La creciente popularidad de los mercados en línea ha atraído a estafadores que se aprovechan de compradores y vendedores desprevenidos, buscando obtener información de tarjetas de pago en lugar de concretar una transacción. Investigadores de la marca de ciberseguridad ESET han descubierto que una de estas redes organizadas de estafadores, que utiliza Telekopye, un kit de herramientas identificado por ESET Research en 2023, ha ampliado sus operaciones para enfocarse en los usuarios de plataformas populares de reserva de alojamiento.

El año pasado, ESET lanzó una serie de publicaciones en el blog en dos partes sobre Telekopye, un conjunto de herramientas basado en Telegram que los cibercriminales emplean para estafar a personas en mercados en línea. La primera parte se enfocaba en las características principales de Telekopye, mientras que la segunda exploraba el funcionamiento interno de los grupos de estafa afiliados. En este blogpost, hacen un seguimiento de lo que ha cambiado en las operaciones de Telekopye desde su última publicación, basándose en su rastreo continuo. Se examinó cómo estos grupos de estafadores se han diversificado para atacar a Booking.com y Airbnb, así como sus esfuerzos para optimizar sus operaciones y aumentar sus beneficios financieros. Por último, pero no menos importante, brindan consejos sobre cómo resguardarse de estas estafas.

Visión general de Telekopye.

Telekopye es un conjunto de herramientas que opera como un bot de Telegram, sirviendo principalmente como una navaja suiza para transformar las estafas en el mercado en línea en un negocio ilegal organizado. Docenas de grupos de estafadores, que pueden tener miles de miembros, utilizan esta táctica para robar millones a los Mamuts, el término que emplean para referirse a sus objetivos: compradores y vendedores. Los Neandertales, como llamamos a los estafadores, apenas requieren conocimientos técnicos: Telekopye se encarga de todo en cuestión de segundos.

Descubierto por ESET Research en 2023, Telekopye ha estado en operación desde al menos 2016, afectando a víctimas en todo el mundo. Varias pistas sugieren que Rusia es el país de origen del creador o creadores de este bot, así como de los estafadores que lo emplean. Telekopye está diseñado para atacar una amplia gama de servicios en línea en Europa y América del Norte, incluyendo plataformas como OLX, Vinted, eBay, Wallapop y otros. En la actualidad, se hanidentificado aproximadamente 90 servicios diferentes que son blanco de estas estafas.

Los Neanderthals, que forman parte de cualquier grupo de Telegram que use Telekopye, tienen acceso a la interfaz de usuario del bot. Esta interfaz facilita la creación de correos electrónicos de phishing, mensajes SMS, páginas web y otras funcionalidades.

Los grupos de Telekopye operan de manera similar a una empresa, presentando una jerarquía clara y funciones bien definidas. Tienen prácticas internas que incluyen procesos de admisión y tutoría para los nuevos integrantes, horarios de trabajo establecidos y comisiones para los administradores de Telekopye. Los trabajadores encargados de las estafas deben entregar toda la información confidencial que han robado; en realidad, no se apropian del dinero, ya que esa tarea es gestionada por otros roles dentro de la organización. Cada grupo mantiene un chat transparente donde se registran todas las transacciones, accesible para todos los miembros.

Los neandertales emplean dos estrategias principales para atacar en los mercados en línea: una en la que simulan ser vendedores y otra, mucho más frecuente, en la que se hacen pasar por compradores. En ambos casos, la víctima, o el mamut, termina ingresando sus datos de tarjeta de pago o credenciales de banca en línea en una página de phishing que imita una pasarela de pago.

Los grupos de Telekopye han ampliado sus objetivos al incluir la opción de engañar a los usuarios de populares plataformas de reserva de alojamiento, de lo cual hablaremos en la siguiente sección.

Ampliación de las plataformas de reserva de alojamiento.

En 2024, los grupos Telekopye han diversificado su repertorio de estafas, enfocándose en usuarios de reconocidas plataformas en línea de reservas de hoteles y apartamentos, como Booking.com y Airbnb. Además, han incrementado la sofisticación en la identificación y elección de sus víctimas.

Un enfoque renovado hacia el objetivo.

En este nuevo contexto de fraude, los estafadores contactan a un usuario objetivo de una de estas plataformas, afirmando que hay un problema con el pago de su reserva. El mensaje incluye un enlace a un sitio web cuidadosamente diseñado y que parece auténtico, el cual imita a la plataforma que ha sido vulnerada.

La página ofrece información preestablecida sobre una reserva, incluyendo las fechas de llegada y salida, el precio y la ubicación. Sin embargo, hay un giro alarmante: los datos presentados en las páginas fraudulentas coinciden con reservas reales realizadas por los usuarios afectados.

Los neandertales logran esto utilizando cuentas comprometidas de hoteles y proveedores de alojamiento legítimos en las plataformas, a las que probablemente acceden mediante credenciales robadas adquiridas en foros de ciberdelincuentes. Con su acceso a estas cuentas, los estafadores identifican a los usuarios que han hecho una reserva recientemente y que aún no han pagado, o lo han hecho muy poco tiempo atrás, y se comunican con ellos a través del chat de la plataforma. Dependiendo de la plataforma y de la configuración del Mamut, este recibe un correo electrónico o un SMS de la plataforma de reservas.

Esto complica la detección de la estafa, ya que la información presentada es personalmente relevante para las víctimas, llega a través de canales de comunicación esperados y los sitios web falsos tienen un aspecto familiar. La única indicación visible de que algo no está bien son las URL de los sitios web, que no coinciden con las de los sitios legítimos que están imitando. Además, los estafadores pueden utilizar sus propias direcciones de correo electrónico para la comunicación inicial, en lugar de cuentas comprometidas, lo que podría hacer que los correos electrónicos sean más fácilmente identificables como maliciosos.

Una vez que la víctima completa el formulario de la página de phishing (Figura 1), es dirigida al paso final de la «reserva»: un formulario que solicita los datos de la tarjeta de pago (Figura 2). Similar a las estafas de mercado, la información de la tarjeta que se introduce en el formulario es recolectada por los estafadores y utilizada para robar el dinero de la tarjeta de la víctima.

Imagen 1.

Ejemplo de formulario falso de Booking.com creado por Telekopye.

Imagen 2.

Ejemplo de un formulario de pago falso de Booking.com creado por Telekopye.

Según la telemetría de ESET, este tipo de estafa empezó a ganar popularidad en 2024. Como se muestra en la Figura 3, las estafas relacionadas con alojamiento tuvieron un notable aumento en julio, superando por primera vez a las estafas de mercado originales de Telekopye, con más del doble de detecciones en ese mes. En agosto y septiembre, los niveles de detección en ambas categorías se equipararon.

El aumento observado coincide con la temporada de vacaciones de verano en las regiones objetivo, lo que plantea la pregunta de si esta tendencia se mantendrá, dado que es el mejor momento para atraer a quienes reservan estancias. Al analizar los datos globales de 2024, notamos que las estafas más recientes han acumulado aproximadamente la mitad de las cifras de detección de las variantes del mercado. Este dato es relevante, especialmente considerando que estas estafas se enfocan únicamente en dos plataformas, en contraste con la amplia gama de mercados en línea que abarca Telekopye.

Imagen 3.

Tipos de servicios en línea atacados por Telekopye en 2024, tendencia de detección media móvil de siete días.

Características destacadas de Telekopye.

Además de diversificar su cartera de objetivos, los neandertales han perfeccionado sus herramientas y operaciones para maximizar sus rendimientos financieros.

En el seguimiento de Telekopye, hemos notado que distintos grupos de Telegram han incorporado funciones avanzadas en su conjunto de herramientas. Estas están diseñadas para acelerar el proceso de estafa, mejorar la comunicación con los objetivos, proteger los sitios web de phishing contra interrupciones por parte de competidores, entre otros fines.

Generación automática de sitios de phishing.

Para agilizar la creación de material fraudulento que simule ser compradores en mercados, Neanderthals ha implementado raspadores web para plataformas populares. Con esta herramienta, solo es necesario proporcionar la URL del producto, eliminando la necesidad de completar manualmente un cuestionario sobre el Mamut objetivo y el producto específico. Telekopye analiza automáticamente la página web y extrae toda la información requerida, lo que representa una gran aceleración para los estafadores.

Chatbot interactivo con traducción en tiempo real.

Neanderthals posee una extensa colección de respuestas estándar para las preguntas más comunes sobre los mamuts. Estas respuestas se traducen a múltiples idiomas y se archivan como parte de la documentación interna, con traducciones que han sido perfeccionadas a lo largo de los años.

Los neandertales suelen emplear frases predefinidas para atraer al mamut hacia un sitio web de phishing, el cual cuenta con un chatbot en la esquina inferior derecha. Cualquier mensaje que el mamut envíe en el chat se reenvía al chat de Telegram del neandertal, donde se traduce automáticamente. Sin embargo, la traducción automática de los mensajes de los neandertales no está disponible, por lo que ellos traducen sus mensajes manualmente, generalmente utilizando DeepL. La imagen 3 ilustra cómo se desarrolla una interacción de este tipo desde la perspectiva del neandertal y del mamut.

Imagen 4.

Ejemplo de chatbot desde el punto de vista del neandertal Ejemplo de chatbot desde el punto de vista del Neandertal (izquierda) y del Mamut (derecha). Los mensajes de Neanderthal se tradujeron automáticamente del ruso al inglés.

Medidas anti-DDoS.

La gran mayoría de los sitios web de phishing utilizan el servicio de Cloudflare, buscando la protección adicional que este ofrece, especialmente contra rastreadores y análisis automáticos. Curiosamente, algunos de los sitios de phishing de Telekopye también cuentan con protección DDoS integrada. Según la información que recopilamos infiltrándonos en sus filas, esta característica está diseñada para protegerse de ataques de grupos rivales. En ocasiones, estos ataques se llevan a cabo para interrumpir las operaciones de un competidor durante un corto período.

Operaciones de la policía.

A finales de 2023, tras la publicación de la serie de dos partes de ESET Research sobre Telekopye, las fuerzas policiales de Chequia y Ucrania arrestaron a numerosos ciberdelincuentes que utilizaban esta herramienta, incluyendo a los principales actores, en dos operaciones conjuntas. Ambas operaciones se enfocaron en un número indefinido de grupos de Telekopye, que, según estimaciones de la policía, habían acumulado al menos 5 millones de euros (aproximadamente 5,5 millones de dólares) desde 2021.

Además del claro éxito en la desarticulación de estas actividades delictivas, las detenciones ofrecieron nuevos conocimientos sobre el funcionamiento de los grupos, especialmente en lo que respecta a sus prácticas de contratación y empleo. Estos grupos estaban liderados, desde lugares de trabajo específicos, por hombres de mediana edad originarios de Europa del Este y Asia Occidental y Central. Reclutaban a personas en situaciones de vida complicadas a través de anuncios en portales de empleo que prometían «dinero fácil», así como contactando a estudiantes extranjeros con habilidades técnicas en las universidades.

Algunos escritores admitieron que también formaban parte de otro grupo de estafadores, parecido al de Telekopye, que operaba a través de centros de llamadas. La policía descubrió que a los reclutas de esta operación frecuentemente se les quitaban sus pasaportes e identificaciones personales para complicar su salida. Además, los líderes de la organización a veces amenazaban al personal y a sus familias. Este inquietante detalle ofrece una perspectiva completamente diferente sobre estas operaciones.

Sugerencias.

La mejor manera de mantenerse protegido contra las estafas impulsadas por Telekopye es ser consciente de las tácticas de Neanderthals y actuar con cautela en las plataformas afectadas. Además de identificar las banderas rojas a las que debes prestar atención, es altamente recomendable utilizar una solución antimalware confiable en tu dispositivo. Esto te ayudará a intervenir si, por alguna razón, te ves atraído a un sitio web de phishing.

Estafas en mercados en línea.

  • Siempre verifica a la persona con la que te comunicas, prestando especial atención a su historial en la plataforma, la antigüedad de su cuenta, su calificación y su ubicación. Una ubicación excesivamente lejana, una cuenta reciente sin historial o una valoración negativa pueden ser señales de un posible estafador..
  • Con los avances en la traducción automática, los mensajes de un estafador pueden no mostrar señales de alerta gramaticales. En lugar de enfocarte en el lenguaje, presta atención a la conversación en sí: una comunicación excesivamente ansiosa o asertiva debería generar cierta inquietud.
  • Mantenga la comunicación dentro de la plataforma, incluso si su interlocutor le aconseja lo contrario. Su renuencia a permanecer en la plataforma debe ser una señal de alerta significativa.
  • Si eres un comprador, asegúrate de utilizar interfaces seguras en la plataforma durante todo el proceso de compra, siempre que estén disponibles. Si no es posible, insiste en realizar el intercambio de bienes y dinero en persona, o elige servicios de entrega confiables que ofrezcan la opción de pagar al recibir el pedido.
  • Si eres vendedor, asegúrate de usar interfaces seguras dentro de la plataforma durante todo el proceso de venta, siempre que estén disponibles. En caso contrario, gestiona tú mismo las opciones de entrega y no aceptes las que te proponga el comprador.
  • Si es el momento de acceder a un enlace proporcionado por la persona con la que está conversando, asegúrese de verificar detenidamente la URL, el contenido y las propiedades del certificado del sitio web antes de interactuar con él.

Estafas en la reserva de alojamiento.

  • Antes de completar cualquier formulario vinculado a tu reserva, verifica siempre que no hayas salido de la página o aplicación oficial de la plataforma. Si te redirigen a una URL externa para continuar con tu reserva y pago, esto podría ser una señal de una posible estafa.
  • Debido a que esta estafa se basa en cuentas comprometidas de proveedores de alojamiento, contactar directamente a los proveedores no es una forma confiable de autenticar la legitimidad de las solicitudes de pago. Si tienes dudas, es mejor comunicarte con el servicio de atención al cliente oficial de la plataforma (Booking.com, Airbnb) o reportar un problema de seguridad (Booking.com, Airbnb).
  • Para salvaguardar tu cuenta de posibles riesgos, ya sea que reserves un alojamiento o lo alquiles, es fundamental usar una contraseña robusta y activar la autenticación de dos factores siempre que esté disponible.

Conclusión.

La investigación acerca de las actividades de Telekopye nos ha brindado una perspectiva singular sobre estas estafas. Hemos logrado entender los métodos técnicos que respaldan la magnitud de sus operaciones, el enfoque empresarial de los grupos de Telekopye, e incluso hemos aprendido sobre los propios Neandertales.

Se han expuesto los diferentes esfuerzos de los grupos para maximizar sus beneficios financieros, tales como ampliar su número de víctimas, aprovechar oportunidades estacionales y optimizar sus herramientas y operaciones. En particular, hemos descrito el enfoque más reciente de los Neanderthals, que consiste en atacar plataformas de reserva de alojamiento, el cual incluye objetivos más sofisticados.

Es importante mencionar que ESET ha establecido comunicación con diversas plataformas que fueron atacadas por Telekopye durante su investigación. Estas plataformas ahora están completamente al tanto de estas estafas y han confirmado que han implementado varias estrategias para hacerles frente. No obstante, se aconseja a los usuarios que mantengan precaución debido a la cantidad de estafas y su constante evolución.

Fuente web: https://www.welivesecurity.com/es/investigaciones/telekopye-dirige-sus-estafas-a-usuarios-plataformas-reservas-hospedaje/