Безпека і анонімність в Telegram

Налаштування безпеки Telegram-акаунта

Основні налаштування безпеки знаходяться в меню “Privacy and Security”:

• ✅ Two-Step Verification – двофакторна верифікація (не плутати з класичною двофакторною авторизацією, де формується на окремому пристрої чи додатку OTP-код , який потрібно ввести). Являє собою просто додатковий пароль на доступ до вашого акаунта. Навіть якщо зловмисник отримає доступ до вашої SIM-картки й отримає SMS-підтвердження, то двофакторна верифікація не пустить його в акаунт. Рекомендується в обов’язковому порядку вмикати, інакше можете опинитися під реальною загрозою. Більшість варіантів зламу Телеграм-акаунтів стаються саме через відсутність двофакторної верифікації. Пароль варто вказувати складний, довгий — не менше 20 символів, що складається з різних цифр, латинських літер верхнього та нижнього регістру, спецсимволів. Слабкий пароль можуть підібрати методом bruteforce-перебору. При встановленні двофакторної верифікації, Telegram попросить вказати додаткову підказку (у випадку якщо забудете пароль) і електронну пошту для відновлення у разі втрати доступу. Краще проігноруйте і не вказуйте жодної додаткової інформації. А якщо вирішили перестрахуватися й додати email, то використовуйте тільки захищеного провайдера з PGP-шифруванням і двофакторною авторизацією. Наприклад, Protonmail або Tutanota.
• ✅ Auto-Delete Messages – автоматичний таймер видалення повідомлень. Якщо включено, ваші повідомлення автоматично зникатимуть з чатів по досягненню відповідного часового інтервалу. Корисно, якщо спілкуєтесь на різні приватні теми. Однак варто пам’ятати, що будь-які повідомлення, окрім секретних чатів, все одно зберігаються на серверах.
• ✅ Passcode Lock – встановлення PIN-коду на доступ до додатка Telegram. Рекомендується активувати, щоб обмежити несанкціонований доступ. Наприклад, при втраті телефона. Виставте потрібний час автоматичного блокування: 1 хв, 5 хв, 1 год, 5 год. Опцію “Show Content” бажано вимкнути, щоби push-сповіщення не з’являлися на екрані, коли пристрій заблоковано.
• ✅ Blocked users – керування функцією блокування користувачів в Telegram. Заблоковані користувачі не зможуть відправляти вам повідомлення, додавати до груп, бачити ваш статус онлайн та фото профілю. У будь-який момент ви можете відключити і розблокувати користувача.
• ✅ Devices – перегляд активних сесій акаунту Telegram. Тут можна контролювати на яких пристроях авторизований додаток, чи немає підозрілих сесій, пристроїв, локацій, IP-адрес. Можна перейменовувати та вилучати сесії, прив’язувати нові по QR-коду, а також виставити період неактивності свого акаунта, відповідно до якого він самознищиться (мінімальне значення – 1 тиждень, максимальне – 1 рік). Може бути корисним, якщо ви створюєте щось тимчасово.
• ✅ Phone number – дає можливість приховати свій номер телефону від інших користувачів в Telegram. Рекомендується виставити режим видимості “Nobody” з доступністю тільки для своїх контактів “My contacts”. Це потрібно зробити одразу після реєстрації, в іншому випадку різні боти просканують ваш профіль і внесуть номер в базу даних, яка може використовуватися ким та як завгодно. Видалити себе з цієї бази буде неможливо.
• ✅ Last seen & online – дає можливість приховати час і дату останнього входу в Телеграм, що унеможливлює стеження і таймінг-атаки. Існують боти й інструменти API, які ведуть запис часу проведеного у мережі конкретного користувача і відправляють метадані зловмиснику. Таким чином можна розібратися, коли і хто виходив на зв’язок в Телеграмі та багато іншого.
• ✅ Profile photos – дає можливість обмежити відображення вашого аватара іншим користувачам Telegram.
• ✅ Forwarded messsages – дає можливість обмежити пересилку ваших повідомлень іншими користувачами. Корисна опція, яка додає приватності й захищає від різних атак і маніпуляцій з вашими повідомленнями.
• ✅ Calls – дає можливість обмежити дзвінки від невідомих осіб або взагалі відключити їх. Можна надати дозвіл лише для обраного списку. Важливою є опція “Use peer-to-peer”. Якщо увімкнути — ваш співрозмовник зможе дізнатися вашу IP-адресу (наприклад через фільтри Wireshark). Якщо вимкнути — усі дзвінки будуть йти через сервери Телеграм. Є також опція зробити P2P активним лише для обраних контактів.
• ✅ Groups & channels – дає можливість заборонити, щоби інші користувачі не додавали й не запрошували вас до груп й каналів. Допоможе захиститись від спаму.
• ✅ Voice messages – дає можливість заборонити відправляти вам голосові повідомлення (доступно тільки по підписці на Telegram Premium).
• ✅ Clear Payment and Shipping Info – дозволяє очистити всю платіжну інформацію, пов’язану з вашим обліковим записом.
• ✅ Logged in with Telegram – перегляд сайтів, на яких ви авторизувалися через Telegram.
• ✅ Delete Synced Contact – вилучає з Telegram синхронізовані контакти з вашої телефонної книги.
• ✅ Sync Contacts – рекомендуємо вимкнути синхронізацію контактів в Telegram. Додатково, можете заблокувати Telegram доступ до ваших контактів через налаштування смартфона. Річ у тому, що Телеграм на своїх серверах вибудовує гігантську карту соціальних зв’язків, аналізуючи як вони пов’язані один з одним.
• ✅ Suggest Frequent Contacts – формування списку контактів, з якими користувач найчастіше спілкується. Шпигунська функція, яка збирає статистику по контактах. Рекомендуємо відключити.
• ✅ Sesnsitive content –  дає можливість відключити автоматичну фільтрацію контенту в Телеграм, таким чином ви зможете бачити будь-які пости в Telegram. Опція присутня лише в Desktop-додатку.
• ✅ Map preview provider – ви можете змінити постачальника сервісу онлайн-мап. Це корисно, якщо вирішили відмовитись від сервісів Google.
• ✅ Link Previews – ця опція включає прев’ю сніппетів для URL-посилань. Таким чином ви будете бачити куди веде посилання, перед тим як перейти по ньому.

В додатку Telegram Desktop є інші корисні опції, які знаходяться в меню “Settings” -> “Advanced”:

• ✅ Connection type – дозволяє підключатися до Телеграм через сторонні проксі-сервери. Корисно, якщо ви не хочете світити в Телеграм свою IP-адресу і щоб трафік через сервер, а не напряму через ваш пристрій. Підтримуються різні типи з’єднань: IPv6, HTTP, SOCKS5, MTPROTO.
• ✅ Manage local storage – дозволяє керувати даними, які Телеграм зберігає на вашому пристрої, зокрема кеш. Бажано, щоб він не застоювався і очищався якомога частіше (див. вище).
• ✅ Ask download path for each file – Телеграм запитуватиме вас куди зберігати файли при завантаженні. В іншому випадку, він буде зберігати їх автоматично у папку по замовчуванню. Це захистить вас від потрапляння зайвих файлів на ваш комп’ютер.
• ✅ Automatic media download – дає можливість відключити автоматичне завантаження файлів з чатів, груп, каналів на ваш пристрій. Це може бути корисним, тому що в іншому випадку Telegram не питаючи дозволу автоматично завантажуватиме будь-який контент. Найкраще відключити й самому вирішувати, що треба завантажувати, а що ні.
• ✅ Battery and Animations – можна відключити інтелектуальну систему керування батареєю і відключити анімацію в Telegram.
• ✅ Spell checker – рекомендуємо відключити перевірку орфографії Telegram. Під цим виглядом здійснюється відстеження вводу клавіатури та персоналізація.

ℹ️ Важливо провести усі налаштування безпеки одразу після реєстрації, адже потім може бути пізно — боти регулярно сканують Telegram на наявність нових профілів й відразу копіюють будь-яку знайдену інформацію у свою базу, де вона залишається фактично навічно (навіть після видалення акаунта Telegram).

Також радимо обмежити дозволи й доступи для Telegram на рівні Android (або iOS, залежно від операційної системи вашого пристрою). Для цього перейдіть в меню Apps та оберіть у списку додатків Telegram й відключіть усе зайве, наприклад:

Додаткові поради та заходи як захистити акаунт в Telegram

• Не реєструйтеся в Telegram за мобільним номером, який звично використовуєте в житті. По номеру можна провести різнорівневі атаки: SS7, SMS-bombing (Flood Attack), SMiShing, Vishing. Крім того, у Телеграмі існують боти, які збирають телефонну базу номерів і незаконно збувають або зливають в інтернет. Краще придбати окремий стартовий пакет (пам’ятайте, що номер повинен бути чистий, без історії. Перед покупкою пробийте його в Getcontact на наявність тегів), а ще краще закордонну SIM. Рекомендуємо використовувати номери Євросоюзу. Річ в тому, що аби захистити дані користувачів ЄС, Telegram змушений ОБОВ’ЯЗКОВО відповідати європейським нормам і стандартам безпеки, включаючи GDPR. В іншому випадку, з нього стягнуть штрафи або взагалі заблокують.  Ви також можете придбати анонімний NFT-номер з префіксом +888 на платформі fragment.com за криптовалюту TON і зареєструватися в додатку без SIM-картки. Якщо номер стане в майбутньому непотрібним, ви зможете продати його на цій же платформі. Цю можливість ввів сам Telegram. Прив’язаний до акаунта номер в майбутньому можна змінювати.
  
• Не задавайте username у своєму акаунті. Це не обов’язково. Якщо username вказано, профіль будь-якого користувача стає вразливим до різних атак, його можна відкрити у будь-якому браузері: https://t.me/USERNAME. Такий профіль індексується пошуковими системами і з’являється у відкритому доступі. По юзернейму можна вирахувати ідентифікатор користувача Telegram ID і провести деанон. По юзернейму вас будуть парсити і аналізувати ваші повідомлення в групах. Якщо ж задаєте юзернейм, то робіть його унікальним, аби він не співпадав з іншими вашими URL та нікнеймами в інтернеті (перевірити їх можна інструментами Maigret, Sherlock або Instantusername). До речі, Username в Телезі можна змінити і навіть продати на аукціоні fragment.com.
• Не вказуйте свої справжні ім’я та прізвище. Ці поля хоч і обов’язкові, але є довільними. Ви не змушені вказувати персональні дані. Можна також скористатися лайфхаком і ввести невидимі спецсимволи, наприклад “м’яке перенесення” – символ пробілу в таблиці Юнікод (U+00AD). Ваше ім’я стане невидимим. Хочемо зауважити, що будь-які зміни в профілі відразу фіксуються на серверах Telegram. Тобто, якщо ви при реєстрації вказали одне ім’я, а потім інше, то це відобразиться в історії вашого Telegram ID. І, за певних обставин, з допомогою API цю історію можна спарсити.
• Не завантажуйте свої справжні фото на аватар, а також зображення, які ви використовуєте на інших сайтах. По фото можна провести розгорнуте дослідження, визначити метадані і геолокацію, знайти профілі в соцмережах та пов’язати віртуальні дані (Fingerprint) з вашою реальною особою. В OSINT присвячений окремий розділ веб-аналітики — розвідка по зображенню – IMINT (Image Intelligence). В іншому випадку проведіть пост-обробку зображення в Photoshop (приберіть різкість, заблюрте зайві елементи) й очистіть EXIF-дані (сучасні фотокамери часто записують в файл зображення час і дату знімання, GPS-координати).
• Якщо ви змушені часто користуватися Telegram з тих чи інших причин (наприклад, робота, активізм, навчання), створіть кілька акаунтів і використовуйте для різних задач. Наприклад, один анонімний (про який не знає ніхто) для адміністрування груп, інший для спілкування. Не змішуйте професійне і особисте (друзі, родичі, знайомства, чати, новини). До речі, Telegram підтримує мультиакаунт.  Можна перейти в налаштування і натиснути “Add Account”, далі пройти звичний процес реєстрації й ви зможете перемикатися між акаунтами в одному профілі. Максимально так можна додати до 3-х акаунтів, хоча це обмеження відсутнє в неофіційних версіях Telegram. Існує більш конфіденційний спосіб: використати спеціальний додаток для Android чи iOS, що дозволить користуватися декількома Telegram одночасно на одному пристрої й у вас буде декілька не пов’язаних між собою профілів. Ще один спосіб — просто встановити різні неофіційні збірки Telegram на пристрої.
  
• Не вмикайте опцію “People Nearby” (Люди поруч) -> “Make Myself Visible”. Через неї Telegram отримує доступ до ваших GPS-координат та визначає локацію інших людей, присутніх у Telegram, поблизу з вами у вашій місцевості, з точністю до метра! Далі ці дані, ймовірно, теж зберігаються на серверах. Цікаво, що подібним чином можна проводити GEOINT-розвідку. Наприклад, завантажити додаток “Fake GPS location” або скористатись іншими рішеннями,  задати конкретну локацію на мапі й з допомогою Telegram парсити користувачів та групи по заданій локації (див. відео). Чим не інструмент кіберсталкінгу? Хакери таким чином підбирають жертви для своїх атак. Скаммери розсилають фішинг і спам. SEOшники відправляють інвайти та накручують учасників. Ну а зловмисники можуть цю опцію використовувати для визначення фізичного місцеперебування осіб, фішингу, булінгу, вішингу, смішингу, перехвату дзвінків (SS7) та SMS. Дивно, що ця функція, якою можна так зловживати, досі жива.
  
• Не приймайте дзвінки від незнайомих користувачів в Telegram. Ця функція може дозволити визначити вашу IP-адресу (якщо у налаштуваннях приватності увімкнуто “Use peer-to-peer”).
  
• Будьте уважними з папкою “Saved Messages” (дозволяє писати й пересилати повідомлення самому собі) – закріпіть її у списку чатів так, щоб ви її бачили та могли оперативно знайти. Також, пам’ятайте, що ця тека не має наскрізного E2EE-шифрування й усі дані йдуть на сервер. Не використовуйте її для зберігання конфіденційної інформації: паролів, логінів, документів і т.д. Шахраї примудрилися використати цю функцію для викрадення приватної інформації користувачів. Вони реєструють нові акаунти з ім’ям Saved Messages і аватаром закладки, а потім пишуть випадковим користувачам Телеграму й миттєво видаляють свої повідомлення. Після цього, через деякий час діалог залишається і неуважний або заклопотаний користувач шукає в пошуку свою папку “Saved Messages” й знаходить ворожий акаунт “Saved Messages”, якому відправляє свої повідомлення. Сам Telegram рекомендує використовувати приватні канали у випадку, якщо конче треба зберегти щось приватне, наприклад фото.
  
• Не використовуйте Telegram для реєстрації або авторизації на сайтах. Існує чимало випадків, коли саме через цей спосіб викрадали акаунти. Наприклад, ви можете потрапити на фішинговий ресурс з підробленим віджетом “Потрібно авторизуватися через Telegram, щоб продовжити”. У висновку, після входу ваша сесія Telegram та cookie втечуть до зловмисників.
  
• Не переходьте за посиланням, які вам надсилають в Telegram незнайомці. Вони можуть вести на фішингові сайти або шкідливі боти для перехоплення/викрадення користувацьких даних і подальшого зламу акаунта. Вам можуть запросто підсунути IP-логгер для визначення метаданих і GPS-координат. Як перевіряти шкідливі посилання ми писали тут.
• Не пересилайте в Telegram скріншоти з номерами кредитних карт, телефонами, паролями та іншими важливими даними. Як показує практика, в Telegram це все зберігається на серверах і локально в кеші пристрою теж. Причому це нерідко стається навіть тоді, коли автотаймер знищення повідомлень увімкнуто.
• Дотримуйтесь правил цифрової гігієни в будь-яких публічних чатах Telegram. Не розміщуйте жодної персональної інформації – місце роботи, проживання, вік. Не надсилайте нікому свої документи. Не знайомтеся в анонімних чатах і не робіть там жодних необдуманих висловлювань. Пам’ятайте, що в цих чатах окрім вас перебувають найрізноманітніші люди серед них можуть бути і хакери, і шахраї, і спецслужби. Ось стаття, опублікована Washington Post, в якій йдеться про те як Росія активно стежила за чатами Telegram у рамках своїх операцій проти повстанців в окупованому Херсоні.
• Не вмикайте біометрію для входу в Telegram, наприклад вхід по Face ID або відбитку пальця. На сьогодні, ці методи вдосконалюються і можуть містити невідомі раніше 0-Day вразливості. До прикладу, ось одна із офіційно публікованих вразливостей, яка дозволяла зловмиснику підібрати відбиток пальця.
• Ми не рекомендуємо застосовувати функцію Telegram Passport – це спосіб авторизації в різних платіжних сервісах, які вимагають ідентифікації особи через документи, що посвідчують особу. Є ризик “посіяти” персональні дані.
• Якщо ви бачите, що ваш акаунт скомпрометований і ви маєте доступ до свого мобільного телефону — видаліть акаунт (як це зробити див. нижче) і створіть заново. Це дещо підчистить історію й ускладнить хронологію.
• Користуйтеся завжди VPN. Як вже писалося, будь-які IP-адреси з яких ви входите в акаунт зберігаються в історії на серверах. Шукайте надійні та якісні VPN-клієнти з функцією “Kill Switch” – заборона інтернет-з’єднання без увімкненого VPN. Пропонуємо ознайомитись з деякими нашими рекомендаціями.

Лайфхаки Telegram

⚡ Лайфхак #1: Ще один недолік приватності Telegram полягає в неможливості приховати сам факт використання додатка. Якщо ваш номер зареєстрований в Телеграмі, то, по-перше, усім тим, хто має його у своїй телефонній книзі надійде сповіщення що ви там є, а по-друге, можна будь-який номер вручну пробити на наявність Телеграму, що дає можливість зловживати цим. Шахраї й спецслужби беруть відразу увесь пул номерів того чи іншого оператора, формують з них розбиту на частини телефонну книгу і з допомогою спеціалізованого софта на базі Telegram API, перевіряють кожен номер на наявність в Telegram. Якщо контакт присутній, далі отримується його ID, список груп, коментарі користувача, активність і багато іншого. Так проводиться деанонімізація. Шахраї ж можуть просто формувати базу даних номерів з метою збуту у даркнеті.  Уникнути подібного можна таким чином – або купивши анонімний Телеграм-номер на +888, якого немає в жодних абонентських базах (тому що це штучний NFT-номер). Або використовувати SIM-картки надійних іноземних операторів в країнах ЄС, регулярно сплачуючи їх послуги.

⚡Лайфхак #2: Якщо ви маєте номер телефону незнайомої особи і за ним є Telegram-акаунт, ви можете дізнатися справжнє ім’я або нік цієї особи. Для цього додайте цей номер собі в контакти в Telegram під будь-яким іменем, а потім вилучіть його натиснувши Delete Account. Ви побачите ім’я, яке особа сама вказала в своєму акаунті.

👉 Інші чек-лісти безпеки акаунта Telegram:

⏩ Unveiling Messenger Weaknesses: Understanding How Hackers Can Infiltrate and Compromise Your Device
⏩ Telegram Security Best Practices