Перевод статьи Financial Times «Telegram emerges as new dark web for cyber criminals»

Telegram превратился местом сбора киберпреступников, желающих покупать, продавать и делиться украденными данными и инструментами взлома. Новое исследование показывает, что приложение для обмена сообщениями становится альтернативой даркнету.

Расследование, проведенное группой киберразведки Cyberint совместно с Financial Times, выявило разрастающуюся сеть хакеров, обменивающихся утечками данных на популярной платформе обмена сообщениями, иногда в каналах с десятками тысяч подписчиков, которых привлекает простота использования и легкая модерация.

Во многих случаях контент напоминал торговые площадки в даркнете: группы «луковичных» веб-сайтов, популярных среди хакеров.

«В последнее время мы наблюдаем рост использования Telegram киберпреступниками более чем на 100 процентов», — сказал Тал Самра, аналитик киберугроз в Cyberint.

«Его служба зашифрованных сообщений становится все более популярной среди злоумышленников, ведущих мошенническую деятельность и продающих украденные данные…. поскольку ее удобнее использовать, чем «темную сеть».

Рост такой активности произошел после того, как в начале этого года в приложении WhatsApp, принадлежащего Facebook, изменили политику конфиденциальности. Это заставило многих искать альтернативу, и пользователи устремились к приложению с зашифрованным чатом.

Запущенный в 2013 году, Telegram позволяет пользователям транслировать сообщения подписчикам через «каналы» или создавать общедоступные и частные группы, к которым другим будет легко получить доступ. Пользователи также могут отправлять и получать большие файлы данных, включая текстовые и zip-файлы, непосредственно через приложение.

По данным SensorTower, платформа заявила, что у нее более 500 миллионов активных пользователей и в августе она превысила 1 миллиард загрузок.

Однако использование приложения киберпреступным миром может усилить давление на платформу со штаб-квартирой в Дубае с целью усилить модерацию контента, поскольку в будущем планируется первичное размещение акций и рассматривается возможность введения рекламы в свои услуги.

По данным Cyberint, количество упоминаний в Telegram слов «Email:pass» и «Combo» — хакерский сленг, используемый для обозначения обмена списками украденных адресов электронной почты и паролей — за последний год выросло в четыре раза, почти до 3 400.

В одном общедоступном Telegram-канале под названием «combolist», у которого было более 47 000 подписчиков, хакеры продают или просто распространяют большие свалки данных с сотнями тысяч просочившихся имен пользователей и паролей.

В одном Телеграм-канале под названием «Combo List Gaming HQ» было предложено 300 000 писем и паролей, которые, по его утверждению, были полезны для взлома платформ видеоигр, таких как Minecraft, Origin или Uplay. Другой канал якобы имел 600 000 логинов для пользователей сервисов российской интернет-группы «Яндекс», другие — для Google и Yahoo.

Telegram удалил канал в четверг после того, как к нему обратилась за комментарием Financial Times.

Однако утечки паролей электронной почты составляют лишь малую часть тревожной активности на рынке Telegram. Другие типы данных, которыми торгуют, включают финансовые данные, такие как информация о кредитных картах, копии паспортов и учетные данные для банковских счетов и сайтов, таких как Netflix, говорится в исследовании. Онлайн-преступники также делятся вредоносным программным обеспечением, эксплойтами и руководствами по взлому через приложение, сообщает Cyberint.

Между тем, количество ссылок на группы или каналы Telegram, которыми обмениваются на форумах в даркнете, перевалило за 1 миллион в 2021 году по сравнению с 172035, что были годом ранее. Это связано с тем, что хакеры все чаще направляют пользователей на платформу как на более простой в использовании альтернативный или параллельный информационный центр.

В исследовании упоминается отчет vpnMentor, опубликованным ранее в этом году, в котором были обнаружены дампы данных, публикующихся в Telegram, в результате предыдущих взломов и утечек данных компаний, включая Facebook, поставщика маркетингового программного обеспечения Click.org и сайт знакомств Meet Mindful, среди прочих.

«В целом, похоже, что большинство утечек данных и взломов передаются в Telegram только после продажи в темной сети – или же хакер не смог найти покупателя и решил публично поделиться информацией и двигаться дальше», — сказал vpnMentor.

Тем не менее, он назвал эту тенденцию «серьезной эскалацией продолжающегося всплеска киберпреступности», отметив, что некоторые пользователи в этих группах оказались менее технически подкованными, чем типичный пользователь даркнета.

Telegram заявил, что не смог проверить результаты vpnMentor, потому что исследователи не уточнили, по каким каналам были эти предполагаемые утечки.

Самра сказал, что переход киберпреступников с даркнета на Telegram происходит отчасти из-за анонимности, обеспечиваемой шифрованием, но отметил, что многие из этих групп также являются общедоступными.

Он добавил, что Telegram также более доступен, обеспечивает лучшую функциональность и, как правило, с меньшей вероятностью отслеживается правоохранительными органами по сравнению с форумами в темной сети.

«В некоторых случаях легче найти покупателей в Telegram, чем на форуме, потому что все происходит проще и быстрее. Доступ стал проще… и данными можно поделиться более открыто».

По словам Cyberint, хакеры менее склонны использовать WhatsApp как по соображениям конфиденциальности, так и потому, что он отображает номера пользователей в групповых чатах, в отличие от Telegram. Зашифрованное приложение Signal остается меньше по размеру и, как правило, используется для более общего обмена сообщениями между людьми, которые знают друг друга, а не в группах в стиле форума, добавил он.

Telegram уже давно придерживается более слабого подхода к модерации контента, чем другие крупные социальные сети, такие как Facebook и Twitter, что привлекает внимание, позволяя агрессивным группам и теориям заговора процветать. В январе он начал закрывать общественные экстремистские группы и группы сторонников превосходства белой расы — впервые — после беспорядков в Капитолии на фоне опасений, что они использовались для пропаганды насилия.

Исследование Cyberint, в частности выявление общедоступных групп с возможностью поиска для киберпреступников, поднимает дополнительные вопросы о политике модерации контента Telegram и правоприменению в то время, когда генеральный директор Павел Дуров заявил, что компания готовится продавать рекламу в общедоступных каналах Telegram.

Это также происходит, когда компания готовится к выходу на публичные рынки после привлечения более 1 миллиарда долларов через продажу облигаций в марте инвесторам, включая Mubadala Investment Company, крупный суверенный фонд эмирата Персидского залива, и Abu Dhabi Catalyst Partners, совместное предприятие Mubadala и нью-йоркского хедж-фонда Falcon Edge Capital с капиталом в 4 миллиарда долларов.

В заявлении Telegram говорится, что у него «есть политика удаления личных данных, переданных без согласия». Он добавил, что каждый день его «постоянно растущий штат профессиональных модераторов» удаляет более 10 000 публичных сообществ за нарушение условий обслуживания после сообщений пользователей.