Na dark web, que é acessada de redes anônimas usando o navegador Tor, os cibercriminosos comercializam informações e serviços usados em muitos casos para fins ilegais, como contratação de serviços de hacking, compra e venda de credenciais roubadas, exploits para vulnerabilidades novas e conhecidas ou outras informações. No entanto, a ESET explica que os cibercriminosos encontraram uma alternativa para esses mercados clandestinos no aplicativo de mensagens Telegram.
Uma investigação da Cyberint em conjunto com o Financial Times revelou que houve um aumento de mais de 100% no uso da plataforma de mensagens por cibercriminosos. Esse aumento ocorreu principalmente depois que o WhatsApp anunciou neste ano mudanças em seus termos e condições, o que levou um grande número de usuários a decidir migrar para outros aplicativos de mensagens. Links para grupos do Telegram que foram compartilhados em fóruns da dark web passaram de 170.000 em 2020 para mais de um milhão em 2021, diz o estudo.
O interesse pelo Telegram se deve principalmente às opções de privacidade e anonimato em bate-papos secretos (apesar do fato de vários grupos usados para fins ilegais serem públicos) e a possibilidade de se comunicar com outras pessoas sem precisar compartilhar o número de telefone. Além disso, outro atrativo do aplicativo é a capacidade de enviar e receber grandes quantidades de arquivos, em diversos formatos, e de encontrar facilmente grupos públicos e privados de diversos temas de até 200.000 membros.
Tudo isso sob uma política de moderação que bloqueia ou suspende contas por um determinado período de tempo com base em reclamações dos próprios usuários. Segundo o Telegram, a empresa está aumentando o número de moderadores e diariamente elimina mais de 10.000 grupos públicos com base em reclamações feitas por usuários por violação dos termos de serviço.
Entre a presença e a atividade realizada por cibercriminosos na rede Telegram, centenas de milhares de credenciais vazadas de plataformas de videogame como Minecraft, Origin ou Uplay são vendidas e publicadas. A investigação usa como exemplo um canal público denominado “combolist” que possui aproximadamente 47.000 assinantes.
Mas esta não é a única maneira dos cibercriminosos usarem a plataforma, já que malware, exploits e recursos de hacking também são distribuídos, explicou a Cyberint. Portanto, empresas e profissionais que se dedicam a monitorar toda a Internet devem estar atentos às atividades neste aplicativo.
“Os meios de oferta de serviços ou softwares relacionados a ataques cibernéticos são tão variados quanto criativos. Por isso, a ideia de que essa troca aconteça apenas em mercados negros deve ser abandonada, e também incluir no monitoramento de ameaças, aplicativos que oferecem um grau médio ou alto de anonimato, independentemente de ser ou não para uso diário”, comenta Martina López, pesquisadora de segurança de TI da ESET América Latina.