Cada vez más las personas optan por las compras online por cuestiones de comodidad e inmediatez, por lo que este tipo de plataformas son propensas a recibir ciberataques.
Aprovechando esto, los estafadores se dirigen a estos servicios y a sus clientes en beneficio propio. De esta manera, pueden crear un anuncio de productos que no existe y, una vez que la víctima paga, desaparecen en el éter.
Así funciona el bot de Telegram para los ciberataques
Recientemente ESET, compañía de detección de ciberataques, identificó el código fuente de un conjunto de herramientas que hace que los estafadores no necesiten ser expertos en informática. Este kit de herramientas se implementa como un bot de Telegram que, cuando se activa, proporciona varios menús fáciles de navegar en forma de botones.
A esto se le conoce como el Telekopye, una combinación de Telegram y kopye (копье), que en ruso significa lanza, debido al uso de phishing altamente dirigido.
Los estafadores llaman mamuts a las víctimas de esta operación y varias pistas apuntan a Rusia como país de origen de los autores y usuarios del kit de herramientas.
Telekopye fue subido a VirusTotal en múltiples ocasiones, principalmente desde Rusia, Ucrania y Uzbekistán, desde donde suelen operar los Neanderthals de acuerdo con el idioma que usan en los comentarios del código son quienes están detrás de los ataques.
“Hemos descubierto y analizado Telekopye, un conjunto de herramientas que ayuda a las personas menos técnicas a realizar estafas en línea con mayor facilidad. Estimamos que Telekopye estaba en uso desde al menos 2015. Nos centramos en una versión, analizando sus principales capacidades y descubriendo cómo funciona Telekopye internamente. Estas capacidades incluyen la creación de sitios web de phishing, el envío de SMS y correos electrónicos de phishing y la creación de capturas de pantalla falsas”, comenta Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de ESET Latinoamérica.
Aunque los principales objetivos de Neanderthals son los mercados online populares en Rusia, como OLX y Yula, desde ESET se observó que sus objetivos son también mercados online que no son nativos de Rusia, como BlaBlaCar o eBay, e incluso otros como Jofogas y Sbazar.
Solo para ilustrar lo grandes que son algunos de estos mercados, la plataforma OLX tuvo, según Fortune, 11.000 millones de páginas vistas y 8,5 millones de transacciones al mes en 2014.
Le puede interesar: Ciberataque: el phishing se ha incrementado en Colombia
Las mismas se utilizan para crear páginas web de phishing y enviar mensajes de phishing por correo electrónico y SMS. Además, algunas versiones de Telekopye pueden almacenar datos de las víctimas (normalmente detalles de tarjetas o direcciones de correo electrónico) en el disco donde se ejecuta el bot.
En cuanto a la estafa Telekopye, en primer lugar, los Neandertales una vez que encuentran a sus víctimas (mamuts) intentan ganarse su confianza y persuadirles de que son confiables.
Cuando los atacantes creen que confía lo suficiente en ellos, utilizan Telekopye para crear una página web de phishing a partir de una plantilla prefabricada y envían la URL a la posible víctima, incluso a través de mensajes SMS o correo electrónico.
Después de que envía los datos de la tarjeta a través de esta página, los delincuentes utilizan estos datos de la tarjeta para robar dinero de la tarjeta de crédito/débito, mientras ocultan el dinero utilizando varias técnicas diferentes, como blanquearlo a través de criptomonedas; desde ESET se identificaron algunos servicios de cryptocurrency mixing involucrados en estas operaciones.
Por su parte Telekopye dispone de varias funcionalidades diferentes que los cibercriminales pueden aprovechar al máximo. Estas funcionalidades incluyen el envío de correos electrónicos de phishing, la generación de páginas web de phishing, el envío de mensajes SMS, la creación de códigos QR y la creación de capturas de pantalla de phishing.
La característica principal de Telekopye es que crea páginas web de phishing a partir de plantillas HTML predefinidas bajo demanda. Un Neanderthal debe especificar en esta plantilla detalles como la cantidad de dinero, el nombre del producto, ubicación a la que se enviaría el producto, la foto, el peso, y el nombre del comprador. En seguida, el virus toma toda esta información y crea una página web de phishing para materializar el engaño.
Finalmente, estas páginas están diseñadas para imitar diferentes sitios de inicio de sesión de pagos/bancos, pasarelas de pago de tarjetas de crédito/débito, o simplemente páginas de pago de diferentes sitios web. Para facilitar el proceso de creación de páginas web de phishing, estas plantillas de páginas web están organizadas por países a los que se dirigen.