Перейти к содержанию
  • Иммиграция в состав

Еще немного про Telegram


Скорбная Лиса

1 176 просмотров

Не так давно меня спросили в чатике: "Всмысле? А как можно вообще украсть аккаунт в Telegram?" И я решила реанимировать свою старую писанину, которую давно выкладывала на ныне похороненном ресурсе AprelTeam.

Итак, для начала, стоит дать краткую сводку о мессенджере...

Telegram - это бесплатное приложение для обмена сообщениями, которое было создано Павлом Дуровым в 2013 году. Одной из основных особенностей Telegram, благодаря которой мессенджер и набрал свою скандальную популярность, является упор на безопасность и конфиденциальность. Все сообщения в Telegram шифруются с использованием технологии end-to-end, что означает, что только отправитель и получатель могут просматривать содержимое сообщений.

Но так ли безопасен и конфиденциален Telegram на самом деле?

Разберем, в первую очередь, механику работы этого мессенджера. На уровне абстракций Telegram делится на две части: серверная и клиентская.

Клиентская часть – это то, что доступно нам, простым смертным, т.е. само приложение на смартфоне, Telegram Desktop для ПК, Telegram Web для браузера, а также множество сторонних официальных и неофициальных клиентов.

Серверная же часть выполняет роль хранилища. Все файлы и переписки хранятся не непосредственно на устройстве, как это, например, реализовано в том же не менее популярном WhatsApp, а на серверах Павла Дурова (что уже является для знающих людей небольшим спойлером к ответу на вопрос «А так ли все анонимно?»). Это удобно в формате того, что можно получать доступ к перепискам и медиа с разных устройств, однако стоит понимать, что комфорт и безопасность, как правило, понятия несочетаемые.

Многие также вспомнят про функцию секретных чатов, где сообщения автоматически удаляются после определенного периода времени, выбранного пользователем. Ну, сделаем вид, что так и есть, что пара ключей RSA действительно используется лишь обычными юзерами и к этим ключам нет доступа у сотрудников Telegram, что секретные чаты нигде не хранятся, а уничтожаются. Хотя, ругань Дурова с ФСБ в 2018 году, которая даже повлекла за собой временную блокировку мессенджера на территории РФ, не на пустом месте явно возникла.

Также примечательно исключение Telegram из блокировок Роскомнадзора по прошествии определенного периода. 

А как воруют аккаунты telegram?

Одна из важнейших уязвимостей, о которых хотелось бы рассказать, кроется в том, что на устройствах хранятся файлы сессии мессенджера. Это файлы, которые используются для хранения информации о текущей сессии пользователя. Они могут содержать различные данные, такие как идентификаторы сессии, ключи шифрования и другую информацию, которая необходима для поддержания соединения между клиентом и сервером Telegram.

Эти файлы обычно создаются и используются автоматически приложением Telegram и не предназначены для прямого доступа или редактирования пользователем.

Сделано все это для удобства, дабы при каждом новом входе в приложение, например, в Desktop-версии для ПК, не приходилось заново вводить проверочный код с телефона, пароль (если настроена двухфакторная аутентификация), либо сканировать QR-код.

В контексте программирования, особенно при работе с Telegram API, файлы сессии могут использоваться для авторизации и поддержания сессии, что позволяет ботам и другим приложениям взаимодействовать с Telegram от имени пользователя.

Папка со всеми этими данными называется tdata.

В Windows ее можно найти по пути C:\Users\<UserName>\AppData\Roaming\Telegram Desktop,

в Linux – home/<user>/.local/share/Telegram Desktop

Для доступа не требуется ни специальных прав, ни ввода пароля

Пример получения доступа к tdata в Linux:

image.thumb.png.0d194219ea8047f976f337342705273b.png

Для чайников: доступ к папке с сессией был получен под правами обычного пользователя, а не superuser.

Это значит, что теоретически, имея под рукой лишь нейросеть, которая напишет скрипт, немного азарта и парочку трюков, можно скомуниздить папку tdata своего друга на какой-нибудь файлообменник (ну, например, MEGA), а затем и войти в его аккаунт Telegram, скопировав полученное содержимое папки tdata у себя в эту же папку.

Может быть, кто-то даже уже успешно опробовал этот метод. (¬_¬'')ԅ( ̄ε ̄ԅ) .

Не спасет даже двухфакторная аутентификация, так как ни пароль, ни смс-код запрашиваться не будут. Более того, и обнаружить присутствие третьего лица удастся только в том случае, если это третье лицо неосторожно прочтет сообщения, которые легитимным пользователем еще прочитаны не были, так как информация о новом устройстве отображаться тоже не будет.

Защититься от низкоквалифицированных злоумышей теоретически можно, поставив пароль на подобные папки, а также соблюдая базовую кибергигиену.

Спойлер

От высококвалифицированных спасет либо отсутствие их заинтересованности, либо отказ от всех благ цивилизации, жизнь среди скал, чаек и рыб.

Пару слов об анонимности и безопасности в целом.

Стоит понимать, что мы живем в эпоху, где деанонимизация, телефонное и интернет-мошенничество стали не просто нормой, а превратились в мем. На сегодняшний день, обычный пользователь, не соизволивший хотя бы поверхностно ознакомиться с правилами базовой кибергигиены, рискует столкнуться не только с потерей денежных средств, раскрытием собственной личности, но и с достаточно жестокой травлей, «приездом сватов» прямо по адресу и Бог знает, чем еще. Компании и раньше плевать хотели на безопасность конфиденциальных данных, но сегодня эта проблема настолько серьезная, что нет необходимости даже обладать хоть какими-то техническими навыками, чтобы вбить номер телефона в бота и получить «досье» на искомого персонажа или же зайти на сайт, загрузить фото и раздеть с помощью ИИ кого угодно. Что можно сделать с этими данными ограничивается лишь человеческой фантазией, которая у некоторых весьма богатая.

Полностью защититься, конечно, не получится, однако хотя бы в части Telegram постараюсь дать несколько рекомендаций, как настроить приватность таким образом, чтобы усложнить жизнь «доксерам» и другим нехорошим людям в части пробива.

Открываем настройки -> Конфиденциальность.

image.thumb.png.aff2835dc6709b200eca34e94ec57ef9.png

Проверяем, чтобы не было никаких незнакомых «Авторизованных сайтов» и «Активных сеансов».

Обязательно настраиваем двухфакторную аутентификацию и ставим облачный пароль. Помимо того способа, который был описан мной, есть еще множество методов кражи аккаунта, которые невозможно реализовать при наличии облачного пароля.

Код-пароль тоже можно поставить.

Далее самая важная часть, в которой лучше вырубить все на максималку:

image.thumb.png.dd2879fe1e2e159ec23c73fd3cb6f107.png

Лучше никому ничего не разрешать, а позже доверенных лиц добавлять в исключения. Ваши фото очень красивые, но по ним искать информацию еще легче, чем по id в Telegram.

ЕСТЕСТВЕННО необходимо скрывать номер телефона. Более того, номер телефона позже можно не показывать даже тем, кого добавляете в контакты. Лучше всего, чтобы его знали только избранные по работе, лучшие друзья и семья. Больше он, поверьте, никому не нужен, кроме мошенников.

Ну и, очень приятная и полезная для некоторых функция:

image.thumb.png.ed29c7a72fab762a6040e354a26fbe97.png

Все незнакомцы будут улетать в некоторое сакральное место под названием "Архив", о местоположении которого, по моим личным наблюдениям, многие и не догадываются. 

Общие советы:

- выработайте привычку любую ссылку, любой файл, который вам прислали, перед открытием не полениться и проверить на сайте VirusTotal (гуглится, ссылку оставлять не буду). Естественно, если там все красное, то открывать файл/переходить на сайт, точно не стоит. Сначала очень сильно раздражает, лень проверять, но со временем входит в привычку и помогает избежать огромного количества неприятностей. Стоит понимать, что даже если ссылку скинул кто-то из родни, не факт, что они сами не словили себе вирус и даже не поняли этого;

- не выкладывайте информацию о себе в интернете. Деанонимизация - это не всегда работа ботов. Часто люди и сами говорят о себе слишком много. Город, родственники, универ/школа/работа, материальное положение - обо всем этом стоит либо молчать, либо бессовестно врать. Персонажа в интернете можно заблокировать и забыть, но если он соединится с вашей физической, а не виртуальной реальностью, избавиться от него будет не так просто;

- общайтесь нормально. Чем более агрессивную социальную позицию занимает человек, чем больше людей его ненавидят, тем скорее он станет мишенью для троллей и борцунов за честь, долг, справедливость, Родину, какого-нибудь из Богов и так далее. А когда озлобленные  хомячки объединяются с целью кого-то "наказать", у них это, как правило, получается. Потому, лучше всегда стараться оставаться в рамках адекватного общения и всеми силами стараться никого лишний раз сильно не злить.

Безусловно, эти рекомендации не исчерпывающие, однако это та основа, которая необходима для более-менее безопасного существования в Telegram и интернете в целом.

Анонимность, конечно, миф, однако, он стоит того, чтобы однажды сделать его правдой.

  • Aprel Team 1

0 Высказываний


Рекомендуемые комментарии

Высказываний нет...

Гость
Добавить комментарий...

×   Вставлено с форматированием.   Восстановить форматирование

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.



  • Темы

  • Телеграммы

    UlybkaDozhdya

    Как добавить несколько аккаунтов в Discord?

    Опубликовано

    Чтобы можно было переключаться между аккаунтами, как в Telegram, FluffyChat, VK
    ANASUHARA

    Spotify Premium

    Опубликовано

    Многие пишут о проблемах с музыкой, у меня таких проблем нет. Я создавала аккаунт несколько лет назад, при регистрации указывала страну Беларусь, с тех пор пользуюсь без перебоев. Моды всегда устанавливаю только отсюда, другие даже близко использовать не собираюсь, никто кроме сабжа аналитику не убирает Проблема с видимостью музыки может быть с регионом, впн, но больше всего кажется что за использование чужих модов или каким-то другим образом вам навернули аккаунт В телеграме есть каналы миллионники на которых публикуется софт (там таким образом уничтожают аккаунты яндекса, спотифая, ютуба)
    APRELKUN

    Spotify Premium

    Опубликовано

    Новая версия: 8.9.98.488 Дата выпуска: 11.12.2024 Новые корректировки Для текстов задействуется Musixmatch. Обновление до актуальной версии. Старые корректировки Сняты практически все ограничения приложения (выбор любых песен и альбомов, очень высокое качество звука - визуально, переключение треков, случайный выбор, повторы, перемотки FWD / BWD, Spotify Connect). Изменён номер сборки (можно установить предыдущую версию без удаления данной). Скрыты обновления (всегда актуальная версия во всех магазинах приложений). Отключено принудительное перемешивание треков. Изменена подпись (обновления только здесь). Тёмная тема изменена на чёрную (AMOLED). Удалены библиотеки x86_64 и x86. Удалена реклама и аналитика. Проблемы Повтор одного трека недоступен (новое серверное ограничение). Если нужны повторы, то можно воспользоваться любой прошлой версией. Загрузить
    APRELKUN

    Spotify Premium

    Опубликовано

    Spotify практически полностью ограничивают работу бесплатной учётной записи. Стриминговый сервис полностью превратился в донатную помойку. > Режим перемешивания глючит (включается/выключается автоматически серверно). Можно выбрать другой плейлист или альбом, проблема должна исчезнуть. > Повтор одного трека не работает — серверное ограничение, часть серверной подписки. В модификации применены патчи из последней рабочей версии, поэтому повторы у нас пока что работают, но из-за этого ряд других проблем. > Текста работать не должны (это серверная фича, нужно взломать официальный сервер Спотифая для этого, ни в одном существующем моде это работать не должно и не будет). Нужно в модификации реализовывать, встраивать сторонний сервис с текстами, например Natoune, Musixmatch). > Итоги года требуют новую версию (из-за патча на повтор одного трека). Поэтому в одной версии они будут работать, но в другой нет.  
    APRELKUN

    Spotify Premium

    Опубликовано

    Новая версия: 8.9.98.488 Дата выпуска: 11.12.2024 Новые корректировки Применены патчи из старой версии для работы повтора одного трека. Обновление до актуальной версии. Обновление советского языка. Старые корректировки Сняты практически все ограничения приложения (выбор любых песен и альбомов, очень высокое качество звука - визуально, переключение треков, случайный выбор, повторы, перемотки FWD / BWD, Spotify Connect). Изменён номер сборки (можно установить предыдущую версию без удаления данной). Скрыты обновления (всегда актуальная версия во всех магазинах приложений). Добавлен советский язык. Английский на месте. Все остальные удалены. Добавлена ссылка на Spotify для Windows (без рекламы). Отключено принудительное перемешивание треков. Изменена подпись (обновления только здесь). Тёмная тема изменена на чёрную (AMOLED). Удалены библиотеки x86_64 и x86. Удалена реклама и аналитика. Проблемы и их решения Если не входит в аккаунт, то нужно установить предыдущую версию, авторизоваться, а затем установить данное обновление. Чтобы просмотреть итоги года нужно установить новую версию. Текста не работают, но они доступны в новой версии. Загрузить
  • Последние достижения

    • UlybkaDozhdya получил значок
      Один год
    • Sonik получил значок
      Один год
    • Veldora получил значок
      Первая неделя сделана
    • Андрей Максименко получил значок
      Месяц спустя
    • nvahir получил значок
      Месяц спустя
×
×
  • Создать...

Важная сводка

Мы разместили cookie-файлы на твоё устройство, чтобы помочь сделать этот форум лучше. Ты можешь корректировать своё управление cookie-файлами, или же продолжить без каких-либо корректировок.