Hacker betreiben "Mammutjagd" auf Online-Marktplätzen

Jena (pts018/24.08.2023/11:35) - Der Traum vom schnellen Geld scheint für Cyberkriminelle in greifbare Nähe gerückt zu sein und heißt: Telekopye. ESET-Forschern ist es gelungen, dieses neue Toolset aufzudecken, mit dem auch technisch wenig versierte Hacker auf Online-Marktplätzen Jagd auf ahnungslose Käufer – im Gauner-Slang "Mammut" genannt – machen können. Dabei nehmen sie über die Messenger-App Telegram persönlichen Kontakt auf, täuschen lukrative Angebote vor und stehlen letztlich die Zahlungsdaten der Opfer.

Um die Nutzung so einfach und angenehm wie möglich zu machen, ist Telekopye als Telegram-Bot verfügbar und bietet eine übersichtliche Nutzeroberfläche. Betrüger verwenden die Tools seit mindestens 2015, um Fake-Webseiten zu erstellen sowie Phishing-SMS und -Mails zu versenden. Die in Gruppen organisierten Hacker attackieren Nutzer von Online-Marktplätzen in Russland und der Ukraine. Betroffen sind in diesen Ländern populäre Verkaufsplattformen, aber auch gefälschte eBay- und BlaBlaCar-Seiten wurden beobachtet. Urheber und Nutzer von Telekopye kommen vor allem aus Russland.

Wie Hacker als "Neandertaler" bei der Jagd vorgehen

Phishing-Angriffe auf Nutzer von Online-Marktplätzen sind von Natur aus für Cyberkriminelle lukrativ und einfach. Schnäppchenjäger lassen sich bei sehr guten Angeboten schnell dazu verleiten, auf einen Link zu klicken und ihre Daten preiszugeben. Dies machen sich auch Hacker zunutze, die auf Telekopye zurückgreifen:

* Am Anfang eines Angriffs suchen sich die Cyberkriminellen ein Opfer aus und kontaktieren es über Telegram. Im privaten Chat versuchen sie dann, Vertrauen zu ihrem Ziel aufzubauen.
* Ist dies gelungen, erstellen sie mit Hilfe von Telekopye eine Phishing-Webseite und teilen sie mit dem Opfer. Das Toolkit bietet verschiedene HTML-Vorlagen für Webseiten in verschiedenen Ländern, darunter auch Deutschland. Bei der Seite handelt es sich zum Beispiel um ein Produktangebot auf eBay oder eine Fahrt auf BlaBlaCar. Zudem können sie in wenigen Schritten gefälschte Screenshots erstellen, um ihren Betrug glaubhafter zu machen
* Klickt oder tippt der Nutzer auf den Link, ruft ihn die angesteuerte Webseite dazu auf, seine Kreditkartendaten einzugeben. Kommt er dem nach, nutzen Hacker die erbeuteten Informationen, um Geld von der Kreditkarte beziehungsweise dem Konto abzubuchen und anschließend zu waschen.
* Das so gestohlene Geld landet nicht direkt auf dem Konto der Neandertaler. Stattdessen verwenden alle Angreifer ein gemeinsames Konto, das vom Telekopye-Administrator kontrolliert wird. Jeder Hacker wird anhand der Beiträge zu diesem gemeinsamen Konto protokolliert und evaluiert. Die Betrüger erhalten ihre Bezahlung vom Telekopye-Administrator unter Abzug organisatorischer Gebühren.

"Dieses Toolkit ist der Hauptgewinn für jeden Cyberkriminellen. Er benötigt keine tiefgründige IT-Kenntnisse und muss lediglich eloquent schreiben können, um das potenzielle Opfer zu überzeugen. Der Telegram-Bot stellt zudem mehrere einfach zu navigierende Menüs in Form von anklickbaren Schaltflächen bereit und kann viele Nutzeranfragen zeitgleich bearbeiten", erläutert ESET-Forscher Radek Jizba.

Augen auf beim Online-Kauf

Nutzer sollten bei verlockenden Angeboten besonders kritisch sein, wenn sie diese über private Nachrichten von Messengern empfangen. Grundsätzlich sollten sie Angeboten misstrauen, die günstiger sind als üblich oder als lieferbar angegeben sind, obwohl sie sonst überall ausverkauft sind.

"Anwender fallen auf die miesen Tricks von Telekopye-Betrüger oder Hackern selten rein, wenn sie Chat-Nachrichten oder SMS ganz genau lesen. Anomalien, Fehler und Unstimmigkeiten in der Sprache sind ein gutes Indiz dafür, dass es sich um einen Betrugsversuch handelt. Allerdings werden Phishing-Nachrichten in Zeiten von KI immer besser und schwerer von Legitimen zu unterscheiden. Bestehen Sie – wann immer möglich – auf einem persönlichen Geld- und Warenaustausch. Dies gilt insbesondere für den Handel mit gebrauchten Waren auf Online-Marktplätzen. Versenden Sie kein Geld ohne genaue Überprüfung", rät Jizba.

Weitere technische Informationen über Telekopye finden Sie in dem Blogpost "Telekopye: Mammutjagd mit Telegram-Bot" auf WeLiveSecurity ( https://www.welivesecurity.com/de/eset-research/telekopye-mammut-jagd-mit-telegram-bot/ ). In einem zweiten Telekopye-Blogpost enthüllen wir das Innenleben der Betrügergruppen.

(Ende)