我们最近发表了一个 关于 Telekopye 的博文,一个 Telegram 机器人,帮助网络犯罪分子在在线市场上诈骗人们。 Telekopye 可以制作网络钓鱼网站、电子邮件、短信等。
在第一部分中,我们介绍了 Telekopye 的技术细节,并暗示了其运营团队的层次结构。 在第二部分中,我们重点关注我们对尼安德特人的了解、运营 Telekopye 的诈骗者、他们的内部入职流程、尼安德特人使用的不同交易技巧等等。
这篇博文的要点:
- 有抱负的尼安德特人如何加入 Telekopye 团体。
- 从尼安德特人的角度详细了解整个诈骗活动。
- 分析诈骗场景以及每个尼安德特人必须做什么才能成功。
- 高级尼安德特人使用的工具。
- 深入了解尼安德特人用来引诱受害者的伎俩。
- 对 Telekopye 一位管理员的采访要点。
概述
最近,我们发表了一份分析报告 电信公司; 在这篇后续博文中,我们重点关注尼安德特人的战术和作案方式。 我们的信息来自三个主要来源:
- 机器人本身的源代码,
- 对我们渗透的诈骗团伙中尼安德特人的对话进行分析,以及
- 我们对尼安德特人的内部文档(文档、图表、图片等的集合)进行了分析,他们将其用作自己的个人知识库。 此类信息会提供给新人以帮助他们入职。
我们还要感谢 骤燃,谁帮助我们进行研究。
加入群组
Telekopye 团体通过许多不同渠道(包括地下论坛)的广告招募新的尼安德特人。 这些广告明确说明了目的:欺骗在线市场用户,如图 1 所示。
有抱负的尼安德特人需要填写一份申请,回答一些基本问题,例如他们从哪里了解到这个群体以及他们在这一行“工作”中有什么经验。 如果得到具有足够高级角色的现有团体成员的批准,新的尼安德特人就可以开始充分使用 Telekopye。 此外,每个尼安德特人都必须加入两个频道:一个是尼安德特人进行交流并保存规则和手册的群聊,另一个是保存交易日志的单独频道。 该过程如图 2 所示。
诈骗的类型
诈骗场景主要有以下三种:
1. 卖家,内部简称1.0。
2. 买方,内部简称2.0。
3. 退款。
图 3 是前两个诈骗场景的创建菜单,其中底部的第 1 列代表卖家诈骗 (1.0)。 然后,退款诈骗场景会分别与每个诈骗场景相关联。 以下小节将介绍这些诈骗类型。
卖家诈骗
在这种情况下,尼安德特人冒充卖家,试图引诱毫无戒心的猛犸象购买一些不存在的物品。 当猛犸象对某件商品表现出兴趣时,尼安德特人会说服猛犸象在线支付而不是亲自支付。 如果猛犸象同意,尼安德特人会提供由 Telekopye 提供的钓鱼网站链接,该网站经过精心设计,类似于列出知名商品的合法在线市场的支付页面。 但与合法网页不同的是,此页面要求提供网上银行登录信息、信用卡详细信息(有时包括余额)或其他敏感信息。 如果猛犸象输入这些数据,钓鱼网站就会自动窃取它。 有趣的是,这些数据不会提供给提供待售物品的尼安德特人,而是由其他尼安德特人处理。 图 4 显示了带有已创建的网络钓鱼链接的 Telekopye 菜单,图 5 演示了此诈骗场景中的通信。
买家诈骗
在这种情况下,尼安德特人冒充买家,研究猛犸象作为目标。 他们对猛犸象出售的商品表现出兴趣,并声称他们已经通过提供平台付款。 尼安德特人继续向猛犸象发送电子邮件或短信(通过 Telekopye 创建),其中包含一个精心设计的网络钓鱼网站的链接(也是通过 Telekopye 创建;见图 6),声称猛犸象需要点击此链接才能收到他们的钱来自平台。 该场景的其余部分与卖家诈骗非常相似,只是对话期间略有不同(如图 7 所示)。
退款骗局
在这种情况下,尼安德特人创造了一种情况,猛犸象期待退款,然后向他们发送一封包含钓鱼网站链接的钓鱼电子邮件,再次达到相同的目的。 尼安德特人要么向他们之前没有联系过的猛犸象发送此类电子邮件,指望它们变得贪婪并试图获得这笔“退款”,要么将其与卖家诈骗场景结合起来——当猛犸象抱怨他们没有收到货物时,尼安德特人向他们发送退款网络钓鱼电子邮件,试图再次诈骗他们。
工作方式
现在我们已经描述了不同的诈骗场景,让我们看看尼安德特人在多年的经营过程中收集了哪些知识。 他们的内部文档由图像、图表、简短指南甚至复杂文档组成 - 图 8 展示了此类文档的目录。
我们还发现有两种尼安德特人。 第一种会写信给每一个可能的猛犸象,而另一种则在寻找潜在的猛犸象时更加挑剔。 他们之间存在一些竞争,因为更谨慎的人认为,不太谨慎的骗子的“鲁莽”行为可能会带来更多的利润,但会引起更多的公众意识。
考前准备
根据所选场景的不同,应对诈骗的准备也有所不同。 对于卖家诈骗场景,建议尼安德特人准备更多物品照片,以便在猛犸象询问更多详细信息时做好准备。 如果尼安德特人使用在线下载的图片,他们应该对其进行编辑以使图像搜索变得更加困难。
对于买家诈骗场景,尼安德特人准备的关键部分是他们如何选择猛犸象。 多年来,尼安德特人制定了选择目标时要遵循的准则——他们考虑性别、年龄、在线市场经验、评级、评论、已完成交易的数量以及更多指标。
市场调查
在几乎每个尼安德特人群体中,我们都可以找到在线市场研究手册的参考资料,尼安德特人从中得出策略和结论。 这项研究的来源通常是 根据一项研究, 从 2017 年开始,由 Avito 和 Data Insight 机构提供。 图 9 展示了一项此类研究的结果,描绘了特定在线市场上的性别、年龄、经验和收入分布图表。
在买家诈骗场景中,尼安德特人根据他们销售的物品类型选择目标。 例如,有些群体完全避免使用电子产品。 另一方面,移动设备对于其他群体来说是一个有价值的类别。 物品的价格也很重要——如果太高,那么尼安德特人就不会针对此类猛犸象,因为他们认为默认情况下猛犸象的警惕性会高得多。 手册建议尼安德特人在买家诈骗场景中选择价格在 1,000 至 30,000 卢布(截至 9.50 月 290 至 20 欧元)之间的商品。th 2023 年 XNUMX 月)。
猛犸象的位置也很重要。 尼安德特人更关注较富裕的城市,他们期望在那里有更多的房源,而人们不会如此密切关注自己的财务状况。
最后,诈骗者还会考虑该月的某一天。 他们的目标是人们收到薪水后几天,因为他们自然希望银行账户里会有更多的钱。
网页抓取
尼安德特人利用网络爬虫快速浏览许多在线市场列表,并挑选出一只完美的猛犸象,该猛犸象将落入骗局; 正如我们已经写过的,这是买方诈骗场景的关键初始部分。
我们不知道尼安德特人实施的自定义网络抓取工具,但他们的文档提到了一些作为合法服务提供的服务。 尼安德特人在目标市场上抓取列表、商品详细信息和用户信息,从而生成 CSV 或 XML 文件。 然后尼安德特人利用这些结果快速找到正确的目标。 我们在图 10 中提供了此类文件的示例。
尼安德特人对用户评分和体验特别感兴趣,因为他们使用这些信息来避开他们认为可能发现骗局的目标。
避免亲自送货
出于安全考虑,许多猛犸象更喜欢当面付款和当面送货。 这给尼安德特人带来了一个问题,因为他们需要说服猛犸象同意使用送货服务和在线支付,以便他们可以将他们引导到网络钓鱼网站。 通常,他们声称距离太远,或者要离开城市出差几天。 同时,他们试图表现出对该物品非常感兴趣,以增加猛犸象同意他们建议的机会。
钓鱼网页链接传递
许多合法的在线市场都有集成的聊天功能,并且还有适当的审核功能。 通过此类聊天向某人发送链接通常是一个危险信号,很可能会导致禁止。 尼安德特人试图通过说服猛犸象在监控较少的不同聊天平台上继续对话来克服这一障碍。
他们的论点与反对当面交付的论点非常相似。 他们声称他们需要离开家,无法通过手机进行聊天,但可以在其中一款聊天应用程序上继续交谈。
根据尼安德特人自己的统计,大约 50% 的猛犸象会同意平台变更,其中 20% 会落入骗局。 这导致总体成功率为 10%。
另一种受欢迎的交付方式是使用电子邮件或短信。 Telekopye 能够快速生成令人信服的网络钓鱼消息。 尼安德特人使用一些技巧(其中一些如图 11 所示)来了解猛犸象的电子邮件地址或电话号码,以便向它们发送此类消息。 这种方法的优点是,询问电话号码或电子邮件地址可能不会触发猛犸象或聊天平台的任何危险信号,并且尼安德特人不需要说服猛犸象转移到其他聊天平台。
沟通
Telekopye 不使用人工智能。 这可能令人惊讶,但尼安德特人认为他们的方法更优越,而且不太可能被监控机制发现。 因此,他们的内部文档的大部分内容都集中在沟通技术上,以实现最佳结果。
赢得猛犸象的信任对于骗局的成功至关重要。 尼安德特人通常故意不立即回复每条消息,而是等待(有时甚至几个小时),以制造他们忙于日常生活的假象。 说到时间:他们试图适应猛犸象的时区,以免引起怀疑。
他们通常先闲聊; 他们甚至可能分享一个虚假的个人故事。 整个目的是寻找危险信号——这些信号会告诉尼安德特人猛犸象过于可疑或经验丰富。 由于尼安德特人专注于利润,他们不想花时间在最终发现陷阱的猛犸象身上。
另一个很好的例子是,当尼安德特人利用买家诈骗场景时,他们向猛犸象保证他们已经支付了该物品的费用。 再加上承诺快速取回资金的网络钓鱼电子邮件的设计,导致猛犸象的警惕性降低。
经验丰富的尼安德特人为新来者提供充分的对话以获取灵感; 图 12 提供了一个这样的示例。
尼安德特人只能容忍猛犸象一定程度的抵抗——如果他们认为骗局不太可能成功,他们就会转向不同的目标。 然而,如果他们觉得自己快要赢了,他们就很有说服力。 一个完美的例子是他们成功获取猛犸象敏感数据但银行阻止交易或资金不足的情况的记录方法。 在这种情况下,尼安德特人可能会要求猛犸象使用家庭成员的卡,甚至打电话给他们的银行并自行授权转账。
尼安德特人已准备好回答有关其请求合法性的许多意想不到的问题(见图 13)。
翻译
由于这次行动针对的是国际上的猛犸象,尼安德特人需要制造一种假象,让他们认为自己能够很好地讲猛犸象的语言。 遇到会说英语的说俄语的尼安德特人是很常见的。 有趣的是,我们能够将许多尼安德特人的 Telegram 昵称与语言学习平台配置文件进行交叉引用。 这些账户通常声称所有者会说俄语和英语。 显然,这种联系可能只是巧合。
尼安德特人多年来一直使用谷歌翻译。 至少从 2021 年起,尼安德特人开始转向其他翻译者,例如 深1,因为(在他们看来)它可以更好地理解上下文。
除了使用翻译器之外,多年来他们还创建了许多翻译表,将常用短语经过验证的翻译成多种语言。 这些翻译最常见的是从俄语到欧洲语言(见图 14)。 尼安德特人只需将这些翻译的句子复制并粘贴到与猛犸象的聊天中即可。
集团具体特征
我们还应该提到,不同群体对 Telekopye 的生活质量改善程度不同。 例如,在生成网络钓鱼链接时(结果如图 15 所示),来自这些群体之一的尼安德特人会被问到几个问题,使他们能够对每个网络钓鱼网站进行一定程度的定制。 最有趣的是有关手动/自动网络钓鱼站点生成的问题。 在手动生成的情况下,尼安德特人必须指定创建网络钓鱼网站所需的所有信息。 对于冒充买家的尼安德特人来说,这需要 10 到 15 个问题(图 16)。
在自动生成页面的情况下,尼安德特人只需要指定要“购买”的商品的 URL 并回答五个问题(例如买家的姓名和电话号码是什么)。 然后,Telekopye 从网站上抓取所有信息并创建网络钓鱼网站。
匿名和逃避
尼安德特人相信他们的群体中充满了“老鼠”(例如执法人员或研究人员)。 因此,他们虔诚地遵守规则,主要是不探查可以识别该组织其他成员身份的信息。 违反此类规则很可能会导致被禁止。 黄金法则是“多工作少说话”。 此外,我们鼓励他们使用 VPN、代理和 TOR 以确保安全。 尼安德特人为新来者提供广泛的指南,甚至就使用哪些程序或服务以及为什么使用进行激烈的讨论,包括浏览器偏好。 一些尼安德特人甚至利用 Orbot,Android 的 TOR 变体。
钱
尼安德特人不仅需要隐藏他们的身份和位置,还需要隐藏他们的金钱。 当然,加密货币就是这个问题的答案。 我们无法得出有关加密货币偏好的任何结论。
最后,尼安德特人更喜欢仅使用手机号码即可注册的服务。 他们认为这是最好的方法,因为在不透露自己身份的情况下购买 SIM 卡相对容易。
绕过自动检测
在线市场诈骗并不是什么新鲜事。 多年来,提供这些服务的平台已经实施了多种技术来打击诈骗者并提高客户的安全性。 尼安德特人意识到了这一点,并继续尝试不同的方法来克服平台的节制政策。 一项早期且相当愚蠢的尝试是利用 Google Forms 从 Mammoths 中窃取个人信息(如图 17 所示)。 考虑到他们针对的信息,目标是获得一种通过不同渠道(电子邮件或短信)进行交流的方法,而在这种情况下不会进行严格的审核。
如今,几乎所有尼安德特人都试图将他们的猛犸象转移到监管较少的合法聊天平台上。 尼安德特人选择它们是因为他们认为禁止那里的帐户需要时间。 此外,通过聊天平台发送各种链接是常见做法,而不是可疑行为。 额外的好处是,几乎每个人都熟悉此类应用程序,因此尼安德特人无需解释它们是如何工作的。
尽管认为这些平台更安全,但尼安德特人仍然小心行事。 他们避免在短时间内发送太多消息,并尝试为不同的猛犸象提供个性化消息 - Telekopye 在这方面为他们提供了很大帮助。
探索新领域:房地产骗局
一些尼安德特人团体提到了另一种诈骗场景——针对房地产租户的诈骗场景。 该骗局的运作原理如下。 在准备阶段,尼安德特人会写信给公寓的合法所有者,假装感兴趣并询问各种详细信息,例如额外的照片以及公寓的邻居是什么样的。 然后,尼安德特人获取所有这些信息,并在另一个网站上创建自己的列表,提供公寓出租。 他们将预期市场价格下调了约20%。 该场景的其余部分与卖家诈骗场景相同 - 尼安德特人等待猛犸象表现出兴趣,并指示猛犸象通过链接支付预订费,当然,该链接实际上指向网络钓鱼网站。
借助 ESET 的遥测技术,我们发现此诈骗场景中使用的网络钓鱼网站与 Telekopye 为买家和卖家场景创建的网站非常相似。 这与 Telekopye 团体宣传的骗局相结合,让我们相信两者之间存在联系。 然而,我们既没有渗透到任何专门从事这种情况的组织中,也没有获得为此设计的 Telekopye 变体。
专属采访
在搜寻不同的手册、群组和其他材料时,我们发现了对 Telekopye 管理员的采访,该采访是在 2020 年底完成的。这帮助我们对高级尼安德特人的思维有了独特的洞察。 接受采访的 Telekopye 管理员运营着一个专门教授新尼安德特人的 Telekopye 小组。
管理员一度被问到他如何看待这一“工作”的未来。 对此,他回应说:“在线市场诈骗将永远存在。 由于不同网站的禁止政策,[诈骗]比以前更加困难。 但不可能阻止这些网站上的所有网络钓鱼”。 他还说他不再诈骗了。 他只是厌倦了它,现在只担任管理员/导师,这就是他的团队如此独特的原因。 “我不害怕猛犸象。 当其他猛犸象意识到自己被骗时,它们都会威胁您。 显然,现在每个人都是内务部长的妻子或朋友”,管理员说。
当被问及是否正在考虑创建一个新的诈骗项目时,他说他没有时间。 他主持两个频道,生活方式积极,做大量训练,每天只有四个小时在家。
他还坦言,他充分意识到这种工作不诚实,但却为自己找到了一个典型的借口。 “……有些人会不断地为链接付费,而有些人会不断地抛出链接。 谁在生活中努力,谁就会成功。” 最重要的是,他说如果他为猛犸象感到难过,他会问自己:“我为什么要欺骗他们? 嗯……我只从富人那里偷东西(研究笔记:猛犸象的账户里可能至少有 200 欧元),如果我的良心那么脆弱,我会去当送货员”。
结论
在专门讨论 Telekopye 的第二部分中,我们重点介绍了我们对尼安德特人的了解。 由于能够访问他们的内部沟通和知识库,我们不仅提供了不同诈骗场景的描述,而且主要提供了对他们的作案手法和心态的独特见解。
我们展示了新移民的录取流程以及 Telekopye 如何帮助尼安德特人进行日常工作。 此外,我们还发现他们可能也在尝试房地产诈骗。
在线市场诈骗可能不会消失。 正如我们在 第一期,我们发现了数十个运营 Telekopye 的组织。 也就是说,通过对诈骗者操作的独特洞察,我们相信可以学到很多东西,以保护此类平台的用户免受伤害。
本分析的第一部分中提供了 IoC 和 MITRE ATT&CK 技术表,并且未更改,因此请参阅 那篇文章 对于这些。
如果对我们在 WeLiveSecurity 上发表的研究有任何疑问,请通过以下方式联系我们 [电子邮件保护].
ESET Research 提供私人 APT 情报报告和数据源。 有关此服务的任何查询,请访问 ESET 威胁情报 页面上发布服务提醒。
