Кибердетектив Бедеров: почти все хакеры попадают в ловушки OSINT-специалистов
Shutterstock
За Telegram давно закрепилась репутация анонимного мессенджера. Им охотно пользуются киберпреступники, наркоторговцы, интернет-мошенники и прочие негодяи. Популярное проявление «анонимности» — каналы, в которых публикуется противоправная информация. Администраторы таких ресурсов уверены, что мессенджер защищает их личность, так как позволяет скрыть тег. Однако кибердетективы, так называемые OSINT-специалисты, давно научились обходить защиту. «Газета.Ru» рассказывает о механизмах, которые позволяют разоблачать анонимные каналы в Telegram.
Проблемы анонимности
Telegram-канал – это блог, в котором пользователь может публиковать различную информацию и файлы, а аудитория может подписываться на его обновления. Интерфейс мессенджера позволяет создателю блога действовать анонимно, то есть подписчики могут не видеть тег — письменный идентификатор профиля в формате @ivanivanov.
Одна из основных проблем анонимных Telegram-каналов — это их использование для распространения дезинформации или «фейковых» новостей.
В таких каналах часто публикуют ложную или искаженную информацию с целью манипулировать общественным мнением, подстрекать к нарушениям общественного порядка или дискредитировать конкретных лиц и организации.
Например, во время пандемии COVID-19 в анонимных каналах распространялись фейки о вакцинах, что привело к росту антиваксерского движения и увеличению числа смертей от коронавируса. Telegram-каналы могут представлять угрозу национальной безопасности. В конце-концов, анонимные блоги используются киберпреступниками для совершения преступлений. Например, для продажи незаконных товаров и услуг, распространения вредоносного ПО, фишинговых атак и не только.
Периодически Telegram борется с такими ресурсами самостоятельно. Однако это происходит не всегда — часто появляется необходимость оперативного разоблачения организаторов каналов. Как правило, в таких ситуациях на помощь правоохранительным органам приходят OSINT-специалисты, аналитики открытых данных, работу которых можно сравнить с работой детективов.
В поисках тега
Один из таких специалистов, директор компании «Интернет-розыск» Игорь Бедеров, рассказал «Газете.Ru», что деанонимизация начинается с проверки владельца канала «на дурака». Речь о том, что если в описании Telegram-канала не указан контакт администратора сейчас, это не значит, что он не был указан в прошлом.
«Мы с 2018 года собираем базу данных, в которой хранятся данные об изменениях 58 млн профилей и каналов в Telegram. При этом, конечно, существуют и другие платформы, которые аккумулируют такую информацию. Как правило, это маркетинговые сервисы», — объяснил Бедеров.
Если такой зацепки нет, специалисты смотрят, есть ли у канала функция комментариев. Для комментариев к каналу привязывается отдельный чат. В чате всегда есть администратор — это еще одна зацепка.
«Тут есть маленький лайфхак, — владелец чата, скорее всего, окажется и владельцем канала», — добавил Бедеров.
Если чата нет, или есть сомнения в связи его администратора с администратором канала, аналитики начинают изучать контент из чатов и каналов, искать между ними корреляции, которые могут указать на профиль администратора. Например, детективы ищут связанные с целевым каналом профили в других соцсетях, мессенджерах и веб-ресурсах. Иногда анонимные каналы автоматически публикуют посты в блог на «Дзене» или в сообщество в VK. На этих двух платформах, по словам Бедерова, куда проще найти информацию об администраторе, чем в Telegram.
Найти ID
Хотя детективы и могут найти необходимые цифровые следы за пределами Telegram, основная часть работы по деанонимизации проходит в мессенджере. После обнаружения аккаунта администратора важно установить его личность. Сделать это можно только по одному параметру — ID. Это числовое значение, которое присваивается мессенджером профилю при его регистрации. Пользователь не видит свой ID в настройках и не может на него повлиять. ID используется в основном ботами для учета профилей в каналах, чатах и ботах. По словам Бедерова, зная тег пользователя, узнать его ID просто. Для этого существует масса публичных Telegram-сервисов: платных и бесплатных.
«У любого пользователя в Telegram есть ID — уникальный идентификатор аккаунта, который присваивается при регистрации и который нельзя поменять. ID может привести расследователя к личности владельца аккаунта, однако продолжительность этого пути сильно зависит от количества принятых человеком мер предосторожности при регистрации профиля, а также его поведения в Telegram», — добавила в разговоре с «Газетой.Ru» аналитик Kaspersky Digital Footprint Intelligence Алиса Кулишенко. Она анализирует цифровые следы киберзлоумышленников в даркнете, Telegram-каналах и других интернет-средах.
Узнав ID-пользователя, детективы изучают историю изменений, закрепленных за ним. Их очень много: имена профиля, теги, аватары, чаты и каналы, на которые подписан человек, сообщения, которые он оставлял в этих чатах, и не только.
По сути, ID для расследователей — это дверь в помещение с комнатами, походив по которым, можно узнать личность человека.
«Например, мы экспортируем, то есть выкачиваем содержимое канала и встроенного чата, и проводим его анализ. Для этих целей идеально подходит такая старинная программа, как «Архивариус 3000». Она позволяет выгружать из массива данных проименованные сущности: номера телефонов, адреса электронной почты, никнеймы, криптокошельки, гиперссылки, рекламные идентификаторы и не только. Мы также исследуем метаданные вложенных файлов, в которых может присутствовать указание на их авторство: время и место создания, идентификатор устройства», — объяснил Бедеров.
Кибердетектив не стал говорить, скольких человек он и его коллеги разоблачили в Telegram, но ответил, что доля расследований, в ходе которых были получены «значимые для заказчика результаты», превышает 75%. В остальных случаях перед специалистами не стояла задача обличить человека полностью. С 2018 года компанией «Интернет-розыск» проведено более тысячи расследований.
Кошки-мышки
Алиса Кулишенко из «Лаборатории Касперского» подчеркнула, что злоумышленники знают о методах OSINT-специалистов и прибегают к дополнительным средствам анонимизации за пределами базовых возможностей Telegram. Например, они покупают виртуальные номера телефонов для создания чистых профилей или выходят в сеть только с включенным VPN, который скрывает истинный IP-адрес (идентификатор любого подключенного к интернету устройства. — «Газета.Ru»).
Однако эти меры лишь тормозят работу детективов, не исключая возможности идентификации.
«Некоторые злоумышленники покупают анонимные номера телефонов за криптовалюту TON на платформе Fragment. На форумах в даркнете есть руководства, описывающие десятиступенчатый алгоритм приобретения номера, который, как предполагается, делает невозможным обнаружение его связи с личностью владельца. Однако на тех же форумах есть пользователи, которые крайне скептично относятся к таким вариантам, так как считают, что в процессе использования Telegram все равно можно «наследить». В конце концов, кто-то из конкурентов или недобросовестный партнер захочет себя подстраховать и отправит напарнику вредонос, который скомпрометирует личность получателя», — сказала Кулишенко.
По словам Бедерова, «чистый» аккаунт в Telegram останавливает расследование только по открытым данным. В таком случае детективы переходят в фазу так называемого «активного OSINT».
«Активный OSINT подразумевает воздействие на цель другими средствами. Например, человеку можно подослать ссылку, переход по которой раскроет его IP-адрес. Переходы на облачные диски также оставляют много следов.
Фактически большая часть злоумышленников, которые действуют в киберпространстве, попадаются в такие ловушки», – сказал Бедеров.
Кулишенко добавила, что иногда хакеры либо в рамках конкуренции, либо в качестве подстраховки присылают подобные ловушки друг другу. Хакер, зная личность своего партнера, может использовать эту информацию для давления на него.
Впрочем, есть специалисты по информационной безопасности, которые считают, что возможности OSINT все же ограничены, и сегодня в Telegram идентифицировать правонарушителя невозможно, если он задастся целью сохранить свою анонимность.
«Некоторое время назад по метаданным можно было найти профили администраторов каналов. Личность можно было установить, если пользователь не принял мер для антидеанонимизации, вроде использования одноразовых SIM-карт для регистрации, VPN и так далее. Деанонимизируют сейчас только по старым базам данных — OSINT-боты работают на них», — заявил технический директор ИБ-компании «Гарда WAF» Лука Сафонов.
Кому это нужно
По словам Бедерова, заказчики деанонимизации Telegram-каналов и их администраторов бывают разные. Это бизнесмены, политики, знаменитости, просто состоятельные люди и не только. Однако главный партнер «Интернет-Розыска» в этом деле — правоохранительные органы. Специально для силовиков некоторое время назад была разработана методология.
«На текущий момент методология «Интернет-Розыска» по работе с анонимными Telegram-каналами используется для обучения сотрудников ФСБ, МВД и Следственного комитета.
Она зафиксирована в таких научно-исследовательских работах, как «Организация расследования заведомо ложных сообщений об актах терроризма», «Сбор и анализ цифровых следов преступления: практическое пособие» и «Получение криминалистически значимой информации из мессенджера Telegram: практическое пособие», — объяснил кибердетектив.
Источники «Газеты.Ru» в двух силовых ведомствах подтвердили сотрудничество с «Интернет-Розыском», однако подробностями партнерства не поделились. Также источники не дали и оценку работы компании.
Сам же Бедеров рассказал, что он и его коллеги зачастую подключаются к работе правоохранительных органов на этапе уже начатого расследования.
«Мы выявляем подозреваемых или их идентификаторы в Telegram, а силовики проводят проверку этих данных. Они фиксируют документальные подтверждения факта администрирования или владения каналом подозреваемыми лицами», — сказал эксперт.
В качестве самых ярких и успешных примеров взаимодействия с силовиками Бедеров привел расследование убийства подполковника полиции Евгении Шишкиной в 2018 году, а также разоблачение сетки Telegram-каналов и чатов, участники которых занимались рассылкой массовых ложных сообщений о терроризме в начале 2022 года.
Что думаешь?
Комментарии
Источник