Не только двухфакторка. Памятка «Медиазоны» о том, как пользоваться телеграмом чуть безопаснее
Ганна Камлач
Не только двухфакторка. Памятка «Медиазоны» о том, как пользоваться телеграмом чуть безопаснее
7 декабря 2022, 16:45

Иллюстрация:Виктория Стеблева / Медиазона

Силовики регулярно отчитываются о задержаниях беларусов, зарегистрированных в ботах протестных инициатив — чаще всего речь идет о чат-боте плана «Перамога» и полка Кастуся Калиновского. Авторы видео из пропагандистских каналов любят предупреждать, что из ГУБОПиКа придут и к другим пользователям и предлагают им «покаяться», не дожидаясь неотвратимого визита. «Медиазона» поговорила с экспертами по цифровой безопасности о том, насколько просто вычислить человека в телеграме и что делать, чтобы затруднить оперативникам эту задачу.

Какие данные могут собирать боты?

После нажатия кнопки Start любой бот может получить доступ к ID пользователя, указанным им при регистрации в телеграме имени и фамилии, никнейму, разделу «О себе» и выбранному языку, говорит один из создателей приложения «Партизанский телеграм» Илья.

Кроме того, если это разрешено настройками конфиденциальности, бот может получить доступ к фото профиля и номеру телефона.

От разработчика зависит, будет ли бот хранить все эти данные. Если бот сохранит ID пользователя, он сможет получить доступ к вашим данным и позже, даже если вы его заблокируете. При этом, по словам Ильи, новые, измененные после блокировки данные бот получить уже не сможет. Если вы хотите, чтобы бот не мог собирать ваши данные, скройте их в настройках приватности.

Можно ли установить личность пользователя по ID в телеграме?

Сам по себе ID — это просто набор цифр, но опасность заключается в его неизменности, объясняет Илья.

— Некоторые пользователи думают, что они могут скрыть номер телефона, фото профиля, изменить имя и никнейм, и силовики не узнают его. Однако если до этого человек написал в какой-нибудь публичный чат или в комментарии с открытым фото профиля и номером телефона, настоящим именем, эти данные могли быть кем-то сохранены, — говорит он.

По словам Ильи, силовики часто экспортируют данные из открытых чатов. Эксперт по цифровой безопасности Николаи Кванталиани добавляет, что многие компании собирают информацию о пользователях из открытых источников. На основе этого создаются базы данных, содержащие связку «телеграм-ID — имя пользователя — номер телефона». Чтобы обезопасить себя, для чувствительных переписок и чтения запрещенного в Беларуси контента лучше завести второй аккаунт на иностранный телефонный номер.

Другая опасность — уведомления вида «имярек присоединился к Telegram», приходящее всем, кто внес ваш номер телефона в список контактов и позволяющее связать ID с конкретным человеком. Аккаунт, привязанный к новому иностранному номеру, поможет этого избежать.

Еще одна неочевидная проблема заключается в том, что сторонние сервисы, такие, как TGStat и Telemetr, позволяют индексировать пользователей по публичным группам, отмечает Кванталиани. По его словам, теоретически эти инструменты могут быть использованы для сужения круга поиска, когда силовикам нужно идентифицировать конкретного человека.

— Допустим, вы находитесь в публичной группе «Беларусы в Вильнюсе». Я знаю только ваш ID, закидываю эту информацию в TGStat, и он показывает, где еще встречается ваш ID. И если там есть какие-то другие публичные чаты, то это позволяет сузить круг поиска и понять, к какому идти — допустим, «Каменная горка Минск», — приводит пример специалист. — И тогда силовик понимает, что этот пользователь с Каменной горки, соответственно, нужно кого-нибудь оттуда задержать и поискать в его телефоне среди контактов.

Как силовики могут узнать, запускал ли пользователь бот, и получить данные, которые он передал боту?

Самый простой и, судя по всему, распространенный способ — задержать человека и получить доступ к его телеграму.

Для того, чтобы посмотреть, какие боты запускал пользователь, нужно ввести слово bot в поисковую строку — даже если переписка с ботом удалена, из поиска она исчезнет не сразу, говорит Кванталиани.

Кроме того, проверить могут и список заблокированных пользователей, куда попадают боты, которые были неправильно остановлены, добавляет он. Если вам нужно удалить их так, чтобы не осталось следов, воспользуйтесь инструкцией «Киберпартизан»: разблокируйте все боты в черном списке, введите bot в строку поиска, выберите бот, который нужно удалить и нажмите «очистить историю». После снова напишите bot в строке поиска, и на этот раз выберите «удалить чат».

Подождите около суток. Если в течение этого времени бот не удалился, повторите действия, описанные выше.

Консультанты по кибербезопасности из коллектива CyberBeaver перечисляют еще несколько способов, с помощью которых силовики могут получить доступ к данным пользователя: создание фейкового бота, проникновение в команду бота, взлом аккаунтов администраторов, задержание создателей бота и использование баз данных через утечки.

Эксперты советуют писать только в те боты, ссылки на которые размещают официальные телеграм-каналы инициатив (убедитесь, что канал не фейковый) и внимательно проверять названия ботов.

— Бот @By_PoI ложный, а @By_Pol — настоящий. Разница в последней букве: в первом случае это большая буква i, а во втором — маленькая l, — приводит пример Кванталиани.

Если силовики внедрили агента в команду администраторов или взломали аккаунт одного из них, то они могут с помощью специального софта быстро выкачать данные, которые пользователи передавали боту, говорит он.

— Если бот никак не сохранял данные о пользователях, не пересылал ID, юзернеймы в другие чаты или удалял соответствующие сообщения, то, возможно, получится извлечь только публичные данные, — считает Илья.

Итак, силовики не смогут получить данные, которые вы передали боту, если у них нет доступа либо к вашему аккаунту, либо к боту. Они могут запросить эти данные у телеграма, но эта попытка почти наверняка будет безуспешной, считает эксперт.

Можно ли найти человека по метаданным файла, который он отправляет в бот?

Метаданные файла — это дополнительная информация, зашифрованная в структуре самого файла. Например, модель устройства, на котором он был создан, время и место создания, формат и размер файла.

Найти пользователя с помощью метаданных файла, отправленного в бот, потенциально возможно, говорит Илья. Если пользователь отправит в бот фото или видео без сжатия, то из файлов можно будет извлечь информацию, например, о модели телефона, с помощью которого велась съемка. При отправке файлов со сжатием метаданные автоматически удаляются, поэтому пользователю не о чем волноваться.

Однако если отправлять фото и видео в zip-архиве, то в файлах останется геолокация, по которой можно будет вычислить отправителя. Метаданные могут оставаться в файлах других типов — например, при отправке документа Microsoft Office в файле будет имя пользователя, который его создал.

Кроме того, помочь силовикам вычислить пользователя может, например, локация съемки.

— Единственное, что нужно сделать, чтобы вас найти — это пробить все телефоны, которые находились в локации съемок. И среди людей, которые проживают в этом районе, можно будет найти вас. Дальше можно сузить — например, пробить по базам людей, которые участвовали в протестах. Есть большая вероятность того, что можно найти людей, которые уже привлекались за что-то, — приводит пример Кванталиани.

Но если во время съемки перевести телефон в режим полета, говорит эксперт, определить его местоположение по мобильному номеру и IMEI будет нельзя.

Может ли пользователь на глазок оценить безопасность бота?

Эксперты в один голос говорят, что не существует внешних признаков, позволяющих оценить безопасность бота.

— Пользователь не может знать, какой код выполняется ботом, и сохраняет ли он какие-то данные. Они могут сохраняться даже без злого умысла. Например, зачастую боты обратной связи пересылают имя, фамилию пользователя и его никнейм модераторам, — объясняет Илья.

Тем не менее, отмечают консультанты CyberBeaver, пользователю стоит поискать информацию о том, были ли у бота утечки данных.

Иллюстрация:Виктория Стеблева / Медиазона

Что нужно делать пользователю телеграма, чтобы обезопасить себя?

Как бы банально это ни звучало, пользуйтесь VPN

Пользователя можно идентифицировать с помощью внешней ссылки, если тот перейдет по ней, не используя VPN, рассказывает эксперт по цифровой безопасности Николаи Кванталиани. Не открывать подозрительные ссылки несложно, но такую ссылку силовики могут отправить и с аккаунта задержанного человека, которому вы доверяете, поэтому лучше всегда пользоваться VPN.

Не забывайте от двухфакторной аутентификации

По мнению Ильи, делать это стоит, даже если пользователь уехал из Беларуси и/или зарегистрировал аккаунт на иностранный или виртуальный номер.

Заведите второй аккаунт

Зарегистрируйте отдельный аккаунт на иностранный или виртуальный номер, если вы занимаетесь активизмом, читаете «экстремистские» ресурсы, пишете комментарии в соцсетях или делитесь информацией с чат-ботами.

Установите такие настройки приватности, чтобы ваш «активистский» аккаунт нельзя было связать с вашей реальной личностью: придумайте никнейм вместо настоящего имени, не используйте свою фотографию и номер телефона, ограничьте звонки, отображение номера, пересланных сообщений, советуют консультанты из CyberBeaver.

Второй, «чистый», аккаунт они рекомендуют использовать для переписок с друзьями и знакомыми. В нем тоже стоит ограничить отображение номера телефона и фотографии, чтобы о вас собирали меньше информации. Для переписок на чувствительные темы стоит установить автоматическое удаление, напоминает Кванталиани.

Наличие двух аккаунтов позволит без потерь контактов удалить первый в случае опасности. В «Партизанском телеграме» можно настроить выход из «активистского» аккаунта так, чтобы в случае задержания его не нашли силовики, напоминает Илья.

Если вы подозреваете, что произошла утечка данных — удалите аккаунт и заведите новый

Даже если зарегистрировать новый аккаунт на тот же номер телефона, что и старый, после этого изменится ваш ID в телеграме — теперь, если вас задержат или взломают, а новый ID пробьют по базам данных, там будет отображаться старый ID, связать который с вами труднее, объясняют в CyberBeaver.

Более радикальный вариант — зарегистрировать новый аккаунт на новый номер телефона, а сразу после регистрации установить двухфакторную аутентификацию и настройки приватности, описанные пунктом выше.