«От Родины не должно быть секретов. Их у вас, собственно, нет»: как силовики, детективы и пробивщики деанонимизируют пользователей Telegram
В Telegram можно найти десятки ботов для пробива, с помощью которых можно узнать многое о личной жизни пользователя: в каких чатах он состоит, на какой машине катается, какими соцсетями пользуется. У детективов, специализирующихся на IT-сфере, получается доставать еще больше данных: IP-адрес вашего устройства, местоположение, банковские карты. Силовики используют технологии коммерческих подрядчиков для анализа больших массивов данных: оппозиционных и криминальных чатов.
В конце июня Роскомнадзор объявил о снятии ограничений на доступ к мессенджеру Telegram на территории России. В официальном сообщении ведомства уточняется, что такое решение продиктовано готовностью основателя Telegram Павла Дурова «противодействовать экстремизму и терроризму». Незадолго до разблокировки мессенджера Дуров писал в своем блоге о том, что его командой ежемесячно пресекаются десятки тысяч попыток распространить публичные призывы к насилию и терроризму. Уточнив, что предотвращение подобных призывов происходит при полном сохранении тайны переписки.
Многие пользователи восприняли разблокировку мессенджера как победу над системой: государственная машина дала задний ход. Но нашлись и скептики, считающие, что причин у подобной «оттепели» может быть две: либо Павел Дуров пошел на сделку с российскими властями, либо собирается продать мессенджер одному из крупных российских бизнесменов. А значит — конец анонимности. Подобная конспирология подкрепляется конфликтом Дурова с американскими властями: суд США обязал компанию Дурова Telegram Group Inc. вернуть инвесторам блокчейн-платформы TON порядка 1,22 миллиарда долларов.
«Интерфакс» сообщал, ссылаясь на источник в российских властных структурах, что мессенджер действительно взаимодействует с государством по конкретным кейсам в борьбе с терроризмом. Однако за почти семь лет существования мессенджера не было установлено ни одного факта сотрудничества вне поля борьбы с терроризмом.
Сотрудник силовых структур РФ, пожелавший остаться анонимным, сообщил Daily Storm, что им запрещено писать официальные запросы команде Telegram.
— И неофициально они никогда не сотрудничают. Банят по жалобе (в мессенджере есть кнопка «Пожаловаться»), но не выдают никаких данных, — подытожил источник.
Пользователей Telegram деанонимизируют другими способами.
«Слитые» базы и Telegram-боты
— Не прошло и недели (с разблокировки мессенджера. — Примеч. Daily Storm), а про приватность в Telegram можно окончательно забыть, — так начинался пост от 23 июня в Telegram-канале MDK (440 тысяч подписчиков). — В Сети появилась база на 40 миллионов пользователей Telegram, в которой можно найти номер телефона человека, вбив его ник.
Автор поста путает понятия «приватности» и «анонимности»: приватность подразумевает, что личность пользователя при желании можно установить, а вот прочитать отправленные им сообщения — невозможно; анонимность же — это невозможность установить вашу личность. Telegram всегда позиционировал себя как приватный, а не анонимный мессенджер.
В начале июня в даркнете действительно появилась база с данными миллионов пользователей Telegram, из них около 12 миллионов — россияне. Подобного рода базы — основной инструмент «пробива».
Обычно они состоят из трех компонентов: номер телефона; уникальный идентификатор пользователя (Telegram-ID); никнейм.
Проще всего вычислить конкретный номер телефона через никнейм, но Telegram позволяет оставлять поле с никнеймом пустым и менять свой ник неограниченное количество раз. Поэтому поиск по никнейму в базах, собранных несколько лет назад, может оказаться малоэффективным.
Однако возможность «пробива» сохраняется: при регистрации в мессенджере каждому пользователю присваивается уникальный номер — Telegram-ID. Он остается неизменным даже при смене ника. Узнать ID пользователя можно при помощи специальных ботов.
Боты в Telegram — это аккаунты, управляемые не человеком, а программой. В окне переписки им можно задавать определенные команды. Например, боту ID Checker достаточно прислать никнейм пользователя, и он выдаст его уникальный ID.
Если у пользователя отсутствует ник, то можно начать с ним переписку или найти его сообщения в публичных чатах. Тогда, переслав его сообщение боту userinfo, можно выцепить Telegram-ID и с его помощью искать мобильный номер пользователя в слитых базах.
Знание номера телефона позволяет узнать о пользователе буквально все: в каких еще мессенджерах он сидит, «засветился» ли номер в публичном пространстве (например, на сайтах объявлений вроде Avito). В Telegram есть платные боты, позволяющие узнать, какая страница во «ВКонтакте» привязана к данному номеру телефона. В подавляющем большинстве случаев — это полная деанонимизация человека. Некоторые боты позволяют найти даже автотранспорт, записанный на «жертву».
Недавно в Telegram появился бот TeleSINT, позволяющий узнать, в каких публичных чатах состоит пользователь. Достаточно прислать боту никнейм или ID пользователя, и он выдаст список его Telegram-чатов. Например, если «цель» поиска состоит в чате «Подслушано в РУДН», то можно предположить, что он является студентом этого университета. Сейчас в базе данных бота находится более 47 тысяч публичных чатов.
Базы с информацией о миллионах пользователей Telegram возникают в результате прогона номерной емкости. Этот метод сбора информации используют сотрудники спецслужб. Множество сим-карт вставляется в специальные картоприемники, на каждом запускается эмулятор Android. Затем начинается автоматический процесс перебора номеров (начиная, например, с +7911) и проверка их на наличие в Telegram. Если аккаунт с определенным номером зарегистрирован в мессенджере — он добавляется в контакты. Большое количество симок необходимо из-за того, что Telegram позволяет одной сим-карте иметь не более пяти тысяч аккаунтов.
— Обычно мы используем симки, купленные в Чехии, — уточняет источник из силовых структур. — Потому что российские, украинские и иранские симки Telegram почти сразу блокирует, замечая хоть что-то похожее на перебор номеров.
Крупные сервисы по «пробиву» обладают соответствующими базами данных. Например, один из создателей сервиса «Анонимов.НЕТ» сообщил корреспонденту Daily Storm, что их база пользователей Telegram насчитывает более 50 миллионов уникальных российских номеров. Пользователей из других стран — более 25 миллионов.
— Для составления базы пользователей пользуемся не только «прогоном», — сообщает основатель сервиса. — Есть пара анонимных юзеров, которые дают нам «поток данных». Скорее всего, это технари из крупных компаний, которые активно работают в Telegram. Курьерские службы, например, или интернет-магазины. При регистрации в Telegram-боте компании пользователь делится с ним своим телефоном: в результате у организации формируется своя база, которую сотрудники таким образом монетизируют.
По словам бизнесмена в сфере пробива, существует возможность удалить из их базы информацию о себе: полное удаление из базы будет стоить 100-200 тысяч рублей. Стоимость защиты от пробива сроком на один год составляет 12 тысяч рублей.
— Недавно совсем, кстати, у нас покупали данные на администратора Telegram-канала «Омбудсмен полиции». Хотели узнать его номер телефона, — добавил бизнесмен.
Напомним, что 7 мая Владимира Воронцова, администратора паблика и Telegram-канала правозащитного проекта «Омбудсмен полиции», задержали по подозрению в вымогательстве. Неизвестные пытались «пробить» данные о Воронцове уже после ареста.
Детективные агентства
Детективные агентства стараются создавать свои коммерческие сервисы для деанонимизации пользователей. Они подгружают в свои разработки «утекшие» базы данных и собирают свои, создаваемые при помощи ботов-ловушек. Ссылки на них рассылаются по публичным чатам, или в личное сообщение под каким-нибудь предлогом. Чтобы воспользоваться ботом, человек должен поделиться с ним своим номером телефона — в этот момент база данных пополняется еще одним номером.
Информационно-аналитическая компания «Интернет-Розыск», разработавшая сервис по деанонимизации пользователей Telegram «Telegram-Деанонимайзер», использует сеть подобных ботов. Некоторые из них маскируются под боты для пробива (вплоть до обнаружения местоположения «практически любого мобильного абонента в любой стране мира»), а один из них симулирует процесс вступления в закрытый чат для протестующих.
«Многотысячные протестные акции в Москве начались с середины 2019 года, ситуация обострилась вокруг выборов в Мосгордуму. Присоединяйся к нам!!!» — гласит приветственная надпись якобы при входе в чат. Далее, если нажать на кнопку «Перейти», бот предложит поделиться с ним номером телефона.
Сервис «Telegram-Деанонимайзер» — позволяет пробить человека по номеру телефона, ID или никнейму. В некоторых случаях удается узнать его приблизительное местоположение, используемый браузер и IP-адрес устройства. На данный момент в базе сервиса находится порядка 30 миллионов номеров.
«Выцеплять» IP-адреса и информацию о местоположении пользователя удается путем вставки IP-логгера, например, в статью своего блога. Отправив ссылку на статью «цели» деанонимизации, можно будет получить его данные. Если он перейдет по ссылке, логгер соберет информацию о пользователе и запишет данные в базу. Для массовости деанонимизации достаточно купить рекламный текст, содержащий эту ссылку, в крупном Telegram-канале.
Программа «ТелПоиск», также разработанная компанией «Интернет-Розыск», по номеру телефона может выдать вероятные имена пользователя (подгружаются из сервисов наподобие GetContact), его дату рождения, привязанные к номеру банковские карты и электронные кошельки и объявления, оставленные с этого номера на Avito.
Как вас деанонимизируют силовики
Силовые структуры используют свои базы данных и своих ботов, однако иногда пытаются выкачать из коммерческих ботов что-то себе.
— Наши сервисы работают за счет того, что инициативные сотрудники перекидывают друг другу разные утечки, попавшие им в руки, — сообщает Daily Storm сотрудник силовых структур. — В итоге все это в одном месте оседает, и у каждого потом есть доступ. Кто как может, так потом и индексирует. Cамопал, короче.
По его словам, заполучить доступ к Telegram-аккаунту, зарегистрированному на российскую сим-карту, для спецслужб не составляет труда. Впрочем, и для некоторых мошенников:
— Злоумышленник может получить твою сим-карту, предоставив в салоне сотовой связи поддельную доверенность. Это не поможет обойти двухфакторную авторизацию, поэтому он сначала готовится к возможным вариантам авторизации. Как правило, это что-то легкое. Самый частый вариант — цифровой пин-код. Пин-код зачастую частично совпадает с паролем, который, скорее всего, когда-нибудь да попадал в одну из множества утечек.
Для анализа огромного массива данных (Telegram-каналы, пользователи) спецслужбы могут использовать мощности IT-компаний. Например, для лингвистического анализа чатов: это могут быть как оппозиционные, «протестные» чаты, так и криминальные. В случае с преступниками анализируются не только чаты Telegram, но и теневые форумы. Искусственный интеллект анализирует особенности письменной речи: например, делает поиск по словам с одной и той же ошибкой или речевой особенностью.
Собеседник Daily Storm перечислил наиболее распространенные ошибки пользователей, которых они с коллегами пытались деанонимизировать:
— один чувак писал везде под разными никами, но всегда использовал слово «смиктил» (понял?). Все никнеймы удалось через экспертизу объединить. Это типовой пример.
— кто-то записал человека, например, подозреваемого в администрировании Telegram-канала «АнтиКремль», как «Василий АнтиКремль», а другой человек записал этот номер как «Пупкин». Это высветится в приложении GetContact, если мы знаем номер аккаунта. Совмещаем эти данные, дальше — дело техники;
— неосторожный переход по ссылкам. IP-адрес сразу же деанонимизируется;
— знакомство с «телочками». Старый добрый развод злоумышленника под женским виртуалом на информацию о своей личной жизни.
По его словам, методы деанона используются комплексно: от «копания в мусорке» до использования искусственного интеллекта («если коммерсы помогают — ибо своих технологий нет»):
— Вообще, правоохрана у нас работает по двум методикам. Первая схема — если пришел приказ сверху: «Узнайте мне, что это за сволочь». Тогда искать легко — цель четкая. Но этически трудно: а вдруг это какой-то шкурняк генерала. Но такое в спецподразделениях бывает крайне редко.
Однако, по наблюдению собеседника Daily Storm, подавляющее большинство оперов работают по второй схеме: несите в норку все, из чего потом может получиться уголовное дело.
— У каждого сотрудника есть норма дел. Выполнил эту норму и тогда занимайся тем, что самому интересно. Постепенно это приводит к тому, что статистика заполняется мелкими задачками, которые проще реализовать. Короче, ищут мамкиных хакеров и барыг. А их так много и без тора (TOR-браузер) и даже без Telegram сидит, что достаточно во «ВКонтакте» того же бота запустить с десятью ключевыми словами — и аккаунтами барыг и продавцов вирусов ты обеспечен. Остается выбрать, кого легче деанонить.
Политические дела, признается источник, почти всегда спускаются приказом сверху.
— Барыги, мелкие хакеры — всегда вторая схема. Мошенники — в равной мере. Те, кто случайно жену генерала кинул — первая схема. И это самая хорошая работенка, ибо их легко найти по денежному следу. Посадить быстро — ибо генерала обидели. И палка есть, и психологически получается нравственно.
«Первая телеграммная война»
В конце января 2020 года замолчал крупнейший Telegram-канал «Футляр от виолончели» (294 тысячи подписчиков), специализирующийся на компромате. По информации издания Baza, владельцев канала вычислили сотрудники Службы экономической безопасности ФСБ: силовики пришли с обысками к предполагаемым авторам канала и изъяли у одного из них сим-карту, привязанную к пользователю — администратору канала.
А весной в Telegram началась массовая деанонимизация владельцев анонимных Telegram-каналов. Случилось это после «антисобянинского демарша» Telegram-канала «Незыгарь» (342 тысячи подписчиков), начавшего распространять неподтвержденную информацию о введении комендантского часа в городе.
Анонимный Telegram-канал «Кремлевская прачка» объявил «охоту» на сетку «Незыгаря»: на те каналы, чьи «паникерские» сообщения репостил крупнейший политический Telegram-канал. «Деаноны» публиковались в подконтрольных «Прачке» каналах «Шум прибоя» (впоследствии переименовался в «Рокот»), «Постовой» и «Родина слышит».
Начиная с конца апреля эти каналы размещали личные данные «вскрытых» администраторов анонимных каналов. Писатель и главный редактор журнала Esquire Сергей Минаев назвал это «Первой телеграммной войной».
За пределами Росии первая массовая волна деанонимизаций пользователей Telegram началась в Гонконге во время летних протестов 2019 года. Протестующие публиковали в своих Telegram-каналах персональную информацию о полицейских, применивших силу к демонстрантам. А власти, в свою очередь, деанонимизировали владельцев анонимных оппозиционных каналов и участников Telegram-чатов, где координировались протестующие. Правоохранители перебирали все гонконгские номера телефонов, искали совпадения с никнеймами и Telegram-ID и вычисляли оппозиционеров. Из-за этого команда Telegram приняла меры, направленные на воспрепятствование подобному перебору.
По информации собеседника Daily Storm из силовых структур, деанонимизация политических Telegram-каналов — почти всегда реализация инсайдерской, конкурентной или вообще фейковой информации.
— В данном случае информация подается через привычный, кстати, современным хактивистам способ: мол, взломали, вычислили. В это сейчас легко верят. А на самом деле все уже украдено до вас… — сообщает источник.
По его словам, «силовикам» редко поступают задачи деанонимизации, не касающиеся преступников, а лежащие в политической плоскости.
— Бывает, спускают «партийные задания». Но мы начинаем работать только в том случае, если нам объясняют мотив, — продолжает источник. — Как правило, такое бывает, если на одного из наших сотрудников произошел слив компромата. А он только что реализовал некий материал. Например: история майоров Мрищука и Барякшева. Ребята вышли на большую банду и пресекли богатую схему. Их начали «сливать» через продажных ментов, СМИ и Telegram-каналы. Зная это, мы пытались доказать, что первоисточник «заказухи» — как раз объекты разработки майоров.
По словам основателя компании «Интернет-Розыск» Игоря Бедерова, существуют условия, когда возможны чисто технические способы вычислить владельца Telegram-канала:
«Самое удобное — когда в описании канала указан Telegram-контакт для связи с администрацией. Наиболее яркий пример деанонимизации в этом случае — установление личности админа канала «Товарищ Майор», которым оказался пиарщик из бурятии Виталий Тайсаев.
У некоторых Telegram-каналов есть свой чат. В чате сидят не только подписчики канала, но и администраторы. И даже если в описании канала не указан контакт для связи, администраторов можно найти в чате — они помечены звездочкой.
Третий случай: Telegram-канал использует для управления публикациями внешние боты или сервисы. Это всевозможные боты, которые позволяют делать красивые или отсроченные по времени публикации, собирать статистику посещаемости и активности канала. Некоторые из этих ботов сохраняют информацию об аккаунте, с которого производилось его установка в канал. Эту информацию, в теории, можно «выцепить», связавшись с разработчиком бота, или если вы сами разработали его».
***
— Для обеспечения собственной безопасности советую людям иметь хотя бы два аккаунта: для доверенной среды и для прочих, — сообщает Daily Storm сотрудник силовых структур. — Используйте двухфакторную авторизацию, а нужные учетные записи клонируйте на какой-нибудь резервный гаджет. Не пишите то, за что потом не захотите отвечать. Всегда вникайте в мотивы ваших новых знакомых. Не торопитесь. Особенно кому-то что-то оплачивать.
На вопрос о том, стоит ли беспокоиться о безопасности мессенджера в связи с его разблокировкой в России, собеседник Daily Storm ответил, что он не переживает по этому поводу:
— Безопасность для такой публичной платформы — на высоком уровне. Для приватных или хакерских дел лучше использовать другие способы связи. Давайте всегда исходить из того, что мы не знаем и вряд ли узнаем, кто именно стоит за Telegram и как используются сведения, полученные мессенджером. А они точно используются.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.