ATTIVITÀ ILLECITE SU TELEGRAM: LA SOCIAL MEDIA INTELLIGENCE A SUPPORTO DELLE INDAGINI - Sicurezza e Giustizia
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
TECHNICAL-SCIENTIFIC INVESTIGATIONS
ATTIVITÀ ILLECITE SU TELEGRAM:
LA SOCIAL MEDIA INTELLIGENCE
A SUPPORTO DELLE INDAGINI
Nell'ambito dell'analisi del fenomeno del "falso documentale", sulla scia del precedente
articolo che si sofferma sulla presenza di specifici canali sulla piattaforma Telegram dedicati
alla vendita di documenti definibili come "buoni falsi", la società IPS ha fornito il proprio
supporto per uno studio più approfondito all'interno di questi canali.
Mediante l'adozione di strumenti automatizzati, con gli indizi pubblici a disposizione, vediamo
come sia stato possibile risalire ad alcune informazioni potenzialmente utili per scoprire la
reale identità di chi si cela dietro questi canali.
Manuel GIARRUZZO, Product Specialist.
Nicola MARINI, Business Development.
20 II / MMXX
www.sicurezzaegiustizia.com
SICUREZZAeGIUSTIZIA
TECHNICAL-SCIENTIFIC INVESTIGATIONS
Telegram è un servizio di messaggistica istan- In particolare, oltre alla comunicazione oriz-
tanea e broadcasting basato su cloud, fruibile zontale tra due o più utenti, Telegram permet-
in versione app e desktop, lanciato nel 2013 te di comunicare attraverso le seguenti moda-
dall’imprenditore russo Pavel Durov, già noto lità:
per aver creato anche il Social Network VKon- • Gruppi: gli utenti possono iscriversi e
takte (servizio analogo a Facebook utilizzato comunicare tra loro su un determina-
prevalentemente in Russia). to argomento di interesse;
Le caratteristiche principali del servizio sono • Canali: rispetto ai gruppi, i canali sono
la possibilità di scambiare messaggi di testo un mezzo di comunicazione unidi-
tra due utenti o tra gruppi fino a 200.000 par- rezionale. Solamente chi ha creato
tecipanti, effettuare chiamate vocali cifrate il canale – ed altri eventuali gestori –
“punto-punto”, scambiare messaggi vocali, vi- possono inviare messaggi, mentre gli
deomessaggi, fotografie, video, sticker e altre iscritti ricevono tali messaggi senza la
tipologie di file. possibilità di effettuare commenti.
A differenza di altri servizi di messaggistica, Ad oggi non sono disponibili dati ufficiali forni-
come ad esempio WhatsApp, Telegram si ca- ti da Telegram sulla quantità di gruppi e canali,
ratterizza per una connotazione più social. In- ma alcune analisi attendibili stimano che siano
fatti, è possibile eseguire ricerche all’interno stati creati nel tempo circa 6 milioni di gruppi
dell’app per trovare gruppi, canali e addirittura e canali pubblici.
utenti, senza necessariamente avere la loro Una parte consistente di questi gruppi e ca-
utenza telefonica registrata nella rubrica del nali sono regolarmente utilizzati per attività
proprio terminale mobile. illecite dirette o indirette. La possibilità di fru-
izione dei contenuti è particolarmente age-
Ad oggi, in tutto il mondo sono più di 400 mi- vole grazie alla facilità di ricerca offerta dallo
lioni gli utenti attivi1, 100 milioni in più rispetto strumento. Innanzitutto, è possibile ricercare
allo stesso periodo dello scorso anno. Facendo un gruppo o canale tramite la barra di ricerca
riferimento al mercato italiano, sono 13 mi- integrata nell’applicazione Telegram, ulterior-
lioni gli utenti che utilizzano l’applicazione di mente attraverso siti web dove sono riportate
messaggistica russa2. Directories di gruppi e canali, oppure, infine,
attraverso il passaparola.
Come molte altre piattaforme social, anche
Telegram è un terreno ideale in cui proliferano Recentemente, l’utilizzo di Telegram per fini il-
attività illecite, ma negli ultimi tempi la piatta- leciti ha avuto risonanza internazionale, quan-
forma si sta contraddistinguendo per volume do la Procura di Bari ha disposto il sequestro di
e specificità di tali attività, grazie soprattutto numerosi canali3 dove venivano regolarmente
ad alcuni aspetti precipui del mezzo stesso. È pubblicati quotidiani, riviste, ebook e serie tv.
infatti possibile creare ed inviare messaggi e In quell’occasione, ma l’indagine è ancora in
scambiare file multimediali di qualsiasi forma- corso, sono stati chiusi 114 canali (in alcuni casi
to in maniera completamente anonima grazie si tratta di canali già precedentemente chiusi e
alla cifratura end-to-end della piattaforma. riaperti con altro nome).
Inoltre, la capacità di ricercare utenti, gruppi Come facilmente intuibile, il fenomeno però
e canali tramite la barra di ricerca incorporata non si limita a colpire il mondo dell’editoria,
nell’applicazione, consente di raggiungere un ma è più ramificato e diffuso di quanto si pos-
numero incredibilmente elevato di utenti con sa immaginare. Ad oggi, in particolare, si evi-
estrema facilità. denzia la diffusione di molteplici tipologie di
1 https://telegram.org/blog/400-mil- 3 ANSA, "Pdf pirata giornali e libri, stop
lion/it. a 114 canali Telegram. Inchiesta procura Bari,
2 h t t p s : / / w w w. w i r e d . i t / e c o n o - in alcuni casi sono canali già chiusi" https://
mia/business/2020/02/07/whatsapp-te- www.ansa.it/puglia/notizie/2020/05/04/
legram-business/#:~:text=WhatsApp%20 pdf-pirata-giornali-e-libri-stop-a-114-ca-
pu%C3%B2%20contare%20oltre%2031,ai%20 nali-telegram_44e80496-caab-45c0-b782-
13%20milioni%20di%20utenti. 006f235e2a56.html
II / MMXX 21
SICUREZZAeGIUSTIZIA www.sicurezzaegiustizia.com
TECHNICAL-SCIENTIFIC INVESTIGATIONS
Figura 1 - Vista dei canali esaminati
su Telegram.
Figura 2 - immagini e video raccolti nei
canali di Telegram esaminati.
22 II / MMXX
www.sicurezzaegiustizia.com
SICUREZZAeGIUSTIZIA
TECHNICAL-SCIENTIFIC INVESTIGATIONS
illeciti, tra cui emergono nettamente il falso Sono stati raccolti anche altri elementi qua-
documentale e la contraffazione. li ad esempio Item ID e User ID, identificativi
univoci utili a riconoscere un utente o un de-
Al fine di analizzare il fenomeno si è provve- terminato elemento.
duto ad effettuare una ricerca analizzando nu-
merosi canali/gruppi di Telegram. Si è dunque La ricerca ha consentito di analizzare la tipo-
provveduto ad avviare circa 40 diverse attività logia e la quantità di utenti presenti in questi
di monitoraggio su altrettanti canali e gruppi gruppi, il numero di messaggi, il numero di in-
Telegram collegati a fenomeni illeciti, di cui si terazioni, oltre all’individuazione dei soggetti
rappresenta di seguito una percentuale per ti- promotori di queste attività.
pologia:
• 55% Contraffazione Attraverso l’analisi è stato possibile individua-
• 45% Falso documentale re i seguenti elementi:
• 7.462 file multimediali, tra cui:
L’attività di monitoraggio si è protratta per un o 393 Documenti d’Identità
periodo di quattro settimane. L’arco tempora- o 141 Passaporti
le limitato dell’indagine è dovuto alla natura o 129 Patenti di guida
stessa di questi raggruppamenti di utenti. In- o 67 Documenti personali di al-
fatti, l’illiceità degli argomenti trattati, com- tro tipo
porta una continua attività di chiusura e ria- • 2.307 messaggi di testo:
pertura dei canali e dei gruppi. o 26 utenze telefoniche
o 14 indirizzi di criptovalute
L’attività di indagine ha utilizzato le capacità o 7 indirizzi email
tecniche del sistema MEDUSA® di IPS S.p.A., o 63 luoghi
una piattaforma integrata di Social Media e o 4 indirizzi IP
Open Source Intelligence in grado di racco- • 21.912 utenti di gruppi e canali.
gliere, analizzare e storicizzare dati da mol-
teplici fonti di informazione, tra cui Social Si rappresenta di seguito un caso operativo
Network (Facebook, Twitter, Instagram, You- che ha consentito di individuare una possibile
Tube, LinkedIn, Snapchat, VKontakte, Reddit, identità collegata ad una attività di Falso Do-
Telegram, ecc.), Web, Forum, Dark Web, CDR cumentale.
(Call Detail Records - tabulati telefonici), iden-
tificando, in numerosi contesti, anche infor- Si è proceduto secondo le seguenti fasi:
mazioni private. Durante le varie fasi dell’in- 1. Focus su una specifica area geografica di
dagine sono stati raccolti e storicizzati oltre provenienza dei documenti
12.000 elementi, comprensivi di contenuti te- Attraverso lo strumento di Media Monito-
stuali, file multimediali, elenco dei partecipan- ring di MEDUSA® è stato possibile elenca-
ti ai gruppi e canali, arrivando ad individuare, re rapidamente i soli documenti di carat-
in alcuni casi, informazioni relative all’identità tere nazionale.
degli utenti convolti nelle attività sospette. 2. Filtraggio per identificativi univoci
L’analisi si è svolta seguendo un approccio di Al fine di individuare i soggetti promotori
ricerca top-down, attraverso strumenti di oc- di tali attività, è stato applicato un filtro
cultamento propri del sistema MEDUSA®, per evidenziare elementi univoci ad essi
come ad esempio le Sandbox, consentendo collegati.
una ricerca automatizzata su gruppi e canali Il risultato ha evidenziato la presenza di
all’interno di Telegram. In questo modo l’attivi- un numero di cellulare di possibile inte-
tà preliminare di ricerca si è svolta in completa resse poiché ripetuto più volte all’interno
sicurezza, emulando su una macchina virtuale dei messaggi di testo e con chiaro intento
un dispositivo mobile, in modo tale da rendere promozionale.
il più possibile sicura l’attività di indagine. 3. Profilatura del potenziale Target
Tutti i dati raccolti sono stati collezionati in Inserendo il numero di cellulare del pun-
maniera completamente anonima da parte to precedente all’interno dello strumento
del sistema e storicizzati nel database in modo Cerca Persone, che consente di ricercare
tale da permettere un’eventuale analisi a po- informazioni di carattere privato presenti
steriori dei dati raccolti, anche in caso di suc- online, è stato individuato un nominativo
cessiva cancellazione da Telegram. ed il relativo indirizzo e-mail, oltre ad ul-
II / MMXX 23
SICUREZZAeGIUSTIZIA www.sicurezzaegiustizia.com
TECHNICAL-SCIENTIFIC INVESTIGATIONS
Figura 3 - Evidenza del potenziale soggetto promotore della vendita illecita.
teriori risultati quali ad
esempio la foto, le rela-
zioni e numerose URL.
4. Evidenza su fonti aper-
te
Tramite l’analisi delle
URL individuate, utiliz-
zando la navigazione
assistita e sicura, agevo-
lata dallo strumento del-
le Sandbox di cui sopra,
sono emerse numerose
pagine web con informa-
zioni relative al Target
come le attività lavora-
tive, ulteriori messaggi
di testo, il nome e l’indi-
rizzo Web di un’azienda
di proprietà dello stesso
soggetto attenzionato.
I quattro rapidi passaggi so-
Figura 4 - Identificazione di un potenziale profilo attivo nella vendita
pra descritti hanno consen-
dei documenti falsi su un canale di Telegram.
tito, partendo da un’analisi
generale di Telegram, di
identificare un Target parti-
colarmente attivo nella pro-
mozione, diffusione e vendi-
ta di Documenti Falsi. ©
24 II / MMXX
www.sicurezzaegiustizia.com
SICUREZZAeGIUSTIZIAPuoi anche leggere
