• 18.09.2024Database of Velez Sarsfield Club members for sale

ビジネスを保護するためにTelegram監視を実行する理由と方法
why and how to do telegram monitoring
  • Table of contents

The author

user_image
Tomas Domine and Yehonatan Wiesel

Table of contents

Related Articles

7 best practices for dark web scanning
Dark Web

ダークウェブスキャンの 7 つのベストプラクティス

ダークウェブスキャンを効果的に...
9月 18, 2023
もっと詳しく見る
jap ctem
カテゴリーなし

CTEM の実践: 5 つの重要なステップ:

サイバー脅威は微生物と似ていま...
1月 18, 2024
もっと詳しく見る
Dark Web

ビジネスを保護するためにTelegram監視を実行する理由と方法

7月 10, 2024

脅威行為者にとって、ユーザーのプライバシーを重視するTelegramアプリは、お気に入りのたまり場となっている。ダーク・リーディング誌が指摘するように、「サイバー犯罪のエコシステムは今や、I2PやTorのようなプライベートな通信プラットフォームを含むだけでなく、明確なウェブサイトやテレグラム・チャンネルにも及んでいる」。同様に、米サイバーセキュリティ誌はテレグラムを “犯罪活動の盛んな拠点 “と呼んでいる。

このような理由から、組織がTelegramを監視することは、脅威行為者が何をしているのか、特定の企業を巻き込んだ侵害について議論しているのかどうかを判断するのに最適な方法である。

しかし、Telegramのモニタリングは、ログオンして悪者に近況を尋ねるような単純なものではない。複雑なプロセスであり、どのチャンネルを監視するかを慎重に選択し、脅威行為者と関わるための効果的な戦略を立てる必要がある。

様々なソーシャル・メディア・プラットフォームやその他のソースから脅威インテリジェンスを収集することを一日中仕事としているCyberintでは、Telegramを効果的に監視する方法について熟知しています。この記事では、私たちのアプローチと、私たちの全体的な脅威インテリジェンス戦略においてTelegramモニタリングが果たす役割について説明します。

Telegramは監視できるのか?

Telegramがプライベートな会話を促進するように設計されていることを考えると、第三者は全く監視できないと思うかもしれません。しかし、適切なアプローチをとれば、Telegramのモニタリングは十分に可能です。

場合によっては、アプリにログインするだけで、脅威行為者の会話を盗聴できるほど簡単なこともある。 例えば、多くのグループは「公式」Telegramグループを公開したままにしているが、これは彼らにとってマーケティングツールだからだ。しかし、グループ管理者が非公開に設定を変更したり、脅威行為者がプライベートなチャンネルを通じてコミュニケーションを行うなど、もっと難しいケースもある。

 

Telegram には監視機能が組み込まれていません。もしあったとしたら、攻撃者は一斉にアプリから逃げ出すでしょう。しかし、外部プロバイダーを通じて Telegram をスクレイピングしてスキャンし、ブランドへの言及などを監視する方法はあります。

さらに、自分自身が脅威アクターになりすまし、この偽の ID を使用して、アプリを使用する実際の脅威アクターとやり取りすることもできます。本質的に、これが Cyber​​int の Telegram 監視戦略の基礎です。
Telegram を監視する方法
しかし、Telegram の監視を実行することは、単にアプリをロードして攻撃者と会話を始めるよりも困難です。

調査したい脅威アクターを見つけて話をしてもらうには、慎重な計画と実行を必要とする複数のステップから成るプロセスが必要です。

ステップ 1: 関連する Telegram チャンネルを見つける

まず、攻撃者が活動している Telegram チャンネルを特定する必要があります。これらのチャンネルには目的が明らかになるようなラベルが付けられていることがほとんどないだけでなく、多くの場合、脅威アクターのたまり場であると称するチャンネルは実際には正当ではないため、これは困難です。

たとえば、私たちは最近、重大な攻撃を行った IntelBroker という脅威アクターの脅威インテリジェンスを実行したいと考えていました。Telegram で IntelBroker を検索したところ、IntelBroker グループにリンクされたアカウントに関連していると主張するチャンネルが約 8 つ見つかりました。さらに調査したところ、悪名高い Baphomet が、IntelBroker チャンネルはすべて詐欺であると警告を投稿していました。それらのどれも、実際の IntelBroker 脅威アクターにリンクされていませんでした。

ここでのポイントは、Telegram で目にするものの多くは見た目どおりではないということです。議論に飛び込む前に、慎重に分析することが重要です。そうしないと、調査対象の脅威アクターであると主張するが、実際にはあなたを欺くためにそこにいる人々と関わることになるかもしれません。

Telegram チャンネルを選択する際に本物と偽物を区別するために、チャンネルと他のダーク ウェブ リソース間のリンク、および Telegram チャンネル間のリンクを確認します。グループが提供するハッキング サービスの名前など、脅威アクターについてすでにわかっていることに基づいて、そのグループが Telegram のどこで活動しているかを推測できます。

ステップ 2: 脅威アクターを検証する

Telegram チャンネルが実際に脅威アクターによって使用されているかどうかを評価することは、プロセスの最初のステップにすぎません。チャンネルでアクティブなアカウントが、調査対象の脅威アクターによって本当に所有されているかどうかも判断する必要があります。

結局のところ、Telegram では誰でも誰かを名乗ることができ、アプリ内でユーザーの身元を確認する方法はありません。代わりに、次のような戦術を活用して、誰かが本人であるかどうかを評価します。

  • 他の Telegram ユーザーが特定の人物について何を言っているか、また他の人がその人物の身元が本物であると保証しているかどうかを確認します。
  • アカウントが提供する製品やサービスを評価し、脅威アクターの活動について私たちが知っていることと一致するかどうかを検討します。
  • その人物が使用する言語の種類を評価します。ほとんどの脅威アクターはインターネットのスラングやミームが好きなので、彼らが使用する専門用語を見ると、彼らが本物の脅威アクターであるかどうかを検証するのに役立ちます。
  • 実際の脅威アクターは、時間的なプレッシャーを好んで使用するため、この戦術を彼らに展開します。

ステップ 3: 脅威アクターと関わる

脅威アクターの身元を確認したら、積極的に関わり、彼らが何をしているのかについての洞察を集めることができます。

これを効果的に行うには、脅威アクターに私たちを信頼できると納得させる必要があります。同じタイプのインターネットスラングを使うのも、脅威アクターに私たちが「仲間の一人」だと信じ込ませる方法の 1 つです。

より大規模な脅威アクター組織と関係があると主張すると、Telegram 上で正当な存在として見られる可能性が高まります。特にその組織が有名であれば、攻撃者の目に敬意が払われます。

脅威アクターとの信頼関係が深まるほど、通常、彼らは私たちに多くの情報を渡します。

Telegram の監視: ケース スタディ

脅威インテリジェンスを目的とした Telegram の監視が実際にどのようなものかを説明するために、クライアントの 1 社を保護するために最近実施した操作についてお話しします。

セキュリティ制御を回避するように設計されたツールという形で、クライアントの Web サイトの 1 つに影響を与える脅威を特定しました。しかし、Telegram でツールを作成した脅威アクターを追跡して対処することで、2 要素認証が設定されている限り、ツールは機能しないことがわかりました。この情報により、クライアントのアカウントのほとんどで既に 2 要素認証が有効になっているため (脅威に対応してアップグレードされた一部のレガシー アカウントには、そのような保護がありませんでした)、脅威は実際には深刻なリスクをもたらさないことをクライアントに伝えることができました。

このケースでは、Telegram の監視により、脅威への対応方法に関する実用的なガイダンスを提供できました。脅威アクターからこの情報を入手できなかった場合、クライアントは緩和戦略を考案する前に、攻撃者がどのように行動しようとし、どの程度の損害を引き起こす可能性があるかを待つ必要がありました。

脅威アクターはTelegramで何をしますか?
Telegramを監視してきた当社の豊富な経験に基づき、脅威インテリジェンスチームがTelegram監視を通じて調査できる最も一般的な種類のリスクと洞察には、次のものがあることがわかりました。

組織を攻撃したりボットネットを作成したりしたい人々に脅威アクターが提供するマルウェアまたはサービスとしてのマルウェアの販売。
クレデンシャルスタッフィングソフトウェアなど、その他のさまざまなハッキングツールの販売。通常、脅威アクターはこれらのソリューションを他の脅威アクターに販売し、彼らはそれを使用して独自の攻撃を実行します。

詐欺サービス。これらはITシステムに感染することに依存しません。代わりに、盗まれたクレジットカード番号の販売や、脅威アクターが他の人から盗んだクレジットカードを使用して人々のために商品を購入するなど、「典型的な」詐欺の形をとります。

Cyber​​int による Telegram の監視

Telegram の監視により、脅威アクターがどのような種類の攻撃を計画しているかに関する洞察だけでなく、ツールの動作やそれらに対する防御方法に関する技術的な詳細など、膨大な情報が得られます。

ただし、Telegram で脅威アクターを見つけて対処するのは複雑なため、ほとんどの組織が独自に Telegram の監視を実行するのは困難です。

ただし、Cyber​​int と提携することで、Telegram の監視は容易になります。Cyber​​int は、包括的な脅威インテリジェンス サービスの一環として、Telegram だけでなく他の多数のプラットフォームから収集した洞察を提供します。詳細については、デモをリクエストしてください。