La commodité des chaînes de Telegram permet aux criminels et à ceux qui souhaitent débuter dans la criminalité, même sans compétences particulières, de communiquer aisément et de manière plus sécurisée. C’est ce que présente une étude de synthèse réalisée par la société de sécurité Checkpoint software. Extraits de l’étude.
Grâce à Telegram, l’accès aux logiciels malveillants est facilité, des documents personnels et des certificats peuvent être diffusés vers des inconnus, et les entreprises peuvent même être menacées par leurs propres employés dans le cadre d’attaques concertées.
Telegram prend la relève des forums du Dark Web
Telegram prend la relève des places de marché du « Dark Web », notamment Hansa Market et Alpha Bay, démantelées aux États-Unis et en Europe. Le « Dark Web » est un pôle d’activités illicites. Les acheteurs et les vendeurs l’utilisent pour commercialiser et échanger des connaissances et des produits : armes illégales, trafic de drogue, logiciels rançonneurs sous forme de service (Ransomware), …
Les forums de piratage ont longtemps été un moyen de communication pour les pirates, car ils leur permettent de publier des offres d’emploi, de commercialiser leurs produits et de se concerter. Certaines opérations nécessitent la formation d’une équipe pour répartir la charge de travail. Dans d’autres cas, des logiciels malveillants sont échangés ou vendus à des affiliés afin de générer des revenus, sans que le développeur ait besoin d’être impliqué dans l’attaque. Les discussions dans les forums de piratage sont remplies d’exemples similaires, ce qui met en évidence leur rôle important dans le paysage des cybermenaces.
Au cours des dernières années, les autorités ont mieux compris les enjeux, et leur emprise sur certains de ces forums s’est resserrée. Des chercheurs en sécurité ont été en mesure de retrouver plusieurs pirates grâce à leurs activités sur ces sites, et les autorités ont réussi à démanteler des forums. Les noms les plus récents et notables dans ce domaine sont Hansa Market et AlphaBay.
Telegram messagerie lancée en 2013
Bien qu’il existe encore de nombreux sites web fonctionnant selon le même principe dans Clearnet et Darknet, ces sites peuvent être vulnérables. Leurs utilisateurs semblent avoir atteint la même conclusion, car une migration vers une plate-forme plus secrète et facilement accessible est en cours.
C’est la messagerie Telegram qui regroupe les suffrages. Cette application de messagerie instantanée chiffrée a été lancée en 2013. Elle a connu une augmentation fulgurante du nombre d’abonnés (5 millions de nouveaux utilisateurs en seulement 24 heures) à la suite d’une panne de la messagerie WhatsApp.
Comme avec WhatsApp, les utilisateurs de Telegram peuvent discuter avec d’autres utilisateurs ou des groupes. Ce qui distingue Telegram, ce sont ses fonctions de sécurité améliorées. Par conséquent, certains de ses groupes de discussion sont devenus une alternative aux forums secrets du Dark Web.
Des chaînes confidentielles
Les groupes de discussion de Telegram sont appelés des « chaînes ». Ils peuvent être utilisés pour diffuser des messages à un nombre illimité d’abonnés et, bien que l’historique des messages puisse être consulté, toute réponse à des messages publics est confidentielle.
La discrétion procurée par ces chaînes sert à déguiser leur malveillance. Tout criminel disposant d’une offre douteuse ou souhaitant démarrer une discussion, peut profiter des conversations chiffrées et privées de bout en bout, au lieu des discussions exposées sur les forums en ligne.
Dans le passé, plusieurs étapes étaient nécessaires pour assurer une connexion anonyme à Tor. Avec Telegram, tout utilisateur peut facilement et rapidement rejoindre des chaînes en un seul clic sur son smartphone, et recevoir des notifications de conversations et d’offres clandestines directement sur son smartphone, tout en cachant son identité.
Les Dark Jobs prospèrent
Ces chaînes douteuses prospèrent en Russie. « Dark Jobs », « Dark Work » et « Black Markets » en sont des exemples. Il en existe beaucoup d’autres.
Les messages échangés dans la chaîne « Dark Jobs » proposent des offres d’emploi associées à un code couleur. Lorsqu’une offre d’emploi postée est susceptible de comporter des risques juridiques, elle est marquée de la couleur « noire », tandis que les offres d’emploi moins risquées sont marquées en « gris » ou en « blanc ».
Côté emplois, des exemples d’annonces souvent utilisées dans de tels messages pour inciter des candidats à prendre ce genre d’emplois sont « Vous en avez assez de vivre chez vos parents ? », « Les filles préfèrent les types qui ont de l’argent », et d’autres accroches similaires. Ces chaînes promettent des profits rapides offerts même à des utilisateurs inexpérimentés. Les chaînes proposent aussi des publicités destinées à vendre des documents dérobés ou des outils de piratage.
Recruter des employés de certaines entreprises
Certains messages recherchent des employés de certaines entreprises ou de banques. Les criminels cherchent à profiter de ces employés afin d’obtenir des informations privilégiées et confidentielles. Ces informations internes pourraient ensuite être utilisées à des fins personnelles, ou vendues, ou pour lancer une attaque. Avoir quelqu’un « à l’intérieur » est un avantage certain.
Les employés des opérateurs de téléphonie mobile sont très recherchés. Le personnel de ces entreprises peut être utilisé pour acquérir une grande quantité de numéros de téléphone. D’autres messages suggèrent qu’ils peuvent être utilisés pour collecter des informations personnelles et les historiques d’appel des clients.
Autre exemple, une offre d’emploi accrocheuse recherche des employés de Western Union ou de MoneyGram qui ont accès à certains systèmes. Apparemment, ces employés se voient offrir jusqu’à 1 000 dollars par jour pour leurs efforts.
« Recherche pour un projet : Chiffreur fonctionnant sur tous les systèmes Windows de XP à 10. Contournant les principaux AV en particulier Avast et Defender ».
Externalisation d’un projet criminel
Ces messages sont un parfait exemple de la façon dont une personne sans expérience préalable peut mener entièrement ses activités à l’aide des chaînes de Telegram. Dans ce cas, l’annonceur cherche à externaliser la totalité d’un projet pour se charger uniquement du paiement.
Des utilisateurs novices peuvent également trouver des messages faisant la promotion d’outils furtifs d’extraction de crypto-monnaie qui s’exécutent à l’insu des victimes en échange de 600 roubles, ou encore des outils de vol d’informations qui recueillent des documents, des captures d’écran et des mots de passe en échange de 1 000 roubles. Cela rappelle les forums fermés et cachés du Dark Web dans lesquels les utilisateurs publient des logiciels rançonneurs sous forme de service parmi d’autres familles de logiciels malveillants.
D’autres services dans certaines des chaînes les plus malhonnêtes de Telegram comprennent la falsification de documents officiels. Les experts de Photoshop et les graphistes freelance sont très demandés sur ces marchés.
Contrefaire des pièces d’identité
Les documents contrefaits comprennent des pièces d’identité, des passeports, des documents bancaires, etc. L’auteur de l’un des messages affirme même avoir des connexions à l’intérieur du département de la police de la circulation russe, et être en mesure d’émettre ou de mettre à jour des permis de conduire dans toutes les catégories.
Des scans de passeports du monde entier sont également disponibles pour ceux « qui souhaitent contracter un emprunt » et ont besoin de documents à des fins de vérification. Ces types de transactions utilisent souvent les services d’un tiers servant de garant pour s’assurer que la transaction se déroule bien entre l’acheteur et le vendeur, et que tout est en ordre.
La Russie n’est pas le seul pays dans lequel ces chaînes gagnent en popularité. Ayant observé des chaînes similaires dans d’autres langues, l’analyse de CheckPoint montre que cette méthode devient une tendance mondiale.
Montée en puissance des chaines arabes ou perses
Certaines chaînes dans le monde arabe et en Iran, telle que la chaîne iranienne « AmirHack », possèdent plus de 100 000 abonnés. Ces chaînes semblent cependant plus se focaliser sur la diffusion d’outils de piratage et de comptes compromis que leurs équivalentes russes. Les captures d’écran ci-dessous montrent comment deux chaînes ont commercialisé un outils d’accès à distance ainsi qu’un outil pour pirater des comptes Instagram.
C’est très exagéré, c’est une passoire