제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

Telekopye: 네안데르탈인의 방의 비밀

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 143

우리는 최근에 Telekopye에 관한 블로그 게시물, 사이버 범죄자가 온라인 마켓플레이스에서 사람들을 속이는 데 도움을 주는 Telegram 봇입니다. Telekopye는 피싱 웹사이트, 이메일, SMS 메시지 등을 제작할 수 있습니다.

첫 번째 부분에서는 Telekopye의 기술적 세부 사항에 대해 작성하고 운영 그룹의 계층 구조를 암시했습니다. 두 번째 부분에서는 네안데르탈인, Telekopye를 운영하는 사기꾼, 이들의 내부 온보딩 프로세스, 네안데르탈인이 사용하는 다양한 거래 수법 등에 대해 배울 수 있었던 내용에 중점을 둡니다.

이 블로그 포스트의 요점:

  • 야심 찬 네안데르탈인이 Telekopye 그룹에 합류하는 방법.
  • 네안데르탈인의 관점에서 전체 사기 행위를 자세히 살펴봅니다.
  • 사기 시나리오 분석과 각 네안데르탈인이 성공하기 위해 해야 할 일을 분석합니다.
  • 네안데르탈인이 사용하는 도구.
  • 네안데르탈인이 희생자를 유인하기 위해 사용하는 속임수에 대한 통찰력.
  • Telekopye 관리자 중 한 명과의 인터뷰 하이라이트.

살펴보기

최근에 우리는 다음과 같은 분석 결과를 발표했습니다. 텔레코피; 이 후속 블로그 게시물에서는 네안데르탈인의 전술과 작업 방식에 중점을 둡니다. 우리의 정보는 세 가지 주요 출처에서 나옵니다:

  1. 봇 자체의 소스 코드,
  2. 우리가 침투한 사기 집단과 네안데르탈인의 대화를 분석하고,
  3. 네안데르탈인의 내부 문서(문서, 그래프, 사진 등의 모음)를 분석하여 개인 지식 기반으로 사용합니다. 이러한 정보는 신규 이민자의 온보딩을 돕기 위해 제공됩니다.

우리는 또한 감사하고 싶다. 플레어, 우리 연구에 도움을 준 사람.

그룹 가입

Telekopye 그룹은 지하 포럼을 포함한 다양한 채널에서 광고를 통해 새로운 네안데르탈인을 모집합니다. 이러한 광고에는 그림 1에서 볼 수 있듯이 온라인 마켓플레이스 사용자를 사기 위한 목적이 명확하게 명시되어 있습니다.

그림 1 모집 텔레코피 사기 집단
그림 1. 텔레코피 사기 집단 모집

야심 찬 네안데르탈인은 지원서를 작성해야 하며, 그룹에 대해 어디서 배웠는지, 이 "일" 분야에서 어떤 경험을 가지고 있는지와 같은 기본적인 질문에 답해야 합니다. 충분히 높은 역할을 맡은 기존 그룹 구성원의 승인을 받으면 새로운 네안데르탈인은 Telekopye를 최대한 활용할 수 있습니다. 또한 모든 네안데르탈인은 두 가지 채널, 즉 네안데르탈인이 소통하고 규칙과 매뉴얼이 보관되는 그룹 채팅과 거래 로그가 보관되는 별도의 채널에 가입해야 합니다. 이 프로세스는 그림 2에 나와 있습니다.

그림 2 신청서 접수됨
그림 2. 새로운 네안데르탈인이 메시지의 링크를 통해 그룹 채팅 및 거래 로그 채팅에 참여할 수 있도록 허용된 애플리케이션

사기 유형

세 가지 주요 사기 시나리오가 있습니다.

1. 판매자, 내부적으로는 1.0이라고 합니다.

2. 구매자(내부적으로는 2.0이라고 함)

3. 환불.

그림 3은 처음 두 가지 사기 시나리오에 대한 생성 메뉴입니다. 여기서 하단의 열 1은 판매자 사기(1.0)를 나타냅니다. 그런 다음 환불 사기 시나리오는 각 사기 시나리오에 개별적으로 연결됩니다. 이러한 사기 유형은 다음 하위 섹션에 설명되어 있습니다.

그림 3 생성 메뉴 예시
그림 3. 다양한 사기 시나리오에 대한 생성 메뉴의 예

판매자 사기

이 시나리오에서 네안데르탈인은 판매자로 가장하여 의심하지 않는 매머드를 유인하여 존재하지 않는 물건을 구입하려고 합니다. 매머드가 그 물건에 관심을 보이면 네안데르탈인은 매머드에게 직접 지불하지 않고 온라인으로 지불하도록 설득합니다. 매머드가 동의하면 네안데르탈인은 Telekopye가 제공하고 평판이 좋은 항목이 나열된 합법적인 온라인 마켓플레이스의 결제 페이지와 유사하도록 세심하게 제작된 피싱 웹사이트에 대한 링크를 제공합니다. 하지만 합법적인 웹페이지와 달리 이 페이지에서는 온라인 뱅킹 로그인, 신용카드 정보(때때로 잔액 포함) 또는 기타 민감한 정보를 요구합니다. 매머드가 이 데이터를 입력하면 피싱 웹사이트가 자동으로 해당 데이터를 훔칩니다. 흥미롭게도 이 데이터는 상품을 판매하는 네안데르탈인에게는 제공되지 않지만 다른 네안데르탈인에 의해 처리됩니다. 그림 4는 이미 생성된 피싱 링크가 포함된 Telekopye 메뉴를 보여주고, 그림 5는 이 사기 시나리오 중 통신을 보여줍니다.

그림 4 피싱 링크의 예
그림 4. 판매자 사기 시나리오를 위해 Telekopye가 생성한 피싱 링크의 예
그림 5 제작예
그림 5. 판매자 사기 시나리오에 대한 조작된 대화 예

구매자 사기

이 시나리오에서 네안데르탈인은 구매자로 가장하고 목표로 삼을 매머드를 연구합니다. 그들은 매머드가 판매하는 품목에 관심을 보이고 제공 플랫폼을 통해 이미 지불했다고 주장합니다. 네안데르탈인은 매머드가 돈을 받으려면 이 링크를 클릭해야 한다고 주장하면서 정교하게 제작된 피싱 웹사이트(또한 Telekopye를 통해 생성됨, 그림 6 참조)에 대한 링크와 함께 매머드 이메일 또는 SMS 메시지(Telekopye를 통해 생성됨)를 보냅니다. 플랫폼에서. 나머지 시나리오는 대화 중에 약간의 변형이 있는 판매자 사기와 매우 유사합니다(그림 7 참조).

그림 6 구매자 사기 시나리오의 예
그림 6. 구매자 사기 시나리오 피싱 웹사이트의 예
그림 7 구매자 사기 시나리오 대화의 예
그림 7. 구매자 사기 시나리오에 대한 대화의 예

환불 사기

이 시나리오에서 네안데르탈인은 매머드가 환불을 기대하는 상황을 만든 다음 피싱 웹사이트 링크가 포함된 피싱 이메일을 다시 한 번 동일한 목적으로 보냅니다. 네안데르탈인은 이전에 연락하지 않은 매머드에게 그러한 이메일을 보내 그들이 탐욕스러워서 이 "환불"을 받으려고 할 것이라고 믿고 이를 판매자 사기 시나리오와 결합합니다. 매머드가 상품을 받지 못했다고 불평할 때 네안데르탈인은 두 번째 사기를 시도하기 위해 환불 피싱 이메일을 보냅니다.

형식 작업

이제 다양한 사기 시나리오를 설명했으므로 네안데르탈인이 수년간의 작전을 통해 어떤 지식을 수집했는지 살펴보겠습니다. 내부 문서는 이미지, 그래프, 짧은 안내서, 심지어 복잡한 문서로 구성됩니다. 이러한 문서의 목차는 그림 8에 나와 있습니다.

그림 8 목차
그림 8. 온보딩 자료의 목차(러시아어에서 번역됨)

우리는 또한 두 종류의 네안데르탈인이 있다는 것을 발견했습니다. 첫 번째 유형은 가능한 모든 매머드에 글을 쓰고, 다른 유형은 잠재적인 매머드를 찾을 때 훨씬 더 까다롭습니다. 좀 더 신중한 종류의 사기꾼은 덜 조심스러운 사기꾼의 "무모한" 행동이 조금 더 많은 이익을 가져올 수 있지만 훨씬 더 많은 대중의 인식을 불러일으킬 수 있다고 주장하기 때문에 그들 사이에는 약간의 경쟁이 있습니다.

예비

사기에 대비하는 방법은 선택한 시나리오에 따라 다릅니다. 판매자 사기 시나리오의 경우 네안데르탈인은 매머드가 추가 세부 정보를 요청할 경우 준비할 수 있도록 항목의 추가 사진을 준비하는 것이 좋습니다. 네안데르탈인이 온라인에서 다운로드한 사진을 사용하고 있다면 이미지 검색을 더 어렵게 만들기 위해 편집해야 합니다.

구매자 사기 시나리오의 경우 네안데르탈인 준비의 핵심 부분은 매머드를 선택하는 방법입니다. 수년에 걸쳐 네안데르탈인은 목표를 선택할 때 따라야 할 지침을 만들었습니다. 그들은 성별, 나이, 온라인 마켓플레이스에서의 경험, 평가, 리뷰, 완료된 거래 수 및 기타 다양한 지표를 고려합니다.

시장 조사

네안데르탈인의 거의 모든 그룹에서 우리는 네안데르탈인이 전략과 결론을 이끌어내는 온라인 시장 조사 매뉴얼에 대한 참고 자료를 찾을 수 있습니다. 이 연구의 출처는 대개 다음과 같습니다. 공부 2017년부터 Avito 및 Data Insight 대행사가 제공합니다. 그림 9는 특정 온라인 시장에서의 성별, 연령, 경험 및 소득 분포 그래프를 묘사하는 그러한 연구 결과를 보여줍니다.

그림 9 네안데르탈인의 전형적인 구매자 분석
그림 9. 전형적인 구매자에 대한 네안데르탈인의 분석(러시아어에서 번역)

구매자 사기 시나리오에서 네안데르탈인은 판매하는 품목 유형에 따라 대상을 선택합니다. 예를 들어 일부 그룹에서는 전자 제품을 완전히 피합니다. 반면, 모바일 기기는 다른 그룹에서는 중요한 카테고리입니다. 품목의 가격도 중요합니다. 너무 높으면 네안데르탈인은 매머드의 경계심이 기본적으로 훨씬 더 높을 것이라고 믿기 때문에 그러한 매머드를 표적으로 삼지 않을 것입니다. 매뉴얼에서는 구매자 사기 시나리오에서 네안데르탈인이 가격이 1,000~30,000루블(9.50년 기준 €290~€20)인 품목을 선택할 것을 권장합니다.th 2023년 XNUMX월).

매머드의 위치도 중요합니다. 네안데르탈인은 더 많은 매물을 기대하고 사람들이 자신의 재정에 그다지 주의를 기울이지 않는 부유한 도시에 더 집중합니다.

마지막으로 사기꾼은 해당 월의 날짜도 고려합니다. 사람들은 당연히 은행 계좌에 더 많은 돈이 있을 것이라고 기대하기 때문에 월급을 받은 직후를 목표로 합니다.

웹 스크래핑

네안데르탈인은 웹 스크레이퍼를 활용하여 많은 온라인 시장 목록을 빠르게 살펴보고 사기에 빠질 완벽한 매머드를 선택합니다. 이는 이미 작성한 바와 같이 구매자 사기 시나리오의 중요한 초기 부분입니다.

우리는 네안데르탈인이 구현한 맞춤형 웹 스크레이퍼에 대해 알지 못하지만, 그들의 문서에는 합법적인 서비스로 제공되는 몇 가지 웹 스크레이퍼가 언급되어 있습니다. 네안데르탈인은 대상 시장에서 목록, 항목 세부정보, 사용자 정보를 긁어 CSV 또는 XML 파일로 만듭니다. 그런 다음 네안데르탈인은 결과를 사용하여 올바른 목표를 빠르게 찾습니다. 그림 10에서는 이러한 파일의 예를 제공합니다.

그림 10 Avito 웹사이트에서 구문 분석된 정보
그림 10. "휴대폰" 카테고리의 Avito 웹사이트에서 구문 분석된 정보(러시아어에서 번역됨)

네안데르탈인은 사용자 평가와 경험에 특히 관심이 있습니다. 이 정보를 사용하여 사기를 발견할 가능성이 있는 대상을 피하기 때문입니다.

직접 배송 방지

안전상의 이유로 많은 매머드들은 판매된 상품에 대해 직접 결제와 직접 배송을 모두 선호합니다. 네안데르탈인은 매머드에게 배달 서비스와 온라인 결제 사용에 동의하도록 설득하여 피싱 웹사이트로 연결해야 하기 때문에 문제가 됩니다. 보통 그들은 너무 멀리 떨어져 있다거나 며칠 동안 출장을 가기 위해 도시를 떠난다고 주장합니다. 동시에 그들은 매머드가 그들의 제안에 동의할 가능성을 높이기 위해 해당 항목에 매우 관심이 있는 것처럼 보이려고 노력합니다.

피싱 웹페이지 링크 전달

많은 합법적인 온라인 마켓플레이스에는 통합된 채팅 기능과 함께 조정 기능이 마련되어 있습니다. 그러한 채팅을 통해 누군가에게 링크를 보내는 것은 일반적으로 위험 신호이며 차단될 수 있습니다. 네안데르탈인은 모니터링이 덜 된 다른 채팅 플랫폼에서 대화를 계속하도록 매머드를 설득하여 이러한 장애물을 극복하려고 합니다.

그들의 주장은 직접 배송에 반대하는 주장과 매우 ​​유사합니다. 그들은 집을 떠나야 하고 휴대전화로 채팅에 접속할 수 없지만 채팅 앱 중 하나를 통해 대화를 계속할 수 있다고 주장합니다.

자체 통계에 따르면 네안데르탈인은 매머드의 약 50%가 플랫폼 변경에 동의하고 그 중 20%가 사기에 빠질 것이라고 주장합니다. 결과적으로 전체 성공률은 10%가 됩니다.

또 다른 선호되는 전달 방법은 이메일이나 SMS를 사용하는 것입니다. Telekopye는 설득력 있는 피싱 메시지를 신속하게 생성할 수 있습니다. 네안데르탈인은 매머드에게 그러한 메시지를 보내기 위해 속임수(그 중 일부는 그림 11에 설명되어 있음)를 사용하여 매머드의 이메일 주소나 전화번호를 알아냅니다. 이 접근 방식의 장점은 전화번호나 이메일 주소를 묻는 것이 매머드나 채팅 플랫폼 모두에 위험 신호를 유발하지 않을 가능성이 높으며 네안데르탈인이 매머드를 설득하여 다른 채팅 플랫폼으로 전환할 필요가 없다는 것입니다.

그림 11 텍스트 복사하여 붙여넣기 예
그림 11. 텍스트 복사하여 붙여넣기 예(러시아어에서 번역됨)

의사 소통

Telekopye는 AI를 활용하지 않습니다. 이는 놀라운 일이지만 네안데르탈인은 자신들의 접근 방식이 우수하고 모니터링 메커니즘에 의해 발견될 가능성이 적다고 믿고 있습니다. 결과적으로 내부 문서의 대부분은 최상의 결과를 달성하기 위한 커뮤니케이션 기술에 중점을 두고 있습니다.

매머드의 신뢰를 얻는 것은 사기의 성공에 매우 중요합니다. 네안데르탈인은 종종 의도적으로 모든 메시지에 즉시 응답하지 않고, 규칙적인 일상 생활로 바쁘다는 착각을 일으키기 위해 (때로는 몇 시간까지) 기다립니다. 시간에 관해 말하자면, 그들은 의심을 불러일으키지 않기 위해 매머드의 시간대에 적응하려고 노력합니다.

그들은 종종 잡담을 먼저 시작합니다. 심지어 가짜 개인 이야기를 공유할 수도 있습니다. 전체적인 목적은 네안데르탈인에게 매머드가 너무 의심스럽거나 경험이 많다는 것을 알려주는 위험 신호를 찾는 것입니다. 네안데르탈인은 이익에 초점을 맞추기 때문에 결국 함정을 발견한 매머드에게 시간을 보내고 싶어하지 않습니다.

또 다른 좋은 예는 네안데르탈인이 구매자 사기 시나리오를 활용할 때 매머드에게 이미 해당 품목에 대한 비용을 지불했다고 확신시키는 것입니다. 이는 빠른 돈 회수를 약속하는 피싱 이메일의 설계와 결합되어 Mammoths의 경계심을 덜지게 만듭니다.

경험이 풍부한 네안데르탈인은 새로 온 사람들에게 영감을 얻을 수 있는 완전한 대화를 제공합니다. 그러한 예 중 하나가 그림 12에 나와 있습니다.

그림 12 Mammoth와의 대화 제안
그림 12. 매머드와의 대화 제안(러시아어 번역)

네안데르탈인은 매머드의 특정 수준의 저항만 용인합니다. 사기가 성공할 가능성이 없다고 판단되면 다른 목표로 이동합니다. 그러나 거의 승리했다고 느끼면 매우 설득력이 있습니다. 완벽한 예는 Mammoth의 민감한 데이터를 성공적으로 수집했지만 은행이 거래를 차단하거나 자금이 부족한 상황에 대한 문서화된 접근 방식입니다. 이 경우 네안데르탈인은 매머드에게 가족 카드를 사용하도록 요청하거나 은행에 전화하여 직접 송금을 승인할 수도 있습니다.

네안데르탈인은 요청의 적법성에 관한 예상치 못한 많은 질문에 답할 준비가 되어 있습니다(그림 13 참조).

그림 13 권장되는 사기 방법
그림 13. 더 통찰력 있는 매머드를 사기 위한 제안된 방법(러시아어에서 번역됨)

번역

이 작전은 국제적으로 매머드를 대상으로 하기 때문에 네안데르탈인은 매머드의 언어를 충분히 구사한다는 착각을 만들어내야 합니다. 영어로 글을 쓸 수 있고 러시아어를 사용하는 네안데르탈인을 만나는 것은 매우 흔한 일입니다. 흥미롭게도 우리는 언어 학습 플랫폼 프로필을 통해 많은 네안데르탈인의 텔레그램 별명을 상호 참조할 수 있었습니다. 이 계정에는 일반적으로 소유자가 러시아어와 영어를 사용한다고 명시되어 있습니다. 분명히 그 연결은 우연일 수도 있습니다.

수년 동안 네안데르탈인은 Google 번역을 사용했습니다. 적어도 2021년부터 네안데르탈인은 다음과 같은 다른 번역자로 옮겨갔습니다. , (그들의 의견으로는) 맥락을 더 잘 이해하기 때문입니다.

번역기를 사용하는 것 외에도 그들은 수년에 걸쳐 공통 문구를 여러 언어로 검증된 번역을 통해 많은 번역 테이블을 만들었습니다. 이러한 번역은 가장 일반적으로 러시아어에서 유럽 언어로 이루어집니다(그림 14 참조). 네안데르탈인은 번역된 문장을 복사하여 매머드와의 채팅에 붙여넣기만 하면 됩니다.

그림 14 루마니아어-러시아어 및 포르투갈어-러시아어
그림 14. P의 예오르투갈어-러시아어 및 루마니아어-러시아어 번역 테이블

그룹별 기능

또한 그룹마다 Telekopye의 삶의 질이 서로 다르게 향상된다는 점도 언급해야 합니다. 예를 들어, 피싱 링크를 생성할 때(결과는 그림 15에서 볼 수 있음), 이들 그룹 중 하나에 속한 네안데르탈인은 각 피싱 웹 사이트를 어느 정도 사용자 정의할 수 있는 몇 가지 질문을 받습니다. 가장 흥미로운 것은 수동/자동 피싱 사이트 생성에 관한 질문입니다. 수동 생성의 경우 네안데르탈인은 피싱 웹 사이트를 만드는 데 필요한 모든 정보를 지정해야 합니다. 구매자로 가장한 네안데르탈인의 경우 10~15개의 질문이 필요합니다(그림 16).

그림 15 피싱사이트 생성과정 예시
그림 15. 네안데르탈인이 구매자로 가장한 Telekopye의 자동 피싱 웹사이트 생성 프로세스의 예
그림 16 피싱링크 생성 과정 매뉴얼
그림 16. 수동 피싱 링크 생성 과정

자동 페이지 생성의 경우 네안데르탈인은 "구매"할 항목의 URL을 지정하고 XNUMX가지 질문(구매자의 이름 및 전화번호 등)에 답하기만 하면 됩니다. 그런 다음 Telekopye는 웹사이트에서 모든 정보를 긁어내고 피싱 웹사이트를 만듭니다.

익명성과 회피

네안데르탈인은 자신의 집단이 "쥐"(예: 법 집행 기관이나 연구원)로 가득 차 있다고 믿습니다. 따라서 그들은 종교적으로 규칙을 고수하며 주로 그룹의 다른 구성원을 식별할 수 있는 정보를 조사하지 않습니다. 그러한 규칙을 어기면 금지될 수도 있습니다. 황금률은 '말은 적게 하고 일하라'이다. 또한 안전을 유지하기 위해 VPN, 프록시 및 TOR을 사용하는 것이 좋습니다. 네안데르탈인은 새로 이주한 사람들에게 광범위한 가이드를 제공하고 심지어 브라우저 기본 설정을 포함하여 어떤 프로그램이나 서비스를 사용해야 하는지, 왜 사용해야 하는지에 대한 열띤 토론에 참여합니다. 일부 네안데르탈인은 심지어 오르보, Android용 TOR 변형입니다.

네안데르탈인은 자신의 신원과 위치뿐만 아니라 돈도 숨겨야 합니다. 당연히 암호화폐가 이에 대한 답입니다. 우리는 암호화폐 선호도에 관해 어떤 결론도 내릴 수 없었습니다.

마지막으로 네안데르탈인은 휴대폰 번호만으로 등록할 수 있는 서비스를 선호합니다. 신원을 공개하지 않고 SIM 카드를 구입하는 것이 상대적으로 쉽기 때문에 그들은 이것이 최선의 접근 방식이라고 생각합니다.

자동 감지 우회

온라인 마켓플레이스 사기는 새로운 것이 아닙니다. 수년에 걸쳐 이러한 서비스를 제공하는 플랫폼은 사기꾼에 대응하고 고객의 보안을 강화하기 위해 다양한 기술을 구현해 왔습니다. 네안데르탈인은 이를 인식하고 플랫폼의 조정 정책을 극복하기 위해 다양한 접근 방식을 계속 실험하고 있습니다. 초기의 다소 어리석은 시도 중 하나는 Google Forms를 활용하여 Mammoths의 개인 정보를 피싱하는 것이었습니다(그림 17 참조). 목표로 삼은 정보를 고려하여 엄격한 조정이 이루어지지 않는 다른 채널(이메일 또는 SMS)을 통해 통신할 수 있는 수단을 확보하는 것이 목표였습니다.

그림 17 Google Forms를 이용한 피싱
그림 17. Google Forms를 사용한 피싱의 예

요즘 거의 모든 네안데르탈인은 매머드를 덜 단속되고 합법적인 채팅 플랫폼으로 옮기려고 합니다. 네안데르탈인은 계정을 금지하는 데 시간이 걸린다고 믿기 때문에 이를 선택합니다. 또한 의심스러운 행동보다는 채팅 플랫폼을 통해 다양한 링크를 보내는 것이 일반적인 관행입니다. 보너스로, 거의 모든 사람들이 이러한 응용 프로그램에 익숙하므로 네안데르탈인은 그것이 어떻게 작동하는지 설명할 필요가 없습니다.

이러한 플랫폼이 훨씬 더 안전하다고 생각함에도 불구하고 네안데르탈인은 조심스럽게 발걸음을 내디뎠습니다. 그들은 짧은 시간에 너무 많은 메시지를 보내는 것을 피하고 다양한 매머드에 대한 메시지를 개인화하려고 노력합니다. Telekopye는 이러한 노력에 큰 도움이 됩니다.

새로운 영역 탐험: 부동산 사기

네안데르탈인 그룹 중 일부는 부동산 임차인을 표적으로 삼는 다른 종류의 사기 시나리오를 언급합니다. 사기는 다음과 같이 작동합니다. 준비 단계에서 네안데르탈인은 아파트의 적법한 소유자에게 편지를 보내 관심 있는 척하며 추가 사진, 아파트에 어떤 종류의 이웃이 있는지 등 다양한 세부 정보를 요청합니다. 그런 다음 네안데르탈인은 이 모든 정보를 수집하고 다른 웹사이트에 자신만의 목록을 만들어 아파트를 임대할 수 있도록 제공합니다. 그들은 예상 시장 가격을 약 20% 인하했습니다. 나머지 시나리오는 판매자 사기 시나리오와 동일합니다. 네안데르탈인은 매머드가 관심을 보일 때까지 기다렸다가 실제로 피싱 웹사이트를 가리키는 링크를 통해 매머드에게 예약 수수료를 지불하도록 지시합니다.

ESET의 원격 측정 덕분에 우리는 이 사기 시나리오에 사용된 피싱 웹사이트가 구매자 및 판매자 시나리오를 위해 Telekopye가 만든 웹사이트와 의심스러울 정도로 유사하다는 사실을 발견했습니다. 이는 Telekopye 그룹이 광고하는 사기와 결합되어 연결이 있다고 믿게 만듭니다. 그러나 우리는 이 시나리오를 전문으로 하는 어떤 그룹에도 침투하지 않았으며 이를 위해 설계된 Telekopye 변종도 얻지 못했습니다.

인터뷰

다양한 매뉴얼, 그룹, 추가 자료를 뒤져보던 중 2020년 말에 진행된 텔레코피예 관리자와의 인터뷰를 발견했습니다. 이는 고위 네안데르탈인의 정신에 대한 독특한 통찰력을 얻는 데 도움이 되었습니다. 인터뷰에 응한 Telekopye 관리자는 새로운 네안데르탈인 교육을 전문으로 하는 Telekopye 그룹을 운영했습니다.

관리자는 어느 시점에서 이 "작업" 분야의 미래를 어떻게 보는지 질문을 받았습니다. 이에 대해 그는 “온라인 마켓플레이스 사기는 항상 존재할 것입니다. 다양한 사이트의 금지 정책 덕분에 예전보다 [사기]가 훨씬 더 어려워졌습니다. 하지만 이러한 사이트에서 모든 피싱을 차단하는 것은 불가능합니다.” 그는 또한 더 이상 사기를 치지 않는다고 말합니다. 그는 그것에 지쳐서 지금은 관리자/튜터로만 일하고 있으며 이것이 그의 그룹이 매우 독특한 이유입니다. “나는 매머드를 두려워하지 않습니다. 다른 모든 매머드는 사기를 당했다는 사실을 알게 되면 여러분을 위협할 것입니다. 요즘은 다들 내무장관의 아내나 친구인 것 같아요.”라고 관리자는 말합니다.

새로운 사기 프로젝트를 만들 생각은 없느냐는 질문에 그는 그럴 시간이 없다고 말했다. 그는 두 개의 채널을 관리하고 활동적인 라이프스타일을 갖고 있으며 많은 훈련을 받고 집에서 하루에 XNUMX시간만 보냅니다.

그는 또한 이런 직업이 정직하지 않다는 것을 잘 알고 있지만 스스로 전형적인 핑계를 찾는다고 고백한다. “... 어떤 사람들은 지속적으로 링크 비용을 지불하고, 어떤 사람들은 링크를 끊임없이 던질 것입니다. 인생에서 열심히 노력하는 사람은 성공할 것입니다.” 게다가 맘모스가 안타까우면 '애초에 내가 왜 맘모스에게 사기를 치는 걸까? 글쎄요... 저는 부자들에게서만 훔칩니다(연구 참고 사항: 계좌에 적어도 200유로가 있을 것으로 추정되는 매머드). 제 양심이 그렇게 연약하다면 저는 배달원으로 일하러 가겠습니다.”

결론

Telekopye에 관한 두 번째 기사에서는 네안데르탈인에 대해 배운 내용에 중점을 두었습니다. 내부 커뮤니케이션과 지식 기반에 접근할 수 있는 덕분에 우리는 다양한 사기 시나리오에 대한 설명뿐만 아니라 주로 그들의 작업 방식과 사고방식에 대한 고유한 통찰력을 제공했습니다.

우리는 신규 이민자를 위한 입학 절차와 Telekopye가 네안데르탈인의 일상 업무를 어떻게 돕는지 보여주었습니다. 게다가 우리는 그들이 부동산 사기를 시도하고 있을 가능성도 있음을 보여주었습니다.

온라인 마켓플레이스 사기는 사라지지 않을 것 같습니다. 우리가 시연했듯이 첫 번째 할부, 우리는 Telekopye를 운영하는 수십 개의 그룹을 발견할 수 있었습니다. 즉, 사기꾼의 활동에 대한 고유한 통찰력을 통해 해당 플랫폼 사용자를 위험으로부터 보호하기 위해 많은 것을 배울 수 있다고 믿습니다.

IoC 및 MITRE ATT&CK 기술 표는 본 분석의 첫 번째 부분에서 제공되었으며 변경되지 않았으므로 다음을 참조하십시오. 그 기사 이것들을 위해.

WeLiveSecurity에 게시된 연구에 대한 문의 사항은 다음으로 문의하십시오. Threatintel@eset.com.
ESET Research는 비공개 APT 인텔리전스 보고서 및 데이터 피드를 제공합니다. 본 서비스에 대한 문의사항은 ESET 위협 인텔리전스 페이지.

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.