tl;dr: исследую возможности для сопоставления аккаунтов с номерами телефонов в российском сегменте Телеграма.
В мире много людей, которые хотят получить возможность сдеанонить произвольного пользователя. Это могут быть капиталисты не гнушающиеся спама, спецслужбы, мошенники и просто сталкеры. Социальные сервисы пытаются лавировать между желанием привлечь как можно большую аудиторию через импорт контактов и лимитами на доступ к подобной информации. Лавируют по-разному, одни позиционируют себя максимально социальными, другие же больше ценят прайваси. Вторые становятся объектами нападок со стороны сторонников максимальной приватности.
По умолчанию в Telegram, как и в менее приватных мессенджерах, можно добыть аккаунт пользователя, зная его номер. При этом, владелец номера может ограничить эту возможность только для взаимных контактов, для этого есть специальная опция. По умолчанию она выключена, а значит у нас есть полный Telegram беспечных и сознательно публичных ребят. Функция появилась, кажется, из-за слива базы пользователей. Я решил разобраться, во сколько обойдётся создание аналогичной базы, и смогу ли я создать такую.
Основы OSINT. Примеры деанона
Я ограничил интересы только российскими пользователями. База номерных диапазонов, как оказалось, публикуется Россвязью, что дополнительно упростило мне задачу, избавив от необходимости скрейпить сайты с подобной информацией. Всего операторам на седьмое сентября раздали почти шестьсот миллионов номеров, а точнее, ровно 598035003.
Я взял несколько сим-карт, `telethon` (Python-модуль с полноценной реализацией MTProto) и попробовал создать такую базу у себя.
Расшаривание контактов и добавление в группу
Помните историю про гонконгский деанон? Бот добавлял пользователей в группу по номеру телефона, тем самым получал аккаунт, привязанный к телефону. В этой же статье журналист ZDNet связался с представителем Telegram. Последний заявил что массовый импорт будет сопряжён с проблемами.
We have suspected that some government-sponsored attackers have exploited this bug and use it to target Hong Kong protesters, in some cases posting immediate dangers to the life of the protestors
Поэтому я решил сначала пошарить контакты. Интерфейс официальных Telegram-клиентов позволяет расшаривать только тех пользователей, чей номер вам так или иначе видно. Однако, `telethon` позволяет расшаривать контакты с произвольным номером. Судя по его API, функция расшаривания это отправка файла определённого типа. Для предварительной проверки я набросал скрипт, который без лишних вопросов отправил указанный контакт моему основному аккаунту.
Для проверки скриптом, я завёл чистый аккаунт (далее Бот), и отправил в ещё один аккаунт (далее Получатель) три номера: Паши, Даши и свой. У всех есть Telegram. Паша расшарил свой телефон вообще всем. Даша добавила в контакты Получателя. Свой номер я добавил дважды: сначала добавив Бота к себе в контакты, потом удалил у себя бота и добавил себя в контакты Боту.
Результат можно интерпретировать по картинке: нормально контакты шарятся исключительно при условии доступности телефона боту. С добавлением в чат всё ещё хуже. Я не могу добавить Ботом даже аккаунты с известным Боту телефоном, если они выключили эту возможность в настройках. Кроме того, Бота могут быстро забанить, если пользователи начнут сообщать о спаме. Так я никого не сдеаноню, самое время забыть об этой идее.
Синхронизация
Синхронизация контактов, как я уже сказал, потенциально влечёт к ограничениям для аккаунта. Но как это выглядит? Я написал ещё один [скрипт](http://personeltest.ru/aways/github.com/asz/telegram_yellow_pages/blob/main/syncer.py), забирающий из базы случайные номера и добавляющий их в контакты. После этого скрипт парсит контакты, идентификаторы найденых в ростере аккаунтов добавляет обратно в базу, остальных отмечает нулями и удаляет контакты из ростера.
Затем я прогнал 5000 рандомных номеров, по слухам, именно такие лимиты работают в Telegram. В выводе не нашёл ни одного идентификатора, кроме самого Бота. Теперь, чтобы исключить возможные ошибки в коде и обманку Телеграма, добавляю к рандомным номерам вручную номер Даши, отключаю удаление контактов из ростера, уменьшаю объём выборки до 3000 номеров и прогоняю снова. Даши нет ни в ростере, ни в базе. Попытка вручную добавить Дашу намекает, что сработали лимиты Телеграма.
Вроде почти всё хорошо. Чтобы убедиться, я удалил аккаунт и зарегистрировал его заново, уменьшил количество телефонов до 3000 включая Дашу и прогнал скрипт ещё раз. Результат аналогичный. Похоже, что лимиты затрагивают не аккаунт, а номер телефона, с которого синхронизируются контакты. Кажется, всё хорошо, и телеграм действительно обеспечивает разумный уровень защиты от перебора.
Или нет?
В интернете упоминается как минимум два сервиса, которые, якобы просканировали широкий диапазон номеров. Один из них я проверил, работает плохо. Предположим, второй не врёт и им это действительно удалось. Давайте даже предположим, что им не нужно обрабатывать все 600 миллионов номеров и они откуда-то знают 150 миллионов реально активных номеров (чуть больше, чем по одному номеру на душу населения РФ). Сколько будет стоить просканировать всех за полгода, соблюдая все ограничения мессенджера? А за три месяца? А за месяц? А за один день?
Допустим, с одного номера можно сосканировать 5000 контактов в первый день и ещё 100 в каждый последующий. За полгода с каждого номера можно перебрать 23000 контактов (180*100+5000) , для перебора понадобится около 6500 номеров (150000000/23000) . Не так уж много, правда? Если каждая симка обойдётся в 150 рублей (а это дорого!), то расходы на их приобретение составят менее миллиона рублей. Подъёмная сумма даже для малого бизнеса! Для SIM-карт даже много оборудования держать не нужно, залогинился и запускаешь скрипт раз в день.
Но давайте пересчитаем по максимуму. Возьмём весь пул в 600 миллионов номеров и сократим сроки до месяца. Получится, что нужно 75 тысяч SIM-карт, которые обойдутся всего где-то в десять раз дороже (600000000/(5000+30*100)*150=11250000) . Придётся постараться найти столько симок, зато можно сократить их стоимость в такой партии. Потенциально можно использовать сервисы, которые позволяют регистрировать аккаунт от 3.5 рублей за штуку, а самые отбитые могут распространять трояны, чтобы крали SMS. Тогда это будет стоить сильно дешевле. Разработка не кажется сверхсложной, хостинг клиентов также не должен стать большой проблемой. Возможно, придётся использовать множество прокси, но это не точно.
Мне не удалось собрать базу из-за лимитов Telegram и это хорошо. Значит, есть некоторый порог входа для таких действий. Бесполезные скрипты я сложил в гит. Но нет ничего крайне сложного сделать это при наличии некоторых ресурсов. Особенно, если ограничить интересы конкретными регионами, например, в Еврейской АО меньше миллиона номеров в пуле, а в Башкортостане 12.5 миллионов.
Я предложил команде Телеграма информировать пользователя о возможности скрыть телефон. А вам напоминаю, что анонимность в социальных сервисах условна. Если вам не хочется попасть под массовый деанон, скройте свой номер телефона в Telegram для всех, кроме ваших контактов.
Источник: personeltest.ru
КиберДед сломал Телеграм | Деанонимизация на основе уникальной уязвимости
КиберДед aka Андрей Масалович рассказывает об уникальной уязвимости в Телеграм, которая ставит под вопрос анонимность пользователей и телеграм-каналов.
Комментариев нет.
Следующее
Как накрутить подписчиков в телеграм | как раскрутить телеграм канал
от admin 2 недели назад 0 Просмотры
Телеграм бот с внутренним балансом и переводом средств | Инструкция по созданию телеграм бота
от admin 2 месяцев назад 0 Просмотры
⚡️ КИБЕРДЕД У МУЛЬТИЧЕЛА: ВСЯ ПРАВДА ПРО ХАКЕРОВ, ГИДРУ, НОВЫЕ АТАКИ! | Мультичел №17
от admin 5 месяцев назад 4 Просмотры
4 Тестирование баз данных на SQL уязвимости Часть 4
от admin 10 месяцев назад 1 Просмотры
Авторегистрация аккаунтов в Телеграм | Софт для Телеграм
от admin 1 год назад 8 Просмотры
КиберДед голыми руками добывает секретные сведения | Находим интересности в базах данных
от admin 2 года назад 49 Просмотры
Бот магазин в Телеграм без знаний языков программирования | Телеграм магазин своими руками
от admin 1 год назад 4 Просмотры
КиберДед учит зарабатывать | Как делать деньги на рынке конкурентной разведки
от admin 2 года назад 1 Просмотры
Мастер Александр собирает крутую систему с уникальной мат. платой от Milka! Asrock z790.
от admin 1 месяц назад 1 Просмотры
Как Раскрутить Телеграм Канал Бесплатно / Раскрутка Телеграм Канала с Нуля
от admin 1 месяц назад 1 Просмотры
2 Тестирование баз данных на SQL уязвимости Часть 2
от admin 11 месяцев назад 0 Просмотры
КАК НАСТРОИТЬ ГРУППУ В ТЕЛЕГРАМ? СЕКРЕТНЫЕ ФИШКИ ТЕЛЕГРАМ
от admin 7 месяцев назад 3 Просмотры
КиберДед отвечает #3 | Цикада, крипта и бизнес
от admin 2 года назад 4 Просмотры
Как избавится от спама в Телеграм? Как настроить чаты в Телеграм? Фишки Телеграм
от admin 7 месяцев назад 2 Просмотры
Как установить Телеграм на телефон | Настройка Телеграм
от admin 7 месяцев назад 3 Просмотры
1 Тестирование баз данных на SQL уязвимости Часть1
от admin 10 месяцев назад 5 Просмотры
НАСТРОЙ ПРАВИЛЬНО ТЕЛЕГРАМ Перед ЗАПУСКОМ! НE ПОЛЬЗУЙСЯ ПОКА Это НЕ СДЕЛАЕШЬ! Фишки СЕКРЕТЫ ТЕЛЕГРАМ
от admin 2 месяцев назад 1 Просмотры
Обзор рекламного кабинета Телеграм | Настройка таргетированной рекламы в Телеграм
от admin 5 дней назад 1 Просмотры
БЫСТРОРАСТУЩИЙ СЕРВЕР С УНИКАЛЬНОЙ КАРТОЙ РОССИИ — GTA EMPIRE
от admin 10 месяцев назад 1 Просмотры
КиберДед берет интервью #2 | Роман Ромачев
от admin 1 год назад 5 Просмотры
7.5 Упорядоченные цифры. «Поколение Python»: курс для начинающих. Курс Stepik
от admin 1 год назад 2,985 Просмотры
Добавить в плейлист
К сожалению, только зарегистрированные пользователи могут создавать списки воспроизведения.
Поделиться
КиберДед сломал Телеграм | Деанонимизация на основе уникальной уязвимости
КиберДед aka Андрей Масалович рассказывает об уникальной уязвимости в Телеграм, которая ставит под вопрос анонимность пользователей и телеграм-каналов.
Опубликовать в социальную сеть
Поделиться видео
Russian
- Albanian
- Amharic
- Arabic
- Brazilian
- Bulgarian
- Croatian
- Danish
- Deutsch
- English
- Farsi
- Français
- Georgian
- Greek
- Hebrew
- Italian
- Lithuanian
- Nederlands
- Polish
- Portuguese
- Română
- Serbian
- Slovak
- Spanish
- Swedish
- Türkçe
- Thai
Источник: best-coding.ru
В сети появился алгоритм Следственного комитета по деанонимизации пользователей Telegram. Проверили, работает ли он
По мнению Следственного комитета, деанон-боты и ссылки-ловушки являются наиболее эффективными инструментами для деанонимизации пользователей.
В Беларуси продолжают судить людей за «политические» комментарии в мессенджерах и соцсетях, которые касаются властей и ее представителей. Часть беларусов знает, как защитить свои аккаунты в Telegram и сделать их анонимными. Поэтому, в основном, силовики вычисляют тех, кто не скрывает свою личность в соцсетях и мессенджерах.
На первый взгляд кажется, что тебе ничего не угрожает, если защитил свой аккаунт двухфакторной аутенфикацией и сделал его анонимным. Но все не так однозначно. Военный эксперт Егор Лебедок опубликовал в своем телеграм-канале фотографии статьи «Деанонимизация пользователей мессенджера Telegram: обзор методов и инструментов», которую написал Петр Зарецкий, старший преподаватель кафедры управления органами предварительного следствия учреждения образования «Институт повышения квалификации и переподготовки Следственного комитета Республики Беларусь».
«Стоящая перед правоохранителями задача по установлению преступников, скрывающихся за анонимными учетными записями, в ряде случаев представляет высокую сложность и требует использования специальных инструментов и методов, обзор которых представлен в настоящей работе», — пишет Зарецкий.
«БГ» изучила эту статью и сделала несколько выводов. Если коротко, то Следственный комитет в теории с помощью различных телеграм-ботов, сайтов, баз данных, программ и ссылок-ловушек вполне способен деанонимизировать практически любой аккаунт. Они могут узнать о вас следующие данные: уникальный ID вашей учетной записи, примерную дату ее создания, номер телефона, список чатов, в которых вы состоите, ваше упоминание в этих чатах и ваши фотографии. Более подробно об этом читайте ниже.
В начале статьи Петр Зарецкий подробно рассказывает, из чего состоит учетная запись пользователя Telegram. Она включает в себя ID (числовой идентификатор), абонентский номер регистрации, username (символьный псевдоним), first_name и last_name (двухсоставный никнейм пользователя, которыми могут быть имя и фамилия), bio (статус или иной комментарий к учетной записи), photo (аватар или главное изображение учетной записи).
Уникальный числовой идентификатор (ID) присваивается при создании учетной записи и не меняется вплоть до ее удаления. Username выбирается пользователем (при желании) и также является уникальным. First_name, last_name и photo могут задаваться любые (в том числе неуникальные) и меняться неограниченное количество раз. Привязка учетной записи к абонентскому номеру является обязательной, так как на него приходит код активации, однако в последующем аккаунт можно перепривязать к другому абонентскому номеру.
«На основе исследований программно-технического функционала Telegram, изучения OSINT-методов и следственной практики в Институте Следственного комитета разработан примерный алгоритм действий по деанонимизации пользователей указанного мессенджера», — пишет Зарецкий.
Шаг №1: Определить числовой идентификатор (ID) пользователя
Шан №2: Установить примерную дату создания учетной записи
Шаг №3: Поиск в базах данных деанонимизированных пользователей
Петр Зарецкий считает, что наиболее простым и эффективным является именно этот шаг. Белорусской разработкой в данном направлении является программа «T-поиск». В ней возможен поиск по ID, абонентскому номеру, username, first_name, last_name или по целым спискам указанных идентификаторов. Программа выдает всю информацию по найденным учетным записям, включая историю изменения пользовательских данных.
Кроме того, существует ряд сетевых сервисов, собирающих из разных источников данные об учетных записях пользователей и предоставляющих их при различных условиях. К наиболее известным ресурсам относятся «Глаз Бога» (eyeofgod.cc) и SmartSearchBot (smartsearchbot.com).
Шаг №4: Выяснить присутствие пользователя в Telegram-чатах
Шаг №5: Найти упоминания пользователя в каналах и чатах
Сделать это можно с помощью специализированных поисковых систем (search.buzz.im, lyzem.com). Поиск целесообразно выполнять не только по username, first_name, last_name, но и по bio, а также по обладающим уникальную фрагментам текста, выявленным в сообщениях пользователя (например, в рассылаемых им спам-сообщениях).
Шаг №6: Найти аккаунты пользователя на других ресурсах
Установление аккаунтов на иных ресурсах (социальных сетях, игровых сайтах, форумах), которые зарегистрированы с никнеймом, тождественным username (реже last_name, first_name) устанавливаемого пользователя. Возможными способами решения этой задачи являются:
Шаг №7: Найти сообщения пользователя в чатах, в которых он состоит
Все чаты, в которых присутствует искомый аккаунт, должны быть проанализированы на наличие сообщений от него. Это можно сделать с помощью встроенной в Telegram функции поиска в чатах сообщений определенного пользователя. Нередко пользователи в сообщениях оставляют текстовую, графическую, звуковую или видеоинформацию, которая прямо или косвенно может способствовать их идентификации.
Шаг №8: Найти другие фотографии пользователя
Если пользователь размещает изображения (как в качестве аватара, так и в виде фотоизображений в сообщениях) и при наличии оснований полагать, что они не являются заимствованными, их нужно использовать в поисковых мероприятиях.
К фотоизображениям лиц могут применяться инструменты универсальных поисковых систем (images.google.com, yandex.by/images), но лучший результат дают ресурсы, специализирующиеся на поиске по фото (вышеупомянутые «Глаз Бога», SmartSearchBot, ресурсы findclone.ru, pimeyes.com, tineye.com, search4faces.com).
Кроме портретных фотографий в поисковых целях могут использоваться изображения местности (вид из окна квартиры), интерьеров, частей тела (особенно рук с запечатленными папиллярными узорами), одежды и аксессуаров.
Более активные методы деанонимизации: деанон-боты и ссылки-ловушки
Деанон-боты работают так: устанавливаемому пользователю шлют ссылки на бот, предлагающий некий функционал, который может заинтересовать его. При запуске бот получает абонентский номер соответствующего пользователя. Есть одно «но»: в клиентские приложения мессенджера заложен механизм обязательного предупреждения о сообщении боту его абонентского номера.
В Институте Следственного комитета разработана деанон-система, состоящая из Telegram-бота, серверного дополнения и Telegram-канала, в который мгновенно приходят сообщения о всех действиях пользователей в боте, в том числе об их абонентских номерах. Такие боты могут создаваться в неограниченном количестве с оформлением, адаптированным под различные легенды (название бота, его описание, аватар).
Ссылки-ловушки. При переходе по подобной ссылке, отправленной под каким-либо предлогом устанавливаемому пользователю, инициатору становится известен IP-адрес и некоторые другие данные об используемом устройстве и программном обеспечении.
Наиболее известными онлайн-сервисами по созданию ссылок-ловушек являются iplogger.ru и grabify.link. Но, как и в случае с деанон-ботами, механизмы этих сервисов не прозрачны для силовиков. Кроме того, они часто блокируются, а генерируемые ими ссылки маловариационны и выглядят весьма подозрительно.
Разработанная сотрудниками Института система «Web-капкан» позволяет в течение получаса развернуть полностью контролируемую систему, состоящую из ссылки с правдоподобным url, размещенного на сервере PHP- или Node.js-скрипта из электронного почтового ящика (либо Telegram-аккаунта), на который в режиме реального времени поступит сообщение о переходе по ссылке с данными об IP-адресе, устройстве и программном обеспечении (useragent), установленных языках и текущем времени браузера, иных технических параметрах пользователя, осуществившего переход.
Дополнительный функционал предусматривает использование технологии «кликджекинг», позволяющей в отдельных случаях также устанавливать аккаунт в социальных сетях пользователя, перешедшего по ссылке-ловушке.
Работает ли алгоритм, представленный в этой статье?
Ресурсы «Глаз Бога» (eyeofgod.cc) и SmartSearchBot (smartsearchbot.com) сразу ведут на своих Telegram-ботов. «Глаз Бога» при этом просит подтверждение номера телефона для регистрации. В обоих ботах доступен поиск по различным данным, но ориентированы они больше на Россию, а не на Беларусь. В целом, они не очень эффективны, так как собирают базы данных из открытых источников.
Специализированные поисковые системы (search.buzz.im, lyzem.com), которые ищут упоминания пользователя в каналах и чатах, тоже не выдали нам полезную информацию о пользователях, которых мы искали.
Специальные инструменты и сервисы, которые выполняют быстрый поиск по никнеймам на сотнях ресурсов, эффективны только в том случае, если в username содержится имя и фамилия пользователя. В целом, поиск работает нормально, но выдает много неточных и несвязанных данных.
Советы для защиты своего аккаунта в Telegram
Важнейшая защита вашего аккаунта — двухфакторная авторизация. Если не установлен пароль, то вы можете лишиться своего аккаунта путем перехвата смс при авторизации, с помощью дублирования сим-карты, действия спецслужб через работников мобильных операторов. Двухфакторная авторизация включается по следующему пути: «Настройки — Конфиденциальность — Двухэтапная аутентификация».
Нужно придумать и запомнить (либо записать) пароль, который будет запрашиваться всякий раз, когда вы зайдете в мессенджер с нового устройства. Почту для восстановления этого пароля указывать не надо.
Установить код-пароль нужно тем, кто пользуется приложением с компьютера. В версии для ПК необходимо зайти в «Настройки — Конфиденциальность». Далее нажать на «Включить код-пароль для приложения» и придумать сочетание, которые вы будете вводить при входе в мессенджер каждый раз.
Номер телефона сделать видимым только для контактов или вообще ни для кого. Заходим в «Настройки — Конфиденциальность — Номер телефона». По умолчанию стоит пункт «Мои контакты». Ваш номер будет виден только тем, у кого был ваш номер и те, чей номер есть у вас. Поставив галочку «Никто», вы запрещаете видеть ваш номер тем, кто записан у вас в записной книжке, но не имеет вашего номера телефона, а также открываете еще одно меню «Кто может найти меня по номеру».
Выбрав вариант «Мои контакты», вы скроете от неизвестных вам людей свой профиль. Занеся вас в телефонную книгу, Telegam попросту не покажет ищущему, что ваш профиль есть в мессенджере. Такая настройка может затруднить поиск вашего контакта в Telegram тем, кого вы не добавили в записную книжку. Решите для себя, что вам важнее: приватность или открытость для новых людей.
Максимальная защита — отключить синхронизацию контактов в Telegram. По умолчанию абонент, забитый в вашей телефонной книге, может увидеть ваш номер через Telegram. К примеру, если у вас по каким-то причинам забит номер телефона вашего участкового, представителя власти, а он, читая какой-то протестный чат, увидит ваш номер, так как он есть в вашей записной книжке. Искать тут: «Настройки — Приватность и безопасность —Контакты — Выключить синхронизацию контактов».
Запретите отображение аватарки и профилей при пересылке сообщений. Вы можете скрыть свою аватарку от незнакомых пользователей и запретить переходить к вашему профилю через пересланные от вас сообщения. Кроме этого, вы можете изменить свое реальное имя на псевдоним — это подойдет тем, кто старается соблюдать максимальную конфиденциальность в мессенджере. Не используйте юзернейм, который установлен у вас в других соцсетях, фамилию или адрес почты. Так вас будет просто вычислить. Настройки конфиденциальности искать тут: «Настройки — Конфиденциальность — Фото на аватаре», «Настройки — Конфиденциальность — Профиль при пересылке».
Не скачивать подозрительные файлы через Telegram. Чаще всего они представляют собой вредоносное программное обеспечение. Наиболее опасные документы заканчиваются на .exe, .rar, .zip.
Не переходите по незнакомым ссылкам на сторонние ресурсы и незнакомые боты. Из статьи выше вам уже известно, что у Следственного комитета есть программы для создания ссылок-ловушек и деанон-ботов.
Не авторизовывайтесь через приложение на незнакомых сайтах. Иначе вы рискуете позднее так и не зайти в свой аккаунт.
В заключение напоминаем, что нет идеальной защиты, пока существует возможность взломать ваш телефон, почту, или по физическому принуждению заставить разблокировать ваше устройство. Социальная инженерия является самым распространенным способом взлома.
Оцените статью
Наш канал в Telegram. Присоединяйтесь!
Есть о чем рассказать? Пишите в наш Telegram-бот. Это анонимно и быстро
Источник: bgmedia.site