电报新政策是否会吓到网络犯罪分子？

电报(Telegram)联合创始人兼首席执行官帕维尔·杜罗夫 PavelDurov 在2024年9月23日表示，公司将改进审核机制，以消除非法活动，并将某些类型的用户数据移交给当局，这是一项重大政策变化。

首先，电报现在将在收到有效的合法请求时披露用户的IP地址和电话号码。其次，他声称，他们已经使用专门的审核员团队和人工智能(AI)来删除不安全或非法内容。电报还推出了一个用于报告问题内容的机器人@SearchReport。

电报首席执行官杜罗夫于2024年9月23日宣布，该服务将响应有效的合法请求并删除非法内容。

此前，法国于2024年8月28日起诉杜罗夫，罪名包括共谋运营允许非法活动的在线平台、持有儿童性虐待材料、贩卖毒品和恶意黑客工具、欺诈和洗钱。

杜罗夫还被指控拒绝移交当局合法要求的数据。最后一项指控是关键。据报道，法国于2024年3月25日向杜罗夫和他的兄弟尼古拉发出了逮捕令。

在电报没有回应法国网络犯罪调查人员寻找的与儿童性虐待调查有关的用户的身份识别请求后，发出了逮捕令。杜罗夫在法国仍被保释，但不能离开该国。

情报机构和执法部门已寻求电报配合有关恐怖主义、国家安全和刑事调查的用户信息请求。

电报网站上的常见问题解答页面的先前版本宣称“到目前为止，我们向包括政府在内的第三方披露了零字节数据。”该行语言仍然存在于常见问题解答中，但是，已添加一行来提及杜罗夫最近的声明。

俄罗斯访问，乌克兰弃用

其他近期的公开来源报道表明，尽管杜罗夫的电报没有响应西方执法部门的请求，但俄罗斯（杜罗夫的出生国）可能早在2018年就获得了访问权限。

2018年4月，俄罗斯通信监管机构Roskomnadzor试图禁止电报，因为它拒绝了法院命令，要求向俄罗斯联邦安全局(FSB)提供其寻求的与圣彼得堡恐怖袭击有关的数据。联邦安全局声称袭击者及其同伙使用电报组织了这次袭击。

据报道，电报同意在2018年8月之前向联邦安全局提供IP地址和电话号码——电报现在承诺在有效的法律请求下提供相同的数据。

在杜罗夫承诺在该平台上打击极端主义和恐怖主义后，Roskomnadzor于2020年6月解除了禁令。

俄罗斯拥有一个名为“行动调查活动”（SORM）系统的广泛监视制度，该系统被授权为国家目的拦截大多数形式的通信，包括电报等社交媒体。

2022年3月，一名俄罗斯官员似乎证实了与电报的持续合作，而西方国家无法确保这一点。

俄罗斯信息政策、信息技术和通信委员会副主席奥列格·马特维切夫(OlegMatveichev)表示：“杜罗夫与联邦安全局达成了妥协……电报安装了设备，以便监控所有危险对象。”

前美国国家安全局(NSA)网络安全主管罗布·乔伊斯(RobJoyce)在2024年9月25日的RiskyBusiness播客中引用了该声明中的“所有危险对象”部分。

乔伊斯表示，“很明显”，杜罗夫已经与FSB达成了访问电报的妥协，因为杜罗夫自2014年以来一直能够往返俄罗斯。他（杜罗夫）可以一边违抗俄罗斯一边来来去去的想法是不可想象的。

电报的新闻页面声称杜罗夫于2014年离开俄罗斯，因为他拒绝将乌克兰抗议者的数据移交给安全机构，失去了对前一家公司的控制权。之前提到的公司是VK，即VKontakte，由杜罗夫于2006年创立。

在相关发展中，乌克兰国家网络安全协调中心(NCCC)于2024年9月19日基本禁止乌克兰国防、安全和关键基础设施部门使用电报。它确实允许将电报有限地用于官方目的，因为乌克兰使用电报分发公共安全信息，例如即将发生的俄罗斯袭击。

乌克兰安全局(SBU)和乌克兰武装部队总参谋部表示：“敌人积极使用电报进行网络攻击、传播网络钓鱼和恶意软件、确定用户的地理位置、调整导弹袭击等。”

NCCC的新闻稿称：“乌克兰国防情报局局长KyryloBudanov提供了确凿的证据，证明俄罗斯特工部门可以访问电报用户的个人通信，甚至是已删除的消息，以及他们的个人数据。”

黑客组织的反应

在杜罗夫被捕和被起诉后，一些黑客地下组织对继续使用电报的运营安全(OPSEC)风险表示担忧。电报宣布将交出IP地址和电话号码后引发的反应加剧了这些讨论的紧迫性。

几乎每个顶级论坛都会开一个主题，参与者会讨论替代平台的优点，大多数参与者都表示有意放弃电报。在Exploit论坛上，用户支持Jabber、Tox和Matrix等平台，而Cracked论坛和各种电报频道的参与者则表示更喜欢Signal和Session。

一些参与者更进一步，修改了他们的论坛签名，将Signal作为替代通信方式。Bl00dy勒索软件团伙宣布，由于Durov的决定，他们将“退出电报”，如下图所示。

摩洛哥网络外星人(MoroccanCyberAliens)和RipperSec等多个黑客组织也纷纷效仿，表示他们打算将业务迁移到Signal。与此同时，黑客组织GhostsofPalestine透露，他们正在评估替代平台，并承诺一旦找到合适的选择，就会发布加入其新通信渠道的指示。

替代的平台

在社区讨论替代通信平台之后，我们对Jabber、Tox、Matrix、Signal和Session等多个选项进行了详细比较，以评估它们作为电报替代品的潜力。此分析将每个平台与威胁行为者青睐的一组功能进行比较，全面概述了它们的功能和局限性。

过去一周地下活动中提到的其他替代方案包括Keybase、ICQ、Threema和SimpleX。

不同消息传递平台功能的比较。

根据我们的评估，虽然Signal和Session在功能方面与电报最为接近，而且在地下论坛上的讨论也越来越多，但与电报相比，它们仍然缺少某些功能，尤其是网络犯罪分子青睐的功能。

首先，Signal和Session都不支持电报中广泛的机器人功能。此功能是网络犯罪分子的关键工具，使他们能够自动执行任务、管理大型群组互动并协调恶意软件的操作。

此外，Signal和Session上的群组功能明显受到限制，与电报容纳数千名用户的能力相比，它们仅允许较小的群组规模。对于管理大型网络的参与者（例如黑客活动组织）来说，这是一个重大缺点。

最后，电报强大的应用程序编程接口(API)允许开发人员构建自定义工具并集成各种服务，从而增强平台的实用性和灵活性。相比之下，Signal和Session缺乏此类API，坚持严格的隐私优先方法。

从去中心化的角度来看，Tox、Jabber和Matrix——尽管讨论频率低于上述替代方案——也在威胁行为者的讨论中获得了动力。

Tox是一个点对点平台，被对手广泛用于地下论坛上的个人通信；然而，2023年5月qTox客户端应用程序中可能存在的远程代码执行(RCE)漏洞导致人们对该平台产生了广泛的不信任。

Jabber是一个可靠的平台，被在俄语论坛上运营的对手用来进行一对一互动，例如Exploit和XSS，但主要提供简单的聊天功能。

Matrix是一个开源平台，专注于隐私，类似于Discord平台架构，但它仍然缺乏Discord的许多高级功能，可能会赶走寻求此类功能的用户。

总体而言，虽然这些平台对于标准的点对点通信是有效的，但它们目前缺乏取代电报作为团体协作地点所需的高级功能。

评估电报影响

电报不与西方执法部门合作，且监管松散，这对网络犯罪分子来说是一个有吸引力的特点。非法网络犯罪活动利用该服务蓬勃发展，包括出售访问凭证、个人数据和被盗信用卡，以及出售批量短信服务(SMS)垃圾邮件、一次性密码(OTP)机器人和用户识别模块(SIM)交换等服务。

从网络威胁情报(CTI)收集的角度来看，电报是威胁行为者活动的丰富来源，也是洞察热门商品和服务类型的宝贵资源。为了了解其规模，Intel471跟踪了5,700多个与网络犯罪活动相关的电报频道（并非所有这些频道都处于活跃状态），并且每天都会增加新的频道。监控这些频道可以实时洞察威胁行为者如何针对组织。

考虑到上述所有因素，似乎虽然一些威胁行为者可能表示有意转向其他平台，但大多数人可能会继续使用电报。电报庞大的全球用户群仍然提供了广泛的影响力，这对于传播信息、招募同伙或销售非法商品和服务等网络犯罪活动至关重要。

迁移到用户群较小的平台将大大减少潜在的受众和影响力，对依赖广泛传播的活动产生不利影响。此外，电报提供了一套全面的功能，是目前任何替代平台都无法比拟的。

然而，如果电报主要用于通信目的而非专门的网络犯罪活动，那么可以考虑Signal和Session等替代方案。这些平台以高度重视隐私和安全而闻名，对于那些担心电报近期政策变化的人来说，它们是一个有吸引力的选择。虽然政策变化可能会阻止新的参与者，但它们不太可能影响经验丰富的网络犯罪分子，他们通常采用强大的运营安全措施。

电报的变更使其运营安全风险上升到与其他平台大致相同的水平。这些风险可以通过使用临时或虚拟电话号码、未注册的SIM卡和通过虚拟专用网络(VPN)、代理或Tor网络的IP地址掩蔽技术来应对。

鉴于电报将开发流程来处理其必然会收到的大量执法请求，短期内的运营安全风险可能较低。这些首批请求最有可能集中在最严重的威胁行为者身上，例如儿童性虐待材料，这正是促使法国起诉杜罗夫的原因。

考虑到所有这些因素，我们有信心认为电报将继续成为威胁行为者的首选平台，因为目前没有其他平台能提供与电报相同的优势组合。然而，关注隐私的普通用户可能会发现Signal、Session和其他平台是可行的替代方案。

更新：2024年10月2日，杜罗夫澄清说，他最初关于根据有效法律要求披露IP地址和电话号码的帖子是电报的一项新政策变化。他在自己的频道上写道，自2018年以来，电报已根据“大多数国家/地区的”法律要求提供了IP地址和电话号码，包括巴西、印度和欧洲。

基于电报透明度报告机器人的开源报告表明，这种情况也发生在美国。杜罗夫写道，电报现在已经“精简和统一”了其隐私政策，并将努力“遵守当地相关法律”。