Thế giới “ngầm” trên Telegram bị siết chặt, tội phạm mạng rời bỏ nền tảng?

Báo cáo Kaspersky Digital Footprint Intelligence đã tiến hành theo dõi chuyên sâu hơn 800 kênh Telegram bị chặn do có liên quan đến hoạt động tội phạm mạng trong giai đoạn 2021 - 2024. Mặc dù nhiều hoạt động bất hợp pháp vẫn đang diễn ra trên nền tảng Telegram, song thực tế cho thấy, tội phạm mạng đang ngày càng gặp khó khăn trong việc duy trì hoạt động “ngầm”.

Với Bot Framework (bộ quy tắc và công cụ mà các nhà phát triển sử dụng để tạo, lập trình và tích hợp các bot tự động vào nền tảng Telegram) và các tính năng có sẵn, Telegram trở thành nền tảng mà tội phạm mạng có thể dễ dàng xây dựng và duy trì hoạt động phi pháp.

Chỉ với một bot, kẻ xấu có thể xử lý dữ liệu hoạt động của hàng trăm người mỗi ngày, nhận thanh toán bằng tiền mã hóa và ngay lập tức phát tán thông tin thẻ ngân hàng bị đánh cắp, dữ liệu từ phần mềm đánh cắp thông tin (info-stealer), bộ công cụ lừa đảo (kit phishing), hoặc thậm chí triển khai tấn công DDoS (Distributed Denial of Service) mà gần như không cần sự can thiệp từ người điều hành.

Tính năng lưu trữ tệp không giới hạn và thời hạn vĩnh viễn của Telegram cũng cho phép kẻ xấu dễ dàng chia sẻ cơ sở dữ liệu bị rò rỉ có dung lượng lớn, hoặc tài liệu nội bộ bị đánh cắp mà không cần lưu trữ trên máy chủ ngoài. Cơ chế tự động hóa cực kỳ dễ dàng và nhanh chóng này đã tạo điều kiện thuận lợi cho các hoạt động giao dịch trái phép quy mô lớn, giá rẻ và không đòi hỏi kỹ thuật cao, như dữ liệu thẻ ngân hàng, các dữ liệu khác hoặc dịch vụ lưu trữ mã độc…

Tuy nhiên, các giao dịch giá trị cao và phụ thuộc lớn vào độ uy tín, chẳng hạn mua bán lỗ hổng zero-day, vẫn chủ yếu diễn ra trên các diễn đàn dark web có kiểm soát nghiêm ngặt và đòi hỏi danh tiếng.

Các nhà nghiên cứu của Kaspersky đã phát hiện hai xu hướng rõ rệt trong các hoạt động phi pháp diễn ra trên Telegram:

Thứ nhất, tuổi thọ trung bình của các kênh tội phạm đang tăng lên đáng kể: tỷ lệ kênh tồn tại hơn chín tháng tăng gấp hơn ba lần trong giai đoạn 2023-2024 so với giai đoạn 2021-2022.

Thứ hai, hoạt động chặn và gỡ bỏ các kênh này trên Telegram cũng tăng mạnh. Số lượng kênh bị xử lý hằng tháng kể từ tháng 10/2024, ngay khi ở mức thấp nhất, vẫn tương đương với con số trong giai đoạn cao điểm của năm 2023 và tốc độ xử lý tiếp tục tăng trong năm 2025. Những biện pháp này khiến các hoạt động của kẻ xấu gặp nhiều khó khăn.

Tuy nhiên, Telegram cũng có nhiều điểm bất lợi đối với tội phạm mạng: Dữ liệu trò chuyện không được mã hóa đầu cuối (E2E) mặc định cho tin nhắn, không được phép sử dụng máy chủ riêng (do hệ thống của Telegram là tập trung) và mã nguồn máy chủ bị đóng, khiến kẻ xấu không thể kiểm chứng cách thức hoạt động của nền tảng.

Kết quả là, một số cộng đồng ngầm hoạt động lâu năm, bao gồm nhóm BFRepo với gần 9.000 thành viên và mô hình phần mềm độc hại dưới dạng dịch vụ (malware-as-a-service) Angel Drainer, đã bắt đầu chuyển hoạt động sang nền tảng khác hoặc dùng trình nhắn tin tự phát triển, vì liên tục bị gián đoạn hoạt động trên Telegram.

Ông Vladislav Belousov, Chuyên gia phân tích dấu chân số (Digital Footprint Analyst) tại Kaspersky nhận định: "Tội phạm mạng xem Telegram là công cụ thuận tiện cho nhiều hoạt động phi pháp, nhưng chúng cũng bắt đầu cân nhắc bài toán giữa rủi ro và lợi ích. Hiện nay, nhiều kênh có thể tồn tại lâu hơn so với vài năm trước, nhưng số lượng kênh bị chặn tăng vọt khiến các nhóm tội phạm không còn có thể trông chờ vào sự ổn định lâu dài. Việc duy trì hoạt động ngầm ổn định trở nên vô cùng khó khăn khi một “gian hàng” hay dịch vụ bị xóa chỉ sau một đêm, hay đôi khi xuất hiện trở lại rồi lại bị gỡ vài tuần sau đó.

Từ quan sát, ông Vladislav Belousov cho rằng có những dấu hiệu đầu tiên của làn sóng “di cư” sang nền tảng khác. Đây là hệ quả rõ ràng từ loạt biện pháp siết chặt trên các nền tảng./.