Sejak diluncurkan pada Agustus 2013, Telegram telah menjadi aplikasi pesan utama untuk pengguna yang berfokus pada privasi. Untuk mulai menggunakan aplikasi, pengguna dapat mendaftar menggunakan nomor telepon asli mereka atau nomor anonim yang dibeli dari pasar digital blockchain Fragment. Dalam kasus yang terakhir, Telegram tidak dapat ditautkan ke nomor telepon asli pengguna atau informasi identifikasi pribadi (PII).
Telegram juga telah lama dikenal dengan kebijakan moderasi hands-off-nya. Platform secara eksplisit menyatakan dalam bagian Pertanyaan Umum bahwa obrolan pribadi sepenuhnya terlarang untuk moderasi. Moderasi konten malah didorong oleh pengguna, dan melaporkan aktivitas ilegal diserahkan terutama kepada pengguna itu sendiri. Sebaliknya, banyak rekan-rekannya, seperti WhatsApp, banyak berinvestasi dalam moderasi konten dan kerja sama dengan penegak hukum.
Karakteristik ini juga menjadikan Telegram aplikasi pesan pilihan untuk kejahatan siber dan aktivitas ilegal lainnya. Ini termasuk mendistribusikan malware, menjual barang dan jasa ilegal, merekrut rekanan, dan mengoordinasikan serangan siber. Untuk kelompok kejahatan siber yang lebih terorganisir, Telegram adalah pusat untuk berbagi intelijen operasional dan memperkuat bisnis terlarang dengan cara yang sama seperti yang dilakukan organisasi yang sah di saluran mainstream.
Namun, pendekatan Telegram terhadap privasi pengguna dan moderasi konten berubah secara signifikan setelah penangkapan CEO Pavel Durov di Prancis pada 24 Agustus 2024, dengan perusahaan diam-diam mengubah halaman Pertanyaan Umum dan kebijakan privasinya di minggu-minggu berikutnya. Meskipun kode sumber aplikasi belum berubah, menurut juru bicara Telegram Remy Vaughn, pengguna sekarang dapat melaporkan aktivitas ilegal untuk penghapusan otomatis atau moderasi manual. Selain itu, Telegram juga memperbarui kebijakan privasinya, menyatakan bahwa, setelah menerima perintah pengadilan yang valid, mereka akan mengungkapkan nomor telepon dan alamat IP pengguna.
Meskipun perubahan ini bisa dibilang merupakan langkah ke arah yang benar untuk penegakan hukum, mereka juga mendorong migrasi aktivitas kriminal siber ke platform lain, seperti Signal atau Session. Salah satu sindikat kejahatan siber, yang dikenal sebagai geng ransomware BL00dy, secara terbuka menyatakan mereka keluar dari Telegram sebagai akibat langsung dari perubahan kebijakan perusahaan. Banyak kelompok peretas juga mengikutinya, seperti halnya pengguna sah yang mengandalkan Telegram untuk kebebasan berbicara dalam rezim yang menindas.
Sayangnya, perubahan kebijakan semacam itu juga dapat dilihat sebagai perpindahan aktivitas ilegal belaka, dengan kejahatan siber tersebar di berbagai platform yang semakin luas. Secara potensial, hal ini dapat mempersulit penegak hukum dan analis keamanan siber untuk melacak dan menghentikan aktor ancaman. Misalnya, tim keamanan mungkin lebih sulit mendapatkan akses ke komunitas bawah tanah ini untuk mengidentifikasi dan mengurangi ancaman sebelum mereka dapat menyebabkan kerusakan nyata.
Telegram telah lama menjadi sumber intelijen ancaman yang kaya, dengan banyak saluran yang menghadap ke publik yang digunakan untuk mengatur aktivitas kriminal siber. Sementara obrolan pribadi, sebagian besar, benar-benar tidak dapat diakses oleh analis ancaman dan penegak hukum, kebijakan moderasi yang lebih ketat juga telah diterapkan ke saluran publik, yang berpotensi membuatnya lebih mudah untuk mengekspos penjahat. Akan tetapi, meski hanya sedikit yang berpendapat bahwa itu adalah hal buruk pada prinsipnya, ada peringatan yang menyertainya: Penjahat mungkin akan pindah ke tempat lain.
Barangkali yang lebih memprihatinkan adalah meningkatnya kemungkinan mendorong para penjahat siber dan grup peretas ke dalam pelukan kejahatan siber dan spionase siber yang disponsori negara. Ini juga membuka kemungkinan aktor ancaman menggunakan platform terenkripsi dan terdesentralisasi menyeluruh yang memiliki pengawasan lebih sedikit daripada yang pernah dilakukan Telegram. Hal ini dapat mempersulit upaya tim keamanan yang ditugaskan untuk menyimulasikan serangan atau memantau komunitas-komunitas ini, sehingga mengurangi kemampuan mereka untuk deteksi ancaman lebih awal.
Tak satu pun dari hal di atas berarti bahwa akan ada eksodus massal aktivitas kriminal siber dari Telegram. Lagi pula, dengan sekitar 900 juta pengguna bulanan, menurut data Telegram sendiri, platform ini masih memiliki audiens besar yang diperlukan operasi kriminal siber skala besar, seperti Malware sebagai Layanan, untuk memperluas jangkauan mereka.
Selain itu, pengguna baru masih dapat mendaftar secara anonim menggunakan nomor yang dibeli dari blockchain Fragment. Dalam hal ini, janji Telegram untuk mematuhi permintaan dari penegak hukum untuk nomor telepon pengguna menjadi tidak relevan. Meskipun demikian, Telegram masih dapat berbagi alamat IP, yang masih berpotensi digunakan untuk melacak aktivitas pengguna.
Seperti yang disadari oleh setiap pemimpin keamanan, lingkungan ancaman selalu berubah dan semakin kompleks karena operasi kriminal siber menjadi lebih terpecah di berbagai platform. Banyak alat pemantauan dan strategi kesulitan untuk mengimbangi, sehingga memberikan cakupan terbatas atau tidak sama sekali untuk platform selain Telegram. Terus meningkatnya platform sumber terbuka yang terdesentralisasi hanya akan semakin memperumit perburuan ancaman dan analisis. Selain itu, negara-negara saingan mengembangkan platform mereka sendiri untuk spionase siber dan kejahatan siber yang disponsori negara.
Tidak pernah sepenting sekarang ini untuk bersikap proaktif dalam keamanan siber, dengan pendekatan yang mencakup semua platform dan mampu memprioritaskan atribusi ancaman melalui berbagai titik data. Itu berarti memanfaatkan kombinasi keahlian manusia dan alat analisis ancaman canggih untuk mendapatkan akses ke intelijen dari saluran yang mungkin sebaliknya tetap tersembunyi.
Intelijen ancaman yang didukung AI menawarkan peningkatan yang kuat untuk keahlian dan insight analis keamanan berbakat. Misalnya, stylometry, yang memeriksa karakteristik linguistik untuk membuat profil unik gaya penulisan pengguna, dapat membantu mengidentifikasi penjahat siber dan mendeteksi ancaman orang dalam, terlepas dari platform yang mereka gunakan. AI membantu mewujudkannya pada skala yang tidak mungkin ditangani oleh analis manusia saja.
Bahkan ketika penjahat siber bermigrasi ke berbagai opsi platform lain yang berkembang, perilaku mereka masih dapat mengekspos berbagai pola. Dengan kemampuan untuk melacak aktivitas mereka, seperti waktu posting tertentu dan gaya interaksi, analis dapat membangun profil komprehensif yang dapat membantu mereka mengaitkan operasi dan individu di berbagai platform.
Meskipun hanya akan menjadi semakin sulit, atau bahkan tidak mungkin, untuk melacak titik data seperti metadata transaksional atau riwayat transaksi mata uang kripto, alat analitik perilaku yang didukung AI dapat membantu menutup kesenjangan dengan membantu analis manusia mengidentifikasi aktor ancaman dan vektor serangan mereka. Ini akan menjadi lebih penting saat aktivitas kejahatan siber tersebar di berbagai platform dan analis keamanan mencoba mempertahankan visibilitas ke dalam ancaman siber generasi berikutnya.