Witold Kepinski - 10 oktober 2024

ESET Research ontdekt oplichting via Booking.com en Airbnb door Telekopye

ESET-onderzoekers hebben ontdekt dat het georganiseerde oplichtersnetwerk Telekopye zijn activiteiten heeft uitgebreid naar gebruikers van populaire platforms voor het boeken van accommodaties zoals Booking.com en Airbnb. Ze hebben ook hun selectie van slachtoffers verfijnd en de twee boekingssites als doelwit gekozen, waarbij de phishingpagina's nog geloofwaardiger zijn dan gewone online marktplaatsen. Telekopye is een toolkit die werkt als een Telegram-bot die online marktplaatsfraude verandert in illegale georganiseerde handel. Het wordt gebruikt door tientallen oplichtersgroepen met soms wel duizenden leden om miljoenen euro's van hun slachtoffers te stelen. ESET Research presenteerde de nieuwste bevindingen over Telekopye op de 2024 Virus Bulletin conferentie.

ESET Research ontdekt oplichting via Booking.com en Airbnb door Telekopye image

In het Telekopye-scammernetwerk noemen de scammers de beoogde kopers en verkopers ‘mammoeten’. De oplichters, die door de ESET-onderzoekers ‘Neanderthalers’ worden genoemd, hebben weinig tot geen technische kennis nodig - Telekopye regelt alles in een paar seconden. Volgens ESET-telemetrie begon de boekingsfraude in 2024 op te komen. De scams met accommodatie-thema's namen in juli een hoge vlucht en overtroffen voor het eerst de Telekopye-marktplaatsfraude, met meer dan twee keer zoveel detecties. In augustus en september bleven de twee categorieën op hetzelfde niveau.

De groeiende populariteit van online marktplaatsen heeft fraudeurs aangetrokken die azen op nietsvermoedende kopers en verkopers, op zoek naar creditcardgegevens in plaats van koopjes. Omdat deze toename van oplichting met boekingen samenvalt met het zomerseizoen in de doelregio's - de beste tijd om te profiteren van mensen die een verblijf boeken - valt nog te bezien of deze trend zich voortzet. Op basis van de gegevens van 2024 hebben deze nieuwere scams ongeveer de helft van het aantal detecties van de marktplaatsvarianten verzameld. De nieuwere scams richten zich voornamelijk op twee platforms - Booking.com en Airbnb - in vergelijking met de grote verscheidenheid aan online marktplaatsen waar Telekopye zich op richt.

In dit nieuwe oplichtingsscenario sturen oplichters een e-mail naar een beoogde gebruiker van één van deze platforms, waarin ze beweren dat er een probleem is met de betaling van hun boeking. De e-mail bevat een link naar een goed ontworpen, legitiem uitziende webpagina die het misbruikte platform nabootst. De pagina bevat vooraf ingevulde informatie over een boeking, zoals de incheck- en uitcheckdatum, prijs en locatie - en de informatie op de frauduleuze pagina's komt overeen met echte boekingen van de beoogde gebruikers.

Accounts

"De oplichters bereiken dit door gebruik te maken van gecompromitteerde accounts van legitieme hotels en accommodatieverhuurders op de platforms, die ze waarschijnlijk hebben verkregen door gestolen referenties te kopen op platformen voor cybercriminelen. Met behulp van hun toegang tot deze accounts, zoeken de oplichters gebruikers uit die onlangs een verblijf hebben geboekt en nog niet hebben betaald - of zeer recentelijk hebben betaald - en richten zich op hen,” legt ESET-onderzoeker Radek Jizba uit, die Telekopye ontdekte en analyseerde. "Deze aanpak maakt de oplichting veel moeilijker te herkennen, omdat de verstrekte informatie persoonlijk relevant is voor de slachtoffers en de websites er naar alle verwachting uitzien. De enige zichtbare tekenen dat er iets mis is, zijn de URL's van de websites, die niet overeenkomen met de geïmiteerde, legitieme websites,” voegt hij eraan toe.

Naast het diversifiëren van hun doelportefeuille hebben de ‘Neanderthalers’ ook geprobeerd hun tools en activiteiten te verbeteren om hun winst te vergroten.

“Controleer voordat je formulieren invult die gerelateerd zijn aan je boeking altijd of je de officiële website of app van het platform in kwestie niet hebt verlaten. Doorverwezen worden naar een externe URL om verder te gaan met je boeking en betaling is een sterke indicator van oplichting,” adviseert Jizba.

Eind 2023, nadat ESET Research zijn tweedelige serie over Telekopye had gepubliceerd, arresteerden de Tsjechische en Oekraïense politie in twee gezamenlijke operaties tientallen cybercriminelen die Telekopye gebruikten, waaronder de hoofdrolspelers. Beide operaties waren gericht tegen een niet nader gespecificeerd aantal Telekopye-groepen, die volgens schattingen van de politie sinds 2021 minstens 5 miljoen euro hadden vergaard.

Axians 12/11/2024 t/m 26/11/2024 BN+BW