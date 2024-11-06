Dal suo lancio nell'agosto 2013, Telegram è diventata l'app di messaggistica preferita dagli utenti attenti alla privacy. Per iniziare a usare l'app, gli utenti possono registrarsi utilizzando sia il loro vero numero di telefono sia un numero anonimo acquistato dal marketplace blockchain di Fragment. Nel secondo caso, Telegram non può essere collegato al numero di telefono reale dell'utente né ad altre informazioni di identificazione personale (PII).
Telegram è da tempo noto anche per la sua politica di moderazione non interventista. La piattaforma ha dichiarato esplicitamente nelle sue FAQ che nelle chat private non ci sarebbe stata alcuna moderazione. La moderazione dei contenuti era guidata dagli utenti e la segnalazione delle attività illegali era responsabilità degli utenti stessi. Al contrario, molti dei suoi simili, come WhatsApp, investono molto nella moderazione dei contenuti e nella collaborazione con le forze dell'ordine.
Queste caratteristiche hanno anche reso Telegram l'app di messaggistica preferita per crimini informatici e altre attività illegali. Ciò include la distribuzione di malware, la vendita di beni e servizi illegali, il reclutamento di collaboratori e il coordinamento di attacchi informatici. Per i gruppi di criminalità informatica più organizzati, Telegram è un punto di riferimento per la condivisione di intelligence operativa e l'amplificazione di attività illecite in modo molto simile a come fanno le organizzazioni legittime sui canali mainstream.
Tuttavia, l'approccio di Telegram alla privacy degli utenti e alla moderazione dei contenuti è cambiato notevolmente dopo l'arresto del CEO Pavel Durov in Francia il 24 agosto 2024: l'azienda che ha silenziosamente modificato la sua pagina FAQ e la sua politica sulla privacy nelle settimane successive. Sebbene il codice sorgente dell'app non sia cambiato, secondo il portavoce di Telegram Remy Vaughn, gli utenti possono ora segnalare attività illegali per la rimozione automatica o la moderazione manuale. Inoltre, Telegram ha aggiornato la propria politica sulla privacy, affermando che, qualora dovesse ricevere un'ordinanza giudiziaria valida, divulgherà i numeri di telefono e gli indirizzi IP degli utenti.
Newsletter di settore
Resta al passo con le tendenze più importanti e interessanti del settore relative ad AI, automazione, dati e altro con la newsletter Think. Leggi l'Informativa sulla privacy IBM.
L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'Informativa sulla privacy IBM.
Sebbene questi cambiamenti siano probabilmente un passo nella giusta direzione per le forze dell'ordine, stanno anche determinando una migrazione delle attività di criminalità informatica verso altre piattaforme, come Signal o Session. Un gruppo di criminali informatici noto come la gang ransomware Bl00dy ha dichiarato pubblicamente che avrebbe lasciato Telegram a causa del cambiamento di politica dell'azienda. Anche molti gruppi di hacktivisti hanno seguito il loro esempio, così come gli utenti legittimi che si affidano a Telegram per la libertà di parola nei regimi oppressivi.
Purtroppo, questo cambiamento di politica si può considerare come un semplice spostamento delle attività illegali, con il crimine informatico che si frammenta su una gamma sempre più ampia di piattaforme. Potenzialmente, ciò potrebbe rendere più difficile per le forze dell'ordine e gli analisti di cybersecurity rintracciare e interrompere gli attori delle minacce. Per esempio, i red team potrebbero avere più difficoltà ad accedere a queste comunità nascoste per identificare e mitigare le minacce prima che possano causare danni reali.
Telegram è da tempo una ricca fonte di threat intelligence, dove molti canali pubblici vengono utilizzati per organizzare attività di criminalità informatica. Sebbene le chat private siano, per la maggior parte, completamente off-limits sia per gli analisti delle minacce che per le forze dell'ordine, sono state applicate anche politiche di moderazione più severe ai canali pubblici, potenzialmente facilitando l'esposizione dei criminali. Tuttavia, anche se pochi sosterrebbero che si tratta di una cosa negativa a livello di principio, comporta un'avvertenza: i criminali potrebbero semplicemente spostarsi altrove.
Forse ancora più preoccupante è la maggiore possibilità di spingere sia i criminali informatici che gli hacktivisti nelle braccia della criminalità e del cyber espionage sponsorizzati dagli Stati. Ciò aumenta anche la probabilità che gli attori delle minacce utilizzino piattaforme crittografate end-to-end e decentralizzate, con un controllo ancora inferiore rispetto a quello di Telegram. Ciò potrebbe complicare gli sforzi dei red team incaricati di simulare gli attacchi o di monitorare queste comunità, riducendo così la loro capacità di rilevare tempestivamente le minacce.
Nessuna delle affermazioni sopra menzionate implica necessariamente un esodo di massa delle attività criminali informatiche da Telegram. Dopotutto, con circa 900 milioni di utenti mensili secondo i dati di Telegram, la piattaforma ha ancora il pubblico di cui le operazioni di criminalità informatica su larga scala, come malware-as-a-Service, hanno bisogno per espandere la loro portata.
Inoltre, i nuovi utenti possono ancora registrarsi in modo anonimo utilizzando un numero acquistato dalla blockchain Fragment, nel qual caso la promessa di Telegram di rispettare eventuali richieste di numeri di telefono degli utenti da parte delle forze dell'ordine è irrilevante. Detto ciò, Telegram potrà comunque condividere indirizzi IP, che potrebbero comunque essere utilizzati per tracciare l'attività di un utente.
Come ogni leader della sicurezza sa bene, il panorama delle minacce è in continua evoluzione e diventa sempre più complesso, poiché le operazioni dei criminali informatici diventano sempre più frammentate tra le varie piattaforme. Molti strumenti e strategie di monitoraggio delle minacce faticano a tenere il passo, offrendo così una copertura limitata o nulla per piattaforme diverse da Telegram. La continua crescita di piattaforme decentralizzate e open source non farà che complicare ulteriormente la rilevamento delle minacce e l'analisi. Inoltre, gli Stati rivali stanno sviluppando le proprie piattaforme per lo spionaggio informatico e il crimine informatico sponsorizzato dallo Stato.
Adottare una posizione proattiva sulla cybersecurity, una che si estenda su tutte le piattaforme e sia in grado di dare priorità all'attribuzione delle minacce attraverso più punti dati, non è mai stato così importante. Ciò significa avvalersi di una combinazione di competenze umane e di strumenti avanzati di analytics delle minacce per ottenere l'accesso all'intelligence da canali che altrimenti potrebbero rimanere nascosti.
La threat intelligence basata sull'AI offre un potente aumento dell'insight e delle competenze di talentuosi analisti della sicurezza. Ad esempio, la stilometria, che esamina le caratteristiche linguistiche per creare un profilo unico dello stile di scrittura di un utente, può aiutare a identificare i criminali informatici e rilevare minacce interne, indipendentemente dalla piattaforma che stanno utilizzando. L'AI aiuta a rendere possibile tutto ciò su una scala che gli analisti umani da soli non possono sperare di affrontare.
Anche mentre i criminali informatici migrano su una gamma sempre più ampia di altre piattaforme, il loro comportamento può ancora mettere in luce vari schemi. Con la possibilità di monitorare le loro attività, come la tempistica di certi post e gli stili di interazione, gli analisti possono costruire profili completi che li aiutano a collegare le operazioni e le persone attraverso le piattaforme.
Anche se diventerà sempre più difficile, se non impossibile, tracciare punti dati come i metadati transazionali o la cronologia delle transazioni di criptovalute, gli strumenti di analytics basati sull'AI possono contribuire a colmare il divario aiutando gli analisti umani a identificare gli attori delle minacce e i loro vettori di attacco. Questo diventerà ancora più importante man mano che le attività di criminalità informatica si diffonderanno su tutte le piattaforme e gli analisti della sicurezza cercheranno di mantenere la visibilità sulla nuova generazione di minacce informatiche.