tl;dr: исследую возможности для сопоставления аккаунтов с номерами телефонов в российском сегменте Телеграма.
В мире много людей, которые хотят получить возможность сдеанонить произвольного пользователя. Это могут быть капиталисты не гнушающиеся спама, спецслужбы, мошенники и просто сталкеры. Социальные сервисы пытаются лавировать между желанием привлечь как можно большую аудиторию через импорт контактов и лимитами на доступ к подобной информации. Лавируют по-разному, одни позиционируют себя максимально социальными, другие же больше ценят прайваси. Вторые становятся объектами нападок со стороны сторонников максимальной приватности.
По умолчанию в Telegram, как и в менее приватных мессенджерах, можно добыть аккаунт пользователя, зная его номер. При этом, владелец номера может ограничить эту возможность только для взаимных контактов, для этого есть специальная опция. По умолчанию она выключена, а значит у нас есть полный Telegram беспечных и сознательно публичных ребят. Функция появилась, кажется, из-за слива базы пользователей. Я решил разобраться, во сколько обойдётся создание аналогичной базы, и смогу ли я создать такую.
как деанонить в Telegramm
Я ограничил интересы только российскими пользователями. База номерных диапазонов, как оказалось, публикуется Россвязью, что дополнительно упростило мне задачу, избавив от необходимости скрейпить сайты с подобной информацией. Всего операторам на седьмое сентября раздали почти шестьсот миллионов номеров, а точнее, ровно 598035003.
Я взял несколько сим-карт, `telethon` (Python-модуль с полноценной реализацией MTProto) и попробовал создать такую базу у себя.
Расшаривание контактов и добавление в группу
Помните историю про гонконгский деанон? Бот добавлял пользователей в группу по номеру телефона, тем самым получал аккаунт, привязанный к телефону. В этой же статье журналист ZDNet связался с представителем Telegram. Последний заявил что массовый импорт будет сопряжён с проблемами.
We have suspected that some government-sponsored attackers have exploited this bug and use it to target Hong Kong protesters, in some cases posting immediate dangers to the life of the protestors
Поэтому я решил сначала пошарить контакты. Интерфейс официальных Telegram-клиентов позволяет расшаривать только тех пользователей, чей номер вам так или иначе видно. Однако, `telethon` позволяет расшаривать контакты с произвольным номером. Судя по его API, функция расшаривания это отправка файла определённого типа. Для предварительной проверки я набросал скрипт, который без лишних вопросов отправил указанный контакт моему основному аккаунту.
Для проверки скриптом, я завёл чистый аккаунт (далее Бот), и отправил в ещё один аккаунт (далее Получатель) три номера: Паши, Даши и свой. У всех есть Telegram. Паша расшарил свой телефон вообще всем. Даша добавила в контакты Получателя. Свой номер я добавил дважды: сначала добавив Бота к себе в контакты, потом удалил у себя бота и добавил себя в контакты Боту.
Основы OSINT. Примеры деанона
Результат можно интерпретировать по картинке: нормально контакты шарятся исключительно при условии доступности телефона боту. С добавлением в чат всё ещё хуже. Я не могу добавить Ботом даже аккаунты с известным Боту телефоном, если они выключили эту возможность в настройках. Кроме того, Бота могут быстро забанить, если пользователи начнут сообщать о спаме. Так я никого не сдеаноню, самое время забыть об этой идее.
Синхронизация
Синхронизация контактов, как я уже сказал, потенциально влечёт к ограничениям для аккаунта. Но как это выглядит? Я написал ещё один [скрипт](http://personeltest.ru/aways/github.com/asz/telegram_yellow_pages/blob/main/syncer.py), забирающий из базы случайные номера и добавляющий их в контакты. После этого скрипт парсит контакты, идентификаторы найденых в ростере аккаунтов добавляет обратно в базу, остальных отмечает нулями и удаляет контакты из ростера.
Затем я прогнал 5000 рандомных номеров, по слухам, именно такие лимиты работают в Telegram. В выводе не нашёл ни одного идентификатора, кроме самого Бота. Теперь, чтобы исключить возможные ошибки в коде и обманку Телеграма, добавляю к рандомным номерам вручную номер Даши, отключаю удаление контактов из ростера, уменьшаю объём выборки до 3000 номеров и прогоняю снова. Даши нет ни в ростере, ни в базе. Попытка вручную добавить Дашу намекает, что сработали лимиты Телеграма.
Вроде почти всё хорошо. Чтобы убедиться, я удалил аккаунт и зарегистрировал его заново, уменьшил количество телефонов до 3000 включая Дашу и прогнал скрипт ещё раз. Результат аналогичный. Похоже, что лимиты затрагивают не аккаунт, а номер телефона, с которого синхронизируются контакты. Кажется, всё хорошо, и телеграм действительно обеспечивает разумный уровень защиты от перебора.
Или нет?
В интернете упоминается как минимум два сервиса, которые, якобы просканировали широкий диапазон номеров. Один из них я проверил, работает плохо. Предположим, второй не врёт и им это действительно удалось.
Давайте даже предположим, что им не нужно обрабатывать все 600 миллионов номеров и они откуда-то знают 150 миллионов реально активных номеров (чуть больше, чем по одному номеру на душу населения РФ). Сколько будет стоить просканировать всех за полгода, соблюдая все ограничения мессенджера? А за три месяца? А за месяц? А за один день?
Допустим, с одного номера можно сосканировать 5000 контактов в первый день и ещё 100 в каждый последующий. За полгода с каждого номера можно перебрать 23000 контактов (180*100+5000) , для перебора понадобится около 6500 номеров (150000000/23000) . Не так уж много, правда? Если каждая симка обойдётся в 150 рублей (а это дорого!), то расходы на их приобретение составят менее миллиона рублей. Подъёмная сумма даже для малого бизнеса! Для SIM-карт даже много оборудования держать не нужно, залогинился и запускаешь скрипт раз в день.
Но давайте пересчитаем по максимуму. Возьмём весь пул в 600 миллионов номеров и сократим сроки до месяца. Получится, что нужно 75 тысяч SIM-карт, которые обойдутся всего где-то в десять раз дороже (600000000/(5000+30*100)*150=11250000) . Придётся постараться найти столько симок, зато можно сократить их стоимость в такой партии.
Потенциально можно использовать сервисы, которые позволяют регистрировать аккаунт от 3.5 рублей за штуку, а самые отбитые могут распространять трояны, чтобы крали SMS. Тогда это будет стоить сильно дешевле. Разработка не кажется сверхсложной, хостинг клиентов также не должен стать большой проблемой. Возможно, придётся использовать множество прокси, но это не точно.
Мне не удалось собрать базу из-за лимитов Telegram и это хорошо. Значит, есть некоторый порог входа для таких действий. Бесполезные скрипты я сложил в гит. Но нет ничего крайне сложного сделать это при наличии некоторых ресурсов. Особенно, если ограничить интересы конкретными регионами, например, в Еврейской АО меньше миллиона номеров в пуле, а в Башкортостане 12.5 миллионов.
Я предложил команде Телеграма информировать пользователя о возможности скрыть телефон. А вам напоминаю, что анонимность в социальных сервисах условна. Если вам не хочется попасть под массовый деанон, скройте свой номер телефона в Telegram для всех, кроме ваших контактов.
Источник: personeltest.ru
Как сделать деанон? Деанонимизация или идентификации пользователя в интернете
Исходная статья была написана подписчиком, который рассказывал о своем опыте получения сообщения от пользователя, известного своими деанонами. Этот пользователь вымогал у него 2 ETH за «свободу», угрожая передать какие-то данные в полицию.
- Первоначальный сбор данных
- Первая попытка идентификации IP-адреса
- Вторая попытка идентификации IP-адреса
- Успешная попытка идентификации IP-адреса
- Вывод
Первоначальный сбор данных
После ввода предыдущего никнейма в поисковую систему (DuckDuckGo, Yandex, Google), я обнаружил потенциальный аккаунт в Instagram, который, скорее всего, использовался для поиска информации и угроз жертвам. Хотя этот аккаунт уже был удален, я смог получить образец его профиля Instagram.
Эта находка является важной, потому что мы можем узнать часть почты или номера телефона. Для этого необходимо перейти на главную страницу Instagram и нажать кнопку «Забыли пароль». 
После ввода имени пользователя нас уведомят о том, что SMS с дальнейшими действиями отправлено на номер «+7 *** *** **38». 
Мы можем использовать этот номер для продолжения нашего расследования, применяя навыки социального инженеринга.
Первая попытка идентификации IP-адреса
Чтобы получить IP-адрес, мы можем отправить ссылку на логгер, который используется для сбора информации об устройстве пользователя, включая примерное местоположение, модель телефона, интернет-провайдера, браузер и другие детали. Я создал логгер на сайте iplogger.org и замаскировал его под профиль VK, используя гиперссылку в Telegram (CTRL + K).
К сожалению, при первой попытке получить IP-адрес, ссылка не сработала и выдала предупреждение о том, что она ведет не туда, куда указано. Я полагаю, что это пугнуло нашего шантажиста. Поэтому мы попробуем замаскировать ссылку на более доверенном сайте.
Вторая попытка идентификации IP-адреса
Для уверенности в том, что мы получим нужную информацию, в этот раз мы будем использовать логгер, встроенный прямо в сайт. Наши пользователи будут перенаправлены на «telegra.ph», однако внутри сайта будет загружаться картинка из нашего источника. Используя эту картинку-логгер, мы можем «загрузить» скриншот этой статьи и получить информацию о пользователе. Мы выбрали «telegra.ph» потому, что при отправке ссылки с этого сайта, Telegram создает кнопку «Посмотреть», что позволяет пользователю просмотреть материал с одним кликом, без необходимости открывать ссылку в браузере. Пример кнопки можно увидеть ниже.
Чтобы начать процесс, мы сначала использовали «деанон» на шантажиста, чтобы убедиться, что он безусловно откроет нашу заготовку. Затем мы создали аккаунт на сайте и нашли любую картинку, скопировали ее адрес и создали «IP Tracker» на другом сайте. При выборе домена необходимо быть внимательным, но самое главное — добавить расширение ссылки «.png»!
Правильную настройку можно увидеть на скриншоте ниже:
Можно добавить дополнительные настройки для определения местоположения, но в нашем случае мы решили не рисковать, чтобы не привлечь ненужное внимание.
Далее мы пошли на «telegra.ph» и создали новую запись. Мы могли написать внутри что угодно, главное — указать ссылку на логгер. Ниже показан пример того, как это выглядело у нас:
Как видно из примера, вместо страшной ссылки мы использовали картинку-логгер. Каждый, кто посетит нашу запись на «telegra.ph», будет отслеживаться. Таким образом, мы попытаемся заставить вредителя перейти на чистый сайт, на котором будет грязная нагрузка. Наш план сработал! Он даже не заподозрил ничего подозрительного.
Успешная попытка идентификации IP-адреса
В то же время на сайте появились две новые записи, которые говорят о том, что абонент, вероятно из Краснодара, просмотрел нашу картинку. Проверка IP адреса на наличие прокси/VPN/дедик показала, что его использование не было обнаружено. Провайдер, как я понимаю, предоставляет услуги только в Краснодаре, поэтому мы можем быть уверены на 100%, что наш вредитель находится в этом городе.
Информация, которую мы получили из этого перехода, достаточна для того, чтобы отследить вредителя. Однако наша цель — полная деанонимизация этого человека, что приведет к его исключению с рынка и принудительному возврату всего, что он украл. Для этого нам нужно только получить полный номер телефона.
Дальше продажные сотрудники местных мобильных операторов смогут добывать паспортные данные даже за несколько сотен рублей. Чтобы узнать полный номер, мы воспользуемся безвыходной ситуацией для нашего вредителя, которую мы создадим. Имитируя «кибер-детектива», мы составили такое письмо и отправили его. В обстоятельствах, когда тебе грозит срок, игнорировать такое письмо будет глупым решением.
ФСБ и МВД научились деанонимировать пользователей Telegram
В России создали инструмент по борьбе с анонимностью в Telegram. По словам разработчиков, инструмент уже начали использовать в МВД и ФСБ. Деанонимайзер уже помог оперативно раскрыть дело об убийстве подполковника полиции Евгении Шишкиной.
Telegram-деанонимайзер позволяет определить номера телефонов, их названия, характеристики и примерное местоположение, сообщают «Известия». Разработка представляет собой сеть ботов, которые под видом пользователей или сообществ взаимодействуют с реальными людьми и собирает их сведения.
Правоохранительные органы часто используют сеть ботов для поимки закладчиков и курьеров наркотических веществ. При помощи собранных деанонимайзером сведений можно проследить виртуальный след владельца гаджета и через запросы получать информацию о его действиях на других интернет-порталах, в том числе оставленные при регистрации контакты. Пока что онлайн-сервисы не обязаны отвечать на такие запросы силовиков, но законодательство могут изменить.
Разработчики уверяют на полной законности схемы по деанонимизации, так как она не взламывает сам Telegram. Воспользоваться продуктом могут и обычные граждане, но только урезанной версией. Физлицам дана возможность получить номер телефона, ID, имя и фамилию, указанные при регистрации владельцем гаджета. Силовики используют расширенную версию, в которую добавлены функции определения местоположения, модели смартфона и запросов, которые были сделаны с его помощью.
10 октября 2018 года в Подмосковье нашли тело следователя Евгении Шишкиной. С помощью бота-деанонимайзера сотрудники правоохранительных органов вышли на след подозреваемого, присылавшего Шишкиной сообщения с угрозами. В силовых структурах отметили, что для деанонимайзера не являются проблемами даже применение интернет-пользователем VPN-серверов в сочетании с браузером Тоr и частой сменой никнеймов.
Источник: ko.ru