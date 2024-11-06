自 2013 年 8 月上线以来，Telegram 已成为注重隐私用户的首选消息传送应用程序。用户可使用真实手机号或是从 Fragment 区块链市场购买的匿名号码进行注册。对于后者，Telegram 无法与用户的真实电话号码或任何其他个人身份信息 (PII) 进行关联。
长期以来，Telegram 还以其不加干涉的审核政策而闻名。该平台在其常见问题解答中明确指出，私聊完全不在其审核范围之内。内容审核将由用户驱动，而举报非法活动则主要由用户自行完成。相比之下，很多同行（如 WhatsApp）在内容审核以及与执法部门合作方面投入了大量资金。
这些特征还使 Telegram 成为网络犯罪及其他非法活动的首选消息传递应用程序。其中包括分发恶意软件、销售非法商品和服务、招募同伙以及协调发起网络攻击。对于组织性更强的网络犯罪集团来说，Telegram 是一个共享运作情报和扩大非法业务规模的中心，而其运作方式与合法组织在主流渠道中的行为大致相同。
然而，继 2024 年 8 月 24 日其 CEO Pavel Durov 在法国被捕后，Telegram 对用户隐私和内容审核的态度发生了重大变化；该公司在接下来的几周内悄然更改了其常见问题解答页面和隐私政策。Telegram 发言人 Remy Vaughn 表示：虽然该应用程序的源代码没有更改，但用户现在可以举报非法活动，以便自动删除或手动审核。此外，Telegram 还更新了其隐私政策，表示一旦收到有效的法院命令，便会披露用户的电话号码和 IP 地址。
虽然这些变化可谓是执法部门朝着正确方向迈出的一步，但它们也正在推动网络犯罪活动迁移到其他平台，例如 Signal 或 Session。一个被称为 Bl00dy 勒索软件团伙的网络犯罪集团公开宣布，它们将退出 Telegram，而直接原因则是该公司的政策转变。很多黑客行动组织也纷纷效仿，而在专制制度下依靠 Telegram 获得言论自由的合法用户也是如此。
不幸的是，人们也可将此类政策转变视为非法活动的转移，且网络犯罪正分散到越来越广泛的各个平台上。此情况可能会使执法与网络安全分析师更难追踪和阻断威胁参与者。例如，红色小组可能更难进入这些地下社区，以便在威胁造成实际损害之前识别和减轻威胁。
Telegram 长期以来一直是威胁情报的丰富来源，其中有大量面向公众的渠道被用于组织网络犯罪活动。虽然大多数情况下威胁分析师和执法部门都完全无法触及私聊，但更严格的审核政策也被应用于公共渠道，从而可能更易揭露罪犯。然而，尽管很少有人会认为此事在原则上是一件坏事，但我们确需注意：犯罪分子可能会移动到其他地方。
也许更令人担忧的是，由此会导致将网络罪犯和黑客活动家推向国家支持的网络犯罪与网络间谍活动的可能性上升。同时，它也加大了威胁参与者使用端到端加密和去中心化平台的可能性，而这些平台的监管力度甚至比 Telegram 还弱。如此，便可能使负责模拟攻击或监控这些社区的红队工作变得复杂，从而降低它们早期检测威胁的能力。
上述所有情况并不一定意味着网络犯罪活动会从 Telegram 大规模消失。毕竟，根据 Telegram 自己的数据，该平台的月用户约为 9 亿，仍然拥有“恶意软件即服务“等大规模网络犯罪活动为扩大其覆盖范围所需的大量受众。
此外，新用户仍可使用从 Fragment 区块链购买的号码匿名注册；在此情况下，Telegram 承诺遵守执法部门要求而提供用户电话号码的承诺就变得无关紧要了。话虽如此，Telegram 仍能共享 IP 地址，而这些 IP 地址仍可能会用于追踪用户的活动。
正如每位安全领导者所深知，随着网络犯罪运营在各平台间日益分散，威胁态势会不断变化且日益复杂。很多监控工具和战略都难以跟上其发展步伐，因此除 Telegram 之外，其覆盖范围有限甚至没有。持续兴起的去中心化开源平台只会使威胁搜寻和分析进一步复杂化。此外，敌对国家正在开发自己的平台，用于网络间谍活动和国家支持的网络犯罪。
采取积极主动的网络安全立场比以往任何时候都更为重要—此立场涵盖所有平台，且能通过多个数据点优先识别威胁。这意味着结合人类专业知识和先进的威胁分析工具，从可能依旧隐藏的渠道获取情报。
人工智能驱动式威胁情报可有力提升才华横溢的安全分析师的专业知识和洞察分析。例如，stylometry（用于检查语言特征以创建用户写作风格的独特概况）可帮助识别网络罪犯并检测内部威胁，而无论他们使用什么平台。AI 可帮助您实现此目标，而其规模之大是仅靠人类分析师无法实现的。
即使网络犯罪分子迁移到越来越多其他平台，他们的行为仍可能暴露出各种模式。通过跟踪用户的活动，例如特定帖子的发布时间和互动方式，分析师可构建全面的用户画像，从而帮助他们将运营与个人联系起来。
虽然跟踪交易元数据或加密货币交易历史等数据点只会变得更加困难（即使并非不可能），但人工智能驱动式行为分析工具可通过帮助分析师识别威胁参与者及其攻击媒介来帮助缩小此差距。随着网络犯罪活动扩散到各个平台，且安全分析师会努力保持追踪下一代网络威胁，这一点将变得更加重要。