Cybersecurity: Telegram è davvero il nuovo dark web?

Telegram potrebbe trasformarsi nel nuovo dark web? Secondo il Financial Times, sì. Un’indagine condotta dal gruppo Cyberint con il quotidiano economico-finanziario britannico ha portato alla luce una rete di criminali informatici che tentano di acquistare, vendere e condividere dati rubati e strumenti di hacking attraverso la popolare piattaforma di messaggistica. Un caso che torna ad accendere i riflettori sulla necessità per le aziende di difendersi dagli attacchi hacker. Ed evitare, di conseguenza, che “i sistemi di comunicazione vengano utilizzati per scambiare informazioni rubate”, spiega a We Wealth Gabriele Faggioli, responsabile scientifico dell’Osservatorio cybersecurity & data protection del Politecnico di Milano e ceo di Digital360.

Secondo Cyberint, il numero di menzioni su Telegram di frasi come “Email: pass” e “Combo” (un linguaggio utilizzato tipicamente dagli hacker per indicare gli elenchi di email e password che vengono condivisi) è impennato di quattro volte nel corso dell’ultimo anno, sfiorando quota 3.400. In un canale pubblico definito “combolist”, con oltre 47mila iscritti, gli hacker vendono o fanno circolare dump di dati di centinaia di migliaia di nomi utente e password trapelati. E sono solo alcuni degli esempi. Si parla anche di contenuti finanziari, come informazioni sulle carte di credito, copie di passaporti e credenziali per i conti bancari.

In un’altra indagine di vpnMentor, diffusa a inizio anno, sono stati inoltre identificati sulla piattaforma di messaggistica dump di dati provenienti da precedenti attacchi hacker che hanno coinvolto aziende come Facebook, Click.org o Meet Mindful. “In generale, sembra che la maggior parte dei dati vengono condivisi su Telegram solo dopo essere stati venduti sul dark web, oppure l’hacker non è riuscito a trovare un acquirente e ha deciso di condividere le informazioni pubblicamente”, ha spiegato vpnMentor. Definendo tuttavia questa tendenza come “una grave escalation nell’ondata in corso di criminalità informatica”, considerando che alcuni degli utenti di questi gruppi sembravano essere meno esperti di tecnologia rispetto a un utente tipo del dark web.

Come spiegato invece da Tal Samra, analista di Cyberint, il passaggio dei criminali informatici dal dark web a Telegram è legata in parte all’anonimato offerto dalla piattaforma e alla sua maggiore accessibilità. Oltre a un minor monitoraggio delle forze dell’ordine. “In alcuni casi è più facile trovare acquirenti su Telegram piuttosto che sui forum perché tutto è più fluido e veloce. L’accesso è più semplice e i dati possono essere condivisi in modo molto più aperto”, osserva l’analista.

“Quello che sta accadendo è che, attraverso Telegram, i criminali informatici sono in grado di scambiare informazioni o dati in maniera sicura, considerando i sistemi di crittografia delle comunicazioni”, precisa Faggioli. “Non parliamo però di un sistema di comunicazione insicuro di per sé per chi lo usa. La questione è che siccome sistemi di comunicazione come Telegram permettono difficilmente di essere rintracciati e la collaborazione con le forze dell’ordine magari non è ancora matura, i criminali li utilizzano perché è più semplice comunicare e scambiare informazioni trafugate dalle aziende. Molte piattaforme nascono di nicchia, poi esplodono e non sono preparate a gestire in modo sufficientemente appropriato gli aspetti non di security intrinseca ma quelli che si possono generare dall’utilizzo della loro piattaforma, che diventa veicolo di operazioni criminali”.

Un aspetto che, come anticipato in apertura, richiama l’attenzione sulla necessità per le aziende di tutelarsi in primis dall’attuale virulenza degli attacchi. “È chiaro che esiste un problema di natura tecnologica, quindi occorre stanziare cifre sufficienti per potersi garantire una certa protezione, ma dall’altra parte molti di questi attacchi soffrono di una carenza di competenze. Che ci sia la necessità di investimenti in formazione, awareness e tecnologia, è un dato di fatto. Dopodiché esiste un tema di procedure interne, regole e metodologie che consentano anche una maggiore velocità nell’intercettare i fatti accaduti. Un elemento rilevante, se si considera che le statistiche mostrano come la stragrande maggioranza delle violazioni vengono scoperte molti mesi dopo”, osserva Faggioli. Poi conclude: “Tanto più le aziende inizieranno a proteggersi e le difese saranno efficaci, tanto più gli attacchi saranno onerosi e gli attaccanti saranno costretti a rischiare di più e a investire più denaro. Occorre quindi concentrarsi sulle difese anche per disincentivare gli attacchi rispetto a pretendere di arginare gli scambi di materiali piratati”.