Oszuści wykorzystują Telekopye do ataków na Booking.com

Przeczytaj także: Edukacja pod ostrzałem cyberprzestępców

Ofiarami tego rodzaju oszustwa są osoby na całym świecie. Narzędzie nazwane Telekopye jest wykorzystywane przez cyberprzestępcze grupy do atakowania użytkowników wielu różnych usług online w Europie i Ameryce Północnej, takich jak OLX, Vinted, eBay, Wallapop i inne. W sumie swoim działaniem oszuści objęli już około 90 różnych usług. Wiele tropów wskazuje, że autorzy narzędzia pochodzą z Rosji - opisuje Kamil Sadkowski, analityk laboratorium antywirusowego ESET.

Miliony na kontach oszustów

Telekopye to narzędzie funkcjonujące jako bot, ułatwiający cyberprzestępcom w prosty sposób działać na dużą skalę – zrobić z oszustw zorganizowany biznes. Pod koniec 2023 roku czeska i ukraińska policja aresztowała kilkudziesięciu cyberprzestępców wykorzystujących narzędzie Telekopye. Według informacji policji oszuści w ciągu 4 lat działalności zgromadzili na kontach około 5 milionów euro. Aresztowania pozwoliły policji lepiej poznać strukturę grup przestępczych.

Grupy korzystające z Telekopye działają jak sprawne firmy, mają jasną hierarchię ze zdefiniowanymi rolami, wewnętrznymi procedurami, ustalonymi godzinami pracy i wynagrodzeniem opartym o system prowizyjny. Były one zarządzane przez mężczyzn w średnim wieku z Europy Wschodniej oraz Azji Zachodniej i Środkowej. Rekrutowali oni osoby znajdujące się w trudnej sytuacji życiowej oraz studentów kierunków technicznych za pośrednictwem portali z ofertami pracy, obiecując łatwy i szybki zarobek – dodaje Kamil Sadkowski.

Według ustaleń policji część „pracowników” była pozbawiana paszportów i dowodów osobistych, co utrudniało rezygnację z procederu. Przywódcy grup wielokrotnie grozili „pracownikom” i członkom ich rodzin.

Polska wśród głównych celów

Narzędzie Telekopye jest używane przez dziesiątki podobnych grup do wielomilionowych kradzieży. Narażeni są sprzedający i kupujący, ale też użytkownicy innych usług online. Telekopye jest intuicyjne w obsłudze, dzięki czemu kolejne grupy przestępcze zyskały łatwość generowania phishingowych wiadomości e-mail, wiadomości SMS, stron internetowych.

Działania przestępców ukierunkowane są na uzyskanie od ofiary informacji o karcie płatniczej lub danych logowania do bankowości internetowej przez stronę imitującej bramkę płatniczą. Analitycy ESET zauważyli w III kwartale 2024 roku znacznie wyższą aktywność przestępców w obrębie serwisów rezerwacyjnych.

Co niepokojące, Polska znalazła się na drugim miejscu pod względem ilości ataków przy użyciu narzędzia – polscy użytkownicy stanowili 8,5% ataków, podczas gdy najczęściej atakowani Czesi to 18% – wynika z danych ESET. Użytkownicy z kolejnych krajów jak Słowacja, Niemcy czy Hiszpania stanowili po ok. 6% ataków.

Mechanizm jest prosty i oparty na klasycznym phishingu. Oszuści kontaktują się z użytkownikiem, twierdząc, że wystąpił problem z płatnością za rezerwację. Wiadomość zawiera link do strony internetowej imitującej Booking.com, Airbnb czy inne narzędzie rezerwacyjne. Strona zawiera wstępnie wypełnione informacje o rezerwacji, takie jak data zameldowania i wymeldowania, cena i lokalizacja - informacje odpowiadające rzeczywistej rezerwacji dokonanej przez użytkownika. Szczegółowe dane dotyczące pobytu pochodzą z przejętych kont hoteli i dostawców zakwaterowania zakupionych na cyberprzestępczych forach. Oszuści za cel obierają użytkowników, którzy niedawno zarezerwowali pobyt i jeszcze nie zapłacili - lub zapłacili bardzo niedawno - i kontaktują się z nimi za pośrednictwem czatu na platformie, e-mail czy SMS – opisuje Kamil Sadkowski.

Tym samym wiarygodność całej sytuacji oraz drobiazgowe odwzorowanie danej platformy, powodują, że kolejni użytkownicy wpadają w pułapkę.

Poniżej zrzuty ekranu pokazujące strony łudząco podobne do autentycznych