요즘 점점 더 많은 사람들이 온라인으로 물건을 구매하는 것을 선호합니다. 그리고 왜 안돼? 편리하고 상품이 문앞까지 배달되며, 많은 온라인 마켓플레이스 중 하나를 선택하면 돈을 절약하는 것도 가능합니다. 안타깝게도 사기꾼들은 이를 악용하여 사기꾼의 이익을 위해 이러한 서비스와 고객을 표적으로 삼습니다. 자신이 소유하지 않거나 판매할 의도가 없는 상품에 대한 목록을 생성할 수 있습니다. 피해자가 비용을 지불하면 에테르 속으로 사라지는 것처럼 보입니다.

최근 우리는 사기꾼의 노력에 큰 도움이 되는 툴킷의 소스 코드를 발견했습니다. 사기꾼은 IT에 대해 특별히 잘 알고 있을 필요는 없고 피해자를 설득하기 위해서는 은밀한 언어만 있으면 됩니다. 이 툴킷은 활성화되면 한 번에 많은 사기꾼을 수용할 수 있는 클릭 가능한 버튼 형태로 탐색하기 쉬운 여러 메뉴를 제공하는 Telegram 봇으로 구현됩니다. 이 블로그 게시물에서는 툴킷 분석 및 기능, 그리고 이를 사용하는 그룹의 구조에 중점을 둘 것입니다.우리는 이 툴킷의 이름을 Telekopye로 지정했습니다.

이 블로그 게시물은 Telekopye를 자세히 살펴보고 사기꾼에게 매우 유용한 몇 가지 주요 기능을 보여주는 두 부분으로 구성된 시리즈 중 첫 번째입니다. 두 번째 부분에서는 그룹 운영에 더 중점을 둘 것입니다.

이 블로그 게시물의 핵심 사항

• Telekopye는 Telegram 봇으로 작동하고 사기꾼이 피해자를 속이는 데 도움이 되는 툴킷입니다.
• Telekopye는 온라인 마켓플레이스를 대상으로 설계되었습니다. 주로(그러나 배타적이지는 않지만) 러시아에서 인기 있는 것들입니다.
• Telekopye는 사전 정의된 템플릿을 사용하여 피싱 웹페이지를 생성합니다. 피싱 이메일과 SMS 메시지를 생성하고 보냅니다.
• Telekopye의 사용자와 운영자는 명확한 계층 구조로 구성됩니다.

살펴보기

Telekopye라는 이름은 Telegram과 창을 의미하는 러시아어인 kopye(копье)의 합성어로 고안되었습니다. 이는 고도로 표적화된(일명 창) 피싱을 사용하기 때문입니다. 이 사기 행위의 피해자는 사기꾼에 의해 매머드(Mammoth)라고 불립니다(참조: 그림 1) 그리고 몇몇 단서는 툴킷 작성자와 사용자의 출신 국가가 러시아라고 지적합니다. 명확성을 위해 동일한 논리에 따라 Telekopye를 사용하는 사기꾼을 네안데르탈인으로 지칭하겠습니다.

Telekopye는 주로 러시아, 우크라이나, 우즈베키스탄에서 VirusTotal에 여러 번 업로드되었으며, 그곳에서 네안데르탈인은 일반적으로 코드의 주석에 사용된 언어를 기반으로 작동합니다(이 블로그 게시물의 다양한 이미지에서 괄호 안에 영어로 기계 번역을 추가했습니다). 대부분의 타겟 시장. 네안데르탈인의 주요 타깃은 OLX, YULA 등 러시아에서 인기 있는 온라인 시장이지만, 이들의 타깃은 BlaBlaCar, eBay 등 러시아 고유가 아닌 온라인 시장, 심지어 러시아와 전혀 공통점이 없는 온라인 시장이기도 함을 관찰했습니다. , JOFOGAS 및 Sbazar와 같습니다. 이러한 마켓플레이스 중 일부가 얼마나 큰지 설명하기 위해 OLX 플랫폼에는 포춘에 따르면, 11년에는 월간 페이지 조회수 8.5억 건, 거래 건수 2014만 건을 기록했습니다.

Telekopye의 여러 버전을 수집할 수 있어 지속적인 개발을 제안했습니다. 이러한 버전은 모두 피싱 웹페이지를 생성하고 피싱 이메일 및 SMS 메시지를 보내는 데 사용됩니다. 또한 일부 버전의 Telekopye는 봇이 실행되는 디스크에 피해자 데이터(일반적으로 카드 세부 정보 또는 이메일 주소)를 저장할 수 있습니다. Telekopye는 매우 다재다능하지만 챗봇 AI 기능이 포함되어 있지 않습니다. 따라서 실제로 사기를 수행하지는 않습니다. 이러한 사기에 사용되는 콘텐츠의 생성만 쉬워집니다. 2023년 11월에는 Telekopye 운영자의 작업 방식에 맞는 새로운 도메인이 감지되어 여전히 활성화되어 있습니다. 우리가 수집할 수 있는 Telekopye의 최신 버전은 2022년 2015월 XNUMX일의 것입니다. 우리는 Telekopye가 적어도 XNUMX년부터 사용되어 왔으며 네안데르탈인 간의 대화 내용을 토대로 다양한 사기꾼 그룹이 이를 사용하고 있다고 평가합니다.

텔레코피 사기 시나리오

인간의 본성 덕분에 온라인 마켓플레이스에서 사기는 매우 쉬운 것 같습니다. 일반적으로 그림 2에서 볼 수 있듯이 네안데르탈인이 따르는 사기의 몇 가지 주요 부분으로 귀결됩니다. 첫째, 네안데르탈인은 희생자(매머드)를 찾습니다. 그런 다음 그들은 신뢰를 얻고 자신이 합법적이라고 설득하려고 노력합니다(이것이 필요한 이유는 2부에서 논의할 것입니다). 네안데르탈인은 매머드가 자신을 충분히 신뢰한다고 생각하면 Telekopye를 사용하여 미리 만들어진 템플릿에서 피싱 웹 페이지를 만들고 URL을 매머드에게 보냅니다(URL은 SMS나 이메일을 통해서도 보낼 수 있음). 매머드가 이 페이지를 통해 카드 세부 정보를 제출한 후 네안데르탈인은 이러한 카드 세부 정보를 사용하여 매머드의 신용/직불 카드에서 돈을 훔치는 동시에 암호화폐를 통한 세탁과 같은 여러 가지 기술을 사용하여 돈을 숨깁니다. 여러 대화 조각을 기반으로 일부 암호화 믹서가 관련되어 있다고 평가합니다. 매머드로부터 돈을 사기당하는 경우와 네안데르탈인에게 지급되는 금액(보통 암호화폐) 사이에는 누락된 연결고리가 있습니다.

텔레코피 기능

Telekopye에는 네안데르탈인이 최대한 사용할 수 있는 여러 가지 기능이 있습니다. 이러한 기능에는 피싱 이메일 보내기, 피싱 웹 페이지 생성, SMS 메시지 보내기, QR 코드 만들기, 피싱 스크린샷 만들기 등이 포함됩니다. 다음 섹션에서는 평균적인 네안데르탈인을 위한 Telekopye의 가장 유용한 부분에 중점을 둘 것입니다.

인터페이스

Telekopye를 사용하는 모든 Telegram 그룹은 동시에 독립적으로 작동하는 하나 이상의 네안데르탈인으로 구성됩니다. 기능은 버튼을 통해 제공되므로 네안데르탈인이 사기를 더 쉽게 만들 수 있습니다.

그림 3은 작동 중인 Telegram 그룹의 Telekopye 메뉴 중 하나를 보여줍니다. 특히 주목할 만한 버튼은 네안데르탈인이 갖고 있는 모든 열린 목록(진행 중인 사기 광고)을 보여주는 "내 광고" 버튼과 네안데르탈인이 이 플랫폼에서 자신의 프로필 정보(예: 사기 횟수, 금액 등)를 볼 수 있도록 하는 "내 프로필" 버튼입니다. 다음 지급을 위한 자금 준비 등

피싱 페이지 생성

Telekopye의 핵심 기능은 필요에 따라 미리 정의된 HTML 템플릿을 사용하여 피싱 웹 페이지를 생성한다는 것입니다. 네안데르탈인은 금액, 제품 이름, 그리고 템플릿을 기반으로 제품을 보낼 위치, 사진, 무게, 구매자 이름과 같은 추가 정보를 지정해야 합니다. 그런 다음 Telekopye는 이 모든 정보를 가져와 피싱 웹 페이지를 만듭니다. 이러한 피싱 웹페이지는 다양한 결제/은행 로그인 사이트, 신용/직불 카드 결제 게이트웨이 또는 다양한 웹사이트의 결제 페이지를 모방하도록 설계되었습니다.

피싱 웹 사이트 생성 프로세스를 더 쉽게 만들기 위해 이러한 웹 사이트 템플릿은 대상 국가별로 구성됩니다. 그림 4는 일부 템플릿이 여러 국가에 따라 정렬된 간단한 생성 메뉴를 보여줍니다. 유일한 특이점은 국가 독립적인 자동차 공유 서비스인 BlaBlaCar입니다.

그림 5 아직 완전히 완성되지 않은 피싱 웹페이지 중 하나를 보여줍니다.

완성된 제품은 그림 6에서 볼 수 있습니다. eBay 웹 페이지는 원본과 거의 알아볼 수 없을 정도로 유사합니다(또는 적어도 합법적인 웹 사이트에서 기대할 수 있는 것과 비슷해 보입니다). 다음을 클릭하면 %amount2% EUR 받기 버튼을 누르면 Mammoth에 가짜 신용/직불 카드 게이트웨이가 표시됩니다.

이러한 피싱 도메인은 발견하기 쉽지 않습니다. 일반적으로 네안데르탈인은 도메인을 등록한 다음 최종 URL이 예상되는 브랜드 이름으로 시작하는 방식으로 각 대상 시장에 대한 하위 도메인을 만듭니다. In 작업대 1 도메인이 하나뿐이라는 점에 유의하세요. - olx.id7423[.]ru – 인기 있는 시장 OLX를 대상으로 사용됩니다. OLX 마켓플레이스의 합법적인 도메인의 예는 다음과 같습니다. olx.ua. 간단히 말해서, 그들은 일반적으로 사용합니다 .RU 최상위 도메인으로 설정하고 두 번째 수준 도메인을 세 번째 수준 도메인 위치로 이동합니다.

작업대 1. 피싱에 사용되는 여러 도메인의 예

서비스 이름(RU)	서비스 이름	피싱 도메인	합법적인 도메인
아비토	아 피트 토	avito.id7423[.]ru	avito.ru
율라	유라	youla.id7423[.]ru	youla.ru
복스베리	박스베리	boxberry.id7423[.]ru	boxberry.ru
Сдек	시덱	cdek.id7423[.]ru	cdek.ru
아비토 임대	아비토 렌트	avito-rent.id7423[.]ru	avito.ru
OLX KZ	OLX	olx.id7423[.]ru	olx.kz
쿠파르	쿠파	kufar.id7423[.]ru	kufar.by
OLX UZ	OLX UZ	olx.id7423[.]ru	olx.uz
OLX RO	OLX RO	olx.id7423[.]ru	olx.ro
OLX PL	OLX PL	olx.id7423[.]ru	olx.pl
OLX UA	OLX UA	olx.id7423[.]ru	olx.ua
СБАЗАР	스바자르	sbazar.id7423[.]ru	sbazar.cz
이즈 ua	이지아	izi.id7423[.]ru	izi.ru
OLX BG	OLX BG	olx.id7423[.]ru	olx.bg

거래 및 지급

네안데르탈인은 매머드에게서 훔친 돈을 자신의 계좌로 이체하지 않습니다. 대신 모든 네안데르탈인은 Telekopye 관리자가 관리하는 공유 Telekopye 계정을 사용합니다. Telekopye는 간단한 텍스트 파일이나 SQL 데이터베이스에서 해당 공유 계정에 대한 관련 기여를 기록하여 각 네안데르탈인의 성공 정도를 추적합니다.

결과적으로 네안데르탈인은 Telekopye 관리자로부터 급여를 받습니다. 결제는 세 부분으로 나누어집니다.

1.    Telekopye 관리자에게 위임합니다.

2.    추천자에게 커미션(추천 시스템은 나중에 블로그 게시물에서 논의됩니다).

3.    실제 지급.

Telekopye 관리자에 대한 커미션은 Telekopye 버전과 네안데르탈인 역할에 따라 5~40%입니다(역할은 나중에 블로그 게시물에서도 논의됩니다).

네안데르탈인이 지불금을 받을 수 있게 되면 Telekopye에게 지불금을 요청합니다. Telekopye는 네안데르탈인의 잔액을 확인하고 Telekopye 관리자가 최종 요청을 승인한 후 마지막으로 자금이 네안데르탈인의 암호화폐 지갑으로 이체됩니다. 일부 Telekopye 구현에서는 지불을 요청하는 첫 번째 단계가 자동화되어 네안데르탈인이 성공적으로 사기를 당하여 훔친 돈의 특정 임계값(예: 500 RUB)에 도달할 때마다 협상이 시작됩니다. 수동 지불 요청 프로세스는 그림 7에 나와 있으며 Telekopye 소스 코드의 관련 부분은 그림 8에 나와 있습니다.

Telekopye는 별도의 텔레그램 채널에 처리된 지불금 로그를 보관합니다. 돈을 받은 네안데르탈인도 이 채널에 대한 링크를 수신하는데, 이는 아마도 거래가 기록되었는지 확인할 수 있을 것입니다. 그림 9는 이러한 로그 채널의 예를 보여줍니다.

Telekopye 관리자는 Telekopye 자체를 통해 자금을 이체하지 않습니다. 대신 관리자는 독립적인 텔레그램 봇인 "BTC Exchange 봇"이라는 도구를 사용하거나 수동으로 돈을 이체합니다. 그러나 지급 관련 기능이 Telekopye에 통합되는 현상이 증가하고 있으므로 이는 향후 변경될 수 있습니다.

피싱 이메일 보내기

네안데르탈인은 Telekopye에게 이메일 메시지를 만들고 보내도록 지시할 수 있습니다. 발신자는 모든 네안데르탈인 간에 공유되는 미리 정의된 이메일 계정입니다. 이러한 이메일 계정은 일반적으로 네안데르탈인이 설정한 피싱 도메인과 연결되어 있습니다. 그림 10 이메일 헤더를 스푸핑하는 코드를 보여줍니다. ~ 및 답장하다 그러면 이메일 메시지가 더욱 합법적인 것처럼 보입니다.

그림 11 피싱 이메일 본문을 만드는 데 사용되는 많은 템플릿 중 하나를 보여줍니다. 추가 정보가 제공되지 않았으므로 사용자 정의 텍스트 대신 기본값이 표시됩니다. %표제% 및 %양%. 오전악성 URL은 '결제하기' 버튼 뒤에 숨겨져 있습니다.

SMS 지원

피싱 이메일 외에도 Telekopye를 사용하면 네안데르탈인이 비슷한 방식으로 SMS 메시지를 만들고 보낼 수 있습니다. 그림 12 이러한 메시지를 생성하고 전송하는 코드 부분을 보여줍니다.

Telekopye의 일부 구현에는 다양한 언어로 사전 정의된 SMS 텍스트도 있습니다. 모든 SMS 템플릿에는 “귀하의 품목에 대한 대금이 지불되었습니다. 자금을 받으려면 다음 양식을 작성하세요. ". 여러 SMS 템플릿의 예는 다음과 같습니다. 그림 13, 원본 러시아어 템플릿이 표시됩니다.매머드가 SMS를 수신할 때 이 SMS가 어떻게 보이는지는 그림 14에서 볼 수 있습니다.

Telekopye는 SMS 메시지를 보내기 위해 smscab.ru 또는 smshub.org와 같은 온라인 서비스에 크게 의존합니다. 우리는 Telekopye가 모든 네안데르탈인이 공유하는 하나의 하드코딩된 전화번호를 사용하는 오래된 변종을 분석했습니다. 그러나 하나의 전화번호를 차단하면 모든 네안데르탈인의 메시지가 차단될 수 있으므로 이 기능은 중단되었습니다.

이미지 조작

이 섹션에서는 네안데르탈인이 Telekopye를 사용하여 설득력 있는 이미지와 스크린샷을 만드는 것이 얼마나 간단한지 설명합니다. Telekopye의 일부 버전에는 Render bot이라는 구성 요소가 있습니다. Render bot은 독립형 봇으로 분류될 수도 있지만 Telekopye의 일부로 처리하겠습니다.

렌더 봇이 텔레그램 채팅에 추가되면 다음과 같은 초기 메시지가 표시됩니다. 그림 15.

이는 Telekopye의 이 부분이 어떻게 작동하는지에 대한 좋은 통찰력을 제공합니다. Render Bot의 용도는 두 가지 범주로 분류할 수 있습니다. 첫째, 상호 참조가 쉽지 않도록 이미지를 뒤섞는 데 사용할 수 있습니다. 둘째, 합법적인 스크린샷처럼 보이도록 의도된 가짜 이미지를 생성할 수 있습니다. 이 섹션에서는 먼저 피싱 웹사이트를 만드는 것과 유사한 기능인 가짜 스크린샷을 만드는 방법에 중점을 둘 것입니다.

HTML 템플릿에서 생성된 가짜 웹페이지와 달리, 가짜 스크린샷의 기반은 일부 핵심 부분이 제거된 JPG 이미지입니다. 이러한 부분에는 예상 지불 가격, 직불/신용 카드 번호, 제목, 이름 등이 포함됩니다. 이 변환은 다음과 같습니다. 그림 16, 일반 템플릿과 채워진 템플릿을 나란히 비교한 내용입니다. 이는 이미지이기 때문에 이메일 및 피싱 웹 페이지와 달리 대화형 버튼이 없습니다.

 

삽입된 텍스트를 최대한 잘 맞추는 것이 매우 중요하므로 Telekopye는 여러 가지 다양한 글꼴을 지원합니다. 이전과 마찬가지로 모든 동작은 하드코딩되며 AI는 사용되지 않습니다. Sberbank, Avito, Youla, Qiwi 및 기타 몇 가지 서비스에 대한 XNUMX개의 템플릿을 찾았습니다.

네안데르탈인의 관점에서 보면 이러한 스크린샷을 만드는 것은 피싱 웹페이지를 만드는 것과 다르지 않습니다. 네안데르탈인은 몇 비트의 정보만 제공하면 되며 Telekopye는 이를 통해 가짜 스크린샷/이미지를 만듭니다.

렌더 봇 폴더에서는 생성 과정에서 이러한 템플릿 중 하나를 볼 수도 있습니다. 그림 17 번호가 매겨진 필드가 있는 소포 송장 사진을 보여줍니다. Telekopye 개발자는 옆에 숫자가 있는 모든 필드를 지우고 자신의 글꼴 스타일과 글꼴 크기에 맞추려고 노력합니다. 최종 제품의 모양이 만족스러우면 다른 네안데르탈인이 새 템플릿으로 사용할 수 있도록 봇에 추가합니다.

Telekopye의 이 부분에서 그다지 중요한 또 다른 기능은 이미지 조작입니다. 코드와 주석을 통해 광고 상품의 이미지를 검색 엔진이 상호 참조할 수 없도록 변경할 수 있다는 사실을 수집할 수 있습니다. 이미지가 온라인 마켓플레이스에서 발견되면 AI 안티스팸 보호 기능이 해당 이미지를 악성으로 표시할 것이라고 가정합니다. 이 변환은 매우 간단하며 이미지의 수직 뒤집기와 대비의 작은 변화로 구성됩니다.

실험 기능

Telekopye 소스 파일의 콘텐츠 덕분에 개발자가 사기의 다양한 유형/변형을 실험하려고 시도하고 있는 것으로 평가됩니다. 예를 들어 코드에는 QR 코드 생성 기능(그림 18). 이는 두 가지 중 하나를 의미할 수 있습니다. 이는 지급 프로세스의 일부이거나 사기를 위한 새로운 수법으로 만들려고 노력하고 있는 것입니다. 가능한 이유는 매머드가 QR 코드를 통해 결제할 때 두 번 생각하지 않기 때문일 수 있습니다. 따라서 이러한 종류의 수법을 사용하는 사기가 조금씩 증가할 것으로 예상됩니다.

~ 그림 15 Render 봇이 Sberbank에 대한 가짜 수표를 생성할 수 있는 것처럼 보입니다. 하지만 실제로는 결제 확인만 생성할 수 있습니다(그림 19).

역할

Telekopye를 사용하는 사기꾼 그룹은 다음과 같이 최소 권한부터 최대 권한까지 계층 구조로 구성됩니다.

1.    관리자

2.    운영자

3.    좋은 직원 / 지원 봇

4.    노동자

5.    막힌

우리는 몇 가지 추가 사항을 통해 이 목록을 강화하는 몇 가지 변형을 관찰했지만 이 다섯 가지 역할은 기본으로 남아 있습니다. 아래 섹션에서 각 역할에 대해 더 자세히 살펴보겠습니다.

Telekopye는 또한 추천 시스템을 사용합니다. 새로운 네안데르탈인이 그룹에 합류하기를 원하면 신청서(그가 얼마나 많은 "산업" 경험을 갖고 있는지, 그를 초대한 사람 등)를 작성해야 합니다. 새로운 네안데르탈인이 가입하려면 중재자나 관리자가 이 신청서를 수락해야 합니다.

막힌

이 역할을 가진 사용자는 Telekopye 툴킷의 어떤 부분도 사용할 수 없습니다. Telekopye 소스 코드의 일부인 규칙은 이를 위반한 것에 대한 일종의 처벌임을 암시합니다(그림 20).

노동자

이것은 거의 모든 새로운 네안데르탈인이 시작하는 가장 일반적인 역할입니다. 이 역할을 통해 네안데르탈인은 그룹 조정을 제외한 모든 Telekopye 기능을 사용할 수 있습니다. 지급 기간 동안 이 역할은 다음에서 볼 수 있듯이 최악의 수수료율을 갖습니다. 작업대 2.

작업대 2. 지급률의 예

직위별	커미션 소유자	추천인에게 커미션	실제 지급
노동자	33%	2%	65%
좋은 직원/지원 봇	23%	2%	75%

좋은 직원/지원 봇

이 역할은 작업자 역할을 직접 업그레이드한 것입니다. 유일한 차이점은 이 역할을 맡은 네안데르탈인은 지불금의 큰 부분을 플랫폼 소유자에게 줄 필요가 없다는 것입니다.

이 역할을 얻으려면 네안데르탈인이 자신의 유용성을 입증해야 합니다. 즉, 여러 차례 사기를 치거나 일정 금액의 도난 자금을 확보해야 합니다.

때로는 이 역할이 지원 봇용으로 예약되어 있음을 알 수 있습니다. 우리는 이 봇이 무엇인지 확실하지 않습니다.

운영자

중재자는 다른 회원을 승격 및 강등할 수 있으며 새 회원을 승인할 수 있습니다. Telekopye 설정은 수정할 수 없습니다.

관리자

관리자는 그룹에서 가장 높은 역할입니다. Telekopye를 최대한 활용할 수 있습니다. 중재자의 기능 외에도 피싱 웹 페이지 템플릿 추가, 봇이 사용하는 이메일 주소 변경/추가, 지불 비율, 지불 유형 변경 등 Telekopye 설정을 수정할 수 있습니다.

사기를 피하는 방법

당신의 돈을 훔치려는 네안데르탈인의 표적이 되었는지 알아내는 가장 쉬운 방법은 사용된 언어를 살펴보는 것입니다. 대화, 이메일 또는 웹 페이지 자체에서 사용되는 언어일 수 있습니다. 안타깝게도 이것이 완벽한 것은 아니며 이러한 사기 시도 중 일부는 문법 및 어휘 오류를 해결한 것으로 관찰되었습니다.

온라인 마켓플레이스에서 중고품을 거래할 때는 가능하면 직접 돈과 물품 교환을 하도록 하십시오. 이러한 거래는 잘 알려진 기관이나 서비스에 의해 보호되지 않습니다. 이러한 사기는 네안데르탈인이 이미 온라인으로 결제했거나 물건을 보낸 척하기 때문에 가능합니다. 안타깝게도 직접 ​​배송이 불가능한 경우도 있으므로 각별히 주의가 필요합니다.

어디로 갈지 확실하지 않은 이상 돈을 보내지 마십시오. 어딘가에 돈을 보내야 할 때 웹페이지에서 문법 오류와 그래픽 불균형이 있는지 확인하세요. 운이 좋다면 템플릿에 약간의 부정확성이 있을 수 있습니다. 또한 웹사이트 인증서를 확인하고 URL을 자세히 살펴보면 실제 링크처럼 보일 수 있습니다.

“XYZ 서비스를 통해 돈을 보내겠습니다.”와 같은 강력한 주장을 조심하세요. 그것이 어떻게 작동하는지 아십니까?”. 다른 결제 유형이 가능한지, 특히 귀하에게 익숙한 서비스에서 결제를 받을 의향이 있는지 물어보세요. 사기꾼은 여러 템플릿을 가지고 있기 때문에 이것이 완벽하지는 않지만, 귀하에게 알려진 결제 방법을 사용하면 가짜 템플릿을 더 쉽게 인식할 수 있습니다.

SMS 메시지나 이메일의 링크를 클릭할 때는 평판이 좋은 출처에서 온 것처럼 보이더라도 각별히 주의하세요. 네안데르탈인은 이메일 스푸핑에 익숙하지 않습니다. 경험상 좋은 방법은 평판이 좋은 출처에서 그런 이메일을 보낼 만한 물건을 구입했는지 스스로에게 물어보는 것입니다. 확실하지 않은 경우 해당 서비스의 웹사이트를 직접 방문하여(이메일/SMS에 포함된 링크를 사용하지 않음) 문의하세요. 이 페이지의 대부분은 고객 지원을 제공하며 기꺼이 도움을 드릴 것입니다.

결론

우리는 기술이 부족한 사람들이 온라인 사기를 더 쉽게 저지할 수 있도록 돕는 툴킷인 Telekopye를 발견하고 분석했습니다. Telekopye는 적어도 2015년부터 사용된 것으로 추정됩니다. 우리는 하나의 버전에 집중하여 주요 기능을 분석하고 Telekopye가 내부적으로 어떻게 작동하는지 알아냈습니다. 이러한 기능에는 피싱 웹사이트 생성, 피싱 SMS 및 이메일 전송, 가짜 스크린샷 생성 등이 포함됩니다. 또한 Telekopye를 사용하여 그룹의 계층 구조를 설명했습니다. 원격 측정 덕분에 우리는 이 도구가 여전히 사용되고 있으며 개발이 진행 중이라는 사실도 알게 되었습니다. 추후 공개될 두 번째 Telekopye 블로그 게시물에서는 사기 그룹의 내부 활동을 폭로합니다.

수신 통보

저자는 초기 발견에 대해 Ondřej Novotný에게 감사를 표하고 싶습니다.

WeLiveSecurity에 게시된 연구에 대한 문의 사항은 다음으로 문의하십시오. [이메일 보호].
ESET Research는 비공개 APT 인텔리전스 보고서 및 데이터 피드를 제공합니다. 본 서비스에 대한 문의사항은 ESET 위협 인텔리전스 페이지.

IoC

침해 지표 및 샘플의 전체 목록은 다음에서 확인할 수 있습니다. 우리의 GitHub 저장소.

파일

SHA-1	파일 이름	Detection System	상품 설명
26727D5FCEEF79DE2401CA0C9B2974CD99226DCB	사기.php	PHP/HackTool.Telekopye.A	Telekopye 사기 툴킷
285E0573EF667C6FB7AEB1608BA1AF9E2C86B452	팅크오프.php	PHP/HackTool.Telekopye.A	Telekopye 사기 툴킷
8A3CA9EFA2631435016A4F38FF153E52C647146E	600be5ab7f0513833336bec705ca9bcfd1150a2931e61a4752b8de4c0af7b03a.php	PHP/HackTool.Telekopye.A	Telekopye 사기 툴킷

네트워크

IP	도메인	호스팅 제공 업체	처음 본	세부 정보
해당 사항 없음	아이디23352352.ru	Cloudflare	2023-07-04	툴킷이나 사기 피해자를 테스트하는 데 사용되는 도메인입니다.
해당 사항 없음	아이디8092.ru	Cloudflare	2023-06-26	툴킷이나 사기 피해자를 테스트하는 데 사용되는 도메인입니다.
해당 사항 없음	아이디2770.ru	Cloudflare	2023-06-28	툴킷이나 사기 피해자를 테스트하는 데 사용되는 도메인입니다.
해당 사항 없음	아이디83792.ru	Cloudflare	2023-06-17	툴킷이나 사기 피해자를 테스트하는 데 사용되는 도메인입니다.
해당 사항 없음	아이디39103.ru	Cloudflare	2023-06-19	툴킷이나 사기 피해자를 테스트하는 데 사용되는 도메인입니다.
해당 사항 없음	2cdx.site	Cloudflare	2021-03-21	툴킷이나 사기 피해자를 테스트하는 데 사용되는 도메인입니다.
해당 사항 없음	3inf.사이트	Cloudflare	2021-03-12	툴킷이나 사기 피해자를 테스트하는 데 사용되는 도메인입니다.
해당 사항 없음	pay-sacure4ds.ru	지노	2021-12-27	툴킷이나 사기 피해자를 테스트하는 데 사용되는 도메인입니다.
해당 사항 없음	아이디7423.ru	Cloudflare	2021-03-27	툴킷이나 사기 피해자를 테스트하는 데 사용되는 도메인입니다.
해당 사항 없음	id2918.site	지노	2021-03-08	툴킷이나 사기 피해자를 테스트하는 데 사용되는 도메인입니다.
해당 사항 없음	formaa.ga	좀로	2021-05-30	툴킷이나 사기 피해자를 테스트하는 데 사용되는 도메인입니다.
해당 사항 없음	아이디0391.ru	Cloudflare	2023-06-23	툴킷이나 사기 피해자를 테스트하는 데 사용되는 도메인입니다.
해당 사항 없음	아이디66410.ru	Cloudflare	2023-06-17	툴킷이나 사기 피해자를 테스트하는 데 사용되는 도메인입니다.
해당 사항 없음	아이디82567.ru	Cloudflare	2023-06-07	툴킷이나 사기 피해자를 테스트하는 데 사용되는 도메인입니다.

MITRE ATT&CK 기술

이 테이블은 다음을 사용하여 제작되었습니다. 버전 13 MITRE ATT&CK 프레임워크.

술책	ID	성함	상품 설명
정찰	T1589	피해자 신원 정보 수집	Telekopye는 피싱 웹페이지를 통해 직불/신용카드 세부정보, 전화번호, 이메일 등을 수집하는 데 사용됩니다.
자원 개발	T1583.001	인프라 획득: 도메인	Telekopye 운영자는 자신의 도메인을 등록합니다.
	T1585	계정 설정	Telekopye 운영자는 온라인 마켓플레이스에 계정을 개설합니다.
	T1585.002	계정 설정: 이메일 계정	Telekopye 운영자는 등록한 도메인과 연결된 이메일 주소를 설정합니다.
	T1586.002	해킹 계정: 이메일 계정	Telekopye 운영자는 손상된 이메일 계정을 사용하여 스텔스를 강화합니다.
	T1587.001	기능 개발: 맬웨어	Telekopye는 맞춤형 악성코드입니다.
초기 액세스	T1566.002	피싱: 스피어피싱 링크	Telekopye는 이메일이나 SMS 메시지로 피싱 웹사이트 링크를 보냅니다.
수집	T1056.003	입력 캡처: 웹 포털 캡처	Telekopye가 만든 웹 페이지는 민감한 정보를 캡처하여 운영자에게 보고합니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 차트프라임. ChartPrime으로 트레이딩 게임을 향상시키십시오. 여기에서 액세스하십시오.
• BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
• 출처: https://www.welivesecurity.com/en/eset-research/telekopye-hunting-mammoths-using-telegram-bot/