A ascensão do cibercrime no Telegram e no Discord e a necessidade de monitoramento contínuo

As mensagens instantâneas, popularmente chamadas de IM ou IM'ing, são a troca de mensagens quase em tempo real por meio de um aplicativo independente ou software incorporado. Ao contrário das salas de bate-papo com muitos usuários envolvidos em conversas múltiplas e sobrepostas, as sessões de mensagens instantâneas geralmente ocorrem entre dois usuários em privado.

Um dos principais recursos de muitos clientes de mensagens instantâneas é a capacidade de ver se um amigo ou colega de trabalho está online no serviço — um recurso conhecido como presença. À medida que a tecnologia evoluiu, muitos clientes de mensagens instantâneas adicionaram suporte para a troca de mais do que apenas mensagens baseadas em texto, permitindo ações como transferência de arquivos e compartilhamento de imagens na sessão de mensagens instantâneas.

Os três principais aplicativos de mensagens pelo número de usuários estão o WhatsApp — 2 bilhões de usuários, o Facebook Messenger — 1,3 bilhão de usuários e o WeChat com 1,12 bilhão de usuários. O Messenger é o principal aplicativo de mensagens dos EUA. Em 2017, aproximadamente 260 milhões de novas conversas estavam ocorrendo todos os dias no aplicativo. No total, 7 bilhões de conversas estavam ocorrendo diariamente.

O poder das plataformas de mídia social está em sua capacidade de conectar usuários e criar caminhos exclusivos para a interação. Para indivíduos, empresas e governos, eles facilitam novas formas de alcançar seu público, promover um produto e promover comunidades.

A presença crescente de cibercriminosos nas plataformas de mídia social

O apelo universal das plataformas de mídia social está se tornando igualmente atrativo para os cibercriminosos. No entanto, a crescente gama de riscos criminais encontrados nas mídias sociais permanece significativamente pouco pesquisada.

Parece que os cibercriminosos não são muito diferentes dos consumidores e dos usuários corporativos — eles querem ferramentas fáceis de usar e amplamente disponíveis. Eles preferem serviços que sejam simples, tenham uma interface gráfica de usuário limpa, sejam intuitivos de usar e não tenham erros. A localização e o suporte linguístico também fazem a diferença. Os cibercriminosos são muito cuidadosos com quem deixam entrar em seu clube exclusivo, mas também não querem passar por obstáculos excessivos (e caros) para se comunicarem uns com os outros.

A ascensão do Telegram e do Discord

O ponto mais preocupante é que muitos grupos do Telegram e do Discord estão sendo usados por cibercriminosos para realizar atividades ilegais, como vender exploits e botnets, oferecer serviços de hacking e anunciar dados roubados.

A faca de dois gumes da criptografia de ponta a ponta do Telegram

A criptografia de ponta a ponta fornecida pelo Telegram abriu o caminho para uma série de atividades ilegais, transformando a cobiçada privacidade on-line em um terreno fértil para o crime. O Telegram afirma ser mais seguro do que os mensageiros do mercado em massa, como WhatsApp e Line. Ele permite, entre outras coisas, encaminhamentos anônimos, o que significa que suas mensagens encaminhadas não retornarão mais à sua conta. Você também pode cancelar o envio de mensagens e excluir bate-papos inteiros não apenas do seu próprio telefone, mas também da outra pessoa. Além disso, permite configurar nomes de usuário por meio dos quais você pode conversar com os usuários do Telegram sem revelar seu número de telefone. Esses dois recursos o diferenciam do WhatsApp.

Opção de bate-papo secreto do Telegram

O recurso de bate-papos secretos do Telegram usa criptografia de ponta a ponta, o que significa que não deixa rastros nos servidores, suporta mensagens autodestrutivas e não permite o encaminhamento. As chamadas de voz também são criptografadas de ponta a ponta. Ele ainda permite que os bots sejam configurados para tarefas específicas. Devido ao seu rico conjunto de recursos e à rápida adoção, o Telegram se tornou uma ferramenta procurada no cenário de fraudes. De acordo com o site do Telegram, o aplicativo permite que os usuários criem grupos privados contendo até 200.000 membros, bem como canais públicos que podem ser acessados por qualquer pessoa que tenha o aplicativo.

O Telegram informou em abril de 2020 que estava registrando 1,5 milhão de novos usuários diariamente. Acrescentou que foi o aplicativo social mais baixado em 20 mercados em todo o mundo. A plataforma foi amplamente adotada globalmente e está disponível em 13 idiomas.

Como os agentes de ameaças estão explorando o Telegram

Até recentemente, os fraudadores usavam principalmente grupos e canais do Telegram para organizar suas comunidades. Os grupos podem ser melhor descritos como salas de bate-papo nas quais todos os membros podem ler, comentar e publicar. É aqui que os fraudadores anunciam, se conectam e compartilham conhecimento e informações comprometidas, da mesma forma que os fóruns da dark web. Os canais, por outro lado, são grupos nos quais somente o administrador está autorizado a postar e os membros regulares têm acesso à visualização, semelhante aos blogs. Os fraudadores usam principalmente os canais do Telegram para anunciar serviços e produtos fraudulentos em massa. Dessa forma, o Telegram serve como uma “Dark Web lite” para empresas obscuras.

A descoberta de um exploit não é, por si só, ilegal. Na verdade, muitas vezes é recompensado por empresas de software ou negócios relacionados que podem ser afetados. Mas se uma exploração for vendida, sabendo que será usada para cometer um crime, existe a possibilidade de ser acusado de cúmplice. As ambigüidades legais geraram outra economia cinzenta no comércio de exploits. Descobriu-se que vários sites em plataformas de mídia social estão vendendo abertamente exploits, incluindo contas como o banco de dados de exploits do Injector, Exploit Packs.

Bancos de dados desprotegidos são uma das principais razões para o aumento dos registros de usuários expostos. Os relatórios indicam que os dados publicados pelos hackers contêm bancos de dados autênticos que podem causar sérias preocupações aos indivíduos e organizações afetadas. Após a divulgação da violação de dados, possíveis agentes de ameaças puderam discutir nos canais de telegramas e nos fóruns de hackers. Um invasor pode usar ainda mais os dados para coletar informações confidenciais e facilitar novos ataques.

Cerca de 30 a 40% dos sites de mídia social inspecionados ofereceram algum tipo de serviço de hacking. Muitas vezes, havia uma ênfase em serviços de hacking “éticos”, embora não houvesse maneiras óbvias de corroborar isso. Esses grupos oferecem ferramentas para hackear sites, hackers contratados e tutoriais sobre hackeamento. Na verdade, os cibercriminosos oferecem tudo o que é necessário para organizar uma fraude ou realizar um ataque pessoal. As ofertas geralmente são muito específicas e incluem códigos e softwares maliciosos que podem ajudar a obter acesso a contas pessoais.

O Discord agora é onde o mundo se encontra

O Discord é uma plataforma de mensagens em tempo real que se autodenomina um “bate-papo completo por voz e texto para jogadores”, devido à sua interface elegante, facilidade de uso e recursos abrangentes. A plataforma facilitou a comunicação com amigos e a criação e manutenção de comunidades por meio de texto, voz e vídeo.

O aplicativo permite que os usuários configurem seus próprios servidores, onde podem conversar com seus amigos ou com outras pessoas que compartilham seus interesses. O Discord foi originalmente criado para que os jogadores colaborem e se comuniquem, mas agora foi amplamente adotado por outros grupos e comunidades, desde clubes de caminhada locais até comunidades artísticas e grupos de estudo.

O Discord conquistou 100 milhões de usuários ativos por mês, 13,5 milhões de servidores ativos por semana e 4 bilhões de servidores com pessoas falando por mais de 4 horas por dia. O Discord agora é onde o mundo fala, convive e constrói relacionamentos com suas comunidades e amigos. Existem servidores configurados para funcionar como clubes de livros on-line, grupos de fãs para programas de televisão ou podcasts e discussões científicas, para citar alguns. Tudo isso parece inofensivo, mas o Discord tem um lado sombrio? Sim, existem servidores que promovem atividades ilegais usando a plataforma.

Como os cibercriminosos estão aproveitando o Discord

Sendo um serviço criptografado, o Discord hospeda vários canais de bate-papo que promovem práticas ilícitas. Além dos óbvios bate-papos de jogos, o Discord é explorado para realizar outras atividades nefastas, como vender cartões de crédito e fidelidade, drogas, recursos de hackers e serviços de doxing. Grande parte da popularidade tem a ver com as comunicações seguras, criptografadas e ponto a ponto disponíveis na plataforma, permitindo que os criminosos realizem operações abertamente, evitando o escrutínio das autoridades.

O Discord é a nova dark web?

Os mercados ilícitos no Discord funcionam da mesma forma que os mercados “convencionais” da Dark Web no TOR. Primeiro, o comprador deve localizar um vendedor, entrar em sua rede e pagar em bitcoin. Um dos produtos mais populares nos mercados do Discord são os pontos de crédito e fidelidade. Alguns desses mercados, tendo sido expulsos do TOR pela polícia, transferiram seus serviços para o Discord.

Os dados de cartões de crédito roubados, quando vendidos no Discord ou em outros sites obscuros, geralmente incluem outras informações de identificação, como nomes, endereços de e-mail, números de telefone, endereços físicos e senhas. Esses cartões podem ser usados para fazer compras on-line e off-line ou para comprar vales-presentes não rastreáveis. Os pontos de fidelidade, outro item muito popular no Discord, podem ser comprados por apenas alguns dólares (pagos em bitcoin) e podem ser trocados por dinheiro ou por mercadorias e vales-presentes.

Além da compra de cartões de crédito e pontos de fidelidade, algumas ferramentas poderosas de hacking chegaram ao Discord, permitindo que os compradores comprometam contas diretamente. Um exemplo proeminente é o OpenBullet, lançado na plataforma de código GitHub da Microsoft. Originalmente concebido como uma ferramenta de teste para profissionais de segurança, ele foi modificado por hackers e se espalhou rapidamente. É fácil de usar, configurar e implantar e ajuda o proprietário do servidor a configurar serviços de DDOS, métodos de carregamento e vendas de malware.

É fácil monitorar sites colados como o Pastebin porque conhecemos a estrutura dos sites; que tipo de dados são colados, etc. Mas monitorar as discussões no Discord, embora não seja tão simples, é fundamental para as organizações. E o tempo é essencial quando se trata de detectar e alertar as organizações sobre informações que estão sendo trocadas ou discutidas, relacionadas a seus dados e ativos.

Os cibercriminosos também tendem a usar essas plataformas para compartilhar notícias, trocar vulnerabilidades e explorar informações, além de citar trabalhos de pesquisa da comunidade de cibersegurança.

A necessidade de monitoramento contínuo

Esse é apenas o começo dos cibercriminosos que usam plataformas de mensagens instantâneas para promover seus negócios. E com a crescente popularidade dos aplicativos de mensagens criptografadas, podemos esperar que atividades ilegais floresçam nessas plataformas. Dado o rápido tempo de resposta nas plataformas de mensagens instantâneas, ao contrário dos fóruns em que os criminosos primeiro publicam suas necessidades/serviços e depois precisam esperar por uma resposta, é apenas uma questão de tempo até que os cibercriminosos transfiram suas transações para essas plataformas. Ferramentas como chatbots permitem respostas e publicidade automatizadas, ajudando os agentes de ameaças a conseguirem mais em menos tempo.

É por isso que o monitoramento em tempo real dos mercados da dark web, dos canais do Telegram e dos servidores do Discord não é mais um luxo, mas um requisito básico para que as organizações protejam seus dados e ativos. E é aqui que a plataforma de monitoramento de risco digital proprietária da CloudSEK XV Vigília pode ajudar você a ficar na frente dos cibercriminosos e de seus esquemas cada vez mais sofisticados. O XVIGil vasculha a internet, inclusive sites de superfície, mercados da dark web e plataformas de mensagens como Telegram e Discord. Ele detecta menções e trocas maliciosas relacionadas aos ativos digitais de sua organização e fornece alertas em tempo real. Assim, você tem tempo suficiente para tomar medidas proativas para evitar violações e ataques dispensáveis.