metal worm
Light Weight
- Депозит
- $0
Методические рекомендации Института повышения квалификации и переподготовки Следственного комитета Республики Беларусь
Спойлер: вода
Учетная запись пользователя Telegram включает в себя ID (числовой идентификатор), абонентский номер регистрации, username (символьный псевдоним), first_name и last-name (двухсоставный никнейм пользователя, которыми могут быть имя и фамилия), bio (статус или иной комментарий к учетной записи), photo (аватар или главное изображение учетной записи). Уникальный числовой идентификатор (ID) присваивается при создании учетной записи и не меняется вплоть до ее удаления. Username выбирается пользователем (при желании) и также является уникальным. First_name, last_name и photo могут задаваться любые (в том числе неуникальные) и меняться неограниченное число раз. Привязка учетной записи к абонентскому номеру является обязательной, так как на него приходит код активацию однако в последующем аккаунт можно перепривязать к другому абонентскому номеру.
На основе исследований программно-технического функционала Telegram, изучения и следственной практики в Институте Следственного комитета разработан примерный алгоритм действий по деанонимизации пользователей указанного мессенджера.
1. В первую очередь требуется установить числовой идентификатор устанавливаемого пользователя, так как обычные клиентские приложение Telegram его не воспроизводят. Сделать это можно с мощью специализированных Telegram-ботов (@CheckID_AIDbot, @username_to_id_bot) или кастомных Теlegram-клиентов (BGram).
2. Установить примерную дату создания учетной записи дает возможность Telegram-бот @creationdatebot.
3. Наиболее простым и эффективным является поиск в базах данных деанонимизированных пользователей. Отечественной разработкой в данном направлении является программа «Т-Поиск». В ней возможен поиск по абонентскому номеру, usermame, first_name, last_name или по целым спискам указанных идентификаторов. Программа выдает всю информацию по найденным учетным записям, включая историю изменения пользовательских данныx.
Кроме того, существует ряд сетевых сервисов, собирающих из разных источников данные об учетных записях пользователей и предоставляющих их при различных условиях. К наиболее известным ресурсам относятся так называемый «Глаз Бога» (https://eyeofgod.cc/) и SmartSearchBot (https://smartsearchbot.com/).
4. Круг интересов и присутствие пользователя в Telegram-чатах можно выяснить с использованием ботов @telesint_bot и @eyeofbeholder_bot.
5. Данные об активности и упоминаниях пользователя в каналах и чатах позволяют получить специализированные поисковые системы (http://search.buzz.im, http://lyzem.com). Поиск целесообразно выполнять не только по username, first_name, last_name, но и по bio, а также по обладающим уникальностью фрагментам текста, выявленным в сообщениях пользователя (например, в рассылаемых им спам-сообщениях).
6. Установление аккаунтов на иных ресурсах (социальных сетях, игровых сайтах, форумах), которые зарегистрированы с никнеймом, тождественным username (реже last_name, first_name) устанавливаемого пользователя. Возможными способами решения этой задачи являются:
точный (с использованием кавычек) поиск в Google и Yandex,
целевой поиск соответствующих никнеймов на ресурсах, в которых предполагается присутствие искомого пользователя,
применение специальных инструментов и сервисов, выполняющих быстрый поиск по никнеймам на сотнях ресурсов (утилита Sherlock, бот @maigret_osint_bot, веб-сервисы https://suip.biz/ru?act=sherlock, https://namechk.com/, https://knowem.com/).
7. Все чаты, в которых присутствует искомый аккаунт, должны быть проанализированы на наличие сообщений от него. Облегчает решение данной задачи встроенная в Telegram фунция поиска в чатах сообщений определенного пользователя. Нередко лица в общениях оставляют текстовую, графическую, звуковую или видео-информацию, которая прямо или косвенно может способствовать их идентификации.
8. При размещении пользователем изображений (как в качестве аватара, так и в виде фотоизображений в сообщениях) и при наличии оснований полагать, что они не являются заимствованными, их так же следует использовать в поисковых мероприятиях. Так, к фотоизображениям лиц могут применяться инструменты универсальных поисковых систем (https://images.google.com/, https://yandex.by/images/), но лучший результат дают ресурсы, специализирующиеся на поиске по фото (вышеупомянутые сервисы «Глаз Бога», SmartSearchBot, ресурсы https://findclone.ru/, https://pimeyes.com/, https://tineye.com/, https://search4faces.com ).
Кроме портретных фотографий в поисковых целях могут использоваться и изображения местности (вид из окна квартиры), интерьеров, частей тела (особенно рук с запечатленными папиллярными узорами), одежды и аксессуаров.
Кроме приведенных выше чисто поисковых мероприятий для установления пользователей Telegram применимы активные методы деанонимизации, такие как деанон-боты и ссылки-ловушки.
9. Деанон-боты. Суть функционирования подобной ловушки заключается в пересылке устанавливаемому пользователю ссылки на бот, предлагающий некий функционал, который может заинтересовать искомое лицо. При запуске бот получает абонентский номер соответствующего пользователя. Но следует отметить, что в клиентские приложения мессенджера заложен механизм обязательного предупреждения пользователя о сообщении боту его абонентского номера.
В настоящее время имеется ряд сторонних сервисов, которые предлагают использовать своих ботов для деанонимизации. однако надежность и целесообразность использования подобных сервисов в целях раскрытия и расследования преступлений представляется сомнительной при том что их создание не представляет сложности. В Институте Следственного комитета разработана деанон-система, состоящая из собственно Telegram-бота; серверного дополнения, выполненного с использованием фреймворка Node.js (могут использоваться и альтернативные языки программирования: Python, РНР), и Телеграм-канала, в который мгновенно приходят сообщения о всех действиях пользователей в боте, в том числе 0б их абонентских номерах. Такие боты могут создаваться в неограниченном количестве с оформлением, адаптированным под различные легенды (название бота, его описание, аватар). Время развертывания нового бота не превышает 20 минут.
10. Ссылки-ловушки. При переходе по подобной ссылке, посланной под каким-либо предлогом устанавливаемому пользователю, инициатору становится известен IP-адрес и некоторые другие данные об используемом устройстве и программном обеспечении. Наиболее известными онлайн-сервисами по созданию ссылок-ловушек являются https://iplogger.ru/ и https://grabify.link/. Но, как и в случае с деанон-ботами, механизмы этих сервисов не прозрачны для правоохранителей. Кроме того, они часто блокируются, а генерируемые ими ссылки маловариационны и выглядят весьма подозрительно. Разработанная сотрудниками Института система позволяет в течение получаса развернуть полностью контролируемую систему, состоящую из ссылки с правдоподобным url, размещенного на сервере РНР или Node.js скрипта и электронного почтового ящика (либо Тelegram-аккаунта), на который в режиме реального времени поступит сообщение о переходе по ссылке с данными об IP-адресе, устройстве и программном обеспечении (useragent), установленных языках и текущем времени браузера, иных технических параметрах пользователя, осуществившего переход.
Дополнительный функционал предусматривает использование технологии «кликджекинг», позволяющей в отдельных случаях также устанавливать аккаунт в социальных сетях пользователя, перешедшего по ссылке-ловушке.
Последнее редактирование: 25.03.2022
Спойлер: вода
Учетная запись пользователя Telegram включает в себя ID (числовой идентификатор), абонентский номер регистрации, username (символьный псевдоним), first_name и last-name (двухсоставный никнейм пользователя, которыми могут быть имя и фамилия), bio (статус или иной комментарий к учетной записи), photo (аватар или главное изображение учетной записи). Уникальный числовой идентификатор (ID) присваивается при создании учетной записи и не меняется вплоть до ее удаления. Username выбирается пользователем (при желании) и также является уникальным. First_name, last_name и photo могут задаваться любые (в том числе неуникальные) и меняться неограниченное число раз. Привязка учетной записи к абонентскому номеру является обязательной, так как на него приходит код активацию однако в последующем аккаунт можно перепривязать к другому абонентскому номеру.
На основе исследований программно-технического функционала Telegram, изучения и следственной практики в Институте Следственного комитета разработан примерный алгоритм действий по деанонимизации пользователей указанного мессенджера.
1. В первую очередь требуется установить числовой идентификатор устанавливаемого пользователя, так как обычные клиентские приложение Telegram его не воспроизводят. Сделать это можно с мощью специализированных Telegram-ботов (@CheckID_AIDbot, @username_to_id_bot) или кастомных Теlegram-клиентов (BGram).
2. Установить примерную дату создания учетной записи дает возможность Telegram-бот @creationdatebot.
3. Наиболее простым и эффективным является поиск в базах данных деанонимизированных пользователей. Отечественной разработкой в данном направлении является программа «Т-Поиск». В ней возможен поиск по абонентскому номеру, usermame, first_name, last_name или по целым спискам указанных идентификаторов. Программа выдает всю информацию по найденным учетным записям, включая историю изменения пользовательских данныx.
Кроме того, существует ряд сетевых сервисов, собирающих из разных источников данные об учетных записях пользователей и предоставляющих их при различных условиях. К наиболее известным ресурсам относятся так называемый «Глаз Бога» (https://eyeofgod.cc/) и SmartSearchBot (https://smartsearchbot.com/).
4. Круг интересов и присутствие пользователя в Telegram-чатах можно выяснить с использованием ботов @telesint_bot и @eyeofbeholder_bot.
5. Данные об активности и упоминаниях пользователя в каналах и чатах позволяют получить специализированные поисковые системы (http://search.buzz.im, http://lyzem.com). Поиск целесообразно выполнять не только по username, first_name, last_name, но и по bio, а также по обладающим уникальностью фрагментам текста, выявленным в сообщениях пользователя (например, в рассылаемых им спам-сообщениях).
6. Установление аккаунтов на иных ресурсах (социальных сетях, игровых сайтах, форумах), которые зарегистрированы с никнеймом, тождественным username (реже last_name, first_name) устанавливаемого пользователя. Возможными способами решения этой задачи являются:
точный (с использованием кавычек) поиск в Google и Yandex,
целевой поиск соответствующих никнеймов на ресурсах, в которых предполагается присутствие искомого пользователя,
применение специальных инструментов и сервисов, выполняющих быстрый поиск по никнеймам на сотнях ресурсов (утилита Sherlock, бот @maigret_osint_bot, веб-сервисы https://suip.biz/ru?act=sherlock, https://namechk.com/, https://knowem.com/).
7. Все чаты, в которых присутствует искомый аккаунт, должны быть проанализированы на наличие сообщений от него. Облегчает решение данной задачи встроенная в Telegram фунция поиска в чатах сообщений определенного пользователя. Нередко лица в общениях оставляют текстовую, графическую, звуковую или видео-информацию, которая прямо или косвенно может способствовать их идентификации.
8. При размещении пользователем изображений (как в качестве аватара, так и в виде фотоизображений в сообщениях) и при наличии оснований полагать, что они не являются заимствованными, их так же следует использовать в поисковых мероприятиях. Так, к фотоизображениям лиц могут применяться инструменты универсальных поисковых систем (https://images.google.com/, https://yandex.by/images/), но лучший результат дают ресурсы, специализирующиеся на поиске по фото (вышеупомянутые сервисы «Глаз Бога», SmartSearchBot, ресурсы https://findclone.ru/, https://pimeyes.com/, https://tineye.com/, https://search4faces.com ).
Кроме портретных фотографий в поисковых целях могут использоваться и изображения местности (вид из окна квартиры), интерьеров, частей тела (особенно рук с запечатленными папиллярными узорами), одежды и аксессуаров.
Кроме приведенных выше чисто поисковых мероприятий для установления пользователей Telegram применимы активные методы деанонимизации, такие как деанон-боты и ссылки-ловушки.
9. Деанон-боты. Суть функционирования подобной ловушки заключается в пересылке устанавливаемому пользователю ссылки на бот, предлагающий некий функционал, который может заинтересовать искомое лицо. При запуске бот получает абонентский номер соответствующего пользователя. Но следует отметить, что в клиентские приложения мессенджера заложен механизм обязательного предупреждения пользователя о сообщении боту его абонентского номера.
В настоящее время имеется ряд сторонних сервисов, которые предлагают использовать своих ботов для деанонимизации. однако надежность и целесообразность использования подобных сервисов в целях раскрытия и расследования преступлений представляется сомнительной при том что их создание не представляет сложности. В Институте Следственного комитета разработана деанон-система, состоящая из собственно Telegram-бота; серверного дополнения, выполненного с использованием фреймворка Node.js (могут использоваться и альтернативные языки программирования: Python, РНР), и Телеграм-канала, в который мгновенно приходят сообщения о всех действиях пользователей в боте, в том числе 0б их абонентских номерах. Такие боты могут создаваться в неограниченном количестве с оформлением, адаптированным под различные легенды (название бота, его описание, аватар). Время развертывания нового бота не превышает 20 минут.
10. Ссылки-ловушки. При переходе по подобной ссылке, посланной под каким-либо предлогом устанавливаемому пользователю, инициатору становится известен IP-адрес и некоторые другие данные об используемом устройстве и программном обеспечении. Наиболее известными онлайн-сервисами по созданию ссылок-ловушек являются https://iplogger.ru/ и https://grabify.link/. Но, как и в случае с деанон-ботами, механизмы этих сервисов не прозрачны для правоохранителей. Кроме того, они часто блокируются, а генерируемые ими ссылки маловариационны и выглядят весьма подозрительно. Разработанная сотрудниками Института система позволяет в течение получаса развернуть полностью контролируемую систему, состоящую из ссылки с правдоподобным url, размещенного на сервере РНР или Node.js скрипта и электронного почтового ящика (либо Тelegram-аккаунта), на который в режиме реального времени поступит сообщение о переходе по ссылке с данными об IP-адресе, устройстве и программном обеспечении (useragent), установленных языках и текущем времени браузера, иных технических параметрах пользователя, осуществившего переход.
Дополнительный функционал предусматривает использование технологии «кликджекинг», позволяющей в отдельных случаях также устанавливать аккаунт в социальных сетях пользователя, перешедшего по ссылке-ловушке.
Последнее редактирование: 25.03.2022