Дослідники кібербезпеки звертають увагу на “демократизацію” фішингової екосистеми завдяки перетворенню Telegram на епіцентр кіберзлочинності, що дозволяє зловмисникам здійснити масову атаку всього за 230 доларів.
“Цей додаток для обміну повідомленнями перетворився на жвавий центр, де досвідчені кіберзлочинці та новачки обмінюються незаконними інструментами та інформацією, створюючи темний і добре налагоджений ланцюжок постачання інструментів і даних жертв, – зазначають у новому звіті дослідники Guardio Labs Олег Зайцев і Наті Тал. – Безкоштовні зразки, навчальні посібники, інструкції, навіть хакери по найму – все, що потрібно для побудови повноцінної наскрізної шкідливої кампанії”.
Це не перший випадок, коли популярна платформа обміну повідомленнями потрапляє в поле зору за сприяння шкідливій діяльності, що частково пов’язано з її м’якою модераторською політикою.
Як наслідок, те, що раніше було доступне лише на форумах за запрошеннями в “даркнеті”, тепер легко доступне через загальнодоступні канали і групи, відкриваючи тим самим двері кіберзлочинності для початківців і недосвідчених кіберзлочинців.
У квітні 2023 року Kaspersky виявив, як фішери створюють Telegram-канали для навчання новачків фішингу, а також рекламують ботів, які можуть автоматизувати процес створення фішингових сторінок для збору конфіденційної інформації, наприклад, облікових даних для входу в систему.
Одним з таких шкідливих Telegram-ботів є Telekopye (він же Classiscam), який може створювати шахрайські веб-сторінки, електронні листи, SMS-повідомлення, щоб допомогти зловмисникам здійснювати масштабні фішингові афери.
За словами Guardio Labs, інструменти для побудови фішингової кампанії можна легко придбати в Telegram – “деякі з них пропонуються за дуже низькими цінами, а деякі навіть безкоштовно” – що дозволяє створювати шахрайські сторінки за допомогою фішингового набору, розміщувати сторінку на скомпрометованому веб-сайті WordPress за допомогою веб-оболонки та використовувати поштову програму з чорним ходом для відправлення електронних повідомлень.
Поштові скрипти, які продаються в різних групах Telegram, – це PHP-скрипти, які впроваджуються на вже заражені, але легітимні веб-сайти, щоб надсилати переконливі електронні листи, використовуючи легальний домен експлуатованого веб-сайту для обходу спам-фільтрів.
“Ця ситуація підкреслює подвійну відповідальність власників сайтів, – зазначають дослідники. “Вони повинні захищати не лише свої бізнес-інтереси, але й захищати свої платформи від використання шахраями для проведення фішингових операцій, розсилки оманливих електронних листів та іншої незаконної діяльності, причому без їхнього відома”.
Щоб підвищити ймовірність успіху таких кампаній, цифрові маркетплейси в Telegram також надають так звані “листи” – “майстерно розроблені брендовані шаблони”, які надають електронним повідомленням максимально автентичного вигляду, щоб обдурити жертв і змусити їх натиснути на фальшиве посилання, що веде на шахрайську сторінку.
У Telegram також зберігаються великі масиви даних, що містять достовірні та актуальні адреси електронної пошти та номери телефонів, на які можна націлитися. Ці дані, які називаються “лідами”, іноді “збагачуються” особистою інформацією, такою як імена та фізичні адреси, щоб досягти максимального ефекту.
“Ці ліди можуть бути неймовірно специфічними, пристосованими до будь-якого регіону, ніші, демографічної групи, конкретних клієнтів компанії тощо”, – зазначають дослідники. “Кожна деталь персональної інформації додає ефективності та достовірності цим атакам”.
Спосіб підготовки списків потенційних клієнтів може відрізнятися від продавця до продавця. Вони можуть бути отримані або на форумах, присвячених кіберзлочинності, де продаються дані, викрадені у зламаних компаній, або через схематичні веб-сайти, які закликають відвідувачів пройти фальшиве опитування, щоб виграти призи.
Ще одним важливим компонентом цих фішингових кампаній є спосіб монетизації викрадених облікових даних шляхом продажу їх іншим злочинним угрупованням у вигляді “логів”, що приносить зловмисникам 10-кратний прибуток на вкладені інвестиції залежно від кількості жертв, які в кінцевому підсумку надають достовірну інформацію на шахрайській сторінці.
“Облікові дані акаунтів у соціальних мережах продаються всього за долар, тоді як банківські рахунки та кредитні картки можуть коштувати сотні доларів – залежно від їхньої дійсності та наявності коштів на них”, – зазначають дослідники.
“На жаль, маючи лише невеликі інвестиції, будь-хто може розпочати значну фішингову операцію, незалежно від попередніх знань чи зв’язків у кримінальному світі”.
