«Web‑капкан» и «Т‑Поиск». Как следователей учат искать пользователей телеграма с помощью OSINT
Антон Мардилович
«Web‑капкан» и «Т‑Поиск». Как следователей учат искать пользователей телеграма с помощью OSINT
15 апреля 2022, 10:33

Иллюстрация: Борис Хмельный / Медиазона

В марте военный эксперт Егор Лебедок обнародовал копию предназначенного для силовиков доклада о способах деанонимизации пользователей телеграма. Автор этой методички обучал следователей основам OSINT — поиска по открытым источникам, который в своей работе используют журналисты-расследователи. Вместе с бывшим сотрудником правоохранительных органов и экспертом по OSINT «Медиазона» разбирается, как следователи и оперативники могут вычислять владельцев аккаунтов в телеграме и почему некоторые из предложенных в докладе методов незаконны.

Деанонимизация в телеграме: инструкция для силовиков

Автор доклада, предназначенного для конференции «Основные направления совершенствования системы национальной безопасности» (Минск, 19 декарбя 2021 года), старший преподаватель Института повышения квалификации и переподготовки СК Петр Зарецкий описал алгоритм использования OSINT для деанонимизации пользователей телеграма. Предложенная им последовательность действий следующая:

  • Установить ID пользователя с помощью специальных телеграм-ботов (@CheckID_AIDbot, @username_to_id_bot) или кастомных телеграм-клиентов (Bgram).
  • Установить дату создания учетной записи с помощью бота @creationdatebot.
  • Поискать сведения о пользователе в базах данных деанонимизированных пользователей телеграма. Здесь следователю предлагается на выбор отечественная разработка «Т-Поиск» или «ряд сетевых сервисов, собирающих из разных источников данные об учетных записях пользователей и предоставляющие их при различных условиях». Среди последних в пример приводятся «Глаз Бога» и SmartSearchBot.
  • Проверить присутствие пользователя в телеграме и его круг интересов с помощью @telesint_bot и @eyeofbeholder_bot.
  • Получить данные об активности и упоминаниях пользователя с помощью специальных поисковых систем search.buzz.im и lyzem.com.
  • Установить наличие аккаунтов с таким же никнеймом в других соцсетях при помощи гугла, яндекса, Sherlock и других ресурсов и ботов.
  • Проанализировать все сообщения от пользователя в чатах телеграма, в которых он состоит.
  • Проверить изображения от пользователя в гугле, яндексе, или других ресурсах (в том числе, при помощи того же «Глаза Бога»).
  • Использовать деанон-бот в телеграме. Здесь силовикам предлагается разработка Института СК, которая состоит из телеграм-бота, серверного дополнения и телеграм-канала, куда «мгновенно приходят сообщения о всех действиях пользователей в боте, в том числе, об их абонентских номерах». Как утверждает автор статьи, такие боты можно создавать «в неограниченном количестве с оформлением, адаптированным под различные легенды». На создание такого бота уходит не более 20 минут.
  • Использовать ссылку-ловушку, чтобы узнать IP пользователя. Здесь автор статьи упоминает, что механизмы известных сервисов IPlogger и grabify.link «не прозрачны для правоохранителей», часто блокируются, а их ссылки выглядят подозрительно. Поэтому следует использовать разработанную в Институте СК систему «Web-капкан», ссылки на которую правдоподобны. Как утверждается, так силовик сможет получить не только данные об IP и устройстве, но и, в отдельных случаях, узнает аккаунт пользователя в соцсетях.

OSINT для оперативников и следователей

Эксперт в области open source intelligence, журналист «Би-Би-Си» Андрей Захаров рассказывает, что описанная в статье методика следует многочисленным инструкциям по OSINT, которые можно обнаружить в интернете: «Очень похоже на те лекции, которые я читаю, например».

— Единственное тут: господин Зарецкий, если бы он сам пользовался... Известно, что у Google очень плохой поиск по фото, потому что он убил свою нейросетку из-за GDPR — законодательства европейского по защите данных. Поэтому я на лекциях — да и все осинтеры так говорят — что искать изображения людей нужно только в яндексе, потому что у гугла запрет стоит на точный поиск конкретных людей. Как бы такое единственное профессиональное замечание.

Как говорит Захаров, в докладе «процентов 80 — это доступные средства для деанона и поиска людей, вообще достаточно подробно описанные».

Экс-сотрудник правоохранительных органов Дмитрий говорит, что в работе следствия OSINT «всегда был и будет». При этом он замечает, что данные, полученные через открытые источники, «иногда в основу какого-то обвинения не положишь».

— И, соответственно, даже если кто-то деанонимизирует пользователя в телеге, то ты это в основу [обвинения] не положишь, потому что этим пользователем в принципе же может быть любое лицо: к технике доступ разные люди имеют. Поэтому OSINT — это только как поле направления: куда приходить. А к кому приходить, это могут быть разные вещи. То есть может привести картинка к бабушке — ну, бабушка там зарегистрирована, а на самом деле это внук, который пользуется аккаунтом.

Экс-силовик рассматривает OSINT как «больше оперативные методы для установления [подозреваемого], технические».

— Потому что само пользование телеграмом или само наличие аккаунта — это же не есть состав преступления, верно? А состав преступления — это то, что уже делал человек: наркотики распространял, воровал, экстремистские материалы распространял — то есть вот это уже другая история. Вот это надо доказывать, — рассуждает Дмитрий.

«Глаз Бога»

— Насколько я понимаю, практически ни один из тех инструментов, которые там описаны, не незаконен, — говорит Захаров. — Даже бот.

Он поясняет: когда вы подписываетесь на телеграм-бот, его хозяин узнает ваш номер мобильного, однако в таком сборе данных нет ничего незаконного, «человек сам подписывается на бот и отдает свой номер телефона».

— То есть это такой… Можно назвать это фишингом, но фишинг — это взлом устройства, когда какой-то вирус засылают. А тут нет такого, тут просто узнается IP, — констатирует журналист.

Единственное исключение, оговаривается Захаров, это «Глаз Бога», который автор доклада предлагает использовать в работе следователей. Использование этой базы незаконно и не относится к методам OSINT «в нормальном юридическом понимании», считает он.

— Потому что «Глаз Бога» — это сервис, который аккумулирует данные об утечках персональных данных в удобную вам [форму]. Вы задаете номер телефона — он дает вам адреса возможные, какие машины паркуются… Тем самым вы покупаете персональные данные. Покупка персональных данных везде является нарушением закона. Поэтому как раз указание «Глаза Бога» является по сути призывом к совершению — я думаю, что у вас тоже есть статья — покупки персональных данных, — рассказывает Захаров.

При этом в соседней России, говорит журналист, оперативники нередко пользуются сервисом в своих целях.

— «Глаз Бога» оперативникам дает быструю какую-то информацию. Плюс там, например, собирает твои объявления на «Авито», можешь посмотреть, что человек на «Авито» заказывал — а так он должен писать запрос на «Авито». «Глаз Бога» им во многом очень сильно упростил оперативную работу. Информацию из сервиса, понятно, к делу не пришьешь, но для того, чтобы быстренько словить адрес, телефон, почту, что-то такое — вполне себе работает, — считает Захаров.

Иллюстрация: Борис Хмельный / Медиазона

О том, что полученную при помощи «Глаза Бога» информацию потом невозможно использовать в материалах уголовного дела, говорит и бывший силовик Дмитрий. Для наглядности он приводит умозрительный пример: следователю нужно узнать курс валют за определенный день и задокументировать это. Он может воспользоваться официальным источником — сайтом Нацбанка, на который можно уверенно ссылаться.

— Легальность это и есть принцип проверки. Я на примере Нацбанка привел. То есть первое: сайт Нацбанка допустимый ресурс? Допустимый. Второе: мы взяли по определенному адресу определенные цифры курсов — это достоверная информация? Ну да, достоверная. Есть ли основание полагать, что есть взлом какой-то? Ну нет оснований, нигде информации такой не проскакивало и не было. Ну все, окей, тогда эту информацию можно использовать по моему разумению в качестве доказательства. Если кто-то хочет там перестраховаться или получить более качественные доказательства, то никто не мешает сделать официальный запрос в Нацбанк, и Нацбанк ответит, какой курс был на определенную дату, — объясняет Дмитрий.

Полученные таким образом доказательства, отмечает он, устоят в суде, когда сторона защиты захочет их проверить.

— Теперь мы берем «Глаз Бога». Кто является его держателем? Мы не знаем. Можем ли мы верифицировать те сведения, которые они выдают в ответ? Нет. Ну и понимаете, в конечном итоге, если на каждый из вопросов мы получаем «нет», то любая сторона, которая будет обвинена в чем-то благодаря информации, полученной там, сможет оспорить это обвинение. Полагаю, что суд не примет это как доказательство, потому что в конечном итоге так можно, ну… Бабушка, которая семечки продает, сказала, что кто-то кого-то убил — получается, к уголовной ответственности привлекать? — говорит экс-силовик.

Еще одна проблема с использованием «Глаза Бога», отмечает Дмитрий, это частичная деанонимизация самих силовиков.

— То есть, я так помню, в этой статье они описывают, что важно иметь свои источники информации, а не брать где-то снаружи, потому что ты можешь свою информацию слить. Ну то есть такое подразумевалось. Тот же «Глаз Бога» или другие пробивщики, которые дают тебе утечки — они на самом деле могут собирать твои запросы, чтобы видеть, что тебя интересует. Понимаете, с обратной стороны информацию тоже собирают — ты же типа добровольно ее отдаешь. А потом благодаря этой информации можно восстановить, а кем интересуются правоохранители — то есть деанон с другой стороны, — рассуждает Дмитрий.

Захаров подчеркивает, что через «Глаз Бога» он в исследовательских целях проверял только собственные данные: «Смотрю, что появляется там».

— Когда, например, проверяешь в «Глазе Бога» свой номер телефона и видишь что 40 человек им интересовались — я подозреваю, что как минимум несколько из них были все-таки сотрудники силовых органов, потому что с чего вдруг 40 человек, такое количество людей, моим номером телефона интересовалось? — удивляется российский журналист.

OSINT и УПК

Использование методов OSINT для раскрытия преступлений, говорит Дмитрий, должно быть документально оформлено — в противном случае такие действия незаконны.

Согласно закону об оперативно-розыскной деятельности, для оперативного осмотра компьютерной информации не требуется санкции прокурора. Исключение составляют случаи, когда оперативник изучает компьютерную информацию, которая содержит сведения, составляющие банковскую, врачебную, коммерческую или иную тайну, охраняемую по закону. Проводивший осмотр силовик должен составить оперативно-служебный документ, в котором надо указать полученные сведения.

По статье 204-1 УПК, санкция прокурора для осмотра компьютерной информации следователем требуется в тех случаях, когда доступ к ней осуществляется путем аутентификации пользователя, то есть введения логина и пароля.

Второй случай, когда следователю необходимо разрешение прокурора — если информация содержит «сведения о частной жизни лица, сведения, составляющие охраняемую законом тайну, или иную информацию, распространение и (или) предоставление которой ограничено».

При этом если сам владелец информации даст согласие на ее осмотр и будет присутствовать при нем, необходимости получать разрешение прокурора нет. Во всех случаях после проведения осмотра следователь должен составлять протокол следственного действия.

Инструменты СК

Описанные в докладе собственные разработки беларуского СК, замечает Захаров, неоригинальны: «У них есть свой аналог деанон-бота — телеграм-бот, который позволяет установить человека, и второе — "Web-капкан", аналог IPlogger и Grabify.link».

— То есть как устроены IPlogger и Grabify.link: я, например, беру ссылку на «Медиазону», вставляю в Grabify, он мне делает некую похожую ссылку. Кидаю в телеграм, и у вас превью на «Медиазону», вы можете не заметить, что там Grabify.link, перейти, а я ваш IP поймаю, — объясняет он принцип работы этих систем.

Журналист говорит, что оба ресурса упоминаются в многочисленных инструкциях по OSINT и не нарушают закон.

— Вы никого не ломаете, просто используете некий технический сервис в интернете, чтобы узнать IP человека. Это отчасти похоже на фишинг, но фишинг — это когда уже происходит какой-то взлом устройства, вредоносная программа на устройство засылается. Этого ничего не происходит, — подчеркивает Захаров.

Журналист рассказывает случай из собственной практики.

— Я помню, когда я работал на «Фонтанке», для достижения большего результата, когда мы там занимались «фабрикой троллей» Пригожина, мы брали реальную новость «Фонтанки», делали ее копию, которая никак не индексировалась, и все заходы на эту страницу тут же получали логи IP тех, кто заходил. И дальше уже троллям, о которых мы хотели понять, что они связаны с «фабрикой троллей», мы кидали эту ссылку, он переходил — мы получали IP, — вспоминает расследователь.

«Web-капкан», упомянутый в докладе СК — это, по мнению Захарова, подобная система, но способная, в отличие от IPlogger и Grabify.link, генерировать более правдоподобные ссылки. Он приводит пример: для вычисления IP пользователя можно использовать уникальную ссылку на сайт государственной газеты.

— Вы получаете ее, а на самом деле она уникальна только для вас. Вот в этом опасность. То есть, условно говоря, Grabify.link вы можете отследить. А если получаете Grabify.link на почту — вообще не видите даже превью, просто странную ссылку. А вот если вам делают копию страницы какой-нибудь правительственной газеты, но она существует только для вас и для тех, кто туда заходит, то это очень опасная вещь. И я так понял, что система «Web-капкан» — это оно и есть, — предполагает Захаров.

Что из себя представляет база данных «Т-Поиск», неизвестно. Исходя из ее описания в докладе, журналист думает, что она может быть аналогом «Глаза Бога» от СК.

— Тут сложно сказать, насколько это [законно]. Действительно есть огромное количество деанонимизированных баз пользователей. Была большая в свое время история: раньше можно было, условно говоря, взять вашу телефонную книжку и проверить, есть ли эти люди в телеграме и являются ли они админами телеграм-каналов — это было самое главное. Вот такой программный способ. Они, судя по описанию «Т-Поиска», ищут по всем этим базам деанонимизированных пользователей. Наверное, если программа «Т-Поиск» аккумулирует утекшие базы данных пользователей телеграма, я полагаю, что это тоже противозаконная программа — такая же, как и «Глаз Бога», — делает вывод расследователь.

Захаров объясняет: если вы, к примеру, используете для поиска опубликованную в открытых источниках фотографию активиста, вы действуете абсолютно легально. Использование телеграм-бота для поиска IP эксперт относит уже к «серой» зоне.

— А вот что касается ситуации, если государственные органы власти, в данном случае, Следственный комитет Беларуси, сделали некую базу, в которую загрузили утекшие базы данных пользователей телеграма, то, конечно, речь идет о том, что они каким-то образом выкачали незаконно полученную базу телеграмма. Возможно, она была куплена — есть же базы, которые продаются. Предположим даже, они ее скачали бесплатно, но все равно это персональные данные, которые кем-то незаконно получены. То есть никто разрешения на использование этих персональных данных не давал, вот в этом нарушение, понимаете? — рассуждает Захаров и сразу приводит другой пример.

— На рынке где-нибудь в Минске продается CD-диск с разговорами, я не знаю, Марии Колесниковой. Пришел опер и купил. Может он подшить к делу или нет? Достаточно проблематично. Он может прийти и изъять в рамках ОРМ, но прийти, купить и сделать из них базу… Ну, то же самое и здесь, — говорит расследователь.

Экс-силовик Дмитрий резюмирует: «В конечном счете, мы не знаем [что это за база]». Он допускает, что «Т-Поиск» может хранить в себе как открытую информацию, полученную методами OSINT, так и закрытую — из ведомственных баз и материалов уголовных дел.

Ещё 25 статей