Traffic Cardinal Traffic Cardinal написал 09.10.2024

Киберпаранойя 4.3 — как деанонят Telegram-аккаунты

Traffic Cardinal Traffic Cardinal написал 09.10.2024
12 мин
0
757
Содержание

Все мы знаем, что Telegram — это один из самых безопасных и приватных мессенджеров. И в некоторой степени это реально так: если сравнивать его алгоритмы с тем же WhatsApp*, Viber или их аналогами, ТГ действительно лучше защищает ваши данные. Однако при всем этом приватность Telegram сильно переоценена. Особенно если вы не умеете им пользоваться и сами пишете информацию о себе в своем профиле.

banner banner

Впрочем, подобные случаи слишком нелепы, чтобы рассматривать их всерьез. А вот что действительно стоит проанализировать, так это то, как именно вас могут задеанонить, даже если вы умеете пользоваться Telegram или вообще сидите с фейка. Да-да, это возможно. И происходит это повсеместно. Более того, если вы думаете, что это прерогатива исключительно спецслужб — то нет. Сегодня таким занимается если не каждый второй, то каждый пятый школьник. И это не преувеличение, а цитата горячо любимой всеми главы «Лиги безопасного интернета» Екатерины Мизулиной. Если уж школьники могут в деанон, то арбитражники тем более должны быть в курсе, как их могут вычислить.

Зачем вообще кому-то меня деанонить?

Как бы там ни было, целью мамкиных хацкеров, помимо подготовки к ЕГЭ, как правило, является либо шутка над кем-то из друзей, либо запугивание тех, кто насолил им в интернетах. Однако годы идут, мамкины хацкеры вырастают, да и старая гвардия диджитал Робин Гудов никуда не делась. И вот там цели уже нешуточные.

Проще говоря, деанонить вас могут не для того, чтобы как-то вам насолить или «выскочить раз на раз», а, например, чтобы вас было проще взломать и угнать все ваши криптомиллионы. Ну или чтобы путем шантажа несколько раз продать вам же нюдсы вашей девушки — у вас ведь крутой Telegram-канал, значит, бабки есть.

Кроме взломов, шантажа и запугиваний деанон, естественно, может быть использован и для других нехороших дел. Поэтому лучше знать методы деанона и способы защиты от них.

Однако прежде чем мы перейдем к непосредственно разбору методов деанона, хотелось бы обратить внимание на три важных момента:

  1. Речь идет исключительно о том деаноне, которым могут заниматься разного рода злоумышленники. У спецслужб другие методы, и от них вы не защититесь никак.
  2. Приватные чаты никак вас не защитят. Да, там степень конфиденциальности в несколько выше, но не стройте иллюзий.
  3. Мы будем разбирать лишь концепции деанона. Давать подробную инструкцию мы, естественно, не будем, так как это незаконно.

Социальная инженерия: боты-ловушки и байт на деанон

А начнем мы со «Святого Грааля» всех хацкеров — социальной инженерии. Можно сколько угодно мимикрировать под других людей, создавать фейки, настраивать приватность, но все это лишено смысла, если ты сам себя задеанонишь. Мы уже разбирали феномен социальной инженерии и способы защиты от таких методов взлома, поэтому сейчас не будем подробно останавливаться на этой теме. Единственное, чего мы коснемся из социальной инженерии — это боты-ловушки и провоцирование в публичных чатах на демонстрацию свойственного вам паттерна поведения.

Чаще всего социальная инженерия ассоциируется у людей с поддельными ссылками или спамом с зараженными файлами. Однако это не СИ — это фишинг с использованием СИ. Социальная инженерия — это искусство сделать так, чтобы кто-то сделал что-то выгодное для вас в ущерб себе, да еще и по собственному желанию
Чаще всего социальная инженерия ассоциируется у людей с поддельными ссылками или спамом с зараженными файлами. Однако это не СИ — это фишинг с использованием СИ. Социальная инженерия — это искусство сделать так, чтобы кто-то сделал что-то выгодное для вас в ущерб себе, да еще и по собственному желанию

Боты-ловушки

Итак — боты-ловушки. Что это и как их выявить, чтобы на них не попасться? А на самом деле никак. Все потому, что пользователь видит лишь фронтенд. Бэкенд, как правило, скрыт от него, и что там происходит, вы никак не узнаете. Потенциально ботом-ловушкой может быть абсолютно любой бот, которым вы пользуетесь. Ну разве что кроме тех, которые отмечены синей галочкой Телеги (технически они тоже могут быть ловушками, но это лишено смысла — Телега и без этого имеет доступ ко всей вашей информации).

Так как заблаговременно узнать, какой бот является ловушкой, а какой нет, не представляется возможным, гораздо проще исключить возможность получения ими какой-либо конфиденциальной информации:

  • Не пересылайте файлы — если бот запрашивает какой-либо файл, имейте в виду, что он может проанализировать его метаданные. То есть отсылать ему нужно уже отредактированный файл либо, что более надежно, не пользоваться таким ботом.

  • Используйте чистый гаджет — не стоит использовать боты, которые запрашивают доступ к вашей книге контактов, чем, например, грешит всем известный бот «Глаз Бога». Точнее, использовать-то вы его можете на свой страх и риск, но в этом случае лучше купить отдельный телефон, отдельную сим-карту и создать отдельный аккаунт. А еще лучше — попросить все это сделать другого человека из другой страны.

  • Оставайтесь в Телеге — если при использовании бота Telegram оповещает вас о перенаправлении на сторонний ресурс (а такое очень часто бывает при использовании всевозможных рандомайзеров), то здесь пакет того, что такой бот может спылесосить даже больше того, что видит о вас сама Телега, так как, по сути, вы подключаетесь к стороннему серверу. Но выглядит все это так, будто вы все еще в Телеграме.

Так выглядит «безопасный» розыгрыш (на самом деле нет, но его опасность ограничена дырами Телеги)
Так выглядит «безопасный» розыгрыш (на самом деле нет, но его опасность ограничена дырами Телеги)

Кроме того, боты-ловушки могут анализировать время вашего онлайна (ведь если вы используете бот — вы онлайн), частоту заходов, микротайминги между инициацией различных команд и так далее. И здесь те, кто в теме, возможно, зададут вопрос: «А что это может дать злоумышленнику?» Если речь об одном боте, ничего.

Однако, как правило, для этого используется несколько даже не ботов, а бот-сетей. Вся эта информация сопоставляется, анализируется, и впоследствии вас деанонят. Более того, Telegram-боты могут анализировать ваши паттерны поведения, например различные лингвистические конструкции.

А так, небезопасный — задействующий загрузку веб-приложения со стороннего сервера. Заметили разницу? (Она не в содержимом поста.)
А так, небезопасный — задействующий загрузку веб-приложения со стороннего сервера. Заметили разницу? (Она не в содержимом поста.)

Как защититься:

  • Не используйте боты, похожие на примеры выше. Либо заведите для этого специальный гаджет, которым не будете пользоваться.

  • Ни в коем случае не стоит использовать различные финансовые советники, анализаторы биржевых котировок и так далее.

  • Сюда же относится все, что связано с криптой. Нет, вы, конечно, можете использовать эти сервисы, дело ваше, но мы так делать не советуем. Как правило, такие боты пылесосят как минимум информацию о ваших финансовых телодвижениях. А как максимум — реквизиты для авторизации.

Байт на паттерн

Теперь перейдем к такому методу деанона, как провокация на раскрытие паттернов поведения. Звучит сложно, но на самом деле тут все проще.

В упрощенном виде все сводится к тому, что по разным Telegram-каналам или комментариям под постами раскидываются разные темы. Естественно, одни и те же темы вызывают разную реакцию у разных людей. Сопоставляя все эти данные, можно если не прям задеанонить, то как минимум сузить круг поиска и вычислить жертву. А это 99% того, что нужно для деанона. Оставшийся 1% всегда можно добить «ручками».

Здесь должна была быть простая схема алгоритма лингвистического анализа. Но тема оказалась непростой и на одну картинку не умещается. В качестве пруфа того, что лингвистический анализ — это вещь, держите книжку для криминалистов. А с появлением нейросетей сами понимаете, насколько проще стал лингвистический анализ для простых смертных
Здесь должна была быть простая схема алгоритма лингвистического анализа. Но тема оказалась непростой и на одну картинку не умещается. В качестве пруфа того, что лингвистический анализ — это вещь, держите книжку для криминалистов. А с появлением нейросетей сами понимаете, насколько проще стал лингвистический анализ для простых смертных

Если вам кажется, что тема лингвистики в деаноне высосана из пальца, то есть вполне реальный кейс, когда группа исследователей обнаружила другого исследователя, пытавшегося оставаться анонимным в сети. Сделали они это с помощью лингвистического анализа, найдя информацию о нем в одном из публичных Telegram-каналов и сопоставив с тем, какие запросы он отправлял в боты, никак не связанные с темой его канала.

Как защититься

К счастью, защититься от этого достаточно просто. Если у вас возникло сильное желание доказать кому-то в интернете, что он не прав, воздержитесь от этого желания.

OSINT

Следующий метод деанона пользователя Телеги — это его величество OSINT. Или же анализ информации из открытых источников данных.

Практически под OSINT может попадать что угодно (любая «ваша» информация), если для этого не нужно вас непосредственно взламывать. Например, из банального: один и тот же никнейм, использованный в Telegram и в другой социальной сети, может вас задеанонить. Да, пример с никнеймом банален, но он хорошо отражает суть метода.

Предвосхищая шутки, добавили планете слева улыбку :)
Предвосхищая шутки, добавили планете слева улыбку :)

Тут нужно смотреть предметно, так как одна и та же инфа может как помочь в деаноне, так и оказаться бесполезной, в зависимости от прочих факторов.

Из более изощренных методов деанона с помощью OSINT можно привести в качестве примера деанон по специфическим ключевым словам. Например, если они используются на вашем сайте или в вашем канале. А они используются — у всех людей есть свои лингвистические отпечатки.

Пример возможного порядка действий при OSINT-деаноне, когда есть только доменное имя (адрес сайта)
Пример возможного порядка действий при OSINT-деаноне, когда есть только доменное имя (адрес сайта)

Кроме этого, наличие каких-либо специфических фраз может говорить о вашей причастности к какому-то событию или как минимум заинтересованности определенной темой. В этом случае для деанона даже софт не нужен: злоумышленник может просто логически сопоставить данные.

Сюда же, естественно, относятся аватарки и стикеры. Впрочем, аватарки — это довольно банальный пример на уровне никнеймов. А вот стикеры — это уже интереснее. Как бы там ни было, используемые вами стикеры могут говорить о том, чем вы интересуетесь, или же какими социальными сетями пользуетесь.

Чтобы было понятнее, что такое OSINT, приведем еще более изощренный пример.

  1. Допустим, в одном из публичных Telegram-каналов или чатов вы продемонстрировали свою осведомленность о какой-то локальной теме.
  2. Предположим, что эта тема актуальная для конкретного населенного пункта (или области) и конкретного отрезка времени. Проанализировав эту информацию, злоумышленник сможет примерно предположить, откуда вы и сколько вам лет. Далее он может использовать эту информацию во время анализа слитой базы. Например, того же Яндекса.
  3. Если это не город размером с Москву, скорее всего, людей, попадающих под интерес к озвученной теме, конкретный город и конкретный возраст, будет немного. В итоге перед злоумышленником будет 5–10 человек, одним из которых, скорее всего, окажетесь вы.
  4. В дальнейшем уже эта информация может быть использована злоумышленником для сопоставления с информацией из других источников, что позволит ему еще больше сузить круг поиска. В итоге он с 99%-й вероятностью выйдет именно на вас.

Пример возможного порядка действий при OSINT-деаноне, когда есть только электронный адрес
Пример возможного порядка действий при OSINT-деаноне, когда есть только электронный адрес

При этом основная фишка OSINT в том, что фактически человек ничего не нарушает. Он анализирует открытые источники данных, например социальные сети. Наверное, нет ни одной страны в мире, где запрещено просматривать профили в социальной сети. Поэтому до непосредственно совершения правонарушения, даже если вы узнаете, что он получил доступ к этой информации и задеанонил вас, вы ничего не сможете этому противопоставить, так как нет состава преступления.

На самом деле все то, что написано выше, — это база. Это то, чем занимаются сегодняшние школьники. Хотя нет — вчерашние. Сегодняшние школьники, и уж тем более хакеры, обладают куда более широким арсеналом для проведения OSINT-исследований: это и разнообразные слитые базы данных, и публичные каналы (а они попадают в индексацию поисковиков), и комментарии под постами, и многое-многое другое.

Как защититься

Можно ли защититься от OSINT? В некоторой степени можно, если понимать, как все это устроено. Однако об этом мы подробнее расскажем во второй части статьи, ведь кроме ботов-ловушек, байта и OSINT есть другие заслуживающие вашего внимания методы деанона.

Спешим обрадовать: вторая часть выйдет совсем скоро! Следите за нашим Telegram-каналом, чтобы не пропустить.

Здравствуйте! У вас включен блокировщик рекламы, часть сайта не будет работать!