В сети появился алгоритм Следственного комитета по деанонимизации пользователей Telegram. Проверили, работает ли он

В Беларуси продолжают судить людей за «политические» комментарии в мессенджерах и соцсетях, которые касаются властей и ее представителей. Часть беларусов знает, как защитить свои аккаунты в Telegram и сделать их анонимными. Поэтому, в основном, силовики вычисляют тех, кто не скрывает свою личность в соцсетях и мессенджерах.

На первый взгляд кажется, что тебе ничего не угрожает, если защитил свой аккаунт двухфакторной аутенфикацией и сделал его анонимным. Но все не так однозначно. Военный эксперт Егор Лебедок опубликовал в своем телеграм-канале фотографии статьи «Деанонимизация пользователей мессенджера Telegram: обзор методов и инструментов», которую написал Петр Зарецкий, старший преподаватель кафедры управления органами предварительного следствия учреждения образования «Институт повышения квалификации и переподготовки Следственного комитета Республики Беларусь».

«Стоящая перед правоохранителями задача по установлению преступников, скрывающихся за анонимными учетными записями, в ряде случаев представляет высокую сложность и требует использования специальных инструментов и методов, обзор которых представлен в настоящей работе», — пишет Зарецкий.

«БГ» изучила эту статью и сделала несколько выводов. Если коротко, то Следственный комитет в теории с помощью различных телеграм-ботов, сайтов, баз данных, программ и ссылок-ловушек вполне способен деанонимизировать практически любой аккаунт. Они могут узнать о вас следующие данные: уникальный ID вашей учетной записи, примерную дату ее создания, номер телефона, список чатов, в которых вы состоите, ваше упоминание в этих чатах и ваши фотографии. Более подробно об этом читайте ниже.

Читайте также: ГУБОПиК: «Telegram создает ложную уверенность в своей анонимности. В каждом чате есть наш сотрудник» (видео)

В начале статьи Петр Зарецкий подробно рассказывает, из чего состоит учетная запись пользователя Telegram. Она включает в себя ID (числовой идентификатор), абонентский номер регистрации, username (символьный псевдоним), first_name и last_name (двухсоставный никнейм пользователя, которыми могут быть имя и фамилия), bio (статус или иной комментарий к учетной записи), photo (аватар или главное изображение учетной записи).

Уникальный числовой идентификатор (ID) присваивается при создании учетной записи и не меняется вплоть до ее удаления. Username выбирается пользователем (при желании) и также является уникальным. First_name, last_name и photo могут задаваться любые (в том числе неуникальные) и меняться неограниченное количество раз. Привязка учетной записи к абонентскому номеру является обязательной, так как на него приходит код активации, однако в последующем аккаунт можно перепривязать к другому абонентскому номеру.

«На основе исследований программно-технического функционала Telegram, изучения OSINT-методов и следственной практики в Институте Следственного комитета разработан примерный алгоритм действий по деанонимизации пользователей указанного мессенджера», — пишет Зарецкий.

Шаг №1: Определить числовой идентификатор (ID) пользователя

Обычные клиентские приложения Telegram его не воспроизводят, но сделать это можно с помощью специализированных Telegram-ботов (@CheckID_AIDbot, @username_to_id_bot) или кастомных Telegram-клиентов (BGram).

Шан №2: Установить примерную дату создания учетной записи

Сделать это можно с помощью Telegram-бота @creationdatebot.

Шаг №3: Поиск в базах данных деанонимизированных пользователей

Петр Зарецкий считает, что наиболее простым и эффективным является именно этот шаг. Белорусской разработкой в данном направлении является программа «T-поиск». В ней возможен поиск по ID, абонентскому номеру, username, first_name, last_name или по целым спискам указанных идентификаторов. Программа выдает всю информацию по найденным учетным записям, включая историю изменения пользовательских данных.

Кроме того, существует ряд сетевых сервисов, собирающих из разных источников данные об учетных записях пользователей и предоставляющих их при различных условиях. К наиболее известным ресурсам относятся «Глаз Бога» (eyeofgod.cc) и SmartSearchBot (smartsearchbot.com).

Шаг №4: Выяснить присутствие пользователя в Telegram-чатах

Сделать это можно с помощью ботов @telesint_bot и @eyeofbeholder_bot.

Шаг №5: Найти упоминания пользователя в каналах и чатах

Сделать это можно с помощью специализированных поисковых систем (search.buzz.im, lyzem.com). Поиск целесообразно выполнять не только по username, first_name, last_name, но и по bio, а также по обладающим уникальную фрагментам текста, выявленным в сообщениях пользователя (например, в рассылаемых им спам-сообщениях).

Шаг №6: Найти аккаунты пользователя на других ресурсах

Установление аккаунтов на иных ресурсах (социальных сетях, игровых сайтах, форумах), которые зарегистрированы с никнеймом, тождественным username (реже last_name, first_name) устанавливаемого пользователя. Возможными способами решения этой задачи являются:

• точный (с использованием кавычек) поиск в Google и Yandex;
• целевой поиск соответствующих никнеймов на ресурсах, в которых предполагается присутствие искомого пользователя;
• применение специальных инструментов и сервисов, выполняющих быстрый поиск по никнеймам на сотнях ресурсов (утилита Sherlock, бот @maigret_osint_bot, веб-сервисы suip.biz/ru/?act=sherlock, namechk.com, knowem.com).

Шаг №7: Найти сообщения пользователя в чатах, в которых он состоит

Все чаты, в которых присутствует искомый аккаунт, должны быть проанализированы на наличие сообщений от него. Это можно сделать с помощью встроенной в Telegram функции поиска в чатах сообщений определенного пользователя. Нередко пользователи в сообщениях оставляют текстовую, графическую, звуковую или видеоинформацию, которая прямо или косвенно может способствовать их идентификации.

Шаг №8: Найти другие фотографии пользователя

Если пользователь размещает изображения (как в качестве аватара, так и в виде фотоизображений в сообщениях) и при наличии оснований полагать, что они не являются заимствованными, их нужно использовать в поисковых мероприятиях.

К фотоизображениям лиц могут применяться инструменты универсальных поисковых систем (images.google.com, yandex.by/images), но лучший результат дают ресурсы, специализирующиеся на поиске по фото (вышеупомянутые «Глаз Бога», SmartSearchBot, ресурсы findclone.ru, pimeyes.com, tineye.com, search4faces.com).

Кроме портретных фотографий в поисковых целях могут использоваться изображения местности (вид из окна квартиры), интерьеров, частей тела (особенно рук с запечатленными папиллярными узорами), одежды и аксессуаров.

Более активные методы деанонимизации: деанон-боты и ссылки-ловушки

Деанон-боты работают так: устанавливаемому пользователю шлют ссылки на бот, предлагающий некий функционал, который может заинтересовать его. При запуске бот получает абонентский номер соответствующего пользователя. Есть одно «но»: в клиентские приложения мессенджера заложен механизм обязательного предупреждения о сообщении боту его абонентского номера.

В Институте Следственного комитета разработана деанон-система, состоящая из Telegram-бота, серверного дополнения и Telegram-канала, в который мгновенно приходят сообщения о всех действиях пользователей в боте, в том числе об их абонентских номерах. Такие боты могут создаваться в неограниченном количестве с оформлением, адаптированным под различные легенды (название бота, его описание, аватар).

Ссылки-ловушки. При переходе по подобной ссылке, отправленной под каким-либо предлогом устанавливаемому пользователю, инициатору становится известен IP-адрес и некоторые другие данные об используемом устройстве и программном обеспечении.

Наиболее известными онлайн-сервисами по созданию ссылок-ловушек являются iplogger.ru и grabify.link. Но, как и в случае с деанон-ботами, механизмы этих сервисов не прозрачны для силовиков. Кроме того, они часто блокируются, а генерируемые ими ссылки маловариационны и выглядят весьма подозрительно.

Разработанная сотрудниками Института система «Web-капкан» позволяет в течение получаса развернуть полностью контролируемую систему, состоящую из ссылки с правдоподобным url, размещенного на сервере PHP- или Node.js-скрипта из электронного почтового ящика (либо Telegram-аккаунта), на который в режиме реального времени поступит сообщение о переходе по ссылке с данными об IP-адресе, устройстве и программном обеспечении (useragent), установленных языках и текущем времени браузера, иных технических параметрах пользователя, осуществившего переход.

Дополнительный функционал предусматривает использование технологии «кликджекинг», позволяющей в отдельных случаях также устанавливать аккаунт в социальных сетях пользователя, перешедшего по ссылке-ловушке.

Читайте также: Юрист: признание Telegram-каналов экстремистским формированием противоречит Закону об экстремизме в Беларуси

Работает ли алгоритм, представленный в этой статье?

Чтобы определить числовой идентификатор (ID) пользователя, Telegram-боту @CheckID_AIDbot нужно сбросить username пользователя. Далее он выдает ID, а также first_name и last_name (поля имя и фамилия при регистрации аккаунта).

Telegram-бот @creationdatebot действительно выдает примерную дату создания учетной записи. Причем не только ее, но и ID, username, first_name и last_name. Но есть одно «но». Чтобы бот выдал эту информацию, в него нужно переслать любое сообщение от пользователя, которого вы хотите деанонимизировать. Соответственно, если пользователь не оставляет сообщения, то бот для вас будет бесполезен.

Ресурсы «Глаз Бога» (eyeofgod.cc) и SmartSearchBot (smartsearchbot.com) сразу ведут на своих Telegram-ботов. «Глаз Бога» при этом просит подтверждение номера телефона для регистрации. В обоих ботах доступен поиск по различным данным, но ориентированы они больше на Россию, а не на Беларусь. В целом, они не очень эффективны, так как собирают базы данных из открытых источников.

Боты @telesint_bot и @eyeofbeholder_bot, которые определяют присутствие пользователя в чатах, тоже практически неэффективны. Почти весь их функционал платный, да и информации о пользователе они практически не находят, потому что опираются на свои базы данных.

Специализированные поисковые системы (search.buzz.im, lyzem.com), которые ищут упоминания пользователя в каналах и чатах, тоже не выдали нам полезную информацию о пользователях, которых мы искали.

Специальные инструменты и сервисы, которые выполняют быстрый поиск по никнеймам на сотнях ресурсов, эффективны только в том случае, если в username содержится имя и фамилия пользователя. В целом, поиск работает нормально, но выдает много неточных и несвязанных данных.

Читайте также: «Можно принудить к подписке на telegram-каналы МВД или ГУБОПик». Усов о том, почему запрет на подписку — это полумеры

Советы для защиты своего аккаунта в Telegram

Важнейшая защита вашего аккаунта — двухфакторная авторизация. Если не установлен пароль, то вы можете лишиться своего аккаунта путем перехвата смс при авторизации, с помощью дублирования сим-карты, действия спецслужб через работников мобильных операторов. Двухфакторная авторизация включается по следующему пути: «Настройки — Конфиденциальность — Двухэтапная аутентификация».

Нужно придумать и запомнить (либо записать) пароль, который будет запрашиваться всякий раз, когда вы зайдете в мессенджер с нового устройства. Почту для восстановления этого пароля указывать не надо.

Установить код-пароль нужно тем, кто пользуется приложением с компьютера. В версии для ПК необходимо зайти в «Настройки — Конфиденциальность». Далее нажать на «Включить код-пароль для приложения» и придумать сочетание, которые вы будете вводить при входе в мессенджер каждый раз.

Номер телефона сделать видимым только для контактов или вообще ни для кого. Заходим в «Настройки — Конфиденциальность — Номер телефона». По умолчанию стоит пункт «Мои контакты». Ваш номер будет виден только тем, у кого был ваш номер и те, чей номер есть у вас. Поставив галочку «Никто», вы запрещаете видеть ваш номер тем, кто записан у вас в записной книжке, но не имеет вашего номера телефона, а также открываете еще одно меню «Кто может найти меня по номеру».

Выбрав вариант «Мои контакты», вы скроете от неизвестных вам людей свой профиль. Занеся вас в телефонную книгу, Telegam попросту не покажет ищущему, что ваш профиль есть в мессенджере. Такая настройка может затруднить поиск вашего контакта в Telegram тем, кого вы не добавили в записную книжку. Решите для себя, что вам важнее: приватность или открытость для новых людей.

Максимальная защита — отключить синхронизацию контактов в Telegram. По умолчанию абонент, забитый в вашей телефонной книге, может увидеть ваш номер через Telegram. К примеру, если у вас по каким-то причинам забит номер телефона вашего участкового, представителя власти, а он, читая какой-то протестный чат, увидит ваш номер, так как он есть в вашей записной книжке. Искать тут: «Настройки — Приватность и безопасность —Контакты — Выключить синхронизацию контактов».

Запретите отображение аватарки и профилей при пересылке сообщений. Вы можете скрыть свою аватарку от незнакомых пользователей и запретить переходить к вашему профилю через пересланные от вас сообщения. Кроме этого, вы можете изменить свое реальное имя на псевдоним — это подойдет тем, кто старается соблюдать максимальную конфиденциальность в мессенджере. Не используйте юзернейм, который установлен у вас в других соцсетях, фамилию или адрес почты. Так вас будет просто вычислить. Настройки конфиденциальности искать тут: «Настройки — Конфиденциальность — Фото на аватаре», «Настройки — Конфиденциальность — Профиль при пересылке».

Не скачивать подозрительные файлы через Telegram. Чаще всего они представляют собой вредоносное программное обеспечение. Наиболее опасные документы заканчиваются на .exe, .rar, .zip.

Не переходите по незнакомым ссылкам на сторонние ресурсы и незнакомые боты. Из статьи выше вам уже известно, что у Следственного комитета есть программы для создания ссылок-ловушек и деанон-ботов.

Не авторизовывайтесь через приложение на незнакомых сайтах. Иначе вы рискуете позднее так и не зайти в свой аккаунт.

В заключение напоминаем, что нет идеальной защиты, пока существует возможность взломать ваш телефон, почту, или по физическому принуждению заставить разблокировать ваше устройство. Социальная инженерия является самым распространенным способом взлома.

Читайте также: Использовать мессенджеры безопасно? Эксперт в области кибербезопасности объясняет, как прослушивают белорусов