Studie: Telegram wird zunehmend zum Marktplatz für Cyberkriminelle

Immer mehr Cybergangster nutzen laut einer Analyse die App Telegram statt dem Darknet, um etwa erbeutete Personendaten und Netflix-Logins zu verkaufen.

Lesezeit: 5 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 109 Beiträge

(Bild: Alexander Yakimov/Shutterstock.com)

Von
  • Stefan Krempl

Telegram entwickelt sich verstärkt zu einem Knoten- und Umschlagspunkt für Cybercrime. Dies geht aus einer Studie der IT-Sicherheitsplattform Cyberint in Kooperation mit der Financial Times hervor. Demnach versuchen Cyberkriminelle zunehmend, erbeutete personenbezogene Daten sowie Hackerwerkzeuge über den teilweise verschlüsselten Messaging-Dienst zu verkaufen, zu erwerben oder zu teilen. Die App und das dahinterliegende soziale Netzwerk bilde damit eine immer wichtigere Alternative zum Darknet.

Umfangreiche geleakte Datenbestände werden der Untersuchung zufolge teils in Telegram-Kanälen mit zehntausenden Abonnenten feilgeboten. In vielen Fällen ähnelten die angepriesenen Güter solchen Offerten, die bislang für Online-Marktplätze im Dark Web typisch gewesen seien.

"Wir haben in jüngster Zeit einen 100-prozentigen Anstieg der Nutzung von Telegram durch Cyberkriminelle beobachtet", erklärte Tal Samra, Analyst für Cyberbedrohungen bei Cyberint, gegenüber der Zeitung. Der Dienst erfreue sich zunehmender Beliebtheit bei Akteuren, die betrügerische Aktivitäten durchführten, da er bequemer zu nutzen sei als gängige Untergrund-Verkaufsorte.

Für letztere ist es nötig, den Tor-Browser einzurichten und das Konzept des Anonymisierungsdienstes zu verstehen. Das Darknet gilt zudem als langsam, Dienste und Seiten wechseln oft ihre Adressen. Auf Telegram erfolgt der Handel mit leicht auffindbaren Anbietern dagegen im Idealfall in Echtzeit.

Nach Angaben von Cyberint hat sich die Zahl der Verweise auf "Email:pass" und "Combo" über Telegram im vergangenen Jahr auf fast 3400 vervierfacht. Dabei handelt es sich um Hackerjargon für gestohlene E-Mail- und Passwortlisten. In einem öffentlichen Kanal namens "combolist", der über 47.000 Abonnenten hat, sollen Cybergauner große Datensets mit hunderttausenden Benutzernamen und Passwörtern verkaufen oder verbreiten.

In einem Posting mit dem Titel "Combo List Gaming HQ" wurden der Analyse zufolge 300.000 E-Mail-Adressen und Passwörter angeboten, die angeblich für den Zugang zu Videospielplattformen wie Minecraft, Origin oder Uplay verwendet werden können. Ein anderer Verkäufer habe behauptet, 600.000 Logins für Nutzer der Dienste des russischen Internetkonzerns Yandex zu haben. Auch Kombinationen etwa für Google- und Yahoo-Konten würden gehandelt. Nach einem Hinweis der "Financial Times" entfernte Telegram den Kanal am Donnerstag.

Andere Arten persönlicher Informationen, die erstanden werden können, sind laut dem Bericht Finanzdaten wie Kreditkartennummern und zugehörige Kennziffern, Kopien von Reisepässen und Zugangsdaten für Bankkonten und Plattformen wie Netflix. Online-Kriminelle tauschten über Telegram ferner Malware, Exploits und Hacking-Anleitungen aus.

Die Zahl der Links zu Telegram-Gruppen oder -Kanälen, die in Darknet-Foren geteilt wurden, stieg zudem von 172.035 in 2020 auf mehr als eine Million in diesem Jahr. Cyberkriminelle verweisen potenzielle Kunden demnach verstärkt auf die Plattform als einfachere Alternative oder paralleles Informationszentrum.

Zuvor hatten Forscher der IT-Sicherheitsfirma vpnMentor auf Telegram Datenhalden entdeckt, die unter anderem aus Lecks von Unternehmen wie Facebook, dem Marketingsoftware-Anbieter Click.org und der Dating-Seite Meet Mindful stammen sollen. Die meisten solcher Bestände tauchen laut dieser Studie erst auf Telegram auf, nachdem sie bereits im Dark Web verkauft worden sind oder dort keinen Käufer gefunden haben. Dennoch sei diese neue Welle der Internetkriminalität ernst zu nehmen, da darüber auch technisch weniger Versierte angesprochen werden.

Eine c't-Analyse hatte voriges Jahr ergeben, dass über Telegram auch immer mehr Schwarzmarktangebote etwa für Betäubungsmittel, Waffen, rezeptpflichtige Medikamente und gefälschte Meisterbriefe zu finden sind. Einschlägige Gruppen werden demnach von ihren Administratoren mit der Unterstützung ausgefeilter Bots verwaltet. Als Knotenpunkt für Rechtsextreme und Verschwörungserzähler hat sich der in Dubai sitzende Dienst ebenfalls einen Namen gemacht. Die Bundesregierung hat Telegram als extremistisches Auffangbecken im Blick.

Der Betreiber ist dafür bekannt, selbst nach Meldungen und Beschwerden von Nutzern nur wenige strafbare Inhalte zu löschen. Er begann erst Ende 2019, dschihadistische Kanäle und Gruppen mit Terrorpropaganda zu löschen. Nach dem Sturm auf das Kapitol im Januar räumte der Anbieter auch bei einigen rechtsextremistischen Gruppen auf. Unter das Netzwerkdurchsetzungsgesetz fällt Telegram nur zum Teil, da dieses auf die für den öffentlichen Meinungsaustausch besonders relevanten großen sozialen Netzwerke ausgerichtet ist. Das Bundesamt für Justiz geht mittlerweile aber gegen den Dienst vor, da Beschwerdemöglichkeiten nicht leicht erkennbar seien.

Telegram erklärte gegenüber der Zeitung, man habe "eine Richtlinie zum Entfernen von persönlichen Daten, die ohne Zustimmung geteilt wurden". Eine "ständig wachsende Truppe professioneller Moderatoren" entferne täglich auf Hinweise hin über 10.000 öffentliche Communities aufgrund von Verstößen gegen die Nutzungsbedingungen.

(bme)