Oszuści wykorzystują groźne narzędzie, za pomocą którego atakują kupujących online. Analitycy zauważyli wzmożoną aktywność oszustów na platformach rezerwacyjnych, w tym Booking.com czy Airbnb. Policja rozbiła jeden z gangów. Około 5 milionów euro to suma kradzieży z kont ofiar w Czechach i Ukrainie. Niebezpieczny dla internautów proceder trwa co najmniej od 2016 r., kiedy to cyberprzestępcy opracowali narzędzie do prostego przeprowadzania ataków na klientów internetowych marketplace'ów.
"Ofiarami tego rodzaju oszustwa są osoby na całym świecie. Narzędzie nazwane Telekopye jest wykorzystywane przez cyberprzestępcze grupy do atakowania użytkowników wielu różnych usług online w Europie i Ameryce Północnej, takich jak OLX, Vinted, eBay, Wallapop i inne. W sumie swoim działaniem oszuści objęli już około 90 różnych usług. Wiele tropów wskazuje, że autorzy narzędzia pochodzą z Rosji" - opisuje Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
Miliony na kontach oszustów
Telekopye to narzędzie funkcjonujące jako bot, ułatwiający cyberprzestępcom w prosty sposób działać na dużą skalę – zrobić z oszustw zorganizowany biznes. Pod koniec 2023 roku czeska i ukraińska policja aresztowała kilkudziesięciu cyberprzestępców wykorzystujących narzędzie Telekopye. Według informacji policji oszuści w ciągu 4 lat działalności zgromadzili na kontach około 5 milionów euro. Aresztowania pozwoliły policji lepiej poznać strukturę grup przestępczych.
"Grupy korzystające z Telekopye działają jak sprawne firmy, mają jasną hierarchię ze zdefiniowanymi rolami, wewnętrznymi procedurami, ustalonymi godzinami pracy i wynagrodzeniem opartym o system prowizyjny. Były one zarządzane przez mężczyzn w średnim wieku z Europy Wschodniej oraz Azji Zachodniej i Środkowej. Rekrutowali oni osoby znajdujące się w trudnej sytuacji życiowej oraz studentów kierunków technicznych za pośrednictwem portali z ofertami pracy, obiecując łatwy i szybki zarobek" - dodaje Kamil Sadkowski.
Według ustaleń policji część „pracowników” była pozbawiana paszportów i dowodów osobistych, co utrudniało rezygnację z procederu. Przywódcy grup wielokrotnie grozili „pracownikom” i członkom ich rodzin.
Polska wśród głównych celów
Narzędzie Telekopye jest używane przez dziesiątki podobnych grup do wielomilionowych kradzieży. Narażeni są sprzedający i kupujący, ale też użytkownicy innych usług online. Telekopye jest intuicyjne w obsłudze, dzięki czemu kolejne grupy przestępcze zyskały łatwość generowania phishingowych wiadomości e-mail, wiadomości SMS, stron internetowych.
Działania przestępców ukierunkowane są na uzyskanie od ofiary informacji o karcie płatniczej lub danych logowania do bankowości internetowej przez stronę imitującej bramkę płatniczą. Analitycy ESET zauważyli w III kwartale 2024 roku znacznie wyższą aktywność przestępców w obrębie serwisów rezerwacyjnych.
Co niepokojące, Polska znalazła się na drugim miejscu pod względem ilości ataków przy użyciu narzędzia - polscy użytkownicy stanowili 8,5% ataków, podczas gdy najczęściej atakowani Czesi to 18% - wynika z danych ESET. Użytkownicy z kolejnych krajów jak Słowacja, Niemcy czy Hiszpania stanowili po ok. 6% ataków.
"Mechanizm jest prosty i oparty na klasycznym phishingu. Oszuści kontaktują się z użytkownikiem, twierdząc, że wystąpił problem z płatnością za rezerwację. Wiadomość zawiera link do strony internetowej imitującej Booking.com, Airbnb czy inne narzędzie rezerwacyjne. Strona zawiera wstępnie wypełnione informacje o rezerwacji, takie jak data zameldowania i wymeldowania, cena i lokalizacja - informacje odpowiadające rzeczywistej rezerwacji dokonanej przez użytkownika. Szczegółowe dane dotyczące pobytu pochodzą z przejętych kont hoteli i dostawców zakwaterowania zakupionych na cyberprzestępczych forach. Oszuści za cel obierają użytkowników, którzy niedawno zarezerwowali pobyt i jeszcze nie zapłacili - lub zapłacili bardzo niedawno - i kontaktują się z nimi za pośrednictwem czatu na platformie, e-mail czy SMS" - opisuje Kamil Sadkowski.
Tym samym wiarygodność całej sytuacji oraz drobiazgowe odwzorowanie danej platformy, powodują, że kolejni użytkownicy wpadają w pułapkę.
Poniżej zrzuty ekranu pokazujące strony łudząco podobne do autentycznych:
Źródło: ESET