В Украине сумасшедшую популярность набирают Telegram-каналы, публикующие различного рода политически инсайты и откровенные сливы. К нам в HackControl поступает довольно значительное количество заявок на установление (деанонимизацию) пользователей.

Ряд людей, столкнувшихся с мошенничеством в сети, пытаются найти своих обидчиков, а ряд политиков пытается вычислить владельца того или иного канала, который существенно подмочил их репутацию.

Всем известные нашумевшие сливы прослушки главы ДБР “Труба Протекла”, троллинг и переписка от Джокера или недавние пленки Гончарука с канала “Как обмануть президента” существенно подливают масла в огонь и привлекают интерес к теме анонимности в Telegram.

Анонимные Telegram-каналы для влияние на массы пришли на замену микротаргетингу

Направление использования лидеров общественного мнения стало популярным после истории Cambridge Analitica и победы Трампа на выборах в США. На сегодняшний день, big data работает куда лучше любых социологов и позволяет не просто делать статический срез политических мнений и предпочтений, но и практически моментально влиять на эти мнения и предпочтения путем точечного распространения информации через все тех же ЛОМов.

Технологии, благодаря которым президент Зеленский победил, сегодня начинают работать против него самого. Понимая, что этот рынок СМИ в отличии от ТВ каналов контролировать сложнее, диджитализаторы в попыхах пытаются даже принять закон про медиа, на который обрушивается целый шквал критики.

Вот и выходят уже панические новости о том, что в новом законе о медиа обяжут раскрывать владельцев анонимных Telegram-каналов и другие эротические фантазии людей, приближенных к авторству того самого закона.

Существующие методы деанонимизация пользователей Telegram

Сегодня пришло время рассказать о способах деанонимизации пользователя Telegram. Итак, у нас в арсенале:

  1. Официальный запрос правоохранителей (на который, скорее всего, никто не ответит, если это не террористический канал, группа или пользователь)

  2. Социальная инженерия (забросить ссылку, трекер или выманить через другой ресурс)

  3. Идентификация пользователя путем полного перебора его номера

  4. Сетевой анализ трафика

  5. Сервисы “по пробиву” или базы данных, собранные на заре создания мессенджера.

Этот список не претендует на роль максимально полного. Давайте детальнее про каждый из способов.

Официальный запрос правоохранителей в Telegram

В тексте политики конфиденциальности сервиса Telegram предусмотрена возможность выдачи информации сотрудникам правоохранительных органов о террористах.

Если Telegram получит решение суда, которое подтверждает подозрения в терроризме, они могут раскрыть ваш IP-адрес и номер телефона стороне, отправившей обоснованный запрос. До сегодняшнего момента это никогда не случалось...

Как вы уже поняли, скорее всего, вам это особо не грозит. Даже если продаете наркотики через Telegram, вы, конечно, максимально нехороший человек, но Telegram вас все равно не выдаст.

Тут отдельно хочу заметить, что все крупные компании публикуют статистику международных и локальных запросов на раскрытие информации. Моим любимым способом показать всю импотентность правоохранительной системы Украины является статистика международных запросов от компании Google, доступная по вот этой вот ссылке. Согласно информации от Google Transperacy Тeam:

Правительственные учреждения, суды и стороны, участвующие в гражданских судебных процессах, часто обращаются в такие компании, как Google, за сведениями о пользователях. В этом отчете мы публикуем информацию о количестве и типах получаемых нами запросов госорганов, чтобы пролить свет на то, как действия властей влияют на наших пользователей и доступность данных в интернете.

Так вот, за половину 2019 года в период с января до июня, все правоохранительные органы Украины включая, но не ограничиваясь СБУ, НАБУ, ДБР, САП, ГПУ и другими смогли послать аж 30 запросов. Для сравнения, Франция за тот же период послала более 6700+ запросов.

 

статистика запросов от правоохранительных органов Украины в компанию Google

Социальная инженерия как способ деанонимизации пользователя в Telegram

Тут тоже вроде все просто. Если владелец телеграм канала или группы указал форму обратной связи в виде e-mail, аккаунта или любого другого адреса куда можно написать, то можно обманом заставить пользователя перейти по заранее созданной ссылке трекеру и идентифицировать его IP адрес. К примеру, отправив такое сообщение:

Привет, тут вот эти рябята тебя ищут https://2no.co/2RAY86 , знаешь что то про них?

Человек, открывший такую ссылку, сразу попадет в список тех, кто “попался”, при условии того, что он не использовал VPN или TOR.

 

скришот IP логгера

Конечно же, ссылку можно “обернуть” через сокращатель ссылок, вот так:

Привет, тут вот эти рябята тебя ищут https://bit.ly/2RyWNZ5 , знаешь что то про них?

Или придумать любую другую легенду. Кроме того, такой трекер можно вшить в e-mail, картинку, документ microsoft office в виде картинки или макроса или даже внутрь программы трекера, тут все ограничивается только фантазией фишера.

Идентификация пользователя Telegram путем полного перебора его номера

Довольно действенный метод до введения Телеграмом возможности блокировки поиска по номеру телефона, и суть его довольно проста. Программисты создавали так называемые виртуальные копии обычных телефонов с предустановленными Telegram аккаунтами.

Дальше добавляли максимум контактов в контактную книгу, по всем диапазонам номеров, к примеру +380680000001 , +380680000002 , +380680000003 и так далее до бесконечности, пока не заполним лимит. Когда лимит контактов заполнен, создается следующая виртуальная копия нового телефона и продолжается перебор с последнего номера. 

Как известно, раньше Telegram по умолчанию показывал номер телефона абонента, если тот есть у вас в контактах. А значит телефоны (всех диапазонов) добавлялись условно до того момента, пока телеграм не показал бы вам номер интересующего контакта (ника) в Telegram.

Сначала может показаться, что, к примеру, перебрать номер +48124004049 - это довольно сложная задача, но с наличием виртуальных машин и удобным масштабированием эта задача решалась, в среднем, за пару дней. После введения возможности блокировать поиск по номеру телефона ситуация слегка усложнилась. 

Сетевой анализ трафика для идентификации пользователей Telegram

Тут придется поверить мне на слово, что у ряда спецслужб уже давно есть возможность расшифровывать https трафик. Более того, по запросу или решению суда, многие правоохранительные органы могут зеркалировать ваш трафик или трафик всего вашего провайдера.

Вдаваться в детали того, как это работает, мне запрещает действующее законодательство,поэтому рассмотрим простой условный пример. Представьте, что вы видите все переходы пользователей по всем ссылкам и полностью мониторите трафик.

Вам попадаются условно три запроса:

  1. Переход по ссылке https://hackcontrol.org/penetration-testing/

  2. Переход по ссылке https://hackcontrol.org/wp-admin/

  3. Переход по ссыоке https://hackcontrol.org/wp-admin/edit.php

О чем вам это может сказать? Что кто-то сначала зашел на сайт, потом перешел в раздел администратора, потом открыл страницу редактирования новости на сайте. Соответственно, скорее всего, это администратор или модератор сайта, логично?

Давайте такой же пример с Telegram, представьте что вы видите зашифрованный трафик всех абонентов вашего города. И ряд из них переходит по ссылкам вида

Переход по ссылке: https://t.me/hackcontrol

И только единицы открывают заветный для вас и условный административный раздел телеграм (пример условный):

Переход по ссылке: https://t.me/hackcontrol?adminpage#id123123

Соответственно, для того чтоб найти администратора того или иного канала, нужно в общем трафике всех абонентов выделить только тех абонентов, которые заходят в условный административный раздел нужного телеграм канала. 

Пример программы для анализа трафика
Пример программы для анализа трафика

Пример программы для анализа трафика

Задача не из простых для наших спецслужб, но за рубежом давно выполнимая. Естественно TOR и VPN по прежнему будут существенной помехой для идентификации таких абонентов, как и сам https.

Сервисы “по пробиву” как способ деанонимизации пользователей Telegram

Тут не очень хочется вдаваться в подробности работы подпольных сервисов, но для полноты картины считаю необходимым рассказать и про них.

Примеры обьявлений о пробиве информации - картинка из Google

 Смысл почти как в вышеописанном разделе “Идентификация пользователя телеграм путем полного перебора его номера”. С той лишь разницей, что после перебора все данные аккуратно складываются в базу данных с привязкой ID телеграм = Номер телефона.

На заре создания Телеграм все диапазоны номеров неоднократно перебирались и аккуратно складывались в базу данных, доступ к которой теперь продается за деньги. Есть и бесплатные или условно бесплатные боты вроде @deanonym_bot, которым можно воспользоваться.

Ряд сервисов использует только собранную ранее информацию, ряд из них работает по принципу get_contact, когда пользователи сами добавляют базу данных своими данными, а ряд периодически добавляет новых абонентов которых удалось идентифицировать или перебрать. 

Конечно, все описанные выше способы не являются исчерпывающими.

Статьи, публикуемые в разделе "Мнения", отражают точку зрения автора и могут не совпадать с позицией редакции LIGA.net
слив данныхДжокерхакерыпрослушкателеграм