Por qué y cómo realizar el seguimiento de Telegram para proteger tu negocio

Para los actores de amenazas, la aplicación Telegram, que enfatiza la privacidad del usuario, se ha convertido en un lugar de reunión favorito. Como señala Dark Reading, «El ecosistema de la ciberdelincuencia ahora no solo incluye plataformas de comunicación privadas como I2P y Tor, sino que también llega a sitios web claros y canales de Telegram.» Del mismo modo, la revista estadounidense Cybersecurity llama a Telegram «un próspero centro de actividad criminal «.
Por esta razón, el monitoreo de Telegram es una excelente manera para que las organizaciones determinen qué están haciendo los actores de amenazas y si están discutiendo las infracciones que involucran a una empresa en particular.
Sin embargo, el monitoreo de telegramas no es tan simple como iniciar sesión y preguntar a los malos qué están haciendo. Es un proceso complejo que requiere una selección cuidadosa de qué canales monitorear, así como una estrategia efectiva para interactuar con los actores de amenazas.
En Cyberint, donde la recopilación de inteligencia de amenazas de una variedad de plataformas de redes sociales y otras fuentes es lo que hacemos todo el día, sabemos una o dos cosas sobre cómo monitorear Telegram de manera efectiva. Este artículo explica nuestro enfoque y el papel que desempeña el monitoreo de Telegram en nuestra estrategia general de inteligencia de amenazas.

¿Se puede monitorear Telegram?

Dado que Telegram está diseñado para facilitar la conversación privada, podrías pensar que terceros no pueden monitorearlo en absoluto. Sin embargo, con el enfoque correcto, el monitoreo de Telegram es eminentemente posible.
En algunos casos, es tan fácil como simplemente iniciar sesión en la aplicación y escuchar a escondidas las conversaciones de los actores de amenazas. Por ejemplo, muchos grupos dejan sus grupos ‘oficiales’ de Telegram abiertos al público, en cuanto a ellos, es una herramienta de marketing. Sin embargo, en algunos casos es mucho más difícil, ya que el administrador del grupo cambia la configuración a privada o los actores de amenazas se comunican a través de canales privados.

No hay una función de monitoreo integrada en Telegram, y si la hubiera, puedes apostar a que los atacantes huirían de la aplicación en masa. Sin embargo, hay formas de raspar y escanear Telegram a través de proveedores externos para monitorear las menciones de marca, etc.

Además, puedes hacerte pasar por un actor de amenazas y usar esta identidad falsa para interactuar con los actores de amenazas reales que usan la aplicación. Eso, en esencia, es la base de nuestra estrategia de monitoreo de Telegram en Cyberint.

Cómo monitorear Telegram

Pero, de nuevo, llevar a cabo el monitoreo de Telegram es más difícil que simplemente cargar la aplicación e iniciar conversaciones con los atacantes.

Paso 1: encuentra canales de Telegram relevantes

Primero, debes identificar los canales de Telegram donde los atacantes están activos. Esto puede ser un desafío no solo porque estos canales rara vez están etiquetados de manera que su propósito sea obvio, sino también porque en muchos casos, los canales que pretenden ser lugares de reunión para los actores de amenazas en realidad no son legítimos.

Por ejemplo, recientemente quisimos realizar inteligencia sobre amenazas en un actor de amenazas conocido como IntelBroker, que ha llevado a cabo ataques importantes. Cuando buscamos IntelBroker en Telegram, encontramos alrededor de ocho canales que afirmaban estar asociados con cuentas vinculadas al grupo IntelBroker. Tras una mayor investigación, el infame Baphomet había publicado una advertencia que decía que todos los canales de IntelBroker eran estafas. Ninguno de ellos estaba vinculado al actor de amenazas real de IntelBroker.

El punto aquí es que mucho de lo que ves en Telegram no es lo que parece. Es importante un análisis cuidadoso antes de lanzarse a la discusión. De lo contrario, podría terminar interactuando con personas que afirman ser los actores de amenazas que está investigando, pero que resultan estar ahí para engañarlo.

Para ayudar a distinguir lo real de lo falso al seleccionar canales de Telegram, analizamos los enlaces entre canales y otros recursos de la Dark Web, así como los enlaces entre canales de Telegram. Según lo que ya sabemos sobre un actor de amenazas, como los nombres de los servicios de piratería que ofrece un grupo, podemos extrapolar para identificar dónde está activo ese grupo en Telegram.

Paso 2: validar los actores de amenazas

Evaluar si un canal de Telegram es realmente utilizado por actores de amenazas es solo el primer paso del proceso. También debe determinar si las cuentas activas en el canal son realmente propiedad de los actores de amenazas que está investigando.

Después de todo, cualquiera puede afirmar ser cualquier persona en Telegram y no hay forma dentro de la aplicación de verificar la identidad de un usuario. En cambio, aprovechamos tácticas como las siguientes para evaluar si alguien es quien dice ser:

• Observar lo que otros usuarios de Telegram dicen sobre una persona determinada y si otras personas garantizan que su identidad es real.
  Evaluar qué productos o servicios ofrece la cuenta y considerar si se alinean con lo que sabemos sobre la actividad del actor de amenazas.
• Evaluar el tipo de lenguaje que utiliza la persona. A la mayoría de los actores de amenazas les encanta la jerga y los memes de Internet, por lo que observar la jerga que emplean nos ayuda a validar si son actores de amenazas reales.
• Realizar solicitudes urgentes, a las que es más probable que los actores de amenazas reales respondan rápidamente. A los actores de amenazas les encanta usar la presión del tiempo y les desplegamos esta táctica.

Paso 3: Involucrar a los actores de amenazas

Una vez que hayamos validado la identidad de un actor de amenazas, podemos comenzar a interactuar activamente con él para recopilar información sobre lo que está haciendo.

Para hacer esto de manera efectiva, debemos convencer al actor de amenazas de que puede confiar en nosotros. Usar el mismo tipo de jerga de Internet es una forma de hacerlo porque hace que los actores de amenazas crean que somos «uno de ellos».

Afirmar estar asociado con una entidad actora de amenazas más grande también puede ayudarnos a parecer legítimos en Telegram. Genera respeto ante los ojos de los atacantes, especialmente si la entidad es famosa.

Cuanta más relación podamos construir con los actores de amenazas, más información normalmente nos entregarán.

Monitoreo de Telegram: un estudio de caso

Para explicar cómo se ve en la práctica el monitoreo de Telegram con fines de inteligencia de amenazas, aquí hay una historia sobre una operación reciente que realizamos para proteger a uno de nuestros clientes.

Identificamos una amenaza que afectaba a uno de los sitios web del cliente en forma de una herramienta diseñada para eludir los controles de seguridad. Sin embargo, al rastrear e interactuar con el actor de amenazas que creó la herramienta en Telegram, pudimos determinar que mientras estuviera implementada la autenticación de dos factores, la herramienta no funcionaría.

Con esta información pudimos decirle a nuestro cliente que la amenaza en realidad no representaba un riesgo grave, ya que ya tenía activada la autenticación de dos factores para la mayoría de sus cuentas (no tenía ese tipo de protección para algunas cuentas heredadas). , que se actualizaron en respuesta a la amenaza).

En este caso, el monitoreo de Telegram nos permitió brindar orientación práctica sobre cómo responder a una amenaza. Si no hubiéramos podido obtener esta información del actor de la amenaza, el cliente habría tenido que esperar y ver cómo intentaban actuar los atacantes y cuánto daño podían causar antes de diseñar una estrategia de mitigación.

¿Qué hacen los actores de amenazas en Telegram?

Según nuestra amplia experiencia en el monitoreo de Telegram, descubrimos que los tipos más comunes de riesgos e información que los equipos de inteligencia de amenazas pueden investigar a través del monitoreo de Telegram incluyen:

• La venta de malware o malware como servicio que los actores de amenazas ofrecen a personas que quieren atacar una organización o crear botnets.
• La venta de otros tipos de herramientas de piratería, como software de relleno de credenciales. Normalmente, los actores de amenazas venden estas soluciones a otros actores de amenazas, que quieren utilizarlas para ayudar a ejecutar sus propios ataques.
• Servicios de fraude. Estos no dependen de infectar los sistemas de TI; en cambio, toman la forma de fraude «clásico», como la venta de números de tarjetas de crédito robadas o la compra de artículos para personas que utilizan tarjetas de crédito que los actores de amenazas robaron a otras personas.

Monitoreo de Telegram con Cyberint

El monitoreo de Telegram puede generar una gran cantidad de información, que incluye no solo información sobre qué tipos de ataques podrían estar planeando los actores de amenazas, sino también detalles técnicos sobre cómo funcionan sus herramientas y cómo protegerse contra ellos.

Pero dada la complejidad de encontrar e interactuar con éxito con actores de amenazas en Telegram, el monitoreo de Telegram es un desafío para la mayoría de las organizaciones para realizarlo por sí solos.

Sin embargo, al asociarse con Cyberint, el monitoreo de Telegram se vuelve fácil. Cyberint ofrece información obtenida de Telegram, así como de una serie de otras plataformas, como parte de nuestros servicios integrales de inteligencia sobre amenazas. Para obtener más información, solicite una demostración.