Исследователи кибербезопасности обращают внимание на "демократизацию" фишинговой экосистемы в связи с превращением Telegram в эпицентр киберпреступности, позволяющий субъектам угрозы организовать массовую атаку всего за 230 долларов.
"Это приложение для обмена сообщениями превратилось в оживленный центр, где как опытные киберпреступники, так и новички обмениваются незаконными инструментами и информацией, создавая темную и хорошо отлаженную цепочку поставок инструментов и данных жертв", - сказали в новом отчете исследователи Guardio Labs Олег Зайцев и Нати Тал.
"Бесплатные образцы, учебные пособия, наборы, даже хакеры по найму - все необходимое для создания комплексной вредоносной кампании".
Это не первый случай, когда популярная платформа обмена сообщениями попадает под радар из-за содействия вредоносным действиям, которые частично обусловлены ее мягкими мерами модерации.
В результате то, что раньше было доступно только на форумах в темной паутине по приглашениям, теперь легко доступно через общедоступные каналы и группы, тем самым открывая двери для киберпреступности начинающим и неопытным киберпреступникам.
В апреле 2023 года Касперский раскрыл, как фишеры создают Telegram-каналы для обучения новичков фишингу, а также рекламируют ботов, которые могут автоматизировать процесс создания фишинговых страниц для сбора конфиденциальной информации, такой как учетные данные для входа.
Одним из таких вредоносных ботов Telegram является Telekopye (он же Classiscam), который может создавать мошеннические веб-страницы, электронные письма, SMS-сообщения, помогая злоумышленникам проводить крупномасштабные фишинговые операции.
Гвардио сказал, что строительные блоки для построения фишинговой кампании можно легко приобрести в Telegram – "некоторые предлагаются по очень низким ценам, а некоторые даже бесплатно", – тем самым позволяя создавать мошеннические страницы с помощью фишингового набора, размещать страницу на взломанном веб-сайте WordPress через веб-оболочку и использовать бэкдор-почтовую программу для отправки электронных сообщений.
Почтовые программы-бэкдоры, продаваемые различными группами Telegram, представляют собой PHP-скрипты, внедренные на уже зараженные, но легитимные веб-сайты для отправки убедительных электронных писем с использованием легитимного домена эксплуатируемого веб-сайта в обход спам-фильтров.
"Эта ситуация подчеркивает двойную ответственность владельцев сайтов", - заявили исследователи. "Они должны защищать не только свои деловые интересы, но и защищаться от использования их платформ мошенниками для проведения фишинговых операций, отправки ложных электронных писем и осуществления других незаконных действий без их ведома".
Чтобы еще больше повысить вероятность успеха таких кампаний, цифровые торговые площадки Telegram также предоставляют так называемые "письма", которые представляют собой "мастерски разработанные фирменные шаблоны", придающие сообщениям электронной почты максимально аутентичный вид, чтобы обманом заставить жертв перейти по поддельной ссылке, указывающей на страницу мошенничества.
Telegram также предоставляет массовые наборы данных, содержащие действительные и релевантные адреса электронной почты и номера телефонов для таргетинга. Называемые "лидами", они иногда "обогащаются" личной информацией, такой как имена и физические адреса, для максимального воздействия.
"Эти лиды могут быть невероятно специфичными, адаптированными для любого региона, ниши, демографической группы, клиентов конкретной компании и многого другого", - говорят исследователи. "Каждая часть личной информации повышает эффективность и достоверность этих атак".
Способ составления списков потенциальных клиентов может варьироваться от продавца к продавцу. Их можно приобрести либо на форумах по киберпреступности, на которых продаются данные, украденные у компаний, подвергшихся взлому, либо через сомнительные веб-сайты, которые призывают посетителей заполнить поддельный опрос, чтобы выиграть призы.
Еще одним важным компонентом этих фишинговых кампаний является средство монетизации собранных украденных учетных данных путем продажи их другим преступным группам в виде "логов", что обеспечивает злоумышленникам 10-кратную отдачу от их инвестиций в зависимости от количества жертв, которые в конечном итоге предоставляют достоверные данные на странице мошенников.
"Учетные данные для учетных записей в социальных сетях продаются всего за доллар, в то время как банковские счета и кредитные карты могут быть проданы за сотни долларов — в зависимости от их срока действия и средств", - сказали исследователи.
"К сожалению, при небольших инвестициях любой может начать крупную фишинговую операцию, независимо от предварительных знаний или связей в преступном мире".
