Αν παρακολουθείτε τις εξελίξεις γύρω από το Telegram, θα γνωρίζετε ότι η πλατφόρμα μπήκε στο 2026 υπό τη μεγαλύτερη πίεση που έχει δεχθεί ποτέ. Μετά τη σύλληψη του CEO Pavel Durov στα τέλη του 2024 και τη θέσπιση αυστηρότερων πολιτικών μέσα στο 2025, η πλατφόρμα ενίσχυσε θεαματικά τους ελέγχους της: εκατομμύρια κανάλια κατέβηκαν, τα bans πολλαπλασιάστηκαν και για πρώτη φορά υπήρξε τόσο μεγάλη διαφάνεια σχετικά με τον τρόπο εφαρμογής των μέτρων.
Κι όμως, αυτή η «καταστολή» δεν οδήγησε στη μείωση της εγκληματικής δραστηριότητας. Αντίθετα, τα δίκτυα προσαρμόστηκαν — και μάλιστα γρηγορότερα από όσο μπορούν να τα προλάβουν οι πλατφόρμες.
Με βάση νέα στοιχεία από το Check Point Exposure Management, παρακάτω παρουσιάζονται τρεις βασικές εξελίξεις στο Telegram μετά την καταστολή του 2026.
- Ρεκόρ ελέγχων, αλλά χωρίς ουσιαστική μείωση της εγκληματικής δραστηριότητας
Οι αριθμοί είναι εντυπωσιακοί. Μόνο μέσα στο 2025, μπλοκαρίστηκαν πάνω από 43,5 εκατομμύρια κανάλια και ομάδες. Και το 2026 η κατάσταση έγινε ακόμα πιο έντονη: οι καθημερινές «καταργήσεις» ανέβηκαν από περίπου 10.000–30.000 σε 80.000–140.000, ενώ σε ορισμένες περιπτώσεις ξεπέρασαν ακόμα και τις 500.000 μέσα σε μία ημέρα.
Με μια πρώτη ματιά, αυτό δείχνει μια άνευ προηγουμένου πρόοδο. Στην πράξη, όμως, η εικόνα είναι πιο σύνθετη.
Η ανάλυση του Check Point Exposure Management δείχνει ότι περίπου το 20% των καναλιών που μπλοκαρίστηκαν συνδέονταν με εγκληματική δραστηριότητα που επηρεάζει άμεσα επιχειρήσεις — όπως carding, εμπόριο «Fullz» (πλήρη στοιχεία ταυτότητας/καρτών) και υπηρεσίες hacking. Παράλληλα, χιλιάδες μηνύματα που παραπέμπουν σε αυτά τα κανάλια συνεχίζουν να κυκλοφορούν, κυρίως μέσω προωθήσεων (forwarded messages), διατηρώντας ζωντανή τη «γνώση» ακόμη και μετά το κατέβασμά τους.
Το βασικό πρόβλημα είναι η ανθεκτικότητα αυτών των δικτύων. Τα κανάλια μπορεί να εξαφανίζονται, αλλά οι κοινότητες επανεμφανίζονται πολύ γρήγορα. Σε πολλές περιπτώσεις, υπάρχουν ήδη έτοιμα εναλλακτικά κανάλια πριν καν γίνει το κατέβασμα, ώστε η μετάβαση να γίνεται άμεσα. Μάλιστα, συχνά το κοινό έχει ήδη μεταφερθεί εκεί, διασφαλίζοντας τη συνέχεια της δραστηριότητας. Οι ενέργειες επιβολής έχουν αυξήσει τη δυσκολία, αλλά δεν έχουν εξαλείψει τη χρήση του Telegram από τους κυβερνοεγκληματίες.
- Οι απειλητικοί δρώντες προσαρμόζονται πιο γρήγορα απ’ όσο προλαβαίνουν να αντιδράσουν οι πλατφόρμες
Αντί να εγκαταλείψουν το Telegram, οι κυβερνοεγκληματίες έχουν εξελίξει τον τρόπο με τον οποίο δραστηριοποιούνται μέσα σε αυτό.
Σήμερα βλέπουμε σταθερά συγκεκριμένες τεχνικές αποφυγής εντοπισμού στις «υπόγειες» κοινότητες. Πολλές ομάδες χρησιμοποιούν λειτουργίες όπως το “Request to Join”, ώστε να μπλοκάρουν αυτοματοποιημένα εργαλεία ελέγχου (bots). Άλλες προσθέτουν δηλώσεις συμμόρφωσης (disclaimers) στα προφίλ των καναλιών τους, κάνοντας ακόμα και tag τη διοίκηση του Telegram, προσπαθώντας να δείξουν ότι λειτουργούν «εντός κανόνων», ενώ στην πράξη συμμετέχουν σε παράνομες δραστηριότητες. Παράλληλα, δημιουργούν εκ των προτέρων εφεδρικά κανάλια — συχνά οργανωμένα σε «πακέτα» — ώστε να επανέρχονται άμεσα μετά από κάποιο κατέβασμα.
Τα δεδομένα της Check Point δείχνουν αύξηση σε forwarded μηνύματα που παραπέμπουν σε μπλοκαρισμένες πηγές, ιδιαίτερα σε περιόδους έντονης καταστολής, όπως τον Φεβρουάριο, τον Μάρτιο και τον Απρίλιο του 2025. Με άλλα λόγια, το παράνομο περιεχόμενο συνεχίζει να κυκλοφορεί ακόμη και όταν οι αρχικές πηγές έχουν αφαιρεθεί, παρατείνοντας τη «ζωή» τόσο των δεδομένων απάτης όσο και των σχετικών οδηγιών.
Αυτή η προσαρμοστικότητα αντικατοπτρίζει μια ευρύτερη τάση στο κυβερνοέγκλημα. Οι επιτιθέμενοι δεν βασίζονται πλέον σε ένα μόνο κανάλι ή εργαλείο. Θεωρούν δεδομένες τις διακοπές και χτίζουν από την αρχή εναλλακτικές λύσεις. Το Telegram, χάρη στην κλίμακα, τη χρηστικότητα και την ευκολία εντοπισμού περιεχομένου, παραμένει ιδιαίτερα ελκυστικό για τέτοιου είδους πρακτικές.
Η κατανόηση αυτών των μοτίβων συμπεριφοράς είναι κρίσιμη για μια πιο προληπτική άμυνα. Το σχετικό ebook αναλύει σε μεγαλύτερο βάθος πώς εξελίσσονται αυτές οι τεχνικές αποφυγής και γιατί έχουν σημασία για τις ομάδες ασφάλειας στις επιχειρήσεις.
- Το Telegram παραμένει το βασικό «hub» επικοινωνίας για το κυβερνοέγκλημα
Αν η εντατικοποίηση των ελέγχων είχε πραγματικά απομακρύνει τις εγκληματικές κοινότητες, θα βλέπαμε ξεκάθαρη μετακίνησή τους σε άλλες πλατφόρμες. Κάτι τέτοιο όμως δεν συμβαίνει.
Παρά κάποιες περιορισμένες δοκιμές με εναλλακτικές λύσεις, το Telegram εξακολουθεί να είναι η βασική πλατφόρμα προτίμησης. Μόνο μέσα στους τελευταίους τρεις μήνες, το Check Point Exposure Management εντόπισε περίπου 3 εκατομμύρια invite links του Telegram να διακινούνται σε «υπόγεια» δίκτυα. Συγκριτικά, το Discord αντιστοιχούσε σε λιγότερο από το 6% αυτού του όγκου, ενώ πλατφόρμες όπως το Signal, το SimpleX και λύσεις που βασίζονται στο Matrix είχαν σχεδόν μηδαμινή παρουσία.
Ακόμη και προσπάθειες μετακίνησης «μεγάλων» ομάδων δεν είχαν αποτέλεσμα. Χαρακτηριστικό παράδειγμα είναι η ομάδα AKULA, η οποία μεταφέρθηκε προσωρινά στο SimpleX στις αρχές του 2025, αλλά επέστρεψε στο Telegram όταν οι χρήστες της δεν ακολούθησαν μαζικά. Κάποιοι πλέον χρησιμοποιούν εναλλακτικές εφαρμογές για one-to-one επικοινωνία, όμως το Telegram παραμένει το βασικό κανάλι για broadcast, προσέλκυση νέων μελών και «αγοραπωλησίες».
Τα network effects παίζουν καθοριστικό ρόλο. Με περισσότερους από 800 εκατομμύρια ενεργούς χρήστες, το Telegram έχει μια κλίμακα που δύσκολα μπορεί να ανταγωνιστεί οποιαδήποτε άλλη πλατφόρμα. Οι έλεγχοι μπορεί να άλλαξαν τη συμπεριφορά των χρηστών – όχι όμως και την προτίμησή τους.
Για τις ομάδες SOC, αυτό σημαίνει ότι το Telegram παραμένει κρίσιμο πεδίο για exposure management, προστασία brand και έγκαιρο εντοπισμό απειλών. Η αγνόησή του δημιουργεί «τυφλά σημεία» που οι επιτιθέμενοι μπορούν εύκολα να εκμεταλλευτούν.
Είναι τελικά πραγματική η καταστολή στο Telegram;
Η καταστολή είναι όντως πραγματική, διαρκής και ενισχύεται. Το ίδιο όμως ισχύει και για την προσαρμοστικότητα των κυβερνοεγκληματιών. Αν και τα Takedowns παραμένουν σημαντικά, γίνεται όλο και πιο κρίσιμο να εντοπίζεται το ευρύτερο δίκτυο γύρω από ένα κανάλι ή έναν λογαριασμό.
Οι ομάδες ασφάλειας που βασίζονται αποκλειστικά στις ενέργειες των πλατφορμών θα μείνουν πίσω. Αντίθετα, όσες επενδύουν σε συνεχή παρακολούθηση και intelligence-driven ανάλυση μπορούν να χαρτογραφήσουν ολόκληρη τη δομή μιας επίθεσης και να «ρίξουν» όχι μόνο μεμονωμένα κανάλια, αλλά ολόκληρα δίκτυα.
