Cybercrimineel gebruik van Telegram neemt af door strengere moderatie
Telegram wordt steeds minder geschikt voor langdurige illegale activiteiten. Hoewel de messenger nog steeds wordt gebruikt voor criminele doeleinden, is de omgeving aanzienlijk uitdagender geworden voor ondergrondse operaties.
Dit blijkt uit onderzoek van Kaspersky Digital Footprint Intelligence naar meer dan 800 geblokkeerde cybercriminelenkanalen op Telegram tussen 2021 en 2024. Telegram biedt met zijn bot-functies en ingebouwde tools een laagdrempelig ecosysteem voor cybercrimineel handelen. Een enkele bot kan bijvoorbeeld gelijktijdig vragen afhandelen, cryptobetalingen verwerken en gestolen bankgegevens, phishingpakketten of DDoS-aanvallen leveren aan honderden kopers per dag, vaak zonder menselijke tussenkomst.
Daarnaast maakt onbeperkte, niet-vervalbare bestandopslag externe hosting overbodig voor het verspreiden van grote datalekken of gestolen bedrijfsdocumenten. Deze geautomatiseerde aanpak stimuleert vooral hoogvolume, laaggeprijsde en laagdrempelige diensten, zoals gestolen creditcardgegevens of malwarehosting. Hoogwaardige, vertrouwensgevoelige transacties – zoals de verkoop van zero-day-kwetsbaarheden – vinden nog steeds plaats op afgeschermde darkwebfora.
Twee duidelijke trends
Uit het onderzoek blijkt dat de gemiddelde levensduur van criminele kanalen is toegenomen: het aandeel kanalen dat langer dan negen maanden actief blijft, is in 2023–2024 meer dan verdrievoudigd ten opzichte van 2021–2022. Tegelijkertijd is de blokkeeractiviteit van Telegram aanzienlijk toegenomen. Sinds oktober 2024 liggen de maandelijkse verwijdercijfers – zelfs in rustige perioden – op het niveau van de piekwaarden uit 2023, met een versnelling in 2025. Dit belemmert criminele activiteiten steeds verder.
Telegram kent ook nadelen voor illegale gebruikers. Zo ontbreekt standaard end-to-end-encryptie voor chats, kunnen gebruikers geen eigen servers inzetten door de gecentraliseerde infrastructuur, en is de serverside-code gesloten, wat controle onmogelijk maakt. Hierdoor zijn enkele gevestigde ondergrondse gemeenschappen, zoals de BFRepo-groep met bijna 9.000 leden en de Angel Drainer-malware-as-a-service-operatie, begonnen met een verschuiving naar andere platformen of eigen messengers. Zij wijzen op herhaalde verstoringen van hun activiteiten op Telegram.
'Afweging tussen risico en beloning verandert duidelijk'
“Fraudeurs zien Telegram als een handig hulpmiddel voor malafide activiteiten, maar de afweging tussen risico en beloning verandert duidelijk. Kanalen blijven langer online dan een paar jaar geleden, maar door de sterk toegenomen blokkeringen kunnen operators niet meer rekenen op langetermijnstabiliteit. Wanneer een winkel of dienst van de ene op de andere dag verdwijnt – en soms slechts weken later weer opduikt om opnieuw verwijderd te worden – wordt het opbouwen van een betrouwbare business een stuk lastiger. We zien nu de eerste tekenen van migratie als direct gevolg hiervan”, aldus Vladislav Belousov, Digital Footprint Analyst bij Kaspersky.
Kaspersky adviseert gebruikers en organisaties om verdachte kanalen en bots te melden om gemeenschapsgedreven moderatie te versnellen. Daarnaast is het raadzaam meerdere bronnen van dreigingsinformatie te gebruiken, inclusief surface-, deep- en darkwebmonitoring, om op de hoogte te blijven van recente ondergrondse activiteiten en gebruikte tactieken door dreigingsactoren.
Meer informatie is beschikbaar in het onderzoeksrapport.
Meer over Security
Over Wouter Hoeffnagel
