Еще немного про Telegram
Не так давно меня спросили в чатике: "Всмысле? А как можно вообще украсть аккаунт в Telegram?" И я решила реанимировать свою старую писанину, которую давно выкладывала на ныне похороненном ресурсе AprelTeam.
Итак, для начала, стоит дать краткую сводку о мессенджере...
Telegram - это бесплатное приложение для обмена сообщениями, которое было создано Павлом Дуровым в 2013 году. Одной из основных особенностей Telegram, благодаря которой мессенджер и набрал свою скандальную популярность, является упор на безопасность и конфиденциальность. Все сообщения в Telegram шифруются с использованием технологии end-to-end, что означает, что только отправитель и получатель могут просматривать содержимое сообщений.
Но так ли безопасен и конфиденциален Telegram на самом деле?
Разберем, в первую очередь, механику работы этого мессенджера. На уровне абстракций Telegram делится на две части: серверная и клиентская.
Клиентская часть – это то, что доступно нам, простым смертным, т.е. само приложение на смартфоне, Telegram Desktop для ПК, Telegram Web для браузера, а также множество сторонних официальных и неофициальных клиентов.
Серверная же часть выполняет роль хранилища. Все файлы и переписки хранятся не непосредственно на устройстве, как это, например, реализовано в том же не менее популярном WhatsApp, а на серверах Павла Дурова (что уже является для знающих людей небольшим спойлером к ответу на вопрос «А так ли все анонимно?»). Это удобно в формате того, что можно получать доступ к перепискам и медиа с разных устройств, однако стоит понимать, что комфорт и безопасность, как правило, понятия несочетаемые.
Многие также вспомнят про функцию секретных чатов, где сообщения автоматически удаляются после определенного периода времени, выбранного пользователем. Ну, сделаем вид, что так и есть, что пара ключей RSA действительно используется лишь обычными юзерами и к этим ключам нет доступа у сотрудников Telegram, что секретные чаты нигде не хранятся, а уничтожаются. Хотя, ругань Дурова с ФСБ в 2018 году, которая даже повлекла за собой временную блокировку мессенджера на территории РФ, не на пустом месте явно возникла.
Также примечательно исключение Telegram из блокировок Роскомнадзора по прошествии определенного периода.
А как воруют аккаунты telegram?
Одна из важнейших уязвимостей, о которых хотелось бы рассказать, кроется в том, что на устройствах хранятся файлы сессии мессенджера. Это файлы, которые используются для хранения информации о текущей сессии пользователя. Они могут содержать различные данные, такие как идентификаторы сессии, ключи шифрования и другую информацию, которая необходима для поддержания соединения между клиентом и сервером Telegram.
Эти файлы обычно создаются и используются автоматически приложением Telegram и не предназначены для прямого доступа или редактирования пользователем.
Сделано все это для удобства, дабы при каждом новом входе в приложение, например, в Desktop-версии для ПК, не приходилось заново вводить проверочный код с телефона, пароль (если настроена двухфакторная аутентификация), либо сканировать QR-код.
В контексте программирования, особенно при работе с Telegram API, файлы сессии могут использоваться для авторизации и поддержания сессии, что позволяет ботам и другим приложениям взаимодействовать с Telegram от имени пользователя.
Папка со всеми этими данными называется tdata.
В Windows ее можно найти по пути C:\Users\<UserName>\AppData\Roaming\Telegram Desktop,
в Linux – home/<user>/.local/share/Telegram Desktop
Для доступа не требуется ни специальных прав, ни ввода пароля
Пример получения доступа к tdata в Linux:
Для чайников: доступ к папке с сессией был получен под правами обычного пользователя, а не superuser.
Это значит, что теоретически, имея под рукой лишь нейросеть, которая напишет скрипт, немного азарта и парочку трюков, можно скомуниздить папку tdata своего друга на какой-нибудь файлообменник (ну, например, MEGA), а затем и войти в его аккаунт Telegram, скопировав полученное содержимое папки tdata у себя в эту же папку.
Может быть, кто-то даже уже успешно опробовал этот метод. (¬_¬'')ԅ( ̄ε ̄ԅ) .
Не спасет даже двухфакторная аутентификация, так как ни пароль, ни смс-код запрашиваться не будут. Более того, и обнаружить присутствие третьего лица удастся только в том случае, если это третье лицо неосторожно прочтет сообщения, которые легитимным пользователем еще прочитаны не были, так как информация о новом устройстве отображаться тоже не будет.
Защититься от низкоквалифицированных злоумышей теоретически можно, поставив пароль на подобные папки, а также соблюдая базовую кибергигиену.
От высококвалифицированных спасет либо отсутствие их заинтересованности, либо отказ от всех благ цивилизации, жизнь среди скал, чаек и рыб.
Пару слов об анонимности и безопасности в целом.
Стоит понимать, что мы живем в эпоху, где деанонимизация, телефонное и интернет-мошенничество стали не просто нормой, а превратились в мем. На сегодняшний день, обычный пользователь, не соизволивший хотя бы поверхностно ознакомиться с правилами базовой кибергигиены, рискует столкнуться не только с потерей денежных средств, раскрытием собственной личности, но и с достаточно жестокой травлей, «приездом сватов» прямо по адресу и Бог знает, чем еще. Компании и раньше плевать хотели на безопасность конфиденциальных данных, но сегодня эта проблема настолько серьезная, что нет необходимости даже обладать хоть какими-то техническими навыками, чтобы вбить номер телефона в бота и получить «досье» на искомого персонажа или же зайти на сайт, загрузить фото и раздеть с помощью ИИ кого угодно. Что можно сделать с этими данными ограничивается лишь человеческой фантазией, которая у некоторых весьма богатая.
Полностью защититься, конечно, не получится, однако хотя бы в части Telegram постараюсь дать несколько рекомендаций, как настроить приватность таким образом, чтобы усложнить жизнь «доксерам» и другим нехорошим людям в части пробива.
Открываем настройки -> Конфиденциальность.
Проверяем, чтобы не было никаких незнакомых «Авторизованных сайтов» и «Активных сеансов».
Обязательно настраиваем двухфакторную аутентификацию и ставим облачный пароль. Помимо того способа, который был описан мной, есть еще множество методов кражи аккаунта, которые невозможно реализовать при наличии облачного пароля.
Код-пароль тоже можно поставить.
Далее самая важная часть, в которой лучше вырубить все на максималку:
Лучше никому ничего не разрешать, а позже доверенных лиц добавлять в исключения. Ваши фото очень красивые, но по ним искать информацию еще легче, чем по id в Telegram.
ЕСТЕСТВЕННО необходимо скрывать номер телефона. Более того, номер телефона позже можно не показывать даже тем, кого добавляете в контакты. Лучше всего, чтобы его знали только избранные по работе, лучшие друзья и семья. Больше он, поверьте, никому не нужен, кроме мошенников.
Ну и, очень приятная и полезная для некоторых функция:
Все незнакомцы будут улетать в некоторое сакральное место под названием "Архив", о местоположении которого, по моим личным наблюдениям, многие и не догадываются.
Общие советы:
- выработайте привычку любую ссылку, любой файл, который вам прислали, перед открытием не полениться и проверить на сайте VirusTotal (гуглится, ссылку оставлять не буду). Естественно, если там все красное, то открывать файл/переходить на сайт, точно не стоит. Сначала очень сильно раздражает, лень проверять, но со временем входит в привычку и помогает избежать огромного количества неприятностей. Стоит понимать, что даже если ссылку скинул кто-то из родни, не факт, что они сами не словили себе вирус и даже не поняли этого;
- не выкладывайте информацию о себе в интернете. Деанонимизация - это не всегда работа ботов. Часто люди и сами говорят о себе слишком много. Город, родственники, универ/школа/работа, материальное положение - обо всем этом стоит либо молчать, либо бессовестно врать. Персонажа в интернете можно заблокировать и забыть, но если он соединится с вашей физической, а не виртуальной реальностью, избавиться от него будет не так просто;
- общайтесь нормально. Чем более агрессивную социальную позицию занимает человек, чем больше людей его ненавидят, тем скорее он станет мишенью для троллей и борцунов за честь, долг, справедливость, Родину, какого-нибудь из Богов и так далее. А когда озлобленные хомячки объединяются с целью кого-то "наказать", у них это, как правило, получается. Потому, лучше всегда стараться оставаться в рамках адекватного общения и всеми силами стараться никого лишний раз сильно не злить.
Безусловно, эти рекомендации не исчерпывающие, однако это та основа, которая необходима для более-менее безопасного существования в Telegram и интернете в целом.
Анонимность, конечно, миф, однако, он стоит того, чтобы однажды сделать его правдой.
- 1
0 Высказываний
Рекомендуемые комментарии
Высказываний нет...