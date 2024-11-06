Desde o seu lançamento em agosto de 2013, o Telegram se tornou o aplicativo de mensagens preferido para usuários focados em privacidade. Para começar a usar o aplicativo, os usuários podem se inscrever usando seu número de telefone real ou um número anônimo comprado no mercado blockchain Fragment. Neste último caso, o Telegram não pode ser vinculado ao número de telefone real do usuário ou a qualquer outra informação de identificação pessoal (PII).
O Telegram também é conhecido há muito tempo por sua política de moderação sem intervenção. A plataforma afirmou explicitamente em suas perguntas frequentes que os bate-papos privados estavam totalmente fora dos limites para moderação. Em vez disso, a moderação de conteúdo era orientada pelo usuário, e a denúncia de atividades ilegais era deixada principalmente para os próprios usuários. Por outro lado, muitos de seus pares, como o WhatsApp, investem pesadamente na moderação de conteúdo e cooperação com as autoridades policiais.
Essas características também tornaram o Telegram o aplicativo de mensagens preferido para crimes cibernéticos e outras atividades ilegais. Isso inclui distribuição de malware, venda de bens e serviços ilegais, recrutamento de associados e coordenação de ataques cibernéticos. Para grupos de crime cibernético mais organizados, o Telegram é um hub para compartilhar inteligência operacional e ampliar negócios ilícitos, da mesma forma que as organizações legítimas fazem nos canais convencionais.
No entanto, a abordagem do Telegram em relação à privacidade do usuário e moderação de conteúdo mudou significativamente após a prisão do CEO Pavel Durov na França em 24 de agosto de 2024, com a empresa mudando silenciosamente sua página de perguntas frequentes e política de privacidade nas semanas seguintes. Embora o código-fonte do aplicativo não tenha sido alterado, de acordo com Remy Vaughn, porta-voz do Telegram, os usuários agora podem denunciar atividades ilegais para remoção automatizada ou moderação manual. Além disso, o Telegram também atualizou sua política de privacidade, declarando que, ao receber uma ordem judicial válida, lidará com os números de telefone e os endereços IP dos usuários.
Embora essas mudanças sejam indiscutivelmente um passo na direção certa para a aplicação da lei, elas também estão impulsionando uma migração de atividades cibernéticas maliciosas para outras plataformas, como o Signal ou o Session. Um sindicato do crime cibernético, conhecido como a gangue de ransomware Bl00dy, declarou publicamente que estava saindo do Telegram como resultado direto da mudança de política da empresa. Muitos grupos hacktivistas também seguiram o exemplo, assim como usuários legítimos que confiam no Telegram para liberdade de expressão em regimes opressores.
Infelizmente, também é possível ver essas mudanças nas políticas como uma mera substituição de atividades ilegais, com o crime cibernético se tornando fragmentado em uma gama cada vez mais ampla de plataformas. Potencialmente, isso pode tornar mais difícil para a segurança pública e os analistas de cibersegurança rastrear e interromper os agentes de ameaças. Por exemplo, as red teams podem ter mais dificuldade em obter acesso a essas comunidades ocultas para identificar e mitigar ameaças antes que elas possam causar danos reais.
Há muito tempo, o Telegram é uma fonte rica de inteligência de ameaças, com muitos canais voltados para o público sendo usados para organizar atividades criminosas cibernéticas. Embora os bate-papos privados tenham, em sua maioria, estado completamente fora dos limites dos analistas de ameaças e autoridades policiais, políticas de moderação mais rigorosas também foram aplicadas aos canais públicos, potencialmente facilitando a exposição de criminosos. No entanto, embora poucos argumentassem que isso é ruim em princípio, ela vem com uma ressalva: os criminosos podem simplesmente migrar para outro lugar.
Talvez ainda mais preocupante seja a crescente possibilidade de levar tanto cibercriminosos quanto hacktivistas aos braços do crime cibernético e da espionagem cibernética patrocinados pelo estado. Isso também abre a probabilidade de os agentes da ameaça usarem plataformas criptografadas e descentralizadas de ponta a ponta que têm ainda menos supervisão do que o Telegram já teve. Isso poderia complicar os esforços das red teams encarregadas de simular ataques ou monitorar essas comunidades, reduzindo assim sua capacidade de detectar ameaças precocemente.
Nada do acima significa necessariamente que haverá um êxodo em massa de atividades criminosas cibernéticas do Telegram. Afinal, com cerca de 900 milhões de usuários mensais, de acordo com os dados do próprio Telegram, a plataforma ainda tem a enorme audiência da qual operações criminosas cibernéticas em grande escala, como malware como serviço, precisam para expandir seu alcance.
Além disso, novos usuários ainda podem se inscrever anonimamente usando um número comprado da blockchain Fragment, caso em que a promessa do Telegram de cumprir uma solicitação da aplicação da lei para o número de telefone de um usuário se torna irrelevante. Dito isso, o Telegram ainda poderá compartilhar endereços IP, que ainda podem ser usados para rastrear a atividade de um usuário.
Como todo líder de segurança está ciente, o cenário de ameaças está em constante mudança e se tornando mais complexo à medida que as operações criminosas cibernéticas se tornam mais fragmentadas entre plataformas. Muitas ferramentas de monitoramento e estratégias estão tendo dificuldades para acompanhar, oferecendo cobertura limitada ou nenhuma cobertura para outras plataformas além do Telegram. O crescimento contínuo de plataformas descentralizadas e de código aberto só irá complicar ainda mais caça a ameaças e análise. Além disso, estados rivais estão desenvolvendo suas próprias plataformas para espionagem cibernética e crime cibernético patrocinado pelo estado.
Nunca foi tão importante adotar uma postura proativa em relação à cibersegurança — uma postura que abrange todas as plataformas e é capaz de priorizar a atribuição de ameaças por meio de vários pontos de dados. Isso significa recorrer a uma combinação de conhecimento humano e ferramentas avançadas de análise de dados de ameaças para obter acesso à inteligência de canais que poderiam, de outra forma, permanecer ocultos.
A inteligência de ameaças impulsionada por IA oferece um aumento poderoso para a experiência e os insights de analistas de segurança talentosos. Por exemplo, a estilometria — que examina as características linguísticas para criar um perfil exclusivo do estilo de escrita de um usuário — pode ajudar a identificar criminosos cibernéticos e detectar ameaças internas, independentemente da plataforma que eles estejam usando. A IA ajuda a tornar isso possível em uma escala que analistas humanos sozinhos provavelmente não conseguirão alcançar.
Mesmo com os cibercriminosos migrando para uma variedade crescente de outras plataformas, seu comportamento ainda pode expor vários padrões. Com a capacidade de monitorar suas atividades, como o momento de determinadas postagens e estilos de interação, os analistas podem criar perfis abrangentes que podem ajudá-los a vincular operações e indivíduos em todas as plataformas.
Embora esteja cada vez mais difícil (se não impossível) rastrear pontos de dados como metadados transacionais ou históricos de transações de criptomoedas, as ferramentas de análise de dados impulsionadas por IA podem ajudar a fechar a lacuna, ajudando os analistas humanos a identificar agentes de ameaças e seus vetores de ataque. Isso se tornará cada vez mais importante à medida que as atividades de crime cibernético se espalharem pelas plataformas e os analistas de segurança tentarem manter a visibilidade da última geração de ameaças cibernéticas.