This blog was edited on July 7, 2025, with updated information.
Since its launch in 2013, Telegram has positioned itself as a privacy-first messaging app offering encrypted voice and video calls, group functionality, and powerful file-sharing capabilities.
Its sleek design and emphasis on user security have attracted millions worldwide — including a growing population of cybercriminals. With anonymous registration, limited oversight, and the ability to reach huge audiences through channels and groups, Telegram has become a go-to platform for digital fraud, black-market transactions, and organized cybercrime. What began as a tool for secure communication is now a bustling underground hub for malicious activity.
Qu'est-ce que le télégramme?
Telegram is a messaging application known for its security. The app is able to encrypt voice calls, video calls, and voice chats. Telegram allows users to communicate with large groups of people, either by creating groups for up to 200,000 people, or by creating channels capable of broadcasting to and sharing files with an unlimited audience.
Telegram also offers “secret chats,” which offer end-to-end encryption, a self-destruct timer for messages and files, and prevent forwarding of messages. With enhanced security features like these, as well as the ability to easily share large files, Telegram has become a favorite app for scammers, hackers, and other cybercriminals.
The recent arrest of its CEO hasn’t changed Telegram’s status as a haven for cybercriminals. Some threat actors expressed concerns when Pavel Durov was arrested in August 2024 and the company subsequently announced it would be working more closely with law enforcement, but Telegram is still the most popular messaging app for cybercrime.
Cybercrime on Telegram
There’s one big reason for Telegram’s popularity among criminals: it’s easy. Like most apps, Telegram is designed to be lightweight and intuitive; anyone who is familiar with other messaging apps will likely have no problem navigating Telegram.
The bar for entry is low and anonymous; all a user needs is a phone number to sign up. Threat actors can easily distribute their own stealer logs, malware and other threats without the need to pay escrows on traditional dark web marketplaces. Telegram users can quickly create new accounts or rename existing accounts, and because it doesn’t offer a centralized view of an account’s activity, it is extremely challenging for law enforcement to track individual threat actors across forums and marketplaces.
For those interested in setting up a cybercrime community, it’s simple and quick to create a channel or a group. This is in stark contrast to the dark web, where a site or a forum might take days or weeks to set up.
Channels are also set up to be searchable. For new users interested in cybercrime, that means they can immediately search hundreds of fraud and cybercrime channels, many with names that include keywords related to specific types of cybercrime, like “malware,” “CCV,” or “RAT.”
Simple as it is to navigate, it’s not easy to track criminal activity on Telegram. While the dark web is monitored by law enforcement and government agencies, that’s not always the case on Telegram, which acts as a decentralized forum for criminals. If threat actors believe a channel has been infiltrated, it can be deleted and replaced in minutes.
Telegram is used for almost every type of cybercrime. Below are a few of the most common:
A criminal community
Threat actors need a community too. Telegram groups are often used by criminals as a base of operations. Threat actors routinely use the app to discuss tactics for attacks, share information, and talk about the tools they use.
The malware economy
Not every cybercriminal has the coding expertise to build their own malware, and for some, it’s more cost-effective to simply buy it. Some Telegram groups and channels act as a marketplace for malware code. Many channels specialize in selling specific variants of malware, such as infostealers and ransomware. Threat actors develop the code, sell it to other criminals, and it is then used in an attack against individuals or organizations.
A marketplace for stolen data
When passwords, credit card numbers, or other sensitive information is stolen in a data breach, there’s a good chance that information will show up on Telegram. Threat actors routinely use Telegram to distribute and sell stolen credentials and other information. For example, criminals often use Telegram to sell journaux de voleur, files that contain millions of unique credentials that malware victims had saved in their browsers.
Qu'est-ce que la fraude par télégramme ?
Telegram fraud refers to any malicious or deceitful activity that takes place on the Telegram messaging app. The rise of Telegram fraud and cybercrime is due in part to the ease of channel creation and user anonymity of the app. Compared to a traditional dark web site on Tor which may take days or weeks to set up, Telegram channel and group creation takes seconds.
Les acteurs de la menace utilisent également Telegram pour distribuer des journaux de logiciels malveillants d'infostealer, des fichiers contenant des millions d'informations d'identification uniques que les victimes de logiciels malveillants ont enregistrées dans leurs navigateurs. Alors que la cybercriminalité continue de proliférer sur Telegram, il devient de plus en plus essentiel pour les organisations de mettre en place une approche de surveillance efficace.
Les types de fraudes menées sur l'application peuvent souvent inclure des escroqueries financières, des tentatives de phishing et d'autres types d'activités ciblant les utilisateurs pour fournir leurs informations personnelles identifiables (PII). De plus, Telegram est devenu un foyer de vente de logiciels malveillants, de discussions sur la cybercriminalité et d'autres activités à haut risque.
Comment les acteurs de la menace utilisent Telegram pour commettre des fraudes
There is plenty of crime on Telegram, but Telegram fraud is in its own category.
Telegram fraud is any malicious or deceitful activity that takes place on Telegram: anonymous accounts, encrypted messaging, and large group channels — to commit fraud. It can take many forms, but some of the most common include:
Les escroqueries par phishing
Threat actors often execute their phishing scams by creating fake websites or login pages for users. They do so by creating lookalike websites targeted at popular service websites such as banking, cryptocurrency exchanges, or other financial institutions. In some cases, links to malicious websites are shared on Telegram as well.
Romance and emotional manipulation scams
Romance scams have been around for centuries. Long ago, scammers used ads in the newspaper to ensnare victims. Now they use Telegram. In some cases, scammers will initially reach out to victims on Facebook, then move their conversations to Telegram where they escalate the scam in a more anonymous setting, asking for money and bilking victims out of thousands of dollars.
Escroqueries par crypto-monnaie
Get rich quick scams have always been a staple of con artists, and it’s no different on Telegram. Fake channels and bots promise victims guaranteed returns on cryptocurrency investments. They may show fake testimonials or payment screenshots to appear legit, and then encourage victims to move money in ways that are difficult to trace for law enforcement.
Marketplace fraud
Some Telegram groups act as black or gray markets, not just for stolen data, but for anything. However, the trouble with an unregulated market is just that — it’s not regulated. Scammers take advantage of this, advertising goods or services, taking payment, and disappearing without delivering anything. In some cases, the scammers may be scamming one another.
Déploiement de logiciels malveillants
Les acteurs de la menace peuvent utiliser Telegram pour distribuer du code malveillant, tel que des logiciels malveillants et des rançongiciels d'information, à d'autres acteurs de la menace qui le déploient ensuite contre les consommateurs et les entreprises. Il existe de nombreux canaux spécialisés dans la vente de diverses variantes de rançongiciels et de logiciels malveillants à d'autres acteurs. Nous avons également vu un nombre limité de groupes d'acteurs menaçants utiliser Telegram comme lieu de rencontre principal.
Comptes et activités anonymes
L'un des principaux atouts de Telegram est l'anonymat et le cryptage offerts par l'application. Les utilisateurs peuvent facilement s'inscrire avec un numéro de téléphone et ont la possibilité de rechercher rapidement des centaines de canaux de fraude et de cybercriminalité, dont beaucoup portent des noms tels que "FRAUD CHANNEL", ce qui permet aux acteurs de la menace de trouver facilement ce qu'ils recherchent. De plus, par rapport aux forums du dark web, Telegram offre aux utilisateurs la possibilité de créer rapidement de nouveaux comptes, de renommer des comptes et n'offre pas une vue centralisée de l'activité d'un compte, ce qui rend extrêmement difficile le suivi des acteurs individuels de la menace sur les forums et les marchés.
Fraude par télégramme : ce que les acteurs de la menace trouvent attrayant
De nombreuses personnes se demandent souvent ce qui fait des utilisateurs de Telegram un lieu attrayant pour les discussions sur la cybercriminalité. Outre la popularité de l'application, l'une des principales raisons pour lesquelles Telegram et d'autres applications de messagerie en ligne ont rendu les activités frauduleuses attrayantes pour les criminels est la rapidité et la facilité avec lesquelles les canaux et les salles sont mis en place, et le fait que si les acteurs malveillants croient qu'un canal a été infiltré, il peut être supprimé et remplacé en quelques minutes.
Alors que les applications de messagerie nous ont permis de mieux nous connecter socialement, elles ont également ouvert la porte aux voleurs pour voler les consommateurs et les entreprises sans trop de recours. Parmi les autres raisons pour lesquelles la fraude Telegram peut être attrayante pour les acteurs de la menace, citons :
- C'est sans frontière - cette application est motivée par le fait d'être une plate-forme de messagerie internationale. Par conséquent, il peut être plus facile de se connecter avec quelqu'un dans un pays ou une région avec succès. Cela peut permettre aux cybercriminels de discuter avec d'autres acteurs de la menace dans le monde.
- Les utilisateurs peuvent rester anonymes – l'application est également axée sur l'anonymat et la messagerie de cryptage de bout en bout, ce qui permet aux utilisateurs de créer des comptes anonymes. Il peut être difficile pour les forces de l'ordre d'identifier et d'arrêter les auteurs. Cet anonymat offre un refuge sûr aux cybercriminels pour qu'ils se livrent à leurs activités frauduleuses sans craindre ou se faire prendre.
- Est convivial – Telegram est finalement une application conviviale qui facilite à la fois les conversations de groupe et les canaux, tout en permettant également la messagerie cryptée P2P. Cela le rend particulièrement attrayant pour les acteurs qui peuvent être fatigués de la configuration laborieuse requise pour créer un forum ou un marché du dark web.
- Les acteurs peuvent utiliser un modèle de crime direct au consommateur – Les acteurs de la menace peuvent facilement distribuer leurs propres journaux de vol, logiciels malveillants et autres menaces sans avoir à payer de séquestre sur les marchés traditionnels du dark web.
How Can Your Security Team Prevent Telegram Fraud?
Telegram’s original mission may have centered on free, private communication, but today it also serves as fertile ground for fraud, data theft, and digital deception. Its ease of use, anonymity, and massive reach make it attractive not only to legitimate users, but also to cybercriminals looking to scale their operations quickly and quietly.
While the recent arrest of Telegram’s CEO and increased collaboration with law enforcement have raised questions about the platform’s future, its role in the cybercrime ecosystem remains significant. As Telegram continues to evolve, so too does the need for greater awareness of how its features can be exploited — and what individuals and organizations can do to protect themselves.
1. Établir une surveillance robuste des canaux de cybercriminalité pertinents : La plate-forme de Flare automatise la surveillance et l'archivage de plus de 4,000 XNUMX canaux Telegram, créant une vaste base de données historique pour les activités de cybercriminalité.
2. Ensure that your vendor is monitoring stealer logs: If you employ a cybersecurity vendor make sure that they are actively monitoring channels providing stealer logs, including hidden and private channels.
3. Évitez de cliquer sur des liens ou de télécharger des fichiers provenant de sources inconnues : In general, the use of strong passwords and multi-factor authentication will reduce your risk of being victimized. Building strong security policies for your organization can help prevent threats from Telegram as well.
Surveillance des télégrammes avec Flare
Flare est le leader Gestion de l'exposition aux menaces (TEM) solution for organizations. Our technology constantly scans the online world, including the clear & dark web, to discover unknown events, automatically prioritize risks, and deliver actionable intelligence you can use instantly to improve security. Flare monitors and archives tens of thousands Telegram channels, enabling your security team to boost your company’s security posture by automating these processes.
Notre solution s'intègre à votre programme de sécurité en 30 minutes pour fournir à votre équipe des renseignements exploitables et des mesures correctives automatisées en cas d'exposition à haut risque. Voyez-le vous-même avec notre essai gratuit.
