Einblick in unsere Arbeitsweise

Sources

Telegram - Das Reich der Cyberkriminellen

1. Warum Telegram?

Bei der Auseinandersetzung mit dem Diebstahl und Weiterverkauf personenbezogener Daten stellten wir fest, dass immer wieder der Name „Telegram“ auftauchte. Der Messaging-Dienst spielt eine zentrale Rolle in der Schattenwirtschaft: als Schaufenster für Hackergruppen, aber auch als Ort des direkten Austauschs unter Betrügern. Viele kriminelle Foren im Clear oder Dark Web haben ihre eigenen Gruppen und Kanäle auf Telegram.

Gespräche mit Experten bestätigten: Telegram ist zum Hotspot für Cyberkriminelle geworden, auch wenn diese im Moderationsbericht der Plattform keine ausdrückliche Erwähnung finden (https://telegram.org/moderation).

2. Vorgehen und Schutzmaßnahmen

Die Recherche führten wir mithilfe dreier Telegram-Konten durch, zwei davon unter falscher Identität. Das dritte Konto unter unserer echten Identität als Journalisten nutzten wir, um Cyberkriminelle zu kontaktieren, sie um Interviews zu bitten und gezielt zu befragen.

3. Organisation des cyberkriminellen Ökosystems auf Telegram

Das kriminelle Ökosystem basiert auf drei sich ergänzenden Strukturen:

– Anzeigenkanäle, die einem bestimmten Produkt oder einer Dienstleistung gewidmet sind. Die Cyberkriminellen nutzen sie, um die neuesten Updates ihrer Malware anzukündigen, Demos ihrer Dienstleistungen zu veröffentlichen oder Bewertungen zufriedener Kunden zu verbreiten. Nur der Eigentümer des Kanals kann sich hier äußern;

– Diskussionsgruppen, die oft mit den Anzeigenkanälen verbunden sind. In den Gruppen können sich die Mitglieder frei äußern. Hier wird um Rat gefragt, Streit beigelegt oder für eigene Dienste und Gruppen geworben;

– Bots, die zur Automatisierung bestimmter Aktivitäten verwendet werden, zum Beispiel für den Empfang gestohlener Daten über gefälschte Websites oder die Einrichtung von Shops, in denen Ausweisdokumente gekauft werden können.

4. Recherche und Entschlüsselung der Inhalte

Die Recherche erforderte die Entschlüsselung eines spezifischen Vokabulars, das für gezielte Suchen unerlässlich ist. Diese Entschlüsselung erfolgte durch:

direkten Austausch mit Cyberkriminellen, die uns bestimmte Fachbegriffe erklärten;
Anfragen an Sprachmodelle (LLM), um die insbesondere von russischsprachigen Cyberkriminellen verwendeten Ausdrücke und Anglizismen zu verstehen;
Austausch mit Experten, die zum Verständnis unserer Beobachtungen beitrugen und uns Zugang zu ihren eigenen Forschungsergebnissen gewährten;
Übersetzungsarbeiten.

Als wir dieses Vokabular beherrschten, fiel es uns leichter, in die cyberkriminellen Netzwerke einzudringen. Um zum Beispiel Gruppen zu infiltrieren, in denen die Betrüger direkt über Telefonanrufe mit ihren Opfern in Kontakt treten, war es notwendig, die für dieses Ökosystem typische Sprache zu beherrschen, also Begriffe wie „floko“, „rez“, „CC“ oder „no VBV“.

Zu guter Letzt überprüften wir unsere Beobachtungen systematisch, entweder durch Nachweisanfragen an die Cyberkriminellen oder durch Abgleich mit potenziellen Opfern, deren Identität in Telegram-Kanälen auftauchte. So konnten wir feststellen, ob die Betrüger tatsächlich über die Daten verfügten, die sie zum Verkauf anboten.

Quellen

Fachartikel und Blogs

DeepStrike – Dark Web & Telegram: The New Cybercrime Marketplace (2024)
https://deepstrike.io/blog/dark-web-telegram
AMPCUS Cyber – Telegram’s Dark Side: Messaging App Turned Cybercrime Market (2024)
https://www.ampcuscyber.com/blogs/telegram-dark-side-messaging-app-turned-cybercrime-market/
Flare – The Underground’s Favorite Messenger: Telegram’s Reign Continues (2024)
https://flare.io/fr/en-apprendre/num%C3%A9riques/blog/the-undergrounds-favorite-messenger-telegrams-reign-continues/
HexaTrust – Datenlecks und Cyberkriminalität – INCYBER / FIEU 2025 (Bericht)
https://www.hexatrust.com/wp-content/uploads/2025/03/FIEU25_INCYBER_Fuites-Donnees-4.pdf
Financial Express – Telegram use by cybercriminals surges 53% in 2024 (2024)
https://www.financialexpress.com/life/technology-telegram-use-by-cybercriminals-surges-53-in-2024-says-report-3540633/
Trend Micro – Your Stolen Data for Sale https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/your-stolen-data-for-sale
Cybersecurity Ventures – Cybercrime Costs Report (2023)
https://cybersecurityventures.com/wp-content/uploads/2023/11/CybersecurityCost.pdf
Cybersecurity Ventures – 2026 Cybersecurity Market Report – Predictions and Statistics
https://cybersecurityventures.com/official-2026-cybersecurity-market-report-predictions-and-statistics/
S2W Blog – Detailed Analysis of the Stealer + Traffer Ecosystem https://medium.com/s2wblog/detailed-analysis-of-the-stealer-traffer-ecosystem-40ba805e1bca
SEKOIA.IO Blog – Traffers: A Deep Dive into the Information Stealer Ecosystem https://blog.sekoia.io/traffers-a-deep-dive-into-the-information-stealer-ecosystem/
TechOwlShield – Stealer Logs: What They Are & How They’re Used https://www.techowlshield.com/blog-detail.php?slug=stealer+log
SLCYBER.IO – Cybercrime on Telegram: Bank Logs, Fullz, Bypassing MFA & Cashing Out https://slcyber.io/cybercrime-on-telegram-bank-logs-and-fullz-bypassing-mfa-and-cashing-out/
SLCYBER.IO – Cybercrime on Telegram: Scams, Illegal Commodities and Phishing Sites for Sale https://slcyber.io/cybercrime-on-telegram-scams-illegal-commodities-and-phishing-sites-for-sale/
SLCYBER.IO – Cybercrime on Telegram: A Connection to the Dark Web https://slcyber.io/cybercrime-on-telegram-a-connection-to-the-dark-web/

Allgemeine Presse und Ermittlungsverfahren (Frankreich)

Prozess gegen zwei Angeklagte in Paris veranschaulicht die Cyberkleinkriminalität auf Telegram (30. August 2024)
https://www.lemonde.fr/pixels/article/2024/08/30/a-paris-le-proces-de-deux-prevenus-illustre-la-petite-cybercriminalite-qui-sevit-sur-telegram_6299447_4408996.html
Personenbezogene Daten der Französinnen und Franzosen online immer öfter in Gefahr (29. April 2025)
https://www.lemonde.fr/pixels/article/2025/04/29/les-donnees-personnelles-des-francais-de-plus-en-plus-piratees-en-ligne_6601155_4408996.html
France Travail Opfer einer Cyberattacke: 43 Millionen Personen betroffen (13. März 2024)
https://www.lemonde.fr/pixels/article/2024/03/13/france-travail-victime-d-une-cyberattaque-les-donnees-de-43-millions-de-personnes-menacees_6221831_4408996.html

Next.ink – In Frankreich ist die Gefahr von Cyberattacken besonders hoch (2024)
https://next.ink/175401/en-france-le-niveau-de-risque-des-cybermenaces-est-particulierement-eleve/
ZATAZ – Look Up Pirates: Hinter den Kulissen der französischen Datenlecks (2024)
https://www.zataz.com/look-up-pirates-coulisses-des-fuites-francaises/
Ouest-France – Beunruhigender Datenklau bei der Fédération française de tir (2024)
https://www.ouest-france.fr/sport/tir/un-inquietant-vol-de-donnees-touche-la-federation-francaise-de-tir-sportif-c2dedbde-b0ab-11f0-a3b8-6cf5a651f4ac
Libération – Datenlecks bei Free: Was droht den Kunden, deren IBAN gehackt wurde?

https://www.liberation.fr/economie/economie-numerique/fuite-de-donnees-chez-free-que-risquent-les-clients-dont-les-iban-ont-ete-pirates-20241028_BCJLHCCY3VCG3GGJKJVHMHJSL4/

Libération – Phishing, Scamming, Spoofing: Das neue Zeitalter des Telefonbetrugs https://www.liberation.fr/societe/hammeconnage-scammers-spoofing-alloteurs-le-nouvel-age-des-arnaques-au-telephone-20240129_B7U7KXVGDVHNHDIPSLKRY2PJHY/
404 Media – Inside the Massive Crime Industry that is Hacking Billion-Dollar Companies https://www.404media.co/inside-the-massive-crime-industry-that-is-hacking-billion-dollar-companies-copy-2/

Institutionelle und staatliche Quellen

Frankreich

Cybermalveillance.gouv.fr – Verletzung des Schutzes personenbezogener Daten – FFTir (2025)
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/violation-de-donnees-personnelles-fftir-202511
CERT-FR (ANSSI) – Panorama de la Cybergefahr – CERTFR-2025-CTI-003 (2025)
https://www.cert.ssi.gouv.fr/uploads/CERTFR-2025-CTI-003.pdf
Gericht von Paris – Pressemitteilung: Ermittlungsverfahren gegen Pavel Durov (28. August 2024) https://www.tribunal-de-paris.justice.fr/sites/default/files/2024-08/2024-08-28%20-%20CP%20TELEGRAM%20mise%20en%20examen.pdf

International

Europol – Cybercrime-as-a-Service takedown : 7 arrested https://www.europol.europa.eu/media-press/newsroom/news/cybercrime-service-takedown-7-arrested
Europol – Steal, Deal, Repeat – IOCTA 2025
https://www.europol.europa.eu/cms/sites/default/files/documents/Steal-deal-repeat-IOCTA_2025.pdf
FBI – IC3 – 2024 Internet Crime Report
https://www.ic3.gov/AnnualReport/Reports/2024_IC3Report.pdf
World Bank – A Review of the Economic Costs of Cyber Incidents (2024) https://documents1.worldbank.org/curated/en/099092324164536687/pdf/P17876919ffee4079180e81701969ad0a18.pdf
Van Loosen, Mels – Telegram as a New Cybercrime Marketplace (Masterarbeit, Eindhoven University of Technology, 2024) https://pure.tue.nl/ws/portalfiles/portal/351957529/Loosen_M.pdf

Audiovisuelle Inhalte

Hudson Rock - Mitschnitt eines Seminars von Leonid Rozenberg, Vertriebsingenieur von Hudson Rock, zum Thema Infostealers
https://www.youtube.com/watch?v=MQb_G0dqVVY
John Hammond - YouTuber mit Spezialgebiet Cybersicherheit und mehreren interessanten Videos zu Cyberkriminalität und Telegram:
- Telegram Cybercrime is INSANE https://www.youtube.com/watch?v=x4z_lNqTHJY
- Tracking Cybercrime on Telegram https://www.youtube.com/watch?v=_GD5mPN_URM
- They're selling WHAT on Telegram?!? https://www.youtube.com/watch?v=twT-vukDZio

Technische, präventive und pädagogische Tools

Leak Lookup – Suche nach geleakten Daten https://leak-lookup.com/ Ein Tool, mit dem überprüft werden kann, ob Zugangsdaten oder personenbezogene Daten offengelegt wurden, wodurch das Bewusstsein für Prävention gestärkt wird.
Ransomware.live – Verfolgung von Ransomware-Attacken in Echtzeit
https://www.ransomware.live/
Ein von Julien Mousqueton entwickeltes interaktives Dashboard, das Ransomware-Vorfälle weltweit in Echtzeit mit einer kostenlosen API anzeigt.
Have I Been Pwned – Überprüfung von Konten auf Kompromittierung
https://haveibeenpwned.com/
Ein Dienst, mit dem jeder überprüfen kann, ob eine E-Mail-Adresse durch einen Datenleck kompromittiert wurde – ein wichtiges Instrument zur Sensibilisierung für persönliche Cybersicherheit.
Infostealers.com – Ressourcen zum Thema Infostealers von Hudson Rock
https://www.infostealers.com/
Website entwickelt von Hudson Rock, einem Unternehmen, das sich auf Infostealers (Software zum Diebstahl von Informationen) spezialisiert hat. Vereint zahlreiche Ressourcen zum Thema Stealer und bietet kostenkose Tools, mit denen die verwendeten Familien, Vektoren und Methoden detailliert beschrieben werden, darunter ein Telegram-Bot, mit dem man überprüfen kann, ob die eigenen Daten kompromittiert wurden.
VirusTotal – Plattform zur Analyse von Dateien und URLs auf Virenbefall https://www.virustotal.com/gui/home/upload
BonjourLaFuite.eu.org – Plattform zur Verfolgung von Datenlecks, insbesondere zur Überprüfung, ob die auf Telegram zu Verkauf stehenden Datenbanken echte Datenbanken aus echten Angriffen sind. https://bonjourlafuite.eu.org

02 März 2026