ESET Research, Telekopye online dolandırıcılarının işe alımı ve dolandırıcılık süreçlerini inceledi
Dolandırıcıların altın kuralı:
Daha fazla çalış, daha az konuş
Siber güvenlik şirketi ESET, yeraltı forumlarındaki reklamlar sayesinde yeni saldırganların Telekopye kümelerine nasıl katıldığını inceledi. Saldırganların bakış açısından tüm dolandırıcılık operasyonunu detaylı olarak tahlil etti. Telekopye’nin yetenekleri ortasında kimlik avı web siteleri oluşturma, kimlik avı SMS’leri ve e-postaları gönderme, uydurma ekran imajları oluşturma yer alıyor.
ESET araştırmacıları, ağustos ayında paylaştığı bir rapor ile teknoloji konusunda daha az bilgili olan bireylerin, çevrimiçi dolandırıcılıkları daha kolay gerçekleştirmesine yardımcı olan bir araç seti olan Telekopye’yi keşfedip tahlil etmişti. Yayımladığı ikinci rapor ile dolandırıcıların iştirak sürecine, tüm dolandırıcılık operasyonunun detaylı görünümüne ve dolandırıcılık senaryolarının tahliline odaklandı.
Telekopye’nin yetenekleri ortasında kimlik avı web siteleri oluşturma, kimlik avı SMS bildirileri ve e-postaları gönderme ve uydurma ekran imgeleri oluşturma yer alıyor. ESET telemetrisine nazaran bu araç hala kullanımda ve faal olarak geliştirilme basamağında ve bir Telegram botu olarak uygulanıyor. Bu dolandırıcılık operasyonunun kurbanları dolandırıcılar tarafından Mamut olarak isimlendiriliyor. ESET araştırma bulgularının ışığında ve daha anlaşılır olması emeliyle Telekopye’yi kullanan dolandırıcıların “Neandertaller” olduğunu belirtiyor.
İşe alma süreçlerini reklamlar aracılığıyla yönetiyorlar
Telekopye kümeleri, yeraltı forumları da dahil olmak üzere birçok farklı kanaldaki reklamlar aracılığıyla yeni Neandertalleri işe alıyor. Bu reklamların hedefi açıkça belirtiliyor: Çevrimiçi pazarlardaki kullanıcıları dolandırmak. Gelecek vaat eden Neandertallerin, bu “iş” alanında sahip oldukları tecrübeler üzere temel soruları yanıtlayan bir müracaat formu doldurmaları gerekiyor. Gereğince yüksek rütbeye sahip mevcut küme üyeleri tarafından onaylanırsa, yeni Neandertaller Telekopye’yi tüm potansiyeliyle kullanmaya başlayabilir.
Üç ana dolandırıcılık senaryosu bulunuyor: Satıcı, alıcı ve para iadesi. Satıcı senaryosunda saldırganlar satıcı üzere davranır ve şüphelenmeyen kurbanları var olmayan bir eseri satın almaya ikna etmeye çalışır. Kurban esere ilgi gösterdiğinde, “satıcı” onu şahsen ödeme yapmak yerine çevrimiçi ödeme yapmaya ikna eder ve legal bir ödeme sitesi üzere görünen bir kimlik avı web sitesi irtibatı gönderir. Lakin yasal web sayfasından farklı olarak bu sayfa, çevrimiçi bankacılık giriş bilgilerini, kredi kartı bilgilerini (bazen bakiye dahil) yahut öbür hassas bilgileri ister. Kimlik avı web sitesi bunu otomatik olarak çalar.
Alıcı senaryosunda ise saldırganlar alıcı olarak davranır ve amaç alacakları kurbanlar arar. Bir esere ilgi gösterir ve sağlanan platform aracılığıyla esasen ödeme yaptıklarını sav ederler. Daha sonra kurbana, dikkatlice hazırlanmış bir kimlik avı web sitesine ilişki içeren bir e-posta yahut SMS iletisi (Telekopye aracılığıyla oluşturulmuş) gönderirler ve kurbanın platformdan parasını alabilmesi için bu ilişkiye tıklaması gerektiğini sav ederler. Senaryonun geri kalanı “satıcı” dolandırıcılığına çok emsal. Geri ödeme senaryosunda saldırganlar, mağdurun geri ödeme beklediği bir durum yaratır ve akabinde kurbana kimlik avı web sitesine irtibat içeren bir kimlik avı e-postası gönderir ve bu da yeniden birebir gayeye hizmet eder.
Dolandırıcıların uzmanlık alanları var
Telekopye’yi araştıran ESET araştırmacısı Radek Jizba, “Hemen çabucak her Neandertal kümesinde, Neandertallerin stratejilerini ve sonuçlarını çıkardıkları çevrimiçi pazar araştırmalarını içeren kılavuzlara referanslar bulabiliriz” diyor. Jizba, “Örneğin, alıcı dolandırıcılığı senaryosunda Neandertaller maksatlarını sattıkları eserlerin cinsine nazaran seçiyor. Mesela birtakım kümeler elektronikten büsbütün uzak duruyor. Eserin fiyatı da değerli bir rol oynuyor. Kılavuzlar, alıcı dolandırıcılığı senaryosunda Neandertallerin fiyatı 9,50 ile 290 € ortasında olan eserleri seçmesini öneriyor” diye ekliyor. Ek olarak Telekopye kullanan saldırganlar, birçok çevrimiçi pazar listesini süratli bir biçimde incelemek ve büyük olasılıkla dolandırıcılığa düşecek “mükemmel kurbanı” seçmek için web kazıma araçlarından yararlanıyor.
Telekopye saldırganları, kümelerinin “ispiyoncularla” (örneğin kolluk kuvvetleri yahut araştırmacılar) dolu olduğuna inanıyor. Bu nedenle kurallara sadakatle bağlı kalırlar; temelde kümenin öteki üyelerinin kimliğini açığa çıkarabilecek derinlemesine sorular sorulmaz. Bu kuralların ihlali sonucunda yasaklı hale gelebilirsiniz. Altın kural: “Daha fazla çalış, daha az konuş”
Dolandırıcıların ana maksatları OLX ve YULA üzere Rusya’da tanınan olan çevrimiçi pazarlar olsa da ESET, Rusya’ya mahsus olmayan BlaBlaCar ve eBay üzere maksatları ve hatta Rusya ile hiçbir ortak yanı olmayan Jófogás ve Sbazar üzere amaçları de gözlemledi.
Kaynak: (BYZHA) Beyaz Haber Ajansı
