Bot de Telegram ayuda a ciberdelincuentes a cometer estafas en plataformas online de compraventa

ESET, compañía de seguridad informática, analiza un bot de Telegram que facilita la creación de contenido falso para plataformas de compraventa online y es usada por ciberdelincuentes organizados que salen a la caza de sus víctimas a las que llaman mamuts.

Buenos Aires, Argentina – Cada vez más personas optan por las compras online dado su comodidad, que las entregas son al domicilio y a veces es posible incluso ahorrar dinero. Desgraciadamente, los estafadores abusan de ello y se dirigen a estos servicios y a sus clientes en beneficio propio. De esta manera, pueden crear un anuncio de productos que no existe y, una vez que la víctima paga, desaparecen en el éter. Recientemente ESET, compañía líder en detección proactiva de amenazas, identificó el código fuente de un conjunto de herramientas que hace que los estafadores no necesiten ser expertos en informática. Este kit de herramientas se implementa como un bot de Telegram que, cuando se activa, proporciona varios menús fáciles de navegar en forma de botones.

A este kit ESET lo nombró Telekopye como la combinación de Telegram y kopye (копье), que en ruso significa lanza, debido al uso de phishing altamente dirigido. Los estafadores llaman mamuts a las víctimas de esta operación y varias pistas apuntan a Rusia como país de origen de los autores y usuarios del kit de herramientas. Telekopye fue subido a VirusTotal en múltiples ocasiones, principalmente desde Rusia, Ucrania y Uzbekistán, desde donde suelen operar los Neanderthals de acuerdo al idioma que usan en los comentarios del código son quienes están detrás de los ataques.

ESET 20230918 ima01

Pie de imagen: Uno de los memes (Mamut perdido) de una conversación de grupo publicada por neandertales

“Hemos descubierto y analizado Telekopye, un conjunto de herramientas que ayuda a las personas menos técnicas a realizar estafas en línea con mayor facilidad. Estimamos que Telekopye estaba en uso desde al menos 2015. Nos centramos en una versión, analizando sus principales capacidades y descubriendo cómo funciona Telekopye internamente. Estas capacidades incluyen la creación de sitios web de phishing, el envío de SMS y correos electrónicos de phishing y la creación de capturas de pantalla falsas. También describimos la jerarquía de los grupos que utilizan Telekopye. Gracias a nuestra telemetría, también descubrimos que esta herramienta sigue en uso y en desarrollo activo.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Aunque los principales objetivos de Neanderthals son los mercados online populares en Rusia, como OLX y YULA, desde ESET se observó que sus objetivos son también mercados online que no son nativos de Rusia, como BlaBlaCar o eBay, e incluso otros como JOFOGAS y Sbazar. Solo para ilustrar lo grandes que son algunos de estos mercados, la plataforma OLX tuvo, según Fortune, 11.000 millones de páginas vistas y 8,5 millones de transacciones al mes en 2014.

Las versiones que se recopilaron desde ESET de Telekopye sugieren un desarrollo continuo. Las mismas se utilizan para crear páginas web de phishing y enviar mensajes de phishing por correo electrónico y SMS. Además, algunas versiones de Telekopye pueden almacenar datos de las víctimas (normalmente detalles de tarjetas o direcciones de correo electrónico) en el disco donde se ejecuta el bot. “Telekopye es muy versátil, pero no contiene ninguna funcionalidad de IA de chatbot. Por lo tanto, en realidad no realiza las estafas; sólo facilita la generación de contenidos utilizados en dichas estafas. En julio de 2023, detectamos nuevos dominios que encajan con el modus operandi de los operadores de Telekopye, por lo que siguen activos. La última versión de Telekopye que hemos podido recopilar es del 11 de abril de 2022. Evaluamos que Telekopye ha estado en uso desde al menos 2015 y, basándonos en fragmentos de conversaciones entre neandertales, que diferentes grupos de estafadores lo están utilizando.”, agrega Gutiérrez Amaya de ESET.

En cuanto a la estafa Telekopye, en primer lugar, los Neandertales una vez que encuentran a sus víctimas (mamuts) intentan ganarse su confianza y persuadirles de que son confiables. Cuando los atacantes creen que un “mamut” confía lo suficiente en ellos, utilizan Telekopye para crear una página web de phishing a partir de una plantilla prefabricada y envían la URL a la posible víctima, incluso a través de mensajes SMS o correo electrónico. Después de que el mamut envía los datos de la tarjeta a través de esta página, los neandertales utilizan estos datos de la tarjeta para robar dinero de la tarjeta de crédito/débito del mamut, mientras ocultan el dinero utilizando varias técnicas diferentes, como blanquearlo a través de criptomonedas; desde ESET se identificaron algunos servicios de cryptocurrency mixing involucrados en estas operaciones.

ESET 20230918 ima02

Pie de imagen: Visión general de la estafa de los Neandertales

Telekopye dispone de varias funcionalidades diferentes que los Neandertales pueden aprovechar al máximo. Estas funcionalidades incluyen el envío de correos electrónicos de phishing, la generación de páginas web de phishing, el envío de mensajes SMS, la creación de códigos QR y la creación de capturas de pantalla de phishing.

La característica principal de Telekopye es que crea páginas web de phishing a partir de plantillas HTML predefinidas bajo demanda. Un Neanderthal debe especificar en esta plantilla detalles como la cantidad de dinero, el nombre del producto, ubicación a la que se enviaría el producto, la foto, el peso, y el nombre del comprador. A continuación, Telekopye toma toda esta información y crea una página web de phishing para materializar el engaño. Estas páginas están diseñadas para imitar diferentes sitios de inicio de sesión de pagos/bancos, pasarelas de pago de tarjetas de crédito/débito, o simplemente páginas de pago de diferentes sitios web. Para facilitar el proceso de creación de páginas web de phishing, estas plantillas de páginas web están organizadas por países a los que se dirigen.

ESET 20230918 ima03

Pie de imagen: Diagrama de pago 

ESET comparte algunas recomendaciones para evitar ser estafado por este grupo:

  • La forma más fácil de saber si se está en el radar de un Neanderthal es fijarse bien en el lenguaje utilizado en la conversación, sea en un correo electrónico o página web. Aunque, lamentablemente, esto no es infalible, ya que algunos de estos intentos de estafa corrigieron errores gramaticales y de vocabulario.
  • Insistir en que el intercambio de dinero y bienes sea en persona, cuando sea posible, en el caso de artículos de segunda mano vendidos online. Ya que usualmente no están protegidos por instituciones o servicios conocidos y estas estafas son posibles porque los neandertales fingen que ya hicieron un pago online, o ya enviaron el producto que se pretendía comprar. Por supuesto que la entrega en persona no siempre es posible, y puede no ser segura por lo que hay que extremar las precauciones, cuando se utiliza un servicio de mercados online.
  • Evitar enviar dinero a menos que se esté seguro; comprobar que la página web no tenga errores gramaticales o fallas de diseño gráfico. Si se tiene suerte, una plantilla puede tener algunas imprecisiones. Comprobar también el certificado de la página web y fijarse bien en la URL, que puede hacerse pasar por un enlace real.
  • Tener cuidado con el ofrecimiento forzado de un medio de pago, si el engaño es de una compra falsa, con frases como "Te enviaré el dinero a través del servicio XYZ. ¿Sabes cómo funciona?". En su lugar, preguntar por otro tipo de plataforma de pago que sea familiar. Esto no es infalible porque los estafadores tienen múltiples plantillas que pueden imitar servicios de pagos online, pero es posible que se pueda reconocer una plantilla falsa más fácilmente si se utiliza un método de pago conocido.
  • Extremar las precauciones si se reciben enlaces por mensajes SMS o correos electrónicos, aunque parezcan proceder de una fuente de confianza. Los neandertales no son ajenos a la suplantación de identidad por correo electrónico. Una buena regla general es visitar directamente la página web del supuesto servicio (no utilizar el enlace del correo electrónico/SMS), y por caso, consultar en atención al cliente.

Para conocer más sobre seguridad informática visite el portal de noticias de ESET: https://www.welivesecurity.com/es/investigaciones/telekopye-bot-telegram-estafas-compraventa-online/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw