Non si fermano le attività illecite nel web e i cybercriminali affinano le loro tecniche per attirare gli utenti nelle loro trappole.
ESET, leader europeo globale nel mercato della cybersecurity, ha scoperto che la rete organizzata di scammer Telekopye ha ampliato le proprie attività, prendendo di mira gli utenti di popolari piattaforme di prenotazione alberghiera e di alloggi. I truffatori hanno affinato la sofisticazione del processo di selezione delle vittime e del targeting su queste piattaforme, con pagine phishing ancora più credibili rispetto a quelle dei classici marketplace online. Telekopye è un toolkit che opera come un bot di Telegram, trasformando le truffe sui marketplace in un’organizzazione criminale illecita. È utilizzato da decine di gruppi di truffatori, che contano fino a migliaia di membri, al fine di sottrarre milioni di euro alle vittime. ESET Research ha presentato le ultime scoperte su Telekopye durante la conferenza Virus Bulletin 2024.
Telekopye: la rete cybercriminale fatta da “Neanderthals” che colpiscono i “Mammoth”
Nella rete di scammer Telekopye, le vittime vengono chiamate “Mammoth” dai truffatori. I truffatori che vengono definiti “Neanderthals” dai ricercatori di ESET, non hanno bisogno di particolari conoscenze tecniche – Telekopye gestisce tutto in pochi secondi. Secondo la telemetria di ESET, le truffe legate alle prenotazioni hanno iniziato a guadagnare terreno nel 2024 e, in particolare, le truffe che hanno colpito il mercato delle prenotazioni alberghiere e degli alloggi hanno visto un forte aumento a luglio, superando per la prima volta le truffe sui marketplace realizzate da Telekopye fino ad allora, segnando più del doppio delle rilevazioni. Ad agosto e settembre, le due categorie hanno continuato a mantenersi su livelli simili.
La crescente popolarità dei marketplace online ha attratto i criminali informatici, che prendono di mira acquirenti e venditori ignari per ottenere informazioni sulle carte di credito. Poiché l’aumento di queste truffe è stato rilevato nella stagione estiva nelle regioni bersagliate – ovvero nel momento ideale per approfittare di chi prenota alloggi – rimane da verificare se questa tendenza persisterà. Basandosi sui dati del 2024, queste nuove truffe hanno raccolto circa la metà delle rilevazioni rispetto a quelle avvenute sui marketplace, concentrandosi principalmente sulle due piattaforme più diffuse a livello mondiale rispetto alla vasta gamma di marketplace online precedentemente presi di mira da Telekopye.
In questo nuovo scenario, i truffatori inviano un’email all’utente bersaglio di una di queste piattaforme, affermando che c’è un problema con il pagamento della prenotazione. L’email contiene un link a una pagina web fraudolenta ben costruita, che imita la piattaforma compromessa. La pagina contiene informazioni precompilate sulla prenotazione, come le date di check-in e check-out, il prezzo e la località – e le informazioni fornite sulle pagine fraudolente corrispondono alle vere prenotazioni effettuate dagli utenti.
Oltre a diversificare gli obiettivi, i Neanderthals hanno cercato di migliorare gli strumenti e intensificare le attività per incrementare i guadagni.
Alla fine del 2023, dopo che ESET Research aveva pubblicato una serie in due parti su Telekopye, la polizia ceca e ucraina, in due operazioni congiunte, ha arrestato decine di cybercriminali che utilizzavano Telekopye, inclusi i principali responsabili. Entrambe le operazioni erano mirate contro un numero non specificato di gruppi Telekopye, che avevano accumulato almeno 5 milioni di euro dal 2021, secondo le stime della polizia.
Le raccomandazioni di ESET
“I truffatori ottengono questo risultato utilizzando account compromessi di hotel e locatori legittimi presenti sulle piattaforme, probabilmente ottenuti acquistando credenziali rubate su forum criminali. Grazie all’accesso a questi account, i truffatori selezionano utenti che hanno recentemente prenotato un soggiorno e non hanno ancora pagato – o che hanno pagato da poco – e li attaccano“, spiega Radek Jizba, ricercatore di ESET che ha scoperto e analizzato Telekopye. “Questo approccio rende la truffa molto più difficile da individuare, poiché le informazioni fornite sono personalmente rilevanti per le vittime e i siti web appaiono come ci si aspetterebbe. Gli unici segnali visibili di un’anomalia sono gli URL, che non corrispondono ai domini ufficiali delle piattaforme. Prima di compilare qualsiasi modulo relativo alla propria prenotazione”, consiglia il ricercatore, “è necessario assicurarsi sempre di non aver lasciato il sito o l’app ufficiale della piattaforma in questione. Essere reindirizzati a un URL esterno per procedere con la prenotazione e il pagamento è un forte indicatore di una truffa“.
