tl;dr: исследую возможности для сопоставления аккаунтов с номерами телефонов в российском сегменте Телеграма.
В мире много людей, которые хотят получить возможность сдеанонить произвольного пользователя. Это могут быть капиталисты не гнушающиеся спама, спецслужбы, мошенники и просто сталкеры. Социальные сервисы пытаются лавировать между желанием привлечь как можно большую аудиторию через импорт контактов и лимитами на доступ к подобной информации. Лавируют по-разному, одни позиционируют себя максимально социальными, другие же больше ценят прайваси. Вторые становятся объектами нападок со стороны сторонников максимальной приватности.
По умолчанию в Telegram, как и в менее приватных мессенджерах, можно добыть аккаунт пользователя, зная его номер. При этом, владелец номера может ограничить эту возможность только для взаимных контактов, для этого есть специальная опция. По умолчанию она выключена, а значит у нас есть полный Telegram беспечных и сознательно публичных ребят. Функция появилась, кажется, из-за слива базы пользователей. Я решил разобраться, во сколько обойдётся создание аналогичной базы, и смогу ли я создать такую.
СКОЛЬКО СТОИТ ТВОЙ ДЕАНОН?!
Я ограничил интересы только российскими пользователями. База номерных диапазонов, как оказалось, публикуется Россвязью, что дополнительно упростило мне задачу, избавив от необходимости скрейпить сайты с подобной информацией. Всего операторам на седьмое сентября раздали почти шестьсот миллионов номеров, а точнее, ровно 598035003.
Я взял несколько сим-карт, `telethon` (Python-модуль с полноценной реализацией MTProto) и попробовал создать такую базу у себя.
Расшаривание контактов и добавление в группу
Помните историю про гонконгский деанон? Бот добавлял пользователей в группу по номеру телефона, тем самым получал аккаунт, привязанный к телефону. В этой же статье журналист ZDNet связался с представителем Telegram. Последний заявил что массовый импорт будет сопряжён с проблемами.
We have suspected that some government-sponsored attackers have exploited this bug and use it to target Hong Kong protesters, in some cases posting immediate dangers to the life of the protestors
Поэтому я решил сначала пошарить контакты. Интерфейс официальных Telegram-клиентов позволяет расшаривать только тех пользователей, чей номер вам так или иначе видно. Однако, `telethon` позволяет расшаривать контакты с произвольным номером. Судя по его API, функция расшаривания — это отправка файла определённого типа. Для предварительной проверки я набросал скрипт, который без лишних вопросов отправил указанный контакт моему основному аккаунту.
Для проверки скриптом, я завёл «чистый» аккаунт (далее Бот), и отправил в ещё один аккаунт (далее Получатель) три номера: Паши, Даши и свой. У всех есть Telegram. Паша расшарил свой телефон вообще всем. Даша добавила в контакты Получателя. Свой номер я добавил дважды: сначала добавив Бота к себе в контакты, потом удалил у себя бота и добавил себя в контакты Боту.
Результат можно интерпретировать по картинке: нормально контакты шарятся исключительно при условии доступности телефона боту. С добавлением в чат всё ещё хуже. Я не могу добавить Ботом даже аккаунты с известным Боту телефоном, если они выключили эту возможность в настройках. Кроме того, Бота могут быстро забанить, если пользователи начнут сообщать о спаме. Так я никого не сдеаноню, самое время забыть об этой идее.
Синхронизация
Синхронизация контактов, как я уже сказал, потенциально влечёт к ограничениям для аккаунта. Но как это выглядит? Я написал ещё один [скрипт](https://github.com/asz/telegram_yellow_pages/blob/main/syncer.py), забирающий из базы случайные номера и добавляющий их в контакты. После этого скрипт парсит контакты, идентификаторы найденых в ростере аккаунтов добавляет обратно в базу, остальных отмечает нулями и удаляет контакты из ростера.
Затем я прогнал 5000 рандомных номеров, по слухам, именно такие лимиты работают в Telegram. В выводе не нашёл ни одного идентификатора, кроме самого Бота. Теперь, чтобы исключить возможные ошибки в коде и обманку Телеграма, добавляю к рандомным номерам вручную номер Даши, отключаю удаление контактов из ростера, уменьшаю объём выборки до 3000 номеров и прогоняю снова. Даши нет ни в ростере, ни в базе. Попытка вручную добавить Дашу намекает, что сработали лимиты Телеграма.
Вроде почти всё хорошо. Чтобы убедиться, я удалил аккаунт и зарегистрировал его заново, уменьшил количество телефонов до 3000 включая Дашу и прогнал скрипт ещё раз. Результат аналогичный. Похоже, что лимиты затрагивают не аккаунт, а номер телефона, с которого синхронизируются контакты. Кажется, всё хорошо, и телеграм действительно обеспечивает разумный уровень защиты от перебора.
Или нет?
В интернете упоминается как минимум два сервиса, которые, якобы просканировали широкий диапазон номеров. Один из них я проверил, работает плохо. Предположим, второй не врёт и им это действительно удалось. Давайте даже предположим, что им не нужно обрабатывать все 600 миллионов номеров и они откуда-то знают 150 миллионов реально активных номеров (чуть больше, чем по одному номеру на душу населения РФ). Сколько будет стоить просканировать всех за полгода, соблюдая все ограничения мессенджера? А за три месяца? А за месяц? А за один день?
Допустим, с одного номера можно сосканировать 5000 контактов в первый день и ещё 100 в каждый последующий. За полгода с каждого номера можно перебрать 23000 контактов (180*100+5000) , для перебора понадобится около 6500 номеров (150000000/23000) . Не так уж много, правда? Если каждая симка обойдётся в 150 рублей (а это дорого!), то расходы на их приобретение составят менее миллиона рублей. Подъёмная сумма даже для малого бизнеса! Для SIM-карт даже много оборудования держать не нужно, залогинился и запускаешь скрипт раз в день.
Но давайте пересчитаем по максимуму. Возьмём весь пул в 600 миллионов номеров и сократим сроки до месяца. Получится, что нужно 75 тысяч SIM-карт, которые обойдутся всего где-то в десять раз дороже (600000000/(5000+30*100)*150=11250000) . Придётся постараться найти столько симок, зато можно сократить их стоимость в такой партии. Потенциально можно использовать сервисы, которые позволяют регистрировать аккаунт от 3. 5 рублей за штуку, а самые отбитые могут распространять трояны, чтобы крали SMS. Тогда это будет стоить сильно дешевле. Разработка не кажется сверхсложной, хостинг клиентов также не должен стать большой проблемой. Возможно, придётся использовать множество прокси, но это не точно.
Мне не удалось собрать базу из-за лимитов Telegram и это хорошо. Значит, есть некоторый порог входа для таких действий. Бесполезные скрипты я сложил в гит. Но нет ничего крайне сложного сделать это при наличии некоторых ресурсов. Особенно, если ограничить интересы конкретными регионами, например, в Еврейской АО меньше миллиона номеров в пуле, а в Башкортостане 12. 5 миллионов.
Я предложил команде Телеграма информировать пользователя о возможности скрыть телефон. А вам напоминаю, что анонимность в социальных сервисах условна. Если вам не хочется попасть под массовый деанон, скройте свой номер телефона в Telegram для всех, кроме ваших контактов.
Источник: orion-int.ru
Анонимные телеграм-каналы массово раскрывают друг друга
На днях в политических телеграм-каналах началась новая волна деанонимизации. История с поиском автора Незыгаря уже отгремела, и тема спустилась на каналы с меньшей аудиторией, но значительным влиянием в сообществе. Как часто бывает в таких историях, вслед за первыми сливами последовали ответные заявления, интриги и комментарии. Что будет с анонимными телеграм-каналами, и кто выиграет от этой войны?
Тему запустил автор телеграм-канала «Мысли Тунгусова» Александр Устинов. В «обещанном деаноне» автор проехался по большинству каналов: «Хвастун и Соня», «Темник», «Методичка», Ortega, «Минправды» и другим. Какие-то каналы, по версии Устинова, ведут журналисты Life, другие — правительство Москвы и т.д. За каждым крупным каналом стоит какая-то политическая или медийная сила.
Ответы последовали моментально. Авторы канала «Медиатехнолог» решили раскрыть информацию о самом Устинове: «Если кратко — телеграм-канал „Мысли Тунгусова“ ведёт Саша Устинов. В целом — никто. Во время войны Куйвашева с Тунгусовым писал по заказу последнего всякую чернуху (в том числе про личную жизнь губернатора), за которую другие брезговали браться. Такой 29-летний напыщенный юноша».
Этой же версии придерживается Федор Крашенинников: «Мне тут передают, что мальчик-сливной бачок Саша Устинов наистерил что-то про меня в своем глупом канале. Ну что же, тогда и я вынужден просветить публику относительно того, кто такой Саша Устинов. Саша Устинов — никто, хронический графоман, выдающий нагора космическое количество нечитаемых текстов. Сделал карьеру сливного бачка во время войны Тунгусова с Куйвашевым. Брался писать про Куйвашева то, что остальные брезговали».
«Медиатехнолог» раскрывает еще и информацию о потенциальных источниках финансирования канала Устинова: «Денег Шуре дает Нафик Фамиев. Пока дает. Почему пока? Так Фамиев — человек Тунгусова, но я не думаю, что сам Тунгусов был в курсе происходящего (теперь будет). Инициатива тупых исполнителей».
Авторы других телеграм-каналов, которых в своем «деаноне» упомянул Устинов, тоже высказались по теме. Во время таких обсуждений, как правило, телеграмеры сливают друг про друга информацию разной степени достоверности, поэтому через какое-то время отделить правду от лжи становится практически невозможно.
Такие баталии неслучайно активизировались именно сейчас. Телеграм-каналы готовятся к сопровождению информационной кампании на выборах 2018, поэтому выведение из игры некоторых конкурентов позволит улучшить условия на рынке.
Почему телеграм-каналы будут играть важную роль в кампании?
До недавнего времени определить аудиторию Телеграма было очень сложно. Нормальных метрик нет, массово собирать статистику невозможно, пользователи редко указывают информацию о себе в профиле.
Но авторы телеграм-канала «SMM в Telegram» провели опрос 20 тысяч подписчиков каналов самой разной направленности и сформировали приблизительный потрет пользователя. Приблизительный, потому что несмотря на такую большую выборку, очевидно есть проблемы с правильностью ее формирования.
Согласно результатам исследования, наибольшей популярностью Телеграм пользуется у людей от 18 до 34 лет, той самой молодежи, с кем власть так активно пытается наладить диалог.
По роду деятельности — это студенты и опытные специалисты (наиболее протестно настроенные категории).
Больше всего пользователей находится в Москве (35,9%) и в Санкт-Петербурге (14,4%) — городах, где проходили самые массовые акции протеста.
И один из главных результатов — пользователи Telegram практически не замечают рекламу в мессенджере. Понятно, что администрация ресурса ее не размещает, но сами авторы каналов предпочитают скрытую рекламу, о которой пользователь может даже не догадаться.
Телеграм сегодня — это ресурс, содержащий в себе наиболее сложную часть электората, с которой нужно работать. Со взрослыми избирателями все примерно ясно. Активно вкладываться в YouTube, где помимо молодежи есть огромное количество школьников, которые на выборы не пойдут, неэффективно, да и нишу видеоблогинга уже плотно заняли (видно по реакции на клик Алисы Вокс).
Поэтому Телеграм так привлекателен для ведения информационной кампании и сейчас авторы пытаются расчистить себе поле на рынке.
Вообще, рынок рекламы в телеграме до сих пор не устоялся. Стоимость может отличаться от тематики канала, количества подписчиков и процента ботов, уровня цитируемости, количества просмотров у постов, авторитета самого автора, если речь идет о персональном канале.
Даже если посмотреть на открытые рекламные биржи, то видно, что рекламу начинают продавать каналы с числом подписчиков от 100 человек, а стоимость рекламы в каналах с одинаковым количеством подписчиков может различаться в разы: от нескольких сотен рублей, до десятков тысяч за один пост.
С политическими телеграм-каналами все еще сложнее. Никто из крупных политических телеграмеров не занимается открытой торговлей постов. Во-первых, информация о том, что на канале есть рекламные посты, сразу снижает доверие к автору. Если он публикует рекламу, то что ему мешает продавать место и под вбросы или дезинформацию? Во-вторых, открытый прайс не позволяет играть с заказчиками. Одно дело, когда репост просят для нужд небольшой региональной кампании, и другое, если ведется полномасштабная кампания федерального уровня. Со вторых, конечно, можно просить больше. В-третьих, открытая информация аффилиации канала с теми или иными политическими силами может раскрыть автора. А анонимность для многих авторов является не только способом обезопасить себя, но и заработать больше денег.
Политтехнолог Вячеслав Смирнов отметил, что: «Анонимный телеграм-канал может позволить себе больше. Например, слив более грубой дезинформации или правды, за которую возможны судебные преследования. Удар по анонимности — удар по капитализации канала, а часто и по доверию к нему».
Сервисы для деанона
Listen to this article
Привет, %username%! Думаю, ты наверняка сталкивался с ситуацией, когда нужно было добыть информацию о человеке, имея на руках лишь ник/почту/скайп/etc. Считаешь, это нереально и анонимность онлайн все-таки существует? Тогда смотри, как, не используя специсточники (телефонные справочники, базы сотовых операторов), можно вычислить практически любого индивидуума. Ведь в наше время оставаться анонимным можно только одним способом — уйдя жить в лес.
Разведка на основе открытых источников (англ.Open source intelligence, OSINT) — разведывательная дисциплина, включающая в себя поиск, выбор и сбор разведывательной информации из общедоступных источников, а также её анализ.
По никнейму с помощью KnowEm
knowem.com — Удобный сайт, который проверяет наличие занятости никнейма и домена.
Отталкиваясь от этой информации, можно увидеть, что такие соц.сети как, Insta, YouTube, Twitter, будут заняты никнеймом человека которого вы ищите.
- Available — Доступный / Свободный
- Available — Не доступный / Занят
Аналогичный сервис:
Поиск по номеру телефона.
Который показывает местонахождения номера на карте, тут всё просто, вписал номер, нажал найти. Есть два варианта развития событий:
- Нашли местоположение, радуемся
- Не нашли местоположение, не огорчаемся, ищем дальше
Я в пример взял сотовый какой-то левой тянки:
Также можно дополнить этот список мессенджерами (Telegram ,Viber, WhatsApp). Принцип действия такой же. Добавляешь номер -> заходишь в мессенджер
Доп.сервисы:
//numbuster.com/ru/ //avinfo.co/ //doska-org.ru
Поиск по почте.
Поиск по взломанным почтам, имеет огромную базу почт размером в 1.4 миллиарда. Есть минус — услуги платные:
Доп. сервисы:
//haveibeenpwned.com/ //hacked-emails.com/ //weleakinfo.com/ //leakedsource.ru/
Теперь к самому интересному — OSINT Framework
Самый крутой по моему мнению поисковик для осинта. Этот сайт является сборником самых важный ссылок для OSINT’a. Просто посмотри, на что он способен:
С такой игрушкой, деанон станет игрой в 2 клика Но самым мощным инструментом для OSINT’a является этот сайт, а если ещё и воспользоваться секретными функциями, это заменит все сервисы) Теперь перейдём к спискам сайтов, сохрани, пригодятся):
Вот так. Чтобы найти человека, который Вас к примеру обманул — нужно совсем немного, попользоваться этими сервисами.
Если Вам понравилась статья — поделитесь с друзьями
15 032 просмотров
Отказ от ответственности: Автор или издатель не публиковали эту статью для вредоносных целей. Вся размещенная информация была взята из открытых источников и представлена исключительно в ознакомительных целях а также не несет призыва к действию. Создано лишь в образовательных и развлекательных целях. Вся информация направлена на то, чтобы уберечь читателей от противозаконных действий. Все причиненные возможные убытки посетитель берет на себя. Автор проделывает все действия лишь на собственном оборудовании и в собственной сети. Не повторяйте ничего из прочитанного в реальной жизни. | Так же, если вы являетесь правообладателем размещенного на страницах портала материала, просьба написать нам через контактную форму жалобу на удаление определенной страницы, а также ознакомиться с инструкцией для правообладателей материалов. Спасибо за понимание.
Если вам понравились материалы сайта, вы можете поддержать проект финансово, переведя некоторую сумму с банковской карты, счёта мобильного телефона или из кошелька ЮMoney.
Источник: rucore.net