目标是俄罗斯流行的在线市场,如 OLX 和 YULA,但我们观察到他们的目标也是非俄罗斯本土的在线市场,如 BlaBlaCar 或 eBay,甚至其他与俄罗斯毫无共同之处的市场,如 JOFOGAS 和 Sbazar。据《财富》报道,2014 年,OLX 平台每月的页面浏览量为 110 亿次,交易量为 850 万笔,这足以说明其中一些市场的规模有多大。
我们能够收集 Telekopye 的多个版本,这表明我们需要不断开发。所有这些版本都用于创建网络钓鱼网页,并发送网络钓鱼电子邮件和短信。此外,某些版本的 Telekopye 可以将受害者数据(通常是银行卡详细信息或电子邮件地址)存储在运行机器人的磁盘上。Telekopye 非常通用,但不包含任何聊天机器人人工智能功能。因此,它实际上并不执行诈骗;而是执行诈骗。它只会简化此类诈骗中使用的内容的生成。2023 年 7 月,我们检测到符合 Telekopye 运营商操作方式的新域名,因此它们仍然活跃。我们能够收集到的 Telekopye 的最新版本是 2022 年 4 月 11 日发布的。我们评估 Telekopye 至少从 2015 年就开始使用,并且根据尼安德特人之间的对话片段,
Telekopye诈骗场景
由于人性,在线市场上的诈骗似乎很容易。通常可以归结为尼安德特人所遵循的骗局的几个关键部分,如图 2 所示。首先,尼安德特人找到了他们的受害者(猛犸象)。然后他们尝试赢得他们的信任并说服他们他们是合法的(为什么需要这样做,我们将在第 2 部分中讨论)。当尼安德特人认为猛犸象足够信任他们时,他们会使用 Telekopye 从预制模板创建网络钓鱼网页,并将 URL 发送给猛犸象(该 URL 也可以通过短信或电子邮件发送)。猛犸象通过此页面提交卡详细信息后,尼安德特人使用这些卡详细信息从猛犸象的信用卡/借记卡中窃取资金,同时使用多种不同的技术隐藏资金,例如通过加密货币洗钱。根据几个对话片段,我们评估涉及一些加密货币混合器。猛犸象被骗的钱与向尼安德特人支付的款项(通常是加密货币)之间缺少联系。
图2 . 尼安德特人骗局概述
Telekopye 功能
Telekopye 拥有多种不同的功能,尼安德特人可以充分利用这些功能。这些功能包括发送钓鱼邮件、生成钓鱼网页、发送短信、创建二维码以及创建钓鱼屏幕截图。在以下部分中,我们将重点关注 Telekopye 对普通尼安德特人最有用的部分。
界面
每个使用 Telekopye 的 Telegram 群组都由一个或多个同时独立操作的尼安德特人组成。功能是通过按钮提供的,这可能会让尼安德特人更容易进行诈骗。
图 3 显示了工作 Telegram 组中 Telekopye 的菜单之一。特别值得注意的是“我的广告”按钮,显示每个尼安德特人拥有的所有打开的列表(正在进行的诈骗广告),以及“我的个人资料”按钮,允许尼安德特人在该平台上查看他们的个人资料信息,例如诈骗数量、金额准备下次支付的钱等等。
图3 . Telegram 群组中的Telekopye 操作员界面示例
钓鱼页面生成
Telekopye 的核心功能是它可以根据需要从预定义的 HTML 模板创建网络钓鱼网页。尼安德特人需要指定金额、产品名称,并根据模板指定其他信息,例如产品将发送到的位置、图片、重量和买家姓名。然后 Telekopye 获取所有这些信息并创建一个网络钓鱼网页。这些网络钓鱼网页旨在模仿不同的支付/银行登录站点、信用卡/借记卡支付网关或不同网站的简单支付页面。
为了使网络钓鱼网站的创建过程更加容易,这些网站模板按其目标国家/地区进行组织。图 4 显示了一个简单的创建菜单,其中一些模板根据不同的国家/地区进行了排序。唯一的例外是 BlaBlaCar,它提供独立于国家/地区的汽车共享服务。
图4 . 不同网络钓鱼页面的创建菜单。请注意,瑞典国旗与右上角的瑞士错误关联。
图5显示了一个此类网络钓鱼网页,可能尚未完全完善。
图5 . 填写未完成的钓鱼网站模板(括号内为机器翻译)
成品如图 6 所示,这是一个与 eBay 网页相似的网页,与原始网页几乎无法辨认(或者至少看起来像人们期望从合法网站获得的网页)。通过点击“接收%金额2%欧元”按钮,猛犸象会看到一个虚假的信用卡/借记卡网关。
图6 .完成的冒充 eBay 网络钓鱼网页模板
这些网络钓鱼域名并不容易被发现。通常,尼安德特人会注册一个域名,然后为每个目标市场创建子域名,最终 URL 以预期的品牌名称开头。在表1中,请注意,只有一个域– olx.id7423[.]ru – 用于针对流行的市场 OLX。OLX 市场的合法域的一个示例是olx.ua。简而言之,他们通常使用.ru作为顶级域名,并将二级域名移至三级域名的位置。
表1 . 用于网络钓鱼的几个域的示例
交易和支付
尼安德特人不会将从猛犸象那里偷来的钱转移到自己的账户上。相反,所有尼安德特人都使用由 Telekopye 管理员控制的共享 Telekopye 帐户。Telekopye 通过在简单的文本文件或 SQL 数据库中记录对该共享帐户的相关贡献来跟踪每个尼安德特人的成功程度。
因此,尼安德特人得到 Telekopye 管理员的报酬。付款分为三部分:
1、 委托给 Telekopye 管理员。
2、 委托推荐人(推荐系统将在博文后面讨论)。
3、 实际支付。
Telekopye 管理员的佣金为 5-40%,具体取决于 Telekopye 版本和尼安德特人角色(角色也会在博客文章后面讨论)。
一旦尼安德特人有资格获得一笔赔偿,他就会向 Telekopye 索取一笔赔偿。Telekopye 检查 Neanderthal 的余额,最终请求得到 Telekopye 管理员的批准,最后,资金被转移到 Neanderthal 的加密货币钱包中。在一些 Telekopye 实施中,第一步(要求付款)是自动进行的,并且只要尼安德特人成功诈骗的赃款达到一定阈值(例如 500 卢布),就会启动谈判。手动支付请求的流程如图 7 所示,Telekopye 源代码的相关部分如图 8 所示。
图7 . 支付图
图8 . 每当尼安德特人想要提取资金时执行的代码
Telekopye 在单独的 Telegram 频道中保存已处理付款的日志。获得报酬的尼安德特人也会收到此频道的链接,可能是为了验证交易是否已记录。图 9 显示了此类日志通道的示例。
图9 . Telegram 频道中的支付日志示例
Telekopye 管理员不会通过 Telekopye 本身转账。相反,管理员可以使用名为“BTC Exchange bot”的工具(可能是独立的 Telegram 机器人),或者手动转账。然而,我们发现 Telekopye 中越来越多地集成了与支付相关的功能,因此这种情况将来可能会发生变化。
发送网络钓鱼电子邮件
尼安德特人可以指示 Telekopye 创建和发送电子邮件。发件人是所有尼安德特人共享的预定义电子邮件帐户。这些电子邮件帐户通常与尼安德特人设置的网络钓鱼域相关联。图10显示了欺骗电子邮件标头From和Reply-To的代码,以使电子邮件看起来更合法。
图10 . 使用虚假 URL 和欺骗性发件人地址制作网络钓鱼电子邮件的代码
图11显示了用于创建网络钓鱼电子邮件正文的众多模板之一。未提供其他信息,因此显示%title%和%amount%的默认值,而不是用户定义的文本。“前往付款”按钮后面隐藏着恶意 URL 。
图11 . 模仿简单结账电子邮件的电子邮件模板
短信服务
除了网络钓鱼电子邮件之外,Telekopye 还允许尼安德特人以类似的方式创建和发送短信。图12说明了负责创建和发送此类消息的代码段。
图12 . 使用在线服务[合法] smscab.ru 创建短信的部分代码
Telekopye 的某些实现甚至具有不同语言的预定义 SMS 文本。所有短信模板都或多或少地表达相同的内容,例如,“您的商品已付款。要接收资金,请填写表格: ”。图13显示了几个 SMS 模板的示例,其中显示了原始的俄语模板。猛犸象收到短信后的样子如图 14 所示。
图13 . Telekopye 俄语短信模板文本
图14 . 使用捷克语模板文本创建并在没有恶意链接的情况下接收的短信示例
Telekopye 严重依赖 smscab.ru 或 smshub.org 等在线服务来发送 SMS 消息。我们分析了一个较旧的变体,其中 Telekopye 使用了所有尼安德特人共享的一个硬编码电话号码。然而,可能是因为屏蔽一个电话号码会导致屏蔽所有尼安德特人的消息,因此这一功能已停止。
图像处理
在本节中,我们将描述尼安德特人使用 Telekopye 创建令人信服的图像和屏幕截图是多么简单。Telekopye 的某些版本有一个名为 Render bot 的组件。尽管渲染机器人可以归类为独立机器人,但我们将其作为 Telekopye 的一部分进行处理。
当 Render bot 添加到 Telegram 聊天时,我们会看到如图15所示的初始消息。
图15 . 来自渲染机器人的初始消息
这使我们能够深入了解 Telekopye 这部分的工作原理。我们可以将渲染机器人的用途分为两类。首先,它可用于破坏图像,使它们不易交叉引用。其次,它可以创建看起来像合法屏幕截图的假图像。在本节中,我们将首先关注这些虚假屏幕截图的创建,该功能类似于创建网络钓鱼网站。
与从 HTML 模板生成的虚假网页不同,虚假屏幕截图的基础是删除了一些关键部分的 JPG 图像。这些部分包括假定的支付价格、借记卡/信用卡号、标题、姓名等。此转换如图16所示,其中对纯模板和填充模板进行了并排比较。由于这些是图像,因此没有交互式按钮,与电子邮件和网络钓鱼网页的对应按钮不同。
图16 . 生成的假屏幕截图(左侧为模板,右侧为填充示例文本的模板)
高度重视使插入的文本尽可能合适,因此 Telekopye 支持多种不同的字体。和以前一样,所有行为都是硬编码的,并且不使用人工智能。我们找到了 Sberbank、Avito、Youla、Qiwi 和其他一些服务的九个模板。
从尼安德特人的角度来看,创建这些屏幕截图与创建网络钓鱼网页没有什么不同。尼安德特人只需要提供一些信息,Telekopye 就会根据他们创建一个假的屏幕截图/图像。
在渲染机器人文件夹中,还可以在创建过程中看到这些模板之一。图17显示了包裹发票的照片,其中包含编号字段。Telekopye 的开发人员删除了所有旁边有数字的字段,并尝试在其中适应他们自己的字体样式和字体大小。当他们对最终产品的外观感到满意时,他们会将其添加到机器人中,供其他尼安德特人用作新模板。
图17 . 伪造检查创建进度
Telekopye 这部分的另一个同样重要的功能是图像处理。从代码及其注释中可以看出,它能够更改广告商品的图像,以便搜索引擎无法交叉引用它们。我们假设,如果在在线市场上发现该图像,人工智能反垃圾邮件保护会将其标记为恶意。这种变换非常简单,由图像的垂直翻转和对比度的微小变化组成。
实验特点
由于 Telekopye 源文件中的内容,我们评估开发人员正在尝试尝试不同类型/变体的骗局。例如,在代码中,我们看到了二维码生成功能(图18)。这可能意味着两件事之一。这要么是支付过程的一部分,要么是他们试图将其作为诈骗的新伎俩。一个可能的原因是猛犸象在通过二维码付款时不会三思而后行。因此,我们估计使用此类伎俩的诈骗将会小幅增加。
图18 . 生成二维码的代码
从图15中可以看出,Render 机器人可以为 Sberbank 创建虚假支票。但实际上,它只能创建付款确认(图19)。
图19 . 付款确认模板
功能齐全的假支票生成只是时间问题。可以看到工作片段表明这已经在进行中。这些片段主要是手写数字,可能会作为自定义字体添加。
角色
使用 Telekopye 的诈骗者群体被组织成具有从最低到最高权限的层次结构,顺序如下:
1. 管理员
2. 主持人
3. 好工人/支持机器人
4. 工人
5. 被阻止
我们观察到一些变体通过一些补充丰富了这个列表,但这五个角色仍然是基础。我们将在下面的部分中更详细地介绍每个角色。
Telekopye 还采用推荐系统。当一个新的尼安德特人想要加入这个团体时,他需要填写一份申请(他有多少“行业”经验、谁邀请他等等)。然后,该申请需要被版主或管理员接受才能让新的尼安德特人加入。
封锁
具有此角色的用户无法使用 Telekopye 工具包的任何部分。Telekopye 源代码中的规则表明这是对违反规则的某种惩罚(图20)。
图20 . Telekopye 聊天群规则
工人
这是几乎所有新尼安德特人开始时最常见的角色。有了这个角色,尼安德特人就可以使用 Telekopye 的所有功能,但不包括对群组的管理。在支付期间,该角色的佣金率最低,如表2所示。
表2 . 支付率示例
优秀工人/支持机器人
该角色是Worker角色的直接升级。唯一的区别是,担任此角色的尼安德特人不必将如此大比例的支出交给平台所有者。
为了获得这个角色,尼安德特人必须证明自己的有用性——完成一系列骗局或获得一定数量的被盗资金。
有时可能会看到这个角色是为支持机器人保留的。我们不确定这些机器人是什么。
版主
版主可以提升和降级其他成员并批准新成员。他们无法修改 Telekopye 设置。
管理员
管理员是组中的最高角色。他们可以充分利用 Telekopye。除了主持人的功能之外,他们还可以修改 Telekopye 设置 - 添加网络钓鱼网页模板、更改/添加机器人使用的电子邮件地址以及更改支付率、支付类型等。
如何避免被骗
判断您是否成为试图偷钱的尼安德特人的目标的最简单方法是查看所使用的语言。它可以是对话、电子邮件或网页本身中使用的语言。可悲的是,这并不是万无一失的,而且据观察,其中一些骗局尝试已经消除了语法和词汇错误。
在在线市场上处理二手商品时,尽可能坚持当面进行货币和商品交换。此类交易不受知名机构或服务的保护。这些骗局之所以可能发生,是因为尼安德特人假装他们已经在线支付/发送了物品。遗憾的是,有时无法亲自送货,在这种情况下您需要格外小心。
除非您确定钱款会流向何处,否则请避免汇款。当您需要向某个地方汇款时,请检查网页是否有语法错误和图形不成比例。如果幸运的话,模板可能会有一些不准确的地方。还要检查网站证书并仔细查看 URL,可以使其看起来像真实的链接。
提防诸如“我将通过 XYZ 服务汇款”之类的强硬论据。你知道它是如何运作的吗?” 询问是否可以使用其他付款方式,尤其是他们是否愿意接受您熟悉的服务的付款。这并非万无一失,因为诈骗者有多个模板,但当您使用您已知的付款方式时,您可能能够更轻松地识别假模板。
单击短信或电子邮件中的链接时要格外小心,即使它们看起来像是来自信誉良好的来源。尼安德特人对电子邮件欺骗并不陌生。一个好的经验法则是问问自己,您购买的东西是否会让信誉良好的来源向您发送此类电子邮件。如果您不确定,请直接访问该服务的网站(不要使用电子邮件/短信中的链接)并询问。这些页面中的大多数都有客户支持,他们会很乐意为您提供帮助。
结论
我们发现并分析了 Telekopye,这是一个可以帮助技术水平较低的人更轻松地实施在线诈骗的工具包。我们估计 Telekopye 至少从 2015 年起就开始使用。我们专注于一个版本,分析其主要功能并揭示 Telekopye 内部的工作原理。这些功能包括创建网络钓鱼网站、发送网络钓鱼短信和电子邮件以及创建虚假屏幕截图。我们还使用 Telekopye 描述了组的层次结构。通过遥测,我们还发现该工具仍在使用并正在积极开发中。Telekopye 的第二篇博客文章将于稍后发布,揭露诈骗组织的内部运作。
IOC
文件
关系网
MITRE ATT&CK技术
此表是使用 MITRE ATT&CK 框架版本 13 构建的。
转载来源:https://www.welivesecurity.com/en/eset-research/telekopye-hunting-mammoths-using-telegram-bot/
图片来源网络侵权可联系删除
