Podvodníci na Telegramu používají nástroj, který jste nazvali Telekopí. O co jde?

Telekopí je bot neboli program, se kterým je možné komunikovat za pomoci chatovací platformy Telegram. Mnoho uživatelů ho zároveň používá k vytváření podvodných phishingových stránek na různé bazary či ubytovací služby, jako je Booking. 

Ruskojazyčné skupiny, které nástroj používají, mají tisíce členů. Uvnitř existuje několik "kast" podvodníků. Například peníze z obětí dostávají až "techničtí pracovníci". Podvodník, který s obětí zpočátku komunikuje, z nich dostane jen část. Co ještě víme o jejich organizaci?

Je několik statusů, které lze ve skupině mít. První je, že je uživatel zablokovaný. Nějak se proti skupině provinil, oni ho vyhodili a bot s ním přestane komunikovat. Poté je základní pracovník, který může bota používat, jak chce, a může vytvářet podvodné stránky. Pak je elitní pracovník, který skupině odevzdává menší desátky, ale má přístup ke stejným funkcím bota. Moderátor může blokovat uživatele a dělat ve skupině různé operace. Nakonec je administrátor, kterých jsou maximálně jednotky. Ti dokážou měnit například to, kolik se vyplácí pracovníkům z každého podvodu, můžou upravovat i jádro Telekopí.

Když jsem mluvil s lidmi, kteří peníze z podvodů perou přes české bankovní účty, tvrdili, že si měsíčně vydělávají až 160 tisíc korun. Na kolik si přijdou tito podvodníci?

Tomu by se asi dalo věřit. Já jsem většinou narazil na částku kolem 80 tisíc korun, když tomu dá člověk dostatek času. V každé ze skupin jsou stovky až tisíce lidí. Ale těch, kteří se podvodům věnují naplno jako práci, jsou spíše desítky.

Překvapilo mě, jak všední lidé ti podvodníci byli. Nepůsobili jako ostřílení zločinci. Jsou na tom podobně i lidé z těchto skupin?

Je to tak. Například když člověk narazí na jejich manuály, píšou tam nejen různé podvodné techniky, ale i své myšlenky. Tu a tam člověk narazí na jakési jejich morální dilema, když se snaží ospravedlnit, co dělají a proč je to podle nich správné. 

V ruskojazyčných skupinách je rozšířený názor, že lidé na Západě jsou bohatí, a proto je v pořádku je podvádět.

Ano, častý je argument, že berou bohatým, jelikož chudí nemají peníze koupit si na bazaru třeba něco za pět tisíc.

Jaké máte informace o původu Telekopí?

Na hackerském fóru jsem narazil na pravděpodobně původní nabídku tohoto nástroje. Nemůžu stoprocentně potvrdit, že šlo o Telekopí, ale jeden z uživatelů tam prodával bota a měl screenshoty jeho kódu. O nich vím, že pak byly použity i v Telekopí. Příspěvek byl přibližně z roku 2016, ale nevím, jak a jestli to fungovalo i předtím.

Kradou údaje a prodávají je dál

O prázdninách vzrostl počet útoků spojených s ubytováním. Jak tyto podvody fungují?

Většinou ukradnou účet ubytovacímu zařízení. Poté si vyjedou seznam lidí, kteří nedávno koupili ubytování. Těm napíšou, že byl problém s jejich rezervací, a následně je zavedou na phishingovou stránku. Lidé, kteří se nabourávají do účtů ubytovacích zařízení, jsou ale jiná skupina. Živí se tím, že přeprodávají přístupové údaje.

Probíhá přeprodávání údajů na Telegramu?

Vím, že obě tyto skupiny operují na Telegramu. Existují velké společné skupiny, kde se rekrutují na jednu nebo druhou stranu. Nebo tam inzerují. Píšou tam zprávy jako "mám třicet účtů od Bookingu na francouzské hotely za 50 dolarů".

V případě Bookingu tedy přes podvodnou stránku získají platební údaje a další podvodníci pak zajišťují převod peněz?

Nejsem si jistý, zda to dělají manuálně. Skoro bych řekl, že je to nějak zautomatizované, ale tuto část tak dobře neznáme.

Pracovník, který z oběti peníze získá, k nim ale nemá přístup, že?

Nemá k nim přístup do doby, než si od šéfa vyžádá výplatu.

A jakou má záruku, že mu peníze z podvodu opravdu vyplatí?

To úplně nemá, ale šéfové chtějí vypadat dobře, protože jinak by pro ně nikdo nepracoval. Většinou se tak snaží závazky plnit. Ale také jsem narazil na už neaktivní skupiny, kde podvodníci varovali, že administrátor nevyplácí peníze.

Jakou část z ukradených peněz dostane pracovník?

Dostávají od 50 do 70 procent.

Jak jsou podvodníkům peníze vypláceny?

Hlavní administrátor spravuje celý back-end, všechno, co se v programu děje. Dvě základní možnosti jsou, že buď dostane podvodník výplatu v kryptoměně skrz takzvané mixéry, které zastírají jejich původ. V minulosti používali i různé systémy, které fungovaly jako platební karta, ale nepotřebovali se k ní autorizovat.

Používám jejich taktiku proti nim

Podvodníci se nepotřebují sdružovat například v kanceláři, ale působí "z domova", že?

Je to tak. Stačí se nějakým způsobem připojit ke skupině a autorizovat se. Oni samozřejmě mezi sebe nechtějí pustit každého. Ale jakmile se člověk autorizuje, tak mu dají k dispozici ten nástroj a řeknou: "Tady můžeš pracovat a budeš nám odvádět nějaké peníze."

Jak probíhá autorizování?

Liší se to skupina od skupiny, ale v základu tam je vždy pár základních otázek - kolik práce je tomu člověk schopný věnovat, jaké má zkušenosti. Otázka na zkušenosti je velmi důležitá. Já jsem třeba zjistil, že abych se mezi skupiny úspěšně dokázal infiltrovat, musím začít používat jejich slang.

Proč se podvedeným říká "mamuti"?

Je to ruský slang. Používají ho ale i další skupiny podvodníků. U nás by se řeklo hejl nebo kavka.

Skupin existuje více, je mezi nimi rivalita?

Rivalita tam docela je. Záleží ale, jak moc si skupiny konkurují. Útočí na sebe pomocí DDoS (cílem útoku je službu znefunkčnit nebo znepřístupnit, například zahlcením množstvím požadavků, pozn. red.). Nebo tak, že se dostanou do té druhé skupiny a začnou jim třeba spamovat chat, až je nepoužitelný.

Všechny skupiny podvodníků jsou ruskojazyčné. Nakolik vedou stopy do Ruska?

Celý program komunikuje v ruštině. Kdo umí rusky, může ho používat. Máme nepřímo potvrzeno, že některé skupiny byly nalezeny i různě po Evropě, ale pořád šlo o ruskojazyčné skupiny.

Je možné, že jsou napojené přímo na ruský stát?

Já bych do toho stát netahal, protože tyto skupiny útočí i na ruské obyvatelstvo. To by jim asi neprošlo. Navíc bych řekl, že není úplně bezpečný koníček útočit na Rusy. 

Na Telegramu se ve velkém obchoduje se SIM kartami. Například tu shání pravidelného dodavatele karet z Jižní Ameriky. Jak to souvisí s podvody?

SIM karty se používají, když se podvodníci potřebují registrovat na různé platformy jako například Bazoš. Používají i ukradená čísla či účty.

Mluvil někdo z podvodníků, se kterými jste komunikoval, česky?

Psal jsem si s nimi pouze rusky. Vtipné je, že používám jejich taktiku proti nim. Velmi si zakládají na různých překladačích. Díky tomu, že mám přístup k jejich manuálům, tak jsem věděl, které používají. A začal jsem s nimi komunikovat pomocí nich. A nikdo se nedivil, takže to asi dělá dobré překlady. 

Zaměřují se pouze na Evropu?

Nejenom na ni. Působí různě po světě. Ale řekl bych, že Evropa je jejich primární cíl.

Video: Ukradnou vaši identitu a půjčí si. Expertka o skryté hrozbě, naletět může každý