Cybercriminalité sur Telegram : Plongée profonde
Une étude révèle la montée de l'activité criminelle sur les canaux Telegram.
― 6 min lire
Table des matières
- Contexte
- Méthodologie
- Identification des chaînes
- Collecte de données
- Résultats
- Types d'activité cybercriminelle
- Engagement et dynamique de la communauté
- Risques pour les abonnés
- Cadre DarkGram
- Efforts de signalement et de suppression
- Conclusion
- Travaux futurs
- Pensées de clôture
- Source originale
- Liens de référence
La Cybercriminalité est en plein essor, et de nouvelles plateformes deviennent populaires parmi les criminels. Telegram, une appli de messagerie connue pour sa confidentialité, a attiré pas mal d'utilisateurs impliqués dans des activités illégales. Cet article parle d'une étude qui a examiné un grand nombre de chaînes Telegram dédiées à la cybercriminalité et a exploré les outils développés pour combattre ce problème.
Contexte
Ces dernières années, Telegram est devenu un lieu de rendez-vous pour les cybercriminels. L’appli permet de partager facilement du contenu illégal, comme des identifiants volés, des logiciels piratés et des outils de hacking. La possibilité de communiquer anonymement rend ça attrayant pour ceux qui s'adonnent à des activités illégales. Des recherches précédentes se concentraient sur des forums clandestins, mais avec le renforcement des lois, les criminels ont cherché de nouveaux moyens d'opérer.
Méthodologie
Pour comprendre l'activité des cybercriminels sur Telegram, les chercheurs ont étudié 339 chaînes de février à mai 2024. Ces chaînes comptaient plus de 23 millions d'abonnés et étaient engagées dans diverses activités illégales. La recherche a impliqué le développement d'un outil nommé DarkGram, conçu pour identifier avec précision les publications malveillantes.
Identification des chaînes
La première étape a été de trouver des chaînes qui partageaient du contenu illégal. Cela s’est fait en parcourant des listes publiques de chaînes Telegram et en examinant leurs descriptions et publications. Les chercheurs ont identifié des chaînes selon des catégories spécifiques de cybercriminalité, comme le vol d'identifiants, les logiciels piratés, les ressources blackhat, les médias piratés et le boost artificiel des réseaux sociaux.
Collecte de données
Les données ont été collectées en utilisant l'API de Telegram, ce qui a permis aux chercheurs de rassembler des publications et de suivre la croissance des chaînes. Au total, plus de 64 000 publications ont été collectées pour analyse. Les chercheurs ont examiné comment les abonnés interagissaient avec ces publications et engageaient avec le contenu.
Résultats
Types d'activité cybercriminelle
L'analyse a révélé plusieurs types d'activités cybercriminelles sur Telegram :
Chaînes de compromission d'identifiants : Ces chaînes partageaient des identifiants de comptes volés pour divers services en ligne. Les publications contenaient souvent des fichiers avec des noms d'utilisateur et des mots de passe ou des liens pour télécharger ces fichiers.
Chaînes de logiciels piratés : Chaînes axées sur la distribution de logiciels non autorisés. Beaucoup de publications ne donnaient pas de descriptions détaillées, probablement pour éviter d'être repérées.
Ressources blackhat : Chaînes fournissant des tutoriels de hacking, des outils et des ressources. Le contenu allait des guides pour débutants aux techniques avancées.
Chaînes de médias piratés : Chaînes dédiées au partage illégal de films, séries TV et autres médias. Les utilisateurs pouvaient télécharger ou streamer du contenu depuis ces chaînes.
Chaînes de boost artificiel : Chaînes vendant des services pour gonfler artificiellement l'engagement sur les réseaux sociaux, comme acheter des abonnés ou des likes.
Engagement et dynamique de la communauté
L'étude a trouvé que les abonnés interagissaient activement avec ces chaînes. Dans les chaînes de compromission d'identifiants, les utilisateurs discutaient de l'efficacité des outils, partageaient des expériences et cherchaient de l'aide. En revanche, les chaînes de boost artificiel se concentraient plus sur la promotion mutuelle, avec des utilisateurs demandant aux autres de les suivre.
Plus de la moitié des interactions prenaient la forme de réponses brèves, indiquant un style de communication rapide. Les réactions par emoji étaient fréquemment utilisées, avec des emojis positifs dominant les réponses, ce qui suggère que les utilisateurs approuvaient généralement le contenu.
Risques pour les abonnés
Malgré l'attrait de ces chaînes, elles posent des risques importants pour les utilisateurs. Beaucoup des liens partagés dans ces chaînes menaient à des sites de phishing ou contenaient des malwares. Un chiffre frappant de 28,1 % des liens partagés étaient associés à des attaques de phishing, mettant en péril les informations personnelles des abonnés.
Cadre DarkGram
Pour lutter contre l'activité cybercriminelle, les chercheurs ont développé DarkGram, un outil automatisé qui détecte avec précision les publications malveillantes. En utilisant un modèle basé sur BERT, DarkGram a atteint un taux de précision de 96 % pour identifier le contenu nuisible. Au cours de la période d'étude, DarkGram a réussi à détecter et signaler 196 chaînes malveillantes à Telegram.
Efforts de signalement et de suppression
L'étude a mis en évidence l'efficacité limitée des pratiques de modération actuelles sur Telegram. Malgré le signalement de nombreuses chaînes, seulement un petit pourcentage a été supprimé. Notamment, les chaînes distribuant des médias piratés faisaient face à plus de contrôle par rapport à celles partageant des ressources blackhat.
Conclusion
L'étude souligne les défis posés par l'activité cybercriminelle sur Telegram. À mesure que les criminels migrent vers de nouvelles plateformes, il devient de plus en plus essentiel de développer des stratégies efficaces pour surveiller et contrer ces menaces. DarkGram représente un pas en avant significatif pour identifier et signaler le contenu Malveillant, mais d'autres efforts sont nécessaires pour freiner la cybercriminalité sur Telegram et des plateformes similaires.
Travaux futurs
Cet article établit une base pour de futures recherches axées sur la compréhension de la dynamique de la cybercriminalité sur les plateformes de messagerie. Le caractère open-source du jeu de données et des outils développés dans cette étude peut faciliter d'autres explorations et collaborations pour lutter efficacement contre la cybercriminalité.
Pensées de clôture
Alors que le paysage numérique continue d'évoluer, rester en avance sur les cybercriminels nécessitera une vigilance et une innovation constantes. Les connaissances tirées de l'étude des chaînes Telegram rappellent l'importance de protéger les utilisateurs et de maintenir la cybersécurité dans un monde de plus en plus interconnecté.
Titre: DarkGram: Exploring and Mitigating Cybercriminal content shared in Telegram channels
Résumé: We present the first large scale analysis of 339 cybercriminal activity channels (CACs) on Telegram from February to May 2024. Collectively followed by over 23.8 million users, these channels shared a wide array of illicit content, including compromised credentials, pirated software and media, tools for blackhat hacking resources such as malware, social engineering scams, and exploit kits. We developed DarkGram, a BERT based framework that identifies malicious posts from the CACs with an accuracy of 96%, using which we conducted a quantitative analysis of 53,605 posts from these channels, revealing key characteristics of shared content. While much of this content is distributed for free, channel administrators frequently employ promotions and giveaways to engage users and boost the sales of premium cybercriminal content. These channels also pose significant risks to their own subscribers. Notably, 28.1% of shared links contained phishing attacks, and 38% of executable files were bundled with malware. Moreover, our qualitative analysis of replies in CACs shows how subscribers cultivate a dangerous sense of community through requests for illegal content, illicit knowledge sharing, and collaborative hacking efforts, while their reactions to posts, including emoji responses, further underscore their appreciation for such content. We also find that the CACs can evade scrutiny by quickly migrating to new channels with minimal subscriber loss, highlighting the resilience of this ecosystem. To counteract this, we further utilized DarkGram to detect new channels, reporting malicious content to Telegram and the affected organizations which resulted in the takedown of 196 such channels over three months. To aid further collaborative efforts in taking down these channels, we open source our dataset and the DarkGram framework.
Auteurs: Sayak Saha Roy, Elham Pourabbas Vafa, Kobra Khanmohammadi, Shirin Nilizadeh
Dernière mise à jour: Sep 22, 2024
Langue: English
Source URL: https://arxiv.org/abs/2409.14596
Source PDF: https://arxiv.org/pdf/2409.14596
Licence: https://creativecommons.org/licenses/by/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.