网络安全研究机构CYFIRMA近期发布了一份深度分析报告,指出Telegram平台已悄然转变为黑产分子的“核心集散地”。该平台成功地将暗网那套隐秘的灰色交易体系,迁移到了更便捷、更易触达的公开网络空间。
对于大多数普通用户而言,Telegram只是一个方便的个人与群组聊天工具。然而在网络安全专家眼中,这款应用已演变成一个更令人不安的存在。CYFIRMA的分析显示,该平台凭借其独特的架构,成功地让地下黑市的交易活动从传统的暗网角落,转移到了响应更快、触及更广的明面空间。

黑客为何选择在此“安家”
过去,购买被盗数据通常需要借助Tor网络,而该网络长期是执法部门的重点打击对象。传统地下论坛一旦被封禁,犯罪分子的活动就会彻底中断。但CYFIRMA的最新研究表明,Telegram恰好为黑客群体解决了这一核心痛点。
根据其博客披露,诸如IndoHaxSec等黑客组织已将该平台用作其“后备运营系统”——当主频道遭遇封禁时,仅需几分钟即可引导所有关注者转移至新的备份频道,使得犯罪活动几乎永不断线。这种顽强的韧性,让执法部门难以彻底斩断其黑色产业链条。

Telegram被用于实施多种网络犯罪(来源:CYFIRMA)
数据交易的“高速集市”
如今的Telegram已不仅是个聊天工具,更演变为一个高度自动化的“犯罪商城”。黑客利用预设脚本的机器人(Bot)实现自动化运营:这些程序可在数秒内检索数百万条被盗的密码记录,或完成一笔非法支付交易。目前,平台主要流通以下几类典型的黑产商品:
- 初始访问权限:即所谓“企业大门的钥匙”。中间商兜售直接入侵大型企业的通道,不仅提供接入端口的承诺,还会展示企业内部VPN门户或私有云控制台的实时截图作为凭证。
- 恶意软件即服务:网络罪犯可以订阅病毒工具包,窃密程序、加载器等恶意工具会像正规软件一样定期更新。
- 日志云库:这是全球受感染计算机窃取的账号密码合集,构成了一个可供海量检索的庞大数据库。
- 勒索营销:勒索软件组织通过公开频道威胁企业,发布文件泄露倒计时和隐私文件样本,以逼迫受害者支付赎金。
研究人员指出:“对逐利者而言,Telegram是可扩展的网店与客服中心;对黑客活动分子,它是动员宣传的扩音器;对国家背景的行动者,则成为信息与泄密数据的快速分发渠道。该平台通过降低技术门槛同时保持操作灵活性,正逐步替代传统的Tor生态系统。”
犯罪活动与执法协作的悖论
尽管Telegram向全球执法机构提供的用户数据量显著增长,但平台上的网络犯罪活动仍在持续扩张。透明度报告显示,2024年该平台向当局提供了数百次电话号码、IP地址等识别信息:仅美国就处理了近900项执法请求,涉及2200余名用户;英国当局获取了142起案件涉及293名用户的数据,较此前个位数的请求量激增。
这种矛盾现象表明:数据共享虽有助于事后追踪嫌疑人,却未能有效遏制平台上网络犯罪社群的发展。更令人担忧的是,Telegram正推动网络犯罪走向专业化与平民化,将原本隐秘的地下世界,改造成一个高效运转的自动化产业。

