Thực hiện nghiên cứu "Tại sao Telegram ngày càng được tin tặc ưa chuộng”, Intel 471 (công ty công nghệ của Hoa Kỳ chuyên cung cấp thông tin về phần mềm độc hại và tội phạm mạng) đã phân tích điều khiến cho các dịch vụ tin nhắn - cụ thể là Telegram đang là một giải pháp thay thế hiệu quả cho các diễn đàn ngầm nổi tiếng, đặc biệt là những chợ đen buôn thông tin. Các nhà nghiên cứu đã phát hiện ra rằng sự kết hợp giữa tính đơn giản và bảo mật được Telegram tạo ra đã vô tình cung cấp một trung tâm liên lạc hoàn hảo cho tin tặc, giúp chúng có thể nhắn tin, cũng như nhận hay gửi các gói tin lớn. Telegram đồng thời cung cấp cho tin tặc khả năng tạo ra các kênh dành riêng cho những sở thích cụ thể, mà điều này thường không thực hiện được ở các diễn đàn ngầm. Việc này cho phép tin tặc thực hiện các hành vi tội phạm thông qua việc thành lập và tham gia các nhóm và kênh phù hợp với lợi ích và mục tiêu đặt ra của chúng.
Trong số các nhóm tin tặc mà Intel 471 đã quan sát, Telegram được coi là phương pháp liên lạc ẩn danh được ưa thích hơn là các dịch vụ nhắn tin trong các diễn đàn được quản trị viên giám sát. Telegram cung cấp các giao tiếp được mã hóa gần như trong thời gian thực nếu cả hai bên cùng trực tuyến, trong khi đó việc nhắn tin trên diễn đàn cần phải yêu cầu và chờ thông báo cuộc trò chuyện được mã hóa. Thời gian trễ này, cùng với các rủi ro bảo mật khác như việc cần cung cấp các thông tin liên hệ chẳng hạn như địa chỉ email và ID Telegram khiến tin tặc cảm thấy bất tiện.
Ngoài ra, tin tặc có thể thuận tiện sử dụng Telegram dưới nhiều cấp độ liên lạc. Ví dụ, một người dùng Telegram có thể sử dụng một thao tác để truy cập cả tin nhắn riêng tư cũng như trong nhóm và kênh, điều mà phần lớn các nền tảng tin nhắn không làm được. Dịch vụ của Telegram cũng cho phép tin tặc bỏ qua web host hay dịch vụ miền mà có thể khiến chúng trở nên dễ bị phát hiện khi triển khai tấn công DDoS. Nhóm tin tặc sử dụng phần mềm độc hại X-Files cũng sử dụng Telegram theo cách này, bên cạnh việc sử dụng một nền tảng để khởi chạy và vận hành phần mềm độc hại đó.
Mặt khác, nơi tin tặc ở và ngôn ngữ họ dùng có thể ảnh hưởng đáng kể đến quyết định sử dụng các diễn đàn ngầm hoặc dịch vụ giống như Telegram. Ví dụ, tin tặc Trung Quốc có thể tận dụng Telegram để né tránh pháp luật khi các diễn đàn của tin tặc và các nền tảng trong nước như WeChat hay QQ đều được giám sát bởi chính quyền khu vực. Hiện nay, có một số lý do mà tin tặc trong khu vực châu Á ít sử dụng Telegram vì một ứng dụng mới có tên Session Manager đang ngày càng phổ biến, do ứng dụng này không yêu cầu thông tin cá nhân để đăng ký tài khoản. Tuy nhiên, WeChat và QQ vẫn là các nền tảng giao tiếp phổ biến đối với các nhóm tin tặc ở Trung Quốc vì họ có nhiều cách để gửi thanh toán trong nền tảng - một tính năng mà Telegram không có.
Nhóm nghiên cứu cũng quan sát thấy các nhóm tin tặc đang dần từ bỏ các diễn đàn Ả Rập và Ba Tư trong vài năm qua, chủ yếu ủng hộ các kênh và nhóm Telegram, bởi Telegram sẽ cung cấp lượng người theo dõi lớn hơn, giúp tăng cường khả năng dịch vụ. Cũng có thể các nhóm tin tặc ở các quốc gia có chính sách sử dụng Internet nghiêm ngặt chẳng hạn như Iran đã nhận ra rằng Telegram có thể cung cấp khả năng bảo vệ an ninh tốt và giảm thiểu các rủi ro có thể xảy ra.
Bên cạnh những nhóm tin tặc có động cơ tài chính thì các nhóm tin tặc khác cũng dần chuyển sang Telegram. Những nhóm tin tặc được nhắc đến trước đây thường sử dụng Facebook và Twitter để quảng bá vỏ bọc và một số hoạt động, thì hiện tại được ghi nhận đang sử dụng Telegram làm ứng dụng giao tiếp cơ bản. VÍ dụ như nhóm tin tặc Jerusalem Electronic Army đã hoạt động trên Facebook, nhưng hiện chủ yếu đăng bài trên Telegram. Tương tự, Nhóm 1877 - một nhóm tin tặc được cho là đang hoạt động ở Iraq thường xuất hiện trên Facebook và Twitter nhưng nay chủ yếu hoạt động trên Telegram. Điều này cũng dễ hiểu vì Facebook và Twitter hiện có các chính sách để vô hiệu hóa các tài khoản nhóm quảng bá hoạt động bất hợp pháp nhưng Telegram thì không.
Trong khi Telegram không tích hợp thanh toán trực tuyến, nhưng kết cấu đơn giản của nó là một lựa chọn phù hợp cho các nhóm tin tặc tìm kiếm một phương thức đơn giản mà hiệu quả để tham gia và quản lý các hoạt động bất hợp pháp của mình. Một số nhóm sử dụng Telegram để linh hoạt các hoạt động, cung cấp nhật ký của phần mềm độc hại, các tài khoản bị tấn công và dữ liệu bị lấy cắp.
Vào tháng 3/2022, một tin tặc chuyên bán các tài khoản ngân hàng bị tấn công đã thông qua một kênh Telegram cùng với các dịch vụ tương tự để đăng tải trên diễn đàn WWH-Club. Tin tặc này đã quảng cáo một số dịch vụ được đăng tải trên Telegram, bao gồm dịch vụ tin nhắn cung cấp thư rác và dữ liệu thẻ thanh toán với hồ sơ của chủ thẻ.
Vào tháng 5/2022, một tin tặc khác đã mở bán dữ liệu thẻ thanh toán bị xâm phạm và quảng cáo nó trên kênh Telegram cá nhân với hơn 3.300 thành viên theo dõi tại thời điểm đó. Kênh Telegram được tạo ra khoảng một năm rưỡi trước khi tin tặc này rao bán thông tin.
Intel 471 cũng cho biết, một tin tặc gốc Ấn khác là một quản trị viên của nhiều kênh Telegram với hàng ngàn lượt theo dõi đã vận hành việc cung cấp thẻ ngân hàng bị xâm phạm, dịch vụ ký quỹ và rút tiền cùng các video hướng dẫn. Tin tặc này đã sử dụng các nhóm Telegram để sao lưu các hoạt động phi pháp của mình.
Tin tặc không chuyển đổi hoàn toàn sang Telegram
Mặc dù Telegram ngày càng phổ biến, thì tin tặc vẫn tiếp tục hoạt động trên các diễn đàn ngầm. Bởi các diễn đàn cung cấp tính năng cho phép chúng xây dựng danh tiếng thông qua hệ thống tính điểm tích hợp - một tính năng phổ biến trong giới tin tặc mà Telegram không có. Thêm vào đó, trong khi Telegram đã từng sử dụng cách tiếp cận tự do cho chính sách riêng tư và từ chối hợp tác với cơ quan pháp luật, thì trong năm 2022 công ty đã đổi hướng củng cố chính sách và xóa bỏ các dữ liệu cá nhân bị phát tán mà không có sự đồng ý. Đây là sự giám sát bổ sung, kiểm duyệt nội dung và sự sửa đổi chính sách có thể khiến các nhóm tin tặc phải tìm một nền tảng thay thế khác. Tuy nhiên, vì tin tặc đang kiếm lời nhiều hơn từ các dịch vụ đăng tải trên Telegram nên các nhà nghiên cứu dự đoán rằng Telegram vẫn là một công cụ giao tiếp chính của chúng trong thời gian tới.
Tuấn Hưng
13:00 | 02/08/2022
11:00 | 10/11/2022
10:00 | 15/12/2022
08:00 | 23/06/2022
10:00 | 14/06/2022
12:00 | 28/04/2023
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
13:00 | 23/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
17:00 | 22/12/2023
Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024