Die wachsende Beliebtheit von Online-Marktplätzen hat Betrüger auf den Plan gerufen. Mit immer ausgefeilteren Angriffsmethoden haben sie es auf ahnungslose Käufer und Verkäufer abgesehen. Ihr Ziel: die Kreditkartendaten ihrer Opfer. ESET Forscher haben herausgefunden, dass ein solches organisiertes Betrugsnetzwerk seine Aktivitäten auf Nutzer beliebter Buchungsplattformen für Unterkünfte ausgeweitet hat. Dabei greifen sie auf das berüchtigte Telekopye-Werkzeug zurück, das ESET Research bereits im Jahr 2023 entdeckt hat.

Letztes Jahr haben wir eine zweiteilige Blogpost-Serie über Telekopye veröffentlicht. Dabei handelt es sich um ein Telegram-basiertes Toolkit, das Cyberkriminelle verwenden, um Menschen auf Online-Marktplätzen zu betrügen. Der erste Teil konzentrierte sich auf die Hauptmerkmale von Telekopye, während der zweite Teil die internen Abläufe der angeschlossenen Betrügergruppen untersuchte.

In diesem Blogpost untersuchen wir, was sich bei Telekopye seitdem getan hat. Wir untersuchen, wie diese Betrügergruppen Buchungsplattformen ins Visier genommen und  ihre Methoden verbessert haben. Nicht zuletzt geben wir Ratschläge, wie man sich vor diesen Betrügereien schützen kann.

Wir haben unsere aktualisierten Erkenntnisse zu Telekopye auf der Virus Bulletin Konferenz am 2. Oktober 2024 und in unserem White Paper vorgestellt, das Sie hier in voller Länge lesen können. Das Whitepaper wurde auch auf der Virus Bulletin Website veröffentlicht.

 

Die wichtigsten Punkte dieses Blogposts:
  • ESET Research veröffentlicht neue Erkenntnisse über Telekopye, ein Toolkit, das Cyberkriminellen hilft, Menschen auf Online-Marktplätzen zu betrügen.
  • Während unsere frühere Studie den technischen und organisatorischen Hintergrund von Telekopye-Betrügereien untersuchte, beschreibt unsere neueste Studie die verschiedenen Bemühungen der Betrüger, ihre finanziellen Gewinne zu maximieren - die Vergrößerung ihres Opferpools, die Ausnutzung saisonaler Gelegenheiten und die Verbesserung ihrer Tools und Abläufe.
  • Vor allem haben Telekopye-Gruppen ihr Ziel auf beliebte Buchungsplattformen für Unterkünfte ausgeweitet.
  • Dieses neue Betrugsszenario zielt auf die Nutzung kompromittierter Konten von legitimen Hotels und Unterkunftsanbietern ab.
  • Dieses Betrugsszenario war besonders in der Sommerurlaubssaison verbreitet und übertrafen laut unserer Telemetrie die Betrügereien auf dem Telekopye-Marktplatz.

Telekopye im Überblick

Telekopye ist ein Toolkit, das als Telegram-Bot arbeitet und als Schweizer Taschenmesser gilt, wenn es um Online-Marktplatzbetrug geht. Es wird von Dutzenden von Betrügergruppen mit bis zu Tausenden von Mitgliedern verwendet, um Millionen von Mammuts, wie sie die anvisierten Käufer und Verkäufer nennen, zu stehlen. Die Neandertaler, wie wir die Betrüger dazu analog genannt haben, benötigen wenig bis gar keine technischen Kenntnisse - Telekopye erledigt alles in Sekundenschnelle.

Telekopye wurde von ESET Research im Jahr 2023 entdeckt und ist seit mindestens 2016 im Einsatz, mit Opfern auf der ganzen Welt. Mehrere Hinweise deuten auf Russland als Herkunftsland des Autors oder der Autoren des Bots und auch der Betrüger hin, die ihn einsetzen. Telekopye zielt auf eine Vielzahl von Online-Diensten in Europa und Nordamerika ab, wie OLX, Vinted, eBay, Wallapop und andere. Aktuell zählen wir etwa 90 verschiedene Dienste, die Ziel der Betrügereien sind.

Neandertaler - Mitglieder von Telegram-Gruppen, die Telekopye nutzen - erhalten Zugriff auf die Benutzeroberfläche des Bots, mit der sich einfach Phishing-E-Mails, SMS-Nachrichten, Webseiten und andere Funktionen erstellen lassen.

Telekopye-Gruppen haben einen geschäftsähnlichen Betrieb, mit einer klaren Hierarchie, definierten Rollen, internen Praktiken - einschließlich Aufnahme- und Betreuungsprozessen für Neulinge -, festen Arbeitszeiten und Provisionszahlungen für Telekopye-Administratoren. Die Arbeiter, die die Betrügereien durchführen, müssen alle gestohlenen sensiblen Informationen weitergeben. Sie selbst stehlen auch kein Geld - das übernehmen wird andere Rollen in der Organisation. Jede Gruppe führt einen transparenten Chat über alle Transaktionen, der für alle Mitglieder sichtbar ist.

Neandertaler nutzen zwei Hauptszenarien für ihre Angriffe auf Online-Marktplätze - eines, bei dem sie sich als Verkäufer ausgeben, und ein anderes, viel häufigeres, bei dem sie sich als Käufer ausgeben. Beide Szenarien enden damit, dass das Opfer/Mammut seine Zahlungskartendaten oder Online-Banking-Zugangsdaten auf einer Phishing-Webseite eingibt, die eine Zahlungs-Seite imitiert.

In jüngster Zeit haben Telekopye-Gruppen ihr Zielspektrum erweitert, indem sie nun auch Nutzer beliebter Buchungsplattformen für  Ferienunterkünfte und Hotels ansprechen.

Ausweitung auf Buchungsplattformen für Unterkünfte

Im Jahr 2024 haben Telekopye-Gruppen ihre Betrugsmasche erweitert und zielen nun auch auf Nutzer beliebter Online-Plattformen für Hotel- und Wohnungsbuchungen ab, wie Booking.com und Airbnb. Sie haben auch die Auswahl ihrer Opfer und deren Ansprache verfeinert.

Gezielte Angriffe 

Bei diesem neuen Betrugsszenario kontaktieren die Neandertaler einen anvisierten Nutzer einer dieser Plattformen und behaupten, es gäbe ein Problem mit der Zahlung der Buchung. Die Nachricht enthält einen Link zu einer gut gestalteten, legitim wirkenden Webseite, die die ursprüngliche Plattform imitiert.

Die Seite enthält vorausgefüllte Informationen über eine Buchung, wie z. B. das Datum des Check-ins und Check-outs, den Preis und den Ort. Das Ganze hat einen beunruhigenden Nebeneffekt: Die auf den betrügerischen Seiten angegebenen Informationen stimmen mit den echten Buchungen der Zielnutzer überein.

Die Neandertaler erreichen dies, indem sie kompromittierte Konten von seriösen Hotels und Unterkunftsanbietern auf den Plattformen nutzen, auf die sie höchstwahrscheinlich über gestohlene Zugangsdaten zugreifen, die sie in cyberkriminellen Foren erworben haben. Mithilfe ihres Zugangs zu diesen Konten suchen die Betrüger Nutzer aus, die kürzlich einen Aufenthalt gebucht und noch nicht oder erst vor kurzem bezahlt haben, und kontaktieren sie über den Chat auf der Plattform. Je nach Plattform und den Einstellungen des Mammuts führt dies dazu, dass das Mammut eine E-Mail oder SMS von der Buchungsplattform erhält.

Dies macht es viel schwieriger, den Betrug zu erkennen, da die bereitgestellten Informationen für die Opfer persönlich relevant sind, über den erwarteten Kommunikationskanal ankommen und die verlinkten, gefälschten Websites wie erwartet aussehen. Das einzige sichtbare Anzeichen dafür, dass etwas nicht stimmt, sind die URLs der Websites, die nicht mit denen der nachgemachten, legitimen Websites übereinstimmen. Neandertaler können auch ihre eigenen E-Mail-Adressen für die anfängliche Kommunikation verwenden (anstelle der kompromittierten Konten), in diesem Fall kann man die E-Mails leichter als bösartig erkennen.

Sobald die Zielperson das Formular auf der Phishing-Seite ausgefüllt hat (Abbildung 1), wird sie zum letzten Schritt der "Buchung" geführt - einem Formular, in dem die Daten der Zahlungskarte abgefragt werden (Abbildung 2). Wie bei den Marktplatz-Betrügereien werden die in das Formular eingegebenen Kartendaten von den Neandertalern abgefangen und verwendet, um Geld von der Karte des Mammuts zu stehlen.

Abbildung 1. Beispiel eines gefälschten Booking.com-Formulars, erstellt von Telekopye
Abbildung 2. Beispiel eines gefälschten Booking.com-Zahlungsformulars, erstellt von Telekopye

Laut unserer Daten ist diese Art von Betrug seit 2024 auf dem Vormarsch. Wie in Abbildung 3 zu sehen ist, verzeichneten die Betrügereien mit Unterkünften im Juli einen starken Anstieg und übertrafen mit mehr als doppelt so vielen Erkennungen in diesem Monat erstmals die ursprünglichen Telekopye-Betrügereien auf dem Marktplatz. Im August und September glichen sich die Aufdeckungsraten der beiden Kategorien wieder an.

Da dieser Anstieg mit der Sommerferienzeit in den Zielregionen zusammenfällt - der Hauptzeit für die Ausnutzung von Buchungen - bleibt abzuwarten, ob sich dieser Trend fortsetzen wird. Betrachtet man die Gesamtdaten für das Jahr 2024, so stellt man fest, dass diese neueren Betrugsversuche etwa die Hälfte der Entdeckungszahlen der Marktplatzvarianten erreicht haben. Dies ist bemerkenswert, wenn man bedenkt, dass sich die neueren Betrugsversuche auf nur zwei Plattformen konzentrieren, während Telekopye auf eine Vielzahl von Online-Marktplätzen abzielt.

Abbildung 3. Arten von Online-Diensten, auf die Telekopye im Jahr 2024 abzielt, Entwicklung des gleitenden Siebentagesdurchschnitts der Erkennung

Telekopye erhält neue Funktionen

Neben neuen Jagdgründen haben die Neandertaler auch ihre Instrumente und Abläufe verbessert, um ihre Beute zu steigern.

Während unserer Beobachtung von Telekopye haben wir festgestellt, dass verschiedene Telegram-Gruppen ihre eigenen Funktionen in das Toolkit implementieren, um den Betrugsprozess zu beschleunigen, die Kommunikation mit den Zielpersonen zu verbessern, Phishing-Websites vor Störungen zu schützen und vieles mehr.

Automatisierte Erstellung von Phishing-Seiten

Um den Prozess der Erstellung von Betrugsmaterial zu beschleunigen, mit dem man sich als Käufer auf Marktplätzen ausgeben kann, gibt es eine Web Scraper für beliebte Zielplattformen. Mit diesen Informationen wird nur die URL des Produkts benötigt, anstatt manuell einen Fragebogen über das anvisierte Mammut und das fragliche Produkt ausfüllen zu müssen. Telekopye analysiert die Webseite und extrahiert alle notwendigen Informationen automatisch, was für die Betrüger eine erhebliche Beschleunigung bedeutet.

Interaktiver Chatbot mit On-the-fly-Übersetzung

Neandertaler verfügen über eine große Sammlung vordefinierter Antworten auf Fragen, die von Mammuts häufig gestellt werden. Diese werden in verschiedene Sprachen übersetzt und als Teil der internen Dokumentation aufbewahrt, wobei die Übersetzungen über die Jahre hinweg perfektioniert wurden.

Die Neandertaler verwenden diese vordefinierten Sätze in der Regel, um das Mammut auf die Phishing-Website zu leiten, auf der in der unteren rechten Ecke ein Chatbot angezeigt wird. Jede Nachricht, die das Mammut in den Chat eingibt, wird an den Telegram-Chat des Neandertalers weitergeleitet, wo sie automatisch übersetzt wird. Die automatische Übersetzung der Nachrichten der Neandertaler wird nicht unterstützt - die Neandertaler übersetzen ihre Nachrichten manuell, normalerweise mit DeepL. Abbildung 3 zeigt, wie eine solche Interaktion aus der Sicht des Neandertalers und des Mammuts aussieht.

Abbildung 4. Chatbot-Beispiel aus der Sicht des Neandertalers (links) und des Mammuts (rechts). Die Neandertaler-Nachrichten wurden maschinell vom Russischen ins Englische übersetzt

Anti-DDoS-Maßnahmen

Die überwiegende Mehrheit der Phishing-Websites wird von Cloudflare betreut und verlässt sich auf den zusätzlichen Schutz dieses Dienstes, hauptsächlich gegen Crawler und automatische Analysen. Interessanterweise verfügen einige der Telekopye-Phishing-Websites auch über einen DDoS-Schutz. Laut der Wissensdatenbank der Neandertaler, die wir durch Infiltrierung ihrer Reihen erhalten haben, soll diese Funktion vor Angriffen rivalisierender Gruppen schützen. Diese werden manchmal gestartet, um den Betrieb eines Konkurrenten für kurze Zeit zu stören.

Operationen der Strafverfolgungsbehörden

Ende 2023, nachdem ESET Research seine zweiteilige Serie über Telekopye veröffentlicht hatte, nahmen die tschechische und die ukrainische Polizei in zwei gemeinsamen Operationen Dutzende von Cyberkriminellen fest, die Telekopye nutzten, darunter auch die Hauptakteure. Beide Operationen richteten sich gegen eine nicht näher bezeichnete Anzahl von Telekopye-Gruppen, die nach Schätzungen der Polizei seit 2021 mindestens 5 Millionen Euro (ca. 5,5 Millionen US-Dollar) angehäuft hatten.

Neben dem offensichtlichen Erfolg bei der Zerschlagung dieser kriminellen Aktivitäten lieferten die Verhaftungen neue Einblicke in die Arbeitsweise der Gruppen, vor allem in die Anwerbungs- und Beschäftigungspraktiken. Die fraglichen Gruppen wurden von speziellen Arbeitsräumen aus von Männern mittleren Alters aus Osteuropa sowie West- und Zentralasien geleitet. Sie rekrutierten Menschen in schwierigen Lebenssituationen über Jobportale, die "leichtes Geld" versprachen, sowie durch die gezielte Anwerbung technisch qualifizierter ausländischer Studenten an Universitäten.

Einige Täter gaben zu, sie auch an einer anderen Betrügergruppe beteiligt zu sein, die ähnlich wie die Telekopye-Gruppe Callcenter nutzte. Die Polizei erfuhr, dass den Rekruten bei dieser Operation oft der Reisepass und der Personalausweis abgenommen wurden, um ihnen das Aussteigen zu erschweren. Außerdem gingen die Manager manchmal so weit, dass sie die Mitarbeiter und ihre Familienangehörigen bedrohten. Diese erschreckende Entwicklung rückt diese Operationen in ein völlig anderes Licht.

Empfehlungen

Der beste Weg, sich vor den von Telekopye betriebenen Betrügereien zu schützen, besteht darin, auf solchen Plattformen Vorsicht walten zu lassen. Sie sollten nicht nur wissen, worauf Sie achten müssen, sondern auch eine seriöse Anti-Malware-Lösung auf Ihrem Gerät einsetzen, um einzugreifen, falls Sie doch auf eine Phishing-Website gelockt werden.

Betrug auf Online-Marktplätzen

  • Überprüfen Sie immer die Person, mit der Sie sprechen, vor allem ihren Hintergrund auf der Plattform, das Alter ihres Kontos, ihre Bewertung und ihren Standort - ein zu weit entfernter Standort, ein neues Konto ohne Historie oder eine schlechte Bewertung sind Hinweise auf einen Betrüger.
  • Dank hohen Qualität vonÜbersetzungstools sind die Nachrichten eines Betrügers in Bezug auf die Grammatik möglicherweise unauffällig. Konzentrieren Sie sich nicht auf die Sprache, sondern auf das Gespräch selbst - eine übermäßig eifrige oder selbstbewusste Kommunikation sollte Anlass zur Sorge geben.
  • Bleiben Sie bei der Kommunikation auf der Plattform, auch wenn Ihr Gesprächspartner etwas anderes verlangt. Eindringliche Aufforderungen, den Kommunikationskanal zu wechseln, sind ein eindeutiges Warnsignal.
  • Wenn Sie ein Käufer sind, verwenden Sie während des gesamten Kaufprozesses sichere Schnittstellen innerhalb der Plattform, sofern diese verfügbar sind. Bestehen Sie andernfalls auf einem persönlichen Austausch von Waren und Geld oder vereinbaren Sie einen zuverlässigen Lieferdienst Ihrer Wahl mit der Option, bei Lieferung zu bezahlen.
  • Wenn Sie Verkäufer sind, nutzen Sie während des gesamten Verkaufsprozesses sichere Schnittstellen innerhalb der Plattform, wann immer diese verfügbar sind. Andernfalls sollten Sie die Lieferoptionen selbst verwalten und den vom Käufer angebotenen Optionen nicht zustimmen.
  • Wenn Sie einen Link besuchen, den Ihnen Ihr Gesprächspartner geschickt hat, sollten Sie die URL, den Inhalt und die Zertifikateigenschaften der Website sorgfältig prüfen, bevor Sie sich darauf einlassen.

Betrug bei der Unterkunftsbuchung

  • Vergewissern Sie sich vor dem Ausfüllen von Formularen im Zusammenhang mit Ihrer Buchung immer, dass Sie die offizielle Website oder App der betreffenden Plattform nicht verlassen haben. Wenn Sie zu einer externen URL weitergeleitet werden, um mit Ihrer Buchung und Zahlung fortzufahren, ist das ein Hinweis auf Betrug.
  • Da bei dieser Betrugsart kompromittierte Konten von Unterkunftsanbietern verwendet werden, ist die direkte Kontaktaufnahme mit den Anbietern keine zuverlässige Methode, um die Legitimität von Zahlungsaufforderungen zu überprüfen. Wenden Sie sich im Zweifelsfall an den offiziellen Kundensupport der Plattform oder melden Sie ein Sicherheitsproblem.
  • Um Ihr Konto vor Kompromissen zu schützen, egal ob Sie eine Unterkunft buchen oder vermieten, verwenden Sie ein sicheres Passwort und aktivieren Sie die Zwei-Faktor-Authentifizierung, wo immer sie verfügbar ist.

Fazit

Unsere Nachforschungen zu den Telekopye-Aktivitäten haben uns einzigartige Einblicke gewährt: Wir konnten die technischen Mittel hinter dem Umfang der Operationen und die geschäftliche Seite der Telekopye-Gruppen verstehen und sogar etwas über die Neandertaler selbst erfahren.

Wir haben die verschiedenen Bemühungen der Gruppen beschrieben, ihre finanziellen Gewinne zu maximieren, einschließlich der Ausweitung ihres Opferpools, der Ausnutzung saisonaler Gelegenheiten und der Verbesserung ihrer Werkzeuge und Abläufe. Vor allem haben wir den neuesten Ansatz der Neandertaler beschrieben, der auf Buchungsplattformen für Unterkünfte abzielt und mit einem ausgefeilteren Targeting einhergeht.

Wir haben während unserer Recherchen mit mehreren Plattformen, die von Telekopye ins Visier genommen wurden, kommuniziert.  Sie sind sich dieser Betrügereien voll bewusst und haben bestätigt, dass sie verschiedene Taktiken zu deren Bekämpfung eingesetzt haben. Aufgrund der Anzahl der Betrugsversuche und ihrer ständigen Weiterentwicklung ist für die Nutzer jedoch weiterhin Vorsicht geboten.

Wenn Sie Fragen zu unseren auf WeLiveSecurity veröffentlichten Untersuchungen haben, kontaktieren Sie uns bitte unter threatintel@eset.com.
ESET Research bietet private APT Intelligence Reports und Datenfeeds an. Wenn Sie Fragen zu diesem Service haben, besuchen Sie die ESET Threat Intelligence Seite.