Thực hiện nghiên cứu "Tại sao Telegram ngày càng được tin tặc ưa chuộng”, Intel 471 (công ty công nghệ của Hoa Kỳ chuyên cung cấp thông tin về phần mềm độc hại và tội phạm mạng) đã phân tích điều khiến cho các dịch vụ tin nhắn - cụ thể là Telegram đang là một giải pháp thay thế hiệu quả cho các diễn đàn ngầm nổi tiếng, đặc biệt là những chợ đen buôn thông tin. Các nhà nghiên cứu đã phát hiện ra rằng sự kết hợp giữa tính đơn giản và bảo mật được Telegram tạo ra đã vô tình cung cấp một trung tâm liên lạc hoàn hảo cho tin tặc, giúp chúng có thể nhắn tin, cũng như nhận hay gửi các gói tin lớn. Telegram đồng thời cung cấp cho tin tặc khả năng tạo ra các kênh dành riêng cho những sở thích cụ thể, mà điều này thường không thực hiện được ở các diễn đàn ngầm. Việc này cho phép tin tặc thực hiện các hành vi tội phạm thông qua việc thành lập và tham gia các nhóm và kênh phù hợp với lợi ích và mục tiêu đặt ra của chúng.

Telegram: công cụ trao đổi thông tin dễ dàng

Trong số các nhóm tin tặc mà Intel 471 đã quan sát, Telegram được coi là phương pháp liên lạc ẩn danh được ưa thích hơn là các dịch vụ nhắn tin trong các diễn đàn được quản trị viên giám sát. Telegram cung cấp các giao tiếp được mã hóa gần như trong thời gian thực nếu cả hai bên cùng trực tuyến, trong khi đó việc nhắn tin trên diễn đàn cần phải yêu cầu và chờ thông báo cuộc trò chuyện được mã hóa. Thời gian trễ này, cùng với các rủi ro bảo mật khác như việc cần cung cấp các thông tin liên hệ chẳng hạn như địa chỉ email và ID Telegram khiến tin tặc cảm thấy bất tiện.

Ngoài ra, tin tặc có thể thuận tiện sử dụng Telegram dưới nhiều cấp độ liên lạc. Ví dụ, một người dùng Telegram có thể sử dụng một thao tác để truy cập cả tin nhắn riêng tư cũng như trong nhóm và kênh, điều mà phần lớn các nền tảng tin nhắn không làm được. Dịch vụ của Telegram cũng cho phép tin tặc bỏ qua web host hay dịch vụ miền mà có thể khiến chúng trở nên dễ bị phát hiện khi triển khai tấn công DDoS. Nhóm tin tặc sử dụng phần mềm độc hại X-Files cũng sử dụng Telegram theo cách này, bên cạnh việc sử dụng một nền tảng để khởi chạy và vận hành phần mềm độc hại đó.

Mặt khác, nơi tin tặc ở và ngôn ngữ họ dùng có thể ảnh hưởng đáng kể đến quyết định sử dụng các diễn đàn ngầm hoặc dịch vụ giống như Telegram. Ví dụ, tin tặc Trung Quốc có thể tận dụng Telegram để né tránh pháp luật khi các diễn đàn của tin tặc và các nền tảng trong nước như WeChat hay QQ đều được giám sát bởi chính quyền khu vực. Hiện nay, có một số lý do mà tin tặc trong khu vực châu Á ít sử dụng Telegram vì một ứng dụng mới có tên Session Manager đang ngày càng phổ biến, do ứng dụng này không yêu cầu thông tin cá nhân để đăng ký tài khoản. Tuy nhiên, WeChat và QQ vẫn là các nền tảng giao tiếp phổ biến đối với các nhóm tin tặc ở Trung Quốc vì họ có nhiều cách để gửi thanh toán trong nền tảng - một tính năng mà Telegram không có.

Nhóm nghiên cứu cũng quan sát thấy các nhóm tin tặc đang dần từ bỏ các diễn đàn Ả Rập và Ba Tư trong vài năm qua, chủ yếu ủng hộ các kênh và nhóm Telegram, bởi Telegram sẽ cung cấp lượng người theo dõi lớn hơn, giúp tăng cường khả năng dịch vụ. Cũng có thể các nhóm tin tặc ở các quốc gia có chính sách sử dụng Internet nghiêm ngặt chẳng hạn như Iran đã nhận ra rằng Telegram có thể cung cấp khả năng bảo vệ an ninh tốt và giảm thiểu các rủi ro có thể xảy ra.

Bên cạnh những nhóm tin tặc có động cơ tài chính thì các nhóm tin tặc khác cũng dần chuyển sang Telegram. Những nhóm tin tặc được nhắc đến trước đây thường sử dụng Facebook và Twitter để quảng bá vỏ bọc và một số hoạt động, thì hiện tại được ghi nhận đang sử dụng Telegram làm ứng dụng giao tiếp cơ bản. VÍ dụ như nhóm tin tặc Jerusalem Electronic Army đã hoạt động trên Facebook, nhưng hiện chủ yếu đăng bài trên Telegram. Tương tự, Nhóm 1877 - một nhóm tin tặc được cho là đang hoạt động ở Iraq thường xuất hiện trên Facebook và Twitter nhưng nay chủ yếu hoạt động trên Telegram. Điều này cũng dễ hiểu vì Facebook và Twitter hiện có các chính sách để vô hiệu hóa các tài khoản nhóm quảng bá hoạt động bất hợp pháp nhưng Telegram thì không.

Trong khi Telegram không tích hợp thanh toán trực tuyến, nhưng kết cấu đơn giản của nó là một lựa chọn phù hợp cho các nhóm tin tặc tìm kiếm một phương thức đơn giản mà hiệu quả để tham gia và quản lý các hoạt động bất hợp pháp của mình. Một số nhóm sử dụng Telegram để linh hoạt các hoạt động, cung cấp nhật ký của phần mềm độc hại, các tài khoản bị tấn công và dữ liệu bị lấy cắp.

Vào tháng 3/2022, một tin tặc chuyên bán các tài khoản ngân hàng bị tấn công đã thông qua một kênh Telegram cùng với các dịch vụ tương tự để đăng tải trên diễn đàn WWH-Club. Tin tặc này đã quảng cáo một số dịch vụ được đăng tải trên Telegram, bao gồm dịch vụ tin nhắn cung cấp thư rác và dữ liệu thẻ thanh toán với hồ sơ của chủ thẻ.

Vào tháng 5/2022, một tin tặc khác đã mở bán dữ liệu thẻ thanh toán bị xâm phạm và quảng cáo nó trên kênh Telegram cá nhân với hơn 3.300 thành viên theo dõi tại thời điểm đó. Kênh Telegram được tạo ra khoảng một năm rưỡi trước khi tin tặc này rao bán thông tin.

Intel 471 cũng cho biết, một tin tặc gốc Ấn khác là một quản trị viên của nhiều kênh Telegram với hàng ngàn lượt theo dõi đã vận hành việc cung cấp thẻ ngân hàng bị xâm phạm, dịch vụ ký quỹ và rút tiền cùng các video hướng dẫn. Tin tặc này đã sử dụng các nhóm Telegram để sao lưu các hoạt động phi pháp của mình.

Tin tặc không chuyển đổi hoàn toàn sang Telegram

Mặc dù Telegram ngày càng phổ biến, thì tin tặc vẫn tiếp tục hoạt động trên các diễn đàn ngầm. Bởi các diễn đàn cung cấp tính năng cho phép chúng xây dựng danh tiếng thông qua hệ thống tính điểm tích hợp - một tính năng phổ biến trong giới tin tặc mà Telegram không có. Thêm vào đó, trong khi Telegram đã từng sử dụng cách tiếp cận tự do cho chính sách riêng tư và từ chối hợp tác với cơ quan pháp luật, thì trong năm 2022 công ty đã đổi hướng củng cố chính sách và xóa bỏ các dữ liệu cá nhân bị phát tán mà không có sự đồng ý. Đây là sự giám sát bổ sung, kiểm duyệt nội dung và sự sửa đổi chính sách có thể khiến các nhóm tin tặc phải tìm một nền tảng thay thế khác. Tuy nhiên, vì tin tặc đang kiếm lời nhiều hơn từ các dịch vụ đăng tải trên Telegram nên các nhà nghiên cứu dự đoán rằng Telegram vẫn là một công cụ giao tiếp chính của chúng trong thời gian tới.