ДЕАНОНИМИЗАЦИЯ ПОЛЬЗОВАТЕЛЕЙ МЕССЕНДЖЕРА. ОБЗОР МЕТОДОВ И ИНСТРУМЕНТОВ⁠⁠

ДЕАНОНИМИЗАЦИЯ ПОЛЬЗОВАТЕЛЕЙ МЕССЕНДЖЕРА. ОБЗОР МЕТОДОВ И ИНСТРУМЕНТОВ

Институт повышения квалификации и переподготовки Следственного комитета Республики Беларусь March 23, 2022

Система мгновенного обмена сообщениями Telegram пользуется большой популярностью в мире, особенно в молодежной среде, и насчитывает в настоящее время более полумиллиарда пользователей. При этом в отличие от иных мессенджеров именно виртуальное пространство Telegram стало ареной для различных видов преступной деятельности. Интернет-магазины для торговли наркотиками, распространение порнографии, контрафактной продукции, продажа конфиденциальной и иной охраняемой законом информации, сутенерство, экстремизм, деструктивные секты и группировки, шантаж, вишинг, фишинг, мошенничество это далеко не полный перечень социально опасных явлений, проявления которых можно найти в каналах, чатах, ботах, а также в диалогах отдельных пользователей Telegram.

Одной из причин этого является политика анонимности и конфеденциальности мессенджера, заявленная и активно поддерживаемая основным его разработчиком П. Дуровым. В связи с этим стоящая перед правоохранителями задача по установлению преступников скрывающихся за анонимными учетными записями, в ряде случае представляет высокую сложность и требует использования специаљных инструментов и методов, обзор которых представлен в стоящей работе.

Учетная запись пользователя Telegram включает в себя ID (числовой идентификатор), абонентский номер регистрации, username (символьный псевдоним), first_name и last-name (двухсоставный никнейм пользователя, которыми могут быть имя и фамилия), bio (статус или иной комментарий к учетной записи), photo (аватар или главное изображение учетной записи). Уникальный числовой идентификатор (ID) присваивается при создании учетной записи и не меняется вплоть до ее удаления. Username выбирается пользователем (при желании) и также является уникальным. First_name, last_name и photo могут задаваться любые (в том числе неуникальные) и меняться неограниченное число раз. Привязка учетной записи к абонентскому номеру является обязательной, так как на него приходит код активацию однако в последующем аккаунт можно перепривязать к другому абонентскому номеру.

На основе исследований программно-технического функционала Telegram, изучения и следственной практики в Институте Следственного комитета разработан примерный алгоритм действий по деанонимизации пользователей указанного мессенджера.

1. В первую очередь требуется установить числовой идентификатор устанавливаемого пользователя, так как обычные клиентские приложение Telegram его не воспроизводят. Сделать это можно с мощью специализированных Telegram-ботов (@CheckID_AIDbot, @username_to_id_bot) или кастомных Теlegram-клиентов (BGram).

2. Установить примерную дату создания учетной записи дает возможность Telegram-бот @creationdatebot.

3. Наиболее простым и эффективным является поиск в базах данных деанонимизированных пользователей. Отечественной разработкой в данном направлении является программа «Т-Поиск». В ней возможен поиск по абонентскому номеру, usermame, first_name, last_name или по целым спискам указанных идентификаторов. Программа выдает всю информацию по найденным учетным записям, включая историю изменения пользовательских данныx.

Кроме того, существует ряд сетевых сервисов, собирающих из разных источников данные об учетных записях пользователей и предоставляющих их при различных условиях. К наиболее известным ресурсам относятся так называемый «Глаз Бога» (https://eyeofgod.cc/) и SmartSearchBot (https://smartsearchbot.com/).

4. Круг интересов и присутствие пользователя в Telegram-чатах можно выяснить с использованием ботов @telesint_bot и @eyeofbeholder_bot.

5. Данные об активности и упоминаниях пользователя в каналах и чатах позволяют получить специализированные поисковые системы (http://search.buzz.im, http://lyzem.com). Поиск целесообразно выполнять не только по username, first_name, last_name, но и по bio, а также по обладающим уникальностью фрагментам текста, выявленным в сообщениях пользователя (например, в рассылаемых им спам-сообщениях).

6. Установление аккаунтов на иных ресурсах (социальных сетях, игровых сайтах, форумах), которые зарегистрированы с никнеймом, тождественным username (реже last_name, first_name) устанавливаемого пользователя. Возможными способами решения этой задачи являются:

точный (с использованием кавычек) поиск в Google и Yandex,

целевой поиск соответствующих никнеймов на ресурсах, в которых предполагается присутствие искомого пользователя,

применение специальных инструментов и сервисов, выполняющих быстрый поиск по никнеймам на сотнях ресурсов (утилита Sherlock, бот @maigret_osint_bot, веб-сервисы https://suip.biz/ru?act=sherlock, https://namechk.com/, https://knowem.com/).

7. Все чаты, в которых присутствует искомый аккаунт, должны быть проанализированы на наличие сообщений от него. Облегчает решение данной задачи встроенная в Telegram функция поиска в чатах сообщений определенного пользователя. Нередко лица в общениях оставляют текстовую, графическую, звуковую или видео-информацию, которая прямо или косвенно может способствовать их идентификации.

8. При размещении пользователем изображений (как в качестве аватара, так и в виде фотоизображений в сообщениях) и при наличии оснований полагать, что они не являются заимствованными, их так же следует использовать в поисковых мероприятиях. Так, к фотоизображениям лиц могут применяться инструменты универсальных поисковых систем (https://images.google.com/, https://yandex.by/images/), но лучший результат дают ресурсы, специализирующиеся на поиске по фото (вышеупомянутые сервисы «Глаз Бога», SmartSearchBot, ресурсы https://findclone.ru/, https://pimeyes.com/, https://tineye.com/, https://search4faces.com ).

Кроме портретных фотографий в поисковых целях могут использоваться и изображения местности (вид из окна квартиры), интерьеров, частей тела (особенно рук с запечатленными папиллярными узорами), одежды и аксессуаров.

Кроме приведенных выше чисто поисковых мероприятий для установления пользователей Telegram применимы активные методы деанонимизации, такие как деанон-боты и ссылки-ловушки.

9. Деанон-боты. Суть функционирования подобной ловушки заключается в пересылке устанавливаемому пользователю ссылки на бот, предлагающий некий функционал, который может заинтересовать искомое лицо. При запуске бот получает абонентский номер соответствующего пользователя. Но следует отметить, что в клиентские приложения мессенджера заложен механизм обязательного предупреждения пользователя о сообщении боту его абонентского номера.

В настоящее время имеется ряд сторонних сервисов, которые предлагают использовать своих ботов для деанонимизации. однако надежность и целесообразность использования подобных сервисов в целях раскрытия и расследования преступлений представляется сомнительной при том что их создание не представляет сложности. В Институте Следственного комитета разработана деанон-система, состоящая из собственно Telegram-бота; серверного дополнения, выполненного с использованием фреймворка Node.js (могут использоваться и альтернативные языки программирования: Python, РНР), и Телеграм-канала, в который мгновенно приходят сообщения о всех действиях пользователей в боте, в том числе 0б их абонентских номерах. Такие боты могут создаваться в неограниченном количестве с оформлением, адаптированным под различные легенды (название бота, его описание, аватар). Время развертывания нового бота не превышает 20 минут.

10. Ссылки-ловушки. При переходе по подобной ссылке, посланной под каким-либо предлогом устанавливаемому пользователю, инициатору становится известен IP-адрес и некоторые другие данные об используемом устройстве и программном обеспечении. Наиболее известными онлайн-сервисами по созданию ссылок-ловушек являются https://iplogger.ru/ и https://grabify.link/. Но, как и в случае с деанон-ботами, механизмы этих сервисов не прозрачны для правоохранителей. Кроме того, они часто блокируются, а генерируемые ими ссылки маловариационны и выглядят весьма подозрительно. Разработанная сотрудниками Института система позволяет в течение получаса развернуть полностью контролируемую систему, состоящую из ссылки с правдоподобным url, размещенного на сервере РНР или Node.js скрипта и электронного почтового ящика (либо Те1едтат-аккаунта), на который в режиме реального времени поступит сообщение о переходе по ссылке с данными об IP-адресе, устройстве и программном обеспечении (useragent), установленных языках и текущем времени браузера, иных технических параметрах пользователя, осуществившего переход.

Дополнительный функционал предусматривает использование технологии «кликджекинг», позволяющей в отдельных случаях также устанавливать аккаунт в социальных сетях пользователя, перешедшего по ссылке-ловушке.

Источник