Cibercrime no Telegram: Como os Hackers Estão Usando o Aplicativo de Mensagens para Compartilhar Vazamentos e Hacks de Dados

Views: 1110

Telegram, o aplicativo semi-criptografado de mensagens e bate-papo visto como rival do Whatsapp, sempre recebeu muita atenção negativa como porto seguro e ferramenta essencial para grupos extremistas de ódio, teóricos da conspiração, pornógrafos infantis e assim por diante.

Agora, parece que os cibercriminosos também estão migrando para o Telegram para compartilhar e discutir vazamentos maciços de dados, expondo milhões de pessoas a níveis sem precedentes de fraude, hackers e ataques on-line.

A equipe de pesquisa de segurança cibernética do vpnMentor se juntou a vários grupos e canais Telegram focados em crimes cibernéticos para saber mais sobre como e por que o aplicativo se tornou tão popular entre hackers e atores de ameaças.

Descobrimos uma vasta rede disseminando vazamentos de dados e lixões entre milhares de pessoas e discutindo abertamente como explorá-los em várias empresas criminosas.

Como os Hackers estão usando o Telegram?

Hackers estão compartilhando vazamentos de dados no Telegram de duas maneiras diferentes.

Primeiro, existem canais Telegram, onde hackers postam lixões de dados com breves explicações sobre o que as pessoas podem encontrar dentro. Esses canais são mais passivos, com conversas mínimas acontecendo neles. Alguns canais têm 10.000 seguidores.

Despejos de dados compartilhados em um canal de hacking.

O outro método que os hackers estão usando são grupos de hackers dedicados, onde centenas de membros discutem ativamente vários aspectos do cibercrime e como explorar dumps de dados compartilhados.

Converse em um grupo de hackers do Telegram.

Exemplos de dados compartilhados diretamente em um grupo.

Em geral, parece que a maioria dos vazamentos de dados e hacks só é compartilhada no Telegram depois de ser vendida na dark web – ou o hacker não conseguiu encontrar um comprador e decidiu compartilhar as informações publicamente e seguir em frente.

Alguns dos vazamentos de dados tinham meses, mas muitos eram tão recentes quanto alguns dias.

Hackers também usaram o Telegram como parte de ataques cibernéticos e esquemas de chantagem. Depois que hackers roubaram um banco de dados da empresa israelense Shirbit, eles criaram um grupo Telegram e começaram a compartilhar informações confidenciais como uma forma de extorsão contra a empresa.

Por que postar vazamentos no Telegram?

Tradicionalmente, os hackers confiam na dark web ou em outros fóruns anônimos para compartilhar, discutir e vender informações sobre vazamentos de dados e hacks bem-sucedidos.

No entanto, o Telegram oferece inúmeras vantagens.

O aplicativo afirma estar incrivelmente focado em garantir privacidade para seus usuários. A única coisa que você precisa participar é um número de celular, que supostamente está oculto de todos os outros usuários, mas visível para verificação de Telegram e SMS. Em teoria, a aplicação da lei poderia solicitar o número de telefone de um usuário do Telegram, ou hackers poderiam invadir e roubá-lo.

A criação de canais e grupos do Telegram também evita que criminosos se registrem em um host ou serviço de domínio, protegendo-os de ataques como DDoS e reduzindo a necessidade de proteger suas operações de scanners on-line e ferramentas de segurança.

O Telegram também oferece uma barreira muito menor à entrada, tanto para pessoas que distribuem dados quanto para aqueles que esperam recebê-los. O Telegram é consideravelmente mais acessível do que a dark web, que requer know-how técnico específico para acessar e navegar, e medidas de segurança e privacidade mais robustas. Hackers podem alcançar um público muito mais amplo e compartilhar informações muito mais rápido em um aplicativo instalado em um dispositivo ou computador.

Ao longo de nossa pesquisa, testemunhamos membros desses grupos baixando arquivos zip de despejos de dados e depois perguntando como abri-los ou quais ferramentas eles precisavam para usá-los. Isso mostra que mesmo pessoas com alfabetização em informática incrivelmente baixa (e provavelmente não na dark web) estão obtendo acesso a dados incrivelmente sensíveis pertencentes a milhões de pessoas.

Muito provavelmente, eles também não estão armazenando esses dados de forma segura, criando outro conjunto de problemas e preocupações.

O Telegram também oferece a hackers maliciosos e cibercriminosos uma margem considerável para automatizar suas atividades. Os bots do Telegram permitem que os desenvolvedores executem aplicativos de terceiros na plataforma. Normalmente, as empresas usam a tecnologia para campanhas publicitárias e de marketing. Os hackers podem usar os bots para executar suas operações enquanto permanecem nas sombras e espalhar sua influência mais facilmente por bate-papos e grupos.

Finalmente, o Telegram provou ser incrivelmente lento em lidar com quanta atividade ilegal e perigosa ocorre no aplicativo. Os hackers sabem que provavelmente podem permanecer anônimos e protegidos da vigilância ou da responsabilidade básica.

O que o Telegram está fazendo para combater esses grupos?

O Telegram tomou medidas limitadas para encerrar esses grupos, mas alguns estão operando por meses antes que qualquer ação seja tomada. Nesse período, eles podem compartilhar abertamente dados privados de milhões de pessoas.

Alguns administradores de grupo também criam um grupo de ‘backup’, pronto para aceitar novos membros e fixado no topo do grupo. Dessa forma, os membros sabem se juntar ao grupo de ‘backup’ se o principal for desligado. Assim, eles podem continuar no backup como se nada tivesse acontecido.

Em contraste, o Telegram mostrou um entusiasmo muito maior em fechar grupos problemáticos em outras áreas, como a pirataria. A empresa fecha consistentemente quaisquer grupos ou canais que compartilhem material protegido por direitos autorais entre os usuários.

Assim, parece que quando se sentem responsáveis por ações legais devido à atividade no aplicativo, os proprietários do Telegram ficam felizes em intervir – e ficam de olho na atividade que acontece no aplicativo.

Telegrama não é tão privado quanto afirma

Apesar de sua crescente popularidade como um aplicativo de comunicações focado na privacidade, a maioria das reivindicações do Telegram por altos padrões de privacidade é enganosa.

O Telegram é incrivelmente secreto e opera sem transparência. Dois irmãos russos fundaram a empresa, passaram anos se mudando para cidades diferentes, antes de se estabelecerem em Dubai. A empresa não divulga oficialmente onde seus membros da equipe ou escritórios estão baseados.

Sua criptografia é “caseira” pelos fundadores e tem sido amplamente criticada por especialistas. A empresa afirma ser de código aberto, o que é um exagero na melhor das hipóteses. A parte mais crucial de seu sistema – os servidores – continua sendo uma caixa preta fechada.

E, finalmente, o Telegram não divulga quais dados coleta dos usuários, como são usados ou com quem eles os compartilham. Seu prometido “relatório de transparência” permanece vazio até hoje, apesar de inúmeras solicitações de dados de vários governos.

Estas são apenas algumas das muitas bandeiras vermelhas que cercam a empresa.

Para hackers criminosos e éticos, a ilusão de pseudo-anonimato no Telegram poderia sair pela culatra incrivelmente se a empresa decidisse explorar seu acesso aos seus dados, identidade e atividade. Ou se houve outra violação de dados no próprio aplicativo. Isso já aconteceu uma vez, em 2020, quando milhões de usuários do Telegram foram expostos.

Exemplos do que nossa equipe viu no Telegram

A seguir está uma amostra dos maiores e mais preocupantes despejos de dados que nossa equipe viu como membros dos grupos Telegram nos últimos seis meses.

Aviso Legal: não descobrimos essas violações de dados. Atualmente, eles estão sendo compartilhados on-line no Telegram e, potencialmente, em outras plataformas. Qualquer pessoa que pense que pode ser afetada deve ser extremamente cuidadosa e vigilante para possíveis ameaças, como aquisições de contas, golpes de phishing, roubo de identidade, ataque viral e fraude.

Se você está preocupado com essas violações de dados, altere suas credenciais de login para qualquer conta on-line, saiba como detectar e-mails de phishing e tome algumas medidas para melhorar sua privacidade on-line.

Playbook Esportes

De: Apareceu no Telegram em 24 de fevereiro de 2021

Tamanho: 800 MB

Site: http://playbooksports.com/

Dados de 100.000 cidadãos dos EUA, incluindo informações sobre atividades de jogo online e compras feitas na loja do site.

Os dados expostos incluíram:

• Nomes de usuário
• Senhas
• Nomes completos
• Endereços de email
• Endereços residenciais e comerciais

4Compartilhado

De: Apareceu no Telegram em 10 de abril de 2021

Site: 4shared.com

4Shared é um site de compartilhamento de arquivos no qual os usuários podem enviar uns aos outros um link para baixar arquivos de mídia.

Um hacker conseguiu obter uma lista de 3,5 milhões de arquivos enviados para o 4Shared.

Estes incluíram filmes piratas, músicas, livros, além de itens pessoais como fotos e vídeos.

Havia também links para perfis de usuário 4Shared. Os perfis continham apenas nomes de usuário, mas eles ainda podiam ser usados para encontrar informações adicionais. Alguns dias depois de serem compartilhados no Telegram, as URLs foram desativadas e o conteúdo não estava mais acessível.

Nossa equipe até descobriu que ‘kits de phishing’ estão sendo compartilhados entre pessoas direcionadas a instituições financeiras por fraude entre os arquivos no despejo de dados. Esses kits de phishing ilegal expuseram o nome da pessoa por trás do golpe e como eles planejavam atingir instituições em um esquema criminoso.

Banco Nacional e Trust de Cayman (Ilha de Man)

De: Originalmente vazou em 2019; apareceu no Telegram novamente em 2021

Em 2019, o hacktivista Phineas Fisher divulgou o despejo de dados ‘Sherword’ contendo uma lista de clientes de um banco offshore com sede nas Ilhas Cayman e na Ilha de Man (juntamente com outros destinos).

A violação de dados foi compartilhada novamente mais recentemente no Telegram. Este é um exemplo de uma violação de dados antiga que é compartilhada no Telegram para alcançar um público muito mais amplo do que quando foi inicialmente revelada.

Click.org

De: Vazou originalmente em dezembro de 2020; apareceu no Telegram em abril de 2021

Tamanho: 35 GB

Site: click.org

Click é um provedor de software de marketing que foi violado no final de dezembro de 2020. Desde então, a violação surgiu em um grupo Telegram.

O despejo de dados compreendia 35 GB de dados, incluindo um despejo SQL com 2,7 milhões de registros de transações feitas por usuários do click.org.

Os dados expostos incluíram:

• Nomes completos
• Endereço residencial
• Endereços de e-mail comerciais para afiliados Click.org
• URLs que permitem visualizar e baixar faturas

Conheça Mindful

De: Apareceu no Telegram em janeiro de 2021

Site: https://www.meetmindful.com/

Um hacker divulgou dados privados e informações de conta de 2,28 milhões de usuários no site Meet Mindful dating na dark web, e apareceu mais tarde no Telegram.

Os dados expostos incluíram:

• Nomes reais
• Endereços de email
• Detalhes da cidade, estado e CEP
• Atributos físicos
• Preferências de namoro
• Estado civil
• Datas de nascimento
• Latitude e longitude
• Endereços IP
• Senhas de conta Bcrypt-hashed
• IDs de usuário do Facebook
• Tokens de autenticação do Facebook

Despejo de Dados do Facebook

De: Originalmente vazou em 2019, apareceu no Telegram em abril de 2021

Muitas pessoas agora estão cientes de uma enorme violação de dados no Facebook que ocorreu em 2019. Na época, a empresa estava ciente da violação, mas optou por não denunciá-la aos usuários ou autoridades.

Os dados de 533 milhões de usuários do Facebook foram disponibilizados por hackers em abril de 2021 e fizeram manchetes em todo o mundo.

No entanto, antes que a história se tornasse viral, também era possível baixar os dados do Telegram.

Fonte desconhecida

De: Originalmente vazou por volta. 12 de abril de 2021; apareceu no Telegram em 23 de abril de 2021

Tamanho: 26 GB

Um banco de dados de uma fonte desconhecida, com arquivos detalhados sobre até 250 milhões de cidadãos dos EUA. (dependendo de entradas duplicadas). Os dados foram organizados em conjuntos de dados com base nos domicílios, sugerindo que foram coletados como parte de uma pesquisa ou projeto de pesquisa em larga escala.

Cada conjunto de dados continha uma enorme quantidade de informações incrivelmente detalhadas sobre os indivíduos dentro de uma casa.

Os dados expostos incluíram:

• Detalhes completos de contato (nome, endereço, e-mail, telefone, documento);
• Hobbies
• Afiliações políticas e doações;
• Doenças e enfermidades
• Status de casamento
• Número de filhos
• Renda(s)
• Preço da casa
• Etnia
• Coordenadas de localização
• Animais de estimação

A seguir está uma captura de tela de um grupo do Telegram no qual o despejo de dados foi compartilhado como um arquivo CSV para qualquer pessoa ler.

Um hacker compartilha dados privados de até 250 milhões de cidadãos dos EUA

Mega-Dump: “open data.7z”

Uma das maiores violações de dados que vimos em nossa pesquisa foi um despejo verdadeiramente enorme de dados de 670 sites, incluindo uma rede de sites pornográficos e suas afiliadas.

O hacker responsável compartilhou mais de 515MB de dados da empresa Effex Media. O gigante despejo de dados continha centenas de despejos menores de vários sites gerenciados e de propriedade da Effex Media e sites afiliados que vendiam os produtos das empresas.

Cada um desses lixões expôs os dados privados de dezenas de indivíduos que se inscreveram nos sites ou compraram produtos em uma de suas lojas online.

A Effex Media possui vários sites pornográficos menos conhecidos, como seymourbutts.com, airerose.com e bustynetwork.com. Cada um deles, e muitos mais, foram incluídos na violação de dados.

A Effex Media também trabalha com uma rede de lojas ‘dropshipping’ para vender seus produtos on-line. As lojas Dropshipping são varejistas on-line que nunca estocam nenhum produto, mas simplesmente agem como intermediários conectando um consumidor tentando comprar um produto com um fornecedor que o vende (neste caso, a Effex Media).

Mensagem da página inicial no site da Effex Media.

Entre os hackers de dados obtidos dos sites da Effex Media e os de suas afiliadas, conseguimos visualizar uma enorme quantidade de dados privados e comprometedores das pessoas que usam esses sites, incluindo:

• Nomes
• E-mail
• Endereços residenciais,
• Registros de pagamento
• cleartext Senhas de conta para assinaturas e lojas online
• Endereços IP
• Carimbos de data e hora para atividade em sites

A seguir estão amostras de dados de usuários e clientes dos sites da Effex Media e suas afiliadas.

Dados PII de um membro de um site da Effex Media.

Usuários cancelando a associação no site da Effex Media.

PII do site afiliado da Effex Media

Implicações e Impacto

O fato de tantos hackers e cibercriminosos (para não mencionar os supostos “fãs” do cibercrime) adotaram o Telegram é uma séria escalada no aumento contínuo do cibercrime.

Aqueles envolvidos em hackers ilegais, fraudes on-line e outras atividades criminosas claramente se acostumaram a quase zero responsabilidade. Eles ficaram cada vez mais ousados e, aparentemente, não têm escrúpulos em discutir abertamente suas atividades em um aplicativo de mensagens semipúblicas.

Ao fazer isso, eles poderiam aumentar significativamente o escopo de suas próprias atividades maliciosas e inspirar muitas pessoas a experimentar o cibercrime, fazendo com que pareça fácil e livre de riscos. Isso pode criar um efeito cascata devastador em todo o mundo.

Governos e organizações de segurança cibernética já estão lutando para acompanhar a crescente escala e frequência de ataques cibernéticos, hackers e fraudes on-line. Estima-se que haja 3,5 milhões de empregos de segurança cibernética não preenchidos em 2021, à medida que os empregadores lutam para atender à demanda com pessoal adequadamente treinado.

Se toda uma geração de hackers amadores saindo no Telegram fosse inspirada a perseguir o cibercrime, o impacto poderia ser devastador. Sejam ou não bem-sucedidos, perseguir e processar esses amadores seria um grande dreno em esforços já tensos, tirando recursos valiosos do monitoramento e combate a criminosos maiores e ataques cibernéticos.

E embora não sejamos exatamente simpáticos às pessoas que usam o Telegram para celebrar e distribuir seus hacks, elas podem eventualmente se arrepender de fazê-lo.

O Telegram opera em sigilo, sem transparência ou responsabilidade. A empresa nunca compartilha detalhes sobre como monitora os usuários ou seus dados – ou com quem compartilha essas informações.

Usar o Telegram para atividades ilegais pode sair pela culatra espetacularmente – tanto para os hackers que compartilham seu trabalho quanto para as pessoas que os seguem.

Então, espero que o Telegram finalmente comece a resolver esse problema.

O resultado final

A descoberta de prósperas comunidades criminosas de hackers no Telegram representa um novo capítulo preocupante no agravamento da epidemia de crimes cibernéticos que se espalham pelo mundo.

Se a empresa não intervir e resolver o problema, ou se os reguladores e o governo não o forçarem, as comunidades de crimes cibernéticos do Telegram ameaçam a segurança de milhões de pessoas. Além disso, eles poderiam transformar o cibercrime em uma perseguição amadora, na qual mesmo alguém com alfabetização em informática limitada pode buscar esquemas criminosos potencialmente devastadores.

Embora essas comunidades representem uma grande escalada, elas podem simplesmente ser um pequeno passo para que o cibercrime se torne um passatempo mainstream.

Sobre Nós e Relatórios Anteriores

O vpnMentor é o maior site de revisão de VPN do mundo. Nosso laboratório de pesquisa é um serviço pro bono que se esforça para ajudar a comunidade on-line a se defender contra ameaças cibernéticas enquanto educa as organizações sobre a proteção dos dados de seus usuários.

Nossa equipe de pesquisa de segurança ética descobriu e divulgou algumas das violações de dados mais impactantes dos últimos anos.

Isso incluiu um grupo de VPNs gratuitas rastreando secretamente a atividade e os dados de seus usuários e vazando-os on-line. Também descobrimos possíveis atividades criminosas e golpes direcionados a usuários no Spotify, Instagram e Facebook.

Você também pode querer ler nosso Relatório de Vazamento de VPN e Relatório de Estatísticas de Privacidade de Dados.

Ajude-nos a Proteger a Internet!

Apresentando a Caixa de Vazamento

A Leak Box está hospedada na Dark Web e permite que hackers éticos relatem anonimamente qualquer violação de dados que encontrarem on-line. Como alternativa, qualquer pessoa pode enviar uma violação aqui no vpnMentor, a qualquer momento, de qualquer lugar, sem comprometer sua privacidade.

Verifique a Caixa de Vazamento aqui >>

FONTE: VPN MENTOR