De rol van Telegram in het conflict in Oekraïne
In de afgelopen jaren is de gecodeerde instant-messaging-applicatie Telegram het favoriete go-to-platform van cybercriminelen geworden. Zo gebruikten criminelen het platform voor activiteiten op de zwarte markt, zoals valse vaccincertificaten. Sinds de start van het conflict tussen Rusland en Oekraine op 24 februari hebben onderzoekers van Check Point Research (CPR) de groeiende activiteit op Telegram nauwlettend gevolgd. Zij geven inzicht in wat lijkt op een eigen oorlogsfront.
Op de dag dat Rusland Oekraïne binnenviel, documenteerde CPR een zesvoudige toename van Telegram-groepen met als thema oorlog. 71% van de Telegram-groepen die zijn geobserveerd, pusht nieuws met onbewerkte en vaak niet-geverifieerde informatie. 23% van de Telegram-groepen is opgericht om cyberaanvallen op Rusland te coördineren, voornamelijk DDoS. 4% van de Telegram-groepen vraagt om cryptocurrency-donaties om Oekraïne te steunen.
Drie snelgroeiende groepen
Volgens de onderzoekers zijn er drie soorten groepen die snel groeien:
- Cyberaanvalgroepen tegen Rusland die volgelingen aansporen om Russische doelen op verschillende manieren en met verschillende tools aan te vallen, voornamelijk DDoS
- Groepen die er bij volgelingen op aandringen om Oekraïne te steunen door fondsen te werven, van twijfelachtige authenticiteit, vaak verdacht van fraude
- Talloze "nieuwsfeed" -groepen, die bijgewerkte en "exclusieve" nieuwsberichten over het conflict uitzenden, waarbij de reguliere nieuwskanalen worden omzeild
Cyberaanvalgroepen tegen Rusland
Cyberhacktivisten kiezen Telegram om berichten, cyberwapens en -hulpmiddelen over te brengen en "verwijzen" aanvallers naar relevante Russische doelen. Sinds het begin van de oorlog ontstaan er dagelijks tientallen groepen. Sommige groepen hebben meer dan 250.000 gebruikers. CPR schat dat ongeveer 23% van de groepen die op Telegram zijn waargenomen, probeert om hackers, IT-professionals en andere IT-fans te verenigen om Russische doelwitten in de cyberspace aan te vallen. Deze groepen worden gebruikt om de aanval te coördineren, doelen te bepalen en resultaten te delen, zelfs om elkaar te helpen. DDoS-aanvallen werden heel gewoon als cyberwapen, waarbij anti-Russische aanvallers wezen op doelwitten die hun voorkeur hadden en groepsgebruikers verzochten te volgen. Zo roept de Anna-groep volgers op om Russische doelwitten aan te vallen via DDoS, sms of oproepgebaseerde aanvallen.
Groepen voor donatie(fraude)
Tijden van nood en crisis motiveren altijd criminelen en fraudeurs. Een groeiend fenomeen zijn Telegram-groepen die vragen om geld in te zamelen voor Oekraïne en zijn bevolking. Uit het onderzoek blijkt dat veel van dergelijke verzoeken en groepen sterk verdacht worden frauduleus te zijn. Sommige groepen bestaan uit tienduizenden gebruikers en de verwachting is dat dit verder zal groeien naarmate het conflict zich voortzet. CPR schat dat ongeveer 4% van de groepen die op Telegram zijn waargenomen, is gericht op donaties om een kant van het huidige conflict te ondersteunen, waarvan vele dus verdacht zijn.
Nieuwsfeed groepen
In het tijdperk van sociale media zijn traditionele nieuwskanalen slechts een bijzaak voor tal van nieuwsfeedtelegramgroepen. Deze groepen op Telegram rapporteren 24 uur per dag onbewerkte, niet-gecensureerde feeds uit oorlogsgebieden, inclusief beelden die door traditionele reguliere media vaak niet live worden uitgezonden. Ongeveer 71% van de groepen die de onderzoekers zien is gewijd aan nieuws over het huidige conflict.
De onderzoekers zagen dergelijke groepen vanaf het begin van het conflict snel verschijnen en zijn sindsdien blijven groeien. In dergelijke groepen is de kwaliteit van nieuwsfeeds geen factor en gebruikers gebruiken dit vaak om "nieuws" en "feiten" te verspreiden die niet echt zijn geverifieerd of gecontroleerd. Dit is een vorm van psychologisch wapen, gebruikt om de moraal te beïnvloeden.
Oded Vanunu, Head of Products Vulnerabilities Research bij Check Point Software: “Telegram is een digitale voorhoede van het conflict geworden, waarbij mensen online partij kiezen. We zien dat mensen uit alle hoeken van de wereld zichzelf en middelen organiseren om Rusland of Oekraïne te steunen. Sommige groepen coördineren cyberaanvallen op Rusland. Andere groepen dienen als informatie- en nieuwshubs om een rauwe kant van de oorlog te melden. En andere groepen vragen om fondsen om Oekraïne te steunen of fraude te plegen. Al met al hebben we een zesvoudige toename gezien van Telegram-groepen met als thema de oorlog tussen Rusland en Oekraïne op de dag dat Rusland Oekraïne binnenviel. Ik raad mensen ten zeerste aan om hun Telegram-activiteit nauwlettend in de gaten te houden, evenals de soorten mensen waarmee ze in contact kunnen komen. Er is een kant van Telegram die wil profiteren van aanhangers van Oekraïne of Rusland. We delen nu onze eerste observaties over het gebruik van Telegram en zullen de Telegram-activiteit de komende weken blijven volgen.”
Cyberveiligheidstips voor Telegram-gebruikers
- Klik niet op willekeurige of onbekende links, vooral in tijden van crisis en extreme omstandigheden. Criminelen kunnen misbruik maken van de situatie om te proberen inloggegevens, privégegevens en andere persoonlijke informatie te stelen door malware of phishing-links te verzenden.
- Pas op voor verdachte verzoeken. Als een bericht van een onbekende bron een verzoek doet dat ongebruikelijk of verdacht lijkt, kan dit een bewijs zijn dat het deel uitmaakt van een phishing-aanval.
- Denk twee keer na alvorens geld te verzenden. Geld sturen naar onbekende bronnen die om hulp vragen, kan vaak leiden tot fraude. Pas op met wie je communiceert en let op met het verstrekken van informatie waarom wordt gevraagd. Berichten op sociale media zijn niet het platform voor grote financiële transacties, vooral niet naar onbekende bronnen.
- Controleer bronnen en gebruik de nieuwsfeeds van betrouwbare bronnen.
Meer informatie en het laatste nieuws over cyberaanvallen wordt hier gedeeld. In een blogpost delen de onderzoekers meer informatie en voorbeelden.
