Ảnh minh họa: Bitsight

Telegram được thiết kế để cho phép tạo kênh công khai với hàng trăm nghìn người theo dõi, cùng hệ thống bot tự động hỗ trợ giao tiếp và chia sẻ tệp nhanh chóng. Chính cấu trúc mở, dễ sử dụng và ít công cụ kiểm duyệt đã khiến Telegram trở thành không gian lý tưởng cho các hoạt động hacktivist, khi các nhóm hacker muốn truyền tải thông tin, lôi kéo các tin tặc khác tham gia và phối hợp tấn công mạng trên quy mô lớn hay chào bán các dữ liệu nhạy cảm.

Thuật ngữ "hacktivist" bao gồm cả những đối tượng quản trị cộng đồng, khởi xướng các cuộc tấn công và những hacker bình thường, tham gia vào các chiến dịch tấn công mạng.

Khả năng nhắn tin được mã hóa, giao tiếp thời gian thực và khả năng gửi các tệp dữ liệu lớn của Telegram khiến ứng dụng trở thành nền tảng lý tưởng cho các hoạt động tội phạm mạng, một lựa chọn thay thế hấp dẫn cho các diễn đàn ngầm truyền thống. Một lợi thế khác là khả năng giao tiếp liền mạch trên nhiều cấp độ khác nhau - tin nhắn riêng tư, nhóm và kênh - mà không gặp phải sự chậm trễ và rủi ro bảo mật thường thấy ở các nền tảng mạng xã hội khác.

Các nhà nghiên cứu an ninh mạng nhận thấy, hàng trăm kênh và nhóm Telegram hiện hoạt động như “chợ đen số”, nơi các thành viên trao đổi dữ liệu bị đánh cắp, rao bán công cụ tấn công, chia sẻ hướng dẫn hack và cập nhật tình hình tấn công DDoS theo thời gian thực. Một số nhóm thậm chí còn tổ chức phân công công việc và nhận trách nhiệm cho các vụ tấn công ngay trên chính kênh của mình.

Hashtag (#) – “vũ khí truyền thông” của hacker trên Telegram

Một đặc điểm nổi bật của truyền thông hacktivist trên Telegram là việc sử dụng hashtag (thẻ siêu dữ liệu được bắt đầu bằng ký hiệu thăng #) có chiến lược như một công cụ truyền thông. Những thẻ này không chỉ đóng vai trò khẩu hiệu, mật hiệu mà còn giúp khuếch đại thông điệp, điều phối chiến dịch và đánh dấu “thương hiệu” của nhóm tin tặc.

Theo dữ liệu nghiên cứu năm 2025, có tới 2.063 hashtag khác nhau đang được sử dụng, trong đó 1.484 thẻ xuất hiện lần đầu, phản ánh tốc độ hình thành chủ đề và chiến dịch mới đáng kinh ngạc. Các hashtag phổ biến thường mang nội dung chính trị, tên nhóm hoặc địa danh cụ thể, và thường duy trì độ nóng trong khoảng hai tháng – lâu hơn nếu được nhiều nhóm đồng minh cùng khuếch đại.

Việc gỡ bỏ kênh có thể làm giảm tần suất xuất hiện hashtag, nhưng đồng thời tạo ra “vòng đời” mới cho những thẻ khác, khiến hệ sinh thái truyền thông hacktivist trên Telegram luôn biến động. Đáng chú ý, khoảng 58% nội dung có hashtag đi kèm tuyên bố đã hoàn tất các cuộc tấn công, trong đó tấn công từ chối dịch vụ phân tán (DDoS) chiếm tới 61%. Dù không thể dự đoán chính xác khi nào một vụ tấn công sẽ xảy ra, các chuyên gia nhận định việc theo dõi các hashtag và kênh mở theo thời gian thực giúp phát hiện sớm các mối đe dọa mạng đang được chuẩn bị.

Vì sao tội phạm mạng thích dùng Telegram?

Tính linh hoạt và khả năng khôi phục nhanh của hệ sinh thái này chính là lý do lớn nhất. Chỉ cần một kênh bị chặn, các nhóm có thể lập tức mở kênh khác, chuyển hướng người theo dõi, thậm chí sử dụng bot để tự động mời lại thành viên. Một số kênh còn thu phí “premium” hoặc phát quà tặng tiền kỹ thuật số để giữ chân các hacker tham gia. Tính linh hoạt của Telegram khiến các nỗ lực kiểm soát nội dung xấu độc trở nên khó khăn, đồng thời tạo nên một môi trường hoạt động chuyên nghiệp và ổn định cho tội phạm mạng.

Đối với người dùng phổ thông, rủi ro không chỉ nằm ở việc vô tình tham gia kênh chứa mã độc hay nội dung độc hại. Các chiến thuật như chiếm đoạt tài khoản qua lừa đảo OTP, phát tán file giả mạo ứng dụng, hoặc rao bán dữ liệu nhạy cảm đều xuất phát từ những kênh của hackers trên Telegram.

Dù Telegram có hỗ trợ nhiều tính năng bảo mật, nhưng đã có rất nhiều kênh tội phạm lừa đảo xuất hiện trên Telegram và nhanh chóng biến mất sau khi thực hiện các hành vi tấn công xâm nhập.  Người dùng cần rất cảnh giác khi được mời tham gia kênh lạ, bật xác thực hai lớp, đặt mã PIN ứng dụng và tuyệt đối không nhấp vào liên kết tải về từ các kênh này.

An Lâm (Theo Gbhackers)