Cybersicherheitsforscher warnen vor der „Demokratisierung“ des Phishing-Ökosystems aufgrund der Verbreitung von Telegram als Zentrum für Cyberkriminalität. Bedrohungsakteure können für lediglich 230 US-Dollar einen Massenangriff starten. Telegram hat sich zu einem belebten Hub entwickelt, an dem erfahrene Cyberkriminelle und Neulinge illegale Werkzeuge und Erkenntnisse austauschen und dadurch eine dunkle und gut geölte Lieferkette von Werkzeugen und Opferdaten entstehen lassen. Telegram wird auch als „Paradies für Betrüger“ und als „Brutstätte für moderne Phishing-Operationen“ bezeichnet. Durch die nachlässige Moderation auf der Plattform ist es nun möglich, dass das, was früher nur in Einladungsforen im Dark Web verfügbar war, über öffentliche Kanäle und Gruppen zugänglich ist und somit angehenden und unerfahrenen Cyberkriminellen die Türen zur Cyberkriminalität öffnet.
Im April 2023 enthüllte Kaspersky, wie Phisher Telegram-Kanäle erstellen, um Anfänger über Phishing zu informieren und Bots zu bewerben, die den Prozess des Erstellens von Phishing-Seiten zur Erfassung sensibler Informationen wie Anmeldeinformationen automatisieren können. Ein solcher bösartiger Telegramm-Bot ist Telekopye (auch bekannt als Classiscam), der betrügerische Webseiten, E-Mails und SMS-Nachrichten erstellen kann, um Bedrohungsakteuren bei groß angelegten Phishing-Betrügereien zu helfen.
Guardio sagt, dass die Bausteine für eine Phishing-Kampagne leicht auf Telegram gekauft werden können – „einige werden zu sehr niedrigen Preisen angeboten, manche sogar kostenlos“ – und es somit möglich ist, betrügerische Seiten mithilfe eines Phishing-Kits einzurichten, die Seite auf einer kompromittierten WordPress-Website mithilfe einer Webshell zu hosten und einen Backdoor-Mailer zu verwenden, um die E-Mail-Nachrichten zu versenden. Backdoor-Mailer, die in verschiedenen Telegramm-Gruppen vermarktet werden, sind PHP-Skripte, die in bereits infizierte, aber legitime Webseiten eingefügt werden, um über die legitime Domain der ausgenutzten Webseite überzeugende E-Mails zu senden und Spam-Filter zu umgehen. „Diese Situation betont eine doppelte Verantwortung für Seiteninhaber“, sagen die Forscher. „Sie müssen nicht nur ihre Geschäftsinteressen schützen, sondern auch gegen die Verwendung ihrer Plattformen durch Betrüger für das Hosting von Phishing-Operationen, das Versenden von irreführenden E-Mails und die Durchführung anderer illegaler Aktivitäten, die ihnen unbekannt sind, schützen.“
Um die Erfolgschancen solcher Kampagnen weiter zu erhöhen, bieten digitale Marktplätze auf Telegram auch sogenannte „Letters“ an, das sind „fachmännisch gestaltete, gebrandete Vorlagen“, die die E-Mail-Nachrichten so authentisch wie möglich erscheinen lassen, um die Opfer dazu zu bringen, auf den gefälschten Link zur Betrugsseite zu klicken. Telegram bietet auch umfangreiche Datensätze mit gültigen und relevanten E-Mail-Adressen und Telefonnummern, mit denen man arbeiten kann. Diese werden als „Leads“ bezeichnet und werden manchmal mit persönlichen Informationen wie Namen und physischen Adressen „angereichert“, um die Wirkung zu maximieren.
Ein weiterer wichtiger Bestandteil dieser Phishing-Kampagnen besteht darin, die gesammelten gestohlenen Zugangsdaten zu vermarkten, indem sie zu anderen kriminellen Gruppen in Form von „Logs“ verkauft werden. Die Bedrohungsakteure erzielen dabei eine zehnfache Rendite ihrer Investition basierend auf der Anzahl der Opfer, die gültige Details auf der Betrugsseite angeben. „Zugangsdaten für Social-Media-Konten werden bereits für einen Dollar verkauft, während Bankkonten und Kreditkarten je nach Gültigkeit und Guthaben für Hunderte von Dollar verkauft werden können“, sagen die Forscher. „Leider kann jeder mit nur einer kleinen Investition eine bedeutende Phishing-Operation starten, unabhängig von Vorwissen oder Verbindungen zur kriminellen Unterwelt.“
