Close

Безпека і анонімність в Telegram

У цій публікації ми детально розглянемо що являє собою Telegram з погляду безпеки. Яка його архітектура і модель шифрування. Які налаштування приватності він надає. Як зберегти анонімність в Телеграм і захистити свої акаунти, канали, групи.

За статистикою, Telegram входить у п’ятірку найпопулярніших додатків в Україні. Користуються ним широкі верстви населення. Загальна кількість користувачів по всьому світу перевалила за пів мільярда. На перший погляд, це просто цифри. А для когось Telegram – серйозний інструмент електронної розвідки та соціальної інженерії. Чимало функцій у ньому є шпигунськими, у цьому ви переконаєтесь на власному досвіді, ознайомившись з нашим матеріалом.

Зміст статті

Архітектура і структура Telegram

ℹ️ Telegram – це централізована платформа для онлайн-комунікації, розроблена в російській федерації братами Павлом та Миколою Дуровими. Офіційно запущена 14 серпня 2013 року. Надає користувачам різноманітні електронні сервіси, такі як: обмін онлайн-повідомленнями, надсилання і зберігання файлів, чати, групи, канали, стрічки новин, голосові дзвінки, мультимедіа та багато іншого.

Штаб-квартира Telegram знаходиться в Дубаї, ОАЕ. Більшість розробників, як йдеться на офіційному сайті, родом з Санкт-Петербурга. Юридично, за даними комісії цінних паперів США, Telegram зареєстрований на Британських Віргінських Островах. За даними офіційного сайту, Telegram складається з 3-х компаній: материнської Telegram Group Inc., групи Telegraph Inc. (Британські Віргінські Острови) та Telegram FZ-LLC (Дубаї).

Архітектура Telegram є клієнт-серверною (Client-Server), тобто його функціонал складається з 2-х частин:

  1. Серверна частина (Server Side) – це хмарні і фізичні сервери, які виступають накопичувачами даних. Вони також їх обробляють. Серверна інфраструктура Telegram налічує десятки центрів обробки даних (ЦОД) по всьому світу, котрі підпорядковуються місцевому законодавству. Сервери адмініструються і обслуговуються інженерами Telegram.
  2. Клієнтська частина (Client Side) – це застосунок для мобільного та десктопного пристроїв, який підтримує різні платформи і операційні системи (Windows, Windows Phone, Linux, Android, MacOS, iOS, iPhone, iPad). Завдяки йому користувач реєструється і взаємодіє з інфраструктурою Telegram. Окрім цього, існує веб-версія Telegram Web – нею можна користуватися лише через веб-браузер за наявності попередньо зареєстрованого облікового запису.

Клієнтська і серверна частини постійно комунікують між собою. Через клієнтську частину користувацькі дані синхронізуються з серверами інфраструктури Telegram.

Telegram architecture

Telegram server infrastructure
Мережева карта серверів Telegram. Джерело: DNSdumpster.

Дані шифруються авторським алгоритмом – MTProto 2.0 з 256-бітними AES-ключами в режимі IGE (Infinite Garble Extension). Вихідний код алгоритму шифрування закритий — у вільному доступі є лише його специфікація, що не дає можливості незалежним дослідникам провести аудит, пентест та оцінити його захищеність. Користувачу залишається або відмовитися від використання продукту Telegram, або просто довіритися розробнику, що по суті суперечить правилу нульової довіри Zero Trust Architecture: «Ніколи не довіряти, завжди перевіряти».

MTProto схема 1

Модель шифрування Telegram, реалізована за принципом – “клієнт-сервер/сервер-клієнт” (Client-Server/Server-Client, MTProto 2.0 Part 1) є найбільш критикованою серед спеціалістів з кібербезпеки. За такої моделі сервер виступає посередником і має доступ до ключа шифрування (!). Власники серверів в теорії можуть розшифрувати й прочитати будь-яке повідомлення.

Окрім того, зберігання ключів шифрування на сервері, а не на локальному пристрої користувача, є досить ненадійним і суперечить криптографії. Якщо на сервері з’явиться вразливість, то він може бути зламаний, скомпрометований і підроблений. У висновку зловмисник отримає доступ до конфіденційних або службових даних. Подібне регулярно траплялося з криптобіржами, які зберігали ключі на своїх серверах.

Зрештою, Telegram теж не виняток. У 2019 році хакер під ніком У 2021 році видання The Guardian повідомило, що засновник Telegram фігурує у списку осіб, за яким стежить зловмисне програмне забезпечення Pegasus, яке може проникати на будь-які цифрові носії і викрадати дані.

Is Telegram secure

Ще одним недоліком є те, що у всіх чатах Telegram, окрім секретних, відсутнє наскрізне E2EE-шифрування (!) – використовується звичайне TLS/SSL-з’єднання.  Чому воно не працює у всіх чатах по замовчуванню Павло Дуров спробував відповісти в статті “Why Isn’t Telegram End-to-End Encrypted by Default?”. На жаль, його позиція базувалася в основному на спростуваннях і запереченнях іншого месенджера – WhatsApp. Можливо також, що розробники просто не хочуть позбавляти користувачів основної функціональностіхмарного накопичувача в режимі реального часу. Це дає можливість отримувати одночасний доступ до акаунта на багатьох пристроях і платформах. Якщо увімкнути E2EE – швидкість може знизитися у кілька разів (детальніше про секретні чати і як вони влаштовані читайте нижче в окремому розділі).

Щодо клієнтської частини Telegram. Вихідний код додатка розміщений у вільному доступі (ліцензія OpenSource GPLv2/v3), що дозволило незалежним розробникам створити власні альтернативні версії Telegram з додатковим функціоналом.

Ось деякі з них:

64Gram

Неофіційний клієнт Telegram на основі Telegram Desktop з додатковими функціями. Забезпечує 64-розрядні збірки для Windows, Linux, MacOS.

Kotatogram

Експериментальний форк, заснований на Telegram Desktop, має всі його функції, але також має деякі корисніші та косметичні функції.

Telegram FOSS

Це неофіційний, FOSS-сумісний форк оригінального додатка Telegram для Android. Фактично, той самий Telegram, тільки без опцій та компонентів, які суперечать принципам прозорості і безпеки.

Telegram X

Експериментальний клієнт Telegram на основі TDLib.

Graph Messenger

Неофіційний додаток для обміну повідомленнями, який використовує API Telegram і додає нові функції, як-от справжню систему кількох облікових записів, менеджер завантажень і часову шкалу.

Unigram

Telegram-клієнт для Windows.

Postufgram

Мобільний Telegram-клієнт з “подвійним дном” для iOS.

Nekogram

Сторонній клієнт Telegram із відкритим кодом і невеликою кількістю корисних модифікацій

*Примітка: Користуючись неофіційними збірками Telegram, ви берете на себе усі ризики та відповідальність, які можуть бути з ними пов’язані. Telegram не відстежує їх вразливості. Один з таких випадків стався на початку 2023-го – хакерська група “StrongPity” поширювала троянізовані версії Telegram. Постраждали чимало користувачів.

Клієнтська частина Telegram, окремо від серверної, зберігає на пристрої користувача певні дані, а саме: дані профілю, кешовані повідомлення, файли, сесії, логи, конфіги. До прикладу, якщо ви знайдете папку Telegram-Desktop на своєму комп’ютері й зайдете в неї, то побачите там підпапку tdata і файл log.txt (журнал запуску додатка). В директорії tdata зберігаються усі технічні файли облікового запису Telegram, включаючи сесію користувача.

⚠️ УВАГА: Якщо ваша система зламана і зловмисник якимсь чином скопіював теку tdata собі на пристрій — він зможе безперешкодно отримати доступ до вашого акаунта БЕЗ АВТОРИЗАЦІЇ й ПАРАЛЕЛЬНО з вами користуватися ним. Цю сесію ви не побачите у налаштуваннях Telegram. Це дуже небезпечний і доволі поширений трюк.

Telegram TDATA directory

На смартфоні усе діє аналогічно, хоча там дещо складніше розібратись (залежить від моделі смартфона та версії Android). Зловмисник зламує через шкідливе ПЗ (наприклад, стилер або Pegasus) дешевий, не оновлений китайський смартфон і отримує доступ до всіх файлів, далі просто копіює їх собі на локалку і вуаля.

На пристроях під управлінням ОС Android файли Telegram зберігаються в папці /Android/data/org.telegram.messenger. Тут є директорії cache і files. Відповідно в них зберігається вся активність вашого акаунта в Telegram.

File structure Telegram

Рекомендуємо вищезгадані директорії час від часу очищати. Це можна робити вручну з допомогою файлового менеджера Total Commander та через налаштування Telegram: Settings -> Data and Storage -> Storage Usage.

Telegram cloud storage clean

Telegram також має власний API-інтерфейс (Application Programming Interface) – це технологія віддаленої взаємодії з серверами, що дозволяє досвідченим користувачам на базі Telegram створювати власні боти, додатки, інтеграції. Також присутній CLI (Command Line Interface) – керування Telegram засобами командного рядка, але він неофіційний. Обидві функції надають користувачам розширені переваги. Інструменти, які застосовують API та CLI Telegram детально розглянемо в окремому розділі нижче.

👉 Посилання на додаткові матеріали з аналізом безпеки архітектури Telegram:

Які користувацькі дані збирає і зберігає Telegram?

У Політиці конфіденційності Telegram вказано наступне:

“Telegram підтримує величезні спільноти, які ми маємо контролювати проти зловживань і порушень Умов використання. Telegram також має понад 700 мільйонів користувачів, що робить його прибутковою мішенню для спамерів. Щоб підвищити безпеку вашого облікового запису, а також запобігти спаму, зловживанням та іншим порушенням наших Умов використання, ми можемо збирати такі метадані, як ваша IP-адреса, пристрої та програми Telegram, якими ви користуєтеся, історія змін імені користувача тощо. У разі збору ці метадані можна зберігати максимум 12 місяців.”

App Privacy Telegram
Політика використання даних користувача в додатку Telegram. Інформація вказана розробником в репозиторіях Google Play та Apple AppStore.

Точно з’ясувати які дані користувача зберігаються на серверах Telegram допоможе функція “Експорт профілю”. Її ввели на вимогу GDPR. Присутня вона лише на Telegram Desktop останніх версій і знаходиться в меню Advanced -> Export Telegram Data. Щоб розпочати, оберіть усі типи даних, виставте максимальний поріг об’єму даних, вкажіть шлях до збереження на комп’ютері і задайте формат – HTML або JSON. Отже, тиснемо Export – з’явиться вікно з ініціалізацією завантаження. Жодних додаткових підтверджень особи або введення пароля Telegram не потребує. І це теж трохи дивує.

Telegram Export Data

Процес відбуватиметься у фоновому режимі, ви можете закрити вікно. У верхньому рядку побачите виконання – “Exporting your data”. Ви можете вилучити будь-який файл в процесі експорту, натиснувши “Skip this file”.

Exporting Data Telegram

Після завершення побачите сповіщення з відомостями щодо кількості отриманих файлів та загального об’єму у мегабайтах. Натисніть “SHOW MY DATA”, щоби перейти безпосередньо до результатів:

Export data in Telegram

Ви побачите збережені на вашому комп’ютері дані. Відкрийте файл export_results.html  – відобразиться сторінка з вибором ваших даних, розбитих за категоріями:

Telegram export results

Exported Data in Telegram Account

Проаналізуємо, які користувацькі дані було отримано в результаті експорту:

  • 👉 Phone number. Ваш номер телефону,  прив’язаний до Telegram. Це основний ідентифікатор користувача в Telegram.
  • 👉 First name і Last name. Ім’я користувача. Якщо ви, наприклад, ці дані не вказували, скориставшись лайфхаком “Порожнє ім’я” (див. нижче), то вони не будуть відображені.
  • 👉 Username. URL-адреса вашого профілю.
  • 👉 Bio. Коротка інформація, яку можна вказати про себе в описі профілю.
  • 👉 Chats. Надається повний список назв публічних груп і каналів (без їх опису і аватарок), в яких перебував користувач. Причому навіть тих, з яких користувач вийшов. Якщо користувач залишав там якісь повідомлення – вони також збережуться і покажуться в хронологічній послідовності з вказаними датою і часом. Цікаво, що сюди не потрапили секретні чати Telegram з наскрізним E2EE-шифруванням. Ми їх розглянемо трохи нижче. Також сюди потрапила історія листування з Телеграм-ботами (включаючи BotFather), а також папка з особистими нотатками “Saved messages”. Якщо ви в цю папку відправляли фото і різні файли (pdf, zip, mp3, mp4 і ін.) – вони будуть в експорті. Присутні канали, в яких користувач був адміністратором з усіма публікаціями.
  • 👉 Contacts. Телеграм по замовчуванню просить отримати доступ до телефонної книги з вашими контактами, щоб синхронізувати їх зі своїми серверами і повідомляти вас або ваші контакти, якщо хтось приєднається до Телеграм. Якщо погодитися, то месенджер буде щоразу додавати на свій сервер нові контакти, якщо вони у вас з’являться. Цікавим виявилось наступне: імена синхронізованих контактів показані в експорті не ті, які були у вашій телефонній книзі, а ті, які вперше вказали у своєму профілі самі користувачі. Також вказана дата і час синхронізації. У цьому списку не буде заблокованих користувачів.
  • 👉 Profile pictures. Усі зображення, які користувач завантажував як фото профілю.
  • 👉 Sessions. Інформація про сеанси Telegram. Буде показано з яких пристроїв, моделей смартфонів, операційних систем входив у свій акаунт користувач. Також показана геолокація та IP-адреса. Вказані дата і час створення акаунту та останньої активності. Як бачимо, Telegram фіксує буквально все.
  • 👉 Other data. У цій папці найважливіше. Дані подаються у форматі JSON. Також зазначається, що Telegram зберігають ці дані максимум 12 місяців:“We may collect data such… for 12 month maximum”. Ми знайшли тут історію IP-адрес, з яких здійснювався вхід в акаунт, логи всіх змін в акаунті (назва зміни, дата, IP-адреса, країна, ID додатку та сесії з яких вносилися зміни), чернетки повідомлень з деякими ботами, посилання встановлені стікер-паки. Уявіть собі скільки взнає зловмисник, якщо зламає чийсь акаунт і скористається експортом. Хоча, подібні логи насправді фіксуються майже у всіх сучасних додатках і онлайн-сервісах, просто не всі дають їх вивантажити в такому об’ємі.

Saved User Data

Which metadata collect Telegram

Окрім того, вдалося з’ясувати які технічні/діагностичні дані про мобільний пристрій збирає Telegram. Це можна зробити з допомогою опцією “Help”, котра з’являється при проблемах реєстрації. Якщо натиснути на напис Help, то з’явиться можливість відправити діагностичний звіт в службу підтримки sms@telegram.org по електронній пошті – додаток сам створить заготовку для листа, в якому будуть вказані точні дані про ваш пристрій:

  • Phone: +380XXXXXXXX
  • App version: XX.X.X (xxxxx)
  • OS version: SDK XX
  • Device Name: Samsung SXX
  • Operator: XXXXXX
  • Locale: en

Отже, ви наочно переконались скільки всього про вас знає Telegram. Якщо прагнете повної і беззаперечної анонімності, рекомендуємо попрацювати з прошивкою так, щоби ви змогли підмінити назву мобільного пристрою. Інакше він стане ключовим індикатором компрометації.

Нижче можете ознайомитись з основними порадами як зменшити ризики витоку своїх даних в Telegram та захистити акаунт.

Налаштування безпеки Telegram

Основні налаштування безпеки мобільного додатка Telegram знаходяться в меню “Privacy and Security”:

  • ✅ Two-Step Verification – двофакторна верифікація (не плутати з класичною двофакторною авторизацією, де формується на окремому пристрої чи додатку OTP-код , який потрібно ввести). Являє собою просто додатковий пароль на доступ до вашого акаунта. Навіть якщо зловмисник отримає доступ до вашої SIM-картки й отримає SMS-підтвердження, то двофакторна верифікація не пустить його в акаунт. Рекомендується в обов’язковому порядку вмикати, інакше можете опинитися під реальною загрозою. Більшість варіантів зламу Телеграм-акаунтів стаються саме через відсутність двофакторної верифікації. Пароль варто вказувати складний, довгий — не менше 20 символів, що складається з різних цифр, латинських літер верхнього та нижнього регістру, спецсимволів. Слабкий пароль можуть підібрати методом bruteforce-перебору. При встановленні двофакторної верифікації, Telegram попросить вказати додаткову підказку (у випадку якщо забудете пароль) і електронну пошту для відновлення у разі втрати доступу. Краще проігноруйте і не вказуйте жодної додаткової інформації.
    А якщо вирішили перестрахуватися й додати email, то використовуйте тільки захищеного провайдера з PGP-шифруванням і двофакторною авторизацією. Наприклад, Protonmail, який підтримує багатофакторну авторизацію і доступний через TOR. Важливо: Якщо ваш обліковий запис прив’язаний до електронної скриньки, то на неї прийде код активації у випадку, якщо ви не зможете увійти до свого акаунту.
  • ✅ Auto-Delete Messages – автоматичний таймер видалення повідомлень. Якщо включено, ваші повідомлення автоматично зникатимуть з чатів по досягненню відповідного часового інтервалу. Корисно, якщо спілкуєтесь на різні приватні теми. Однак варто пам’ятати, що будь-які повідомлення, окрім секретних чатів, все одно зберігаються на серверах.
  • ✅ Passcode Lock – встановлення PIN-коду на доступ до додатка Telegram. Рекомендується активувати, щоб обмежити несанкціонований доступ. Наприклад, при втраті телефона. Виставте потрібний час автоматичного блокування: 1 хв, 5 хв, 1 год, 5 год. Опцію “Show Content” бажано вимкнути, щоби push-сповіщення не з’являлися на екрані, коли пристрій заблоковано.
  • ✅ Blocked users – керування функцією блокування користувачів в Telegram. Заблоковані користувачі не зможуть відправляти вам повідомлення, додавати до груп, бачити ваш статус онлайн та фото профілю. У будь-який момент ви можете відключити і розблокувати користувача.
  • ✅ Devices – перегляд активних сесій акаунту Telegram. Тут можна контролювати на яких пристроях авторизований додаток, чи немає підозрілих сесій, пристроїв, локацій, IP-адрес. Можна перейменовувати та вилучати сесії, прив’язувати нові по QR-коду, а також виставити період неактивності свого акаунта, відповідно до якого він самознищиться (мінімальне значення – 1 тиждень, максимальне – 1 рік). Може бути корисним, якщо ви створюєте щось тимчасово.
  • ✅ Phone number – дає можливість приховати свій номер телефону від інших користувачів в Telegram. Рекомендується виставити режим видимості “Nobody” з доступністю тільки для своїх контактів “My contacts”. Це потрібно зробити одразу після реєстрації, в іншому випадку різні боти просканують ваш профіль і внесуть номер в базу даних, яка може використовуватися ким та як завгодно. Видалити себе з цієї бази буде неможливо.
  • ✅ Last seen & online – дає можливість приховати час і дату останнього входу в Телеграм, що унеможливлює стеження і таймінг-атаки. Існують боти й інструменти API, які ведуть запис часу проведеного у мережі конкретного користувача і відправляють метадані зловмиснику. Таким чином можна розібратися, коли і хто виходив на зв’язок в Телеграмі та багато іншого.
  • ✅ Profile photos – дає можливість обмежити відображення вашого аватара іншим користувачам Telegram.
  • ✅ Forwarded messsages – дає можливість обмежити пересилку ваших повідомлень іншими користувачами. Корисна опція, яка додає приватності й захищає від різних атак і маніпуляцій з вашими повідомленнями.
  • ✅ Calls – дає можливість обмежити дзвінки від невідомих осіб або взагалі відключити їх. Можна надати дозвіл лише для обраного списку. Важливою є опція “Use peer-to-peer”. Якщо увімкнути — ваш співрозмовник зможе дізнатися вашу IP-адресу (наприклад через фільтри Wireshark). Якщо вимкнути — усі дзвінки будуть йти через сервери Телеграм. Є також опція зробити P2P активним лише для обраних контактів.
  • ✅ Groups & channels – дає можливість заборонити, щоби інші користувачі не додавали й не запрошували вас до груп й каналів. Допоможе захиститись від спаму.
  • ✅ Voice messages – дає можливість заборонити відправляти вам голосові повідомлення (доступно тільки по підписці на Telegram Premium).
  • ✅ Clear Payment and Shipping Info – дозволяє очистити всю платіжну інформацію, пов’язану з вашим обліковим записом.
  • ✅ Logged in with Telegram – перегляд сайтів, на яких ви авторизувалися через Telegram.
  • ✅ Delete Synced Contact – вилучає з Telegram синхронізовані контакти з вашої телефонної книги.
  • ✅ Sync Contacts – рекомендуємо вимкнути синхронізацію контактів в Telegram. Додатково, можете заблокувати Telegram доступ до ваших контактів через налаштування смартфона. Річ у тому, що Телеграм на своїх серверах вибудовує гігантську карту соціальних зв’язків, аналізуючи як вони пов’язані один з одним.
  • ✅ Suggest Frequent Contacts – формування списку контактів, з якими користувач найчастіше спілкується. Шпигунська функція, яка збирає статистику по контактах. Рекомендуємо відключити.
  • ✅ Sesnsitive content –  дає можливість відключити автоматичну фільтрацію контенту в Телеграм, таким чином ви зможете бачити будь-які пости в Telegram. Опція присутня лише в Desktop-додатку.
  • ✅ Map preview provider – ви можете змінити постачальника сервісу онлайн-мап. Це корисно, якщо вирішили відмовитись від сервісів Google.
  • ✅ Link Previews – ця опція включає прев’ю сніппетів для URL-посилань. Таким чином ви будете бачити куди веде посилання, перед тим як перейти по ньому.

Privacy and security settings in Telegram

В додатку Telegram Desktop є інші корисні опції, які знаходяться в меню “Settings” ->Advanced”:

  • ✅ Connection type – дозволяє підключатися до Телеграм через сторонні проксі-сервери. Корисно, якщо ви не хочете світити в Телеграм свою IP-адресу і щоб трафік через сервер, а не напряму через ваш пристрій. Підтримуються різні типи з’єднань: IPv6, HTTP, SOCKS5, MTPROTO.
  • ✅ Manage local storage – дозволяє керувати даними, які Телеграм зберігає на вашому пристрої, зокрема кеш. Бажано, щоб він не застоювався і очищався якомога частіше (див. вище).
  • ✅ Ask download path for each file – Телеграм запитуватиме вас куди зберігати файли при завантаженні. В іншому випадку, він буде зберігати їх автоматично у папку по замовчуванню. Це захистить вас від потрапляння зайвих файлів на ваш комп’ютер.
  • ✅ Automatic media download – дає можливість відключити автоматичне завантаження файлів з чатів, груп, каналів на ваш пристрій. Це може бути корисним, тому що в іншому випадку Telegram не питаючи дозволу автоматично завантажуватиме будь-який контент. Найкраще відключити й самому вирішувати, що треба завантажувати, а що ні.
  • ✅ Battery and Animations – можна відключити інтелектуальну систему керування батареєю і відключити анімацію в Telegram.
  • ✅ Spell checker – рекомендуємо відключити перевірку орфографії Telegram. Під цим виглядом здійснюється відстеження вводу клавіатури та персоналізація.

Telegram Desktop Advaced settings

ℹ️ Примітка: Важливо провести усі налаштування безпеки одразу після реєстрації, адже потім може бути пізно — боти регулярно сканують Telegram на наявність нових профілів й відразу копіюють будь-яку знайдену інформацію у свою базу, де вона залишається фактично навічно (навіть після видалення акаунта Telegram).

Також радимо обмежити дозволи й доступи для Telegram на рівні операційної системи – Android (або iOS, залежно від операційної системи вашого пристрою). Для цього перейдіть в меню Apps та оберіть у списку додатків Telegram й відключіть усе зайве, наприклад:

Telegram Android permissions

Додаткові поради та заходи як захистити акаунт в Telegram

  • Не реєструйтеся в Telegram за мобільним номером, який використовуєте в реальному житті. По номеру можна провести різнорівневі атаки: SS7, SMS-bombing (Flood Attack), SMiShing, Vishing тощо. Крім того, в Telegtram існують боти, які збирають телефонну базу номерів і незаконно збувають або зливають в інтернеті. Краще придбати собі окремий стартовий пакет (пам’ятайте, що номер повинен бути чистий, без історії. Перед покупкою пробийте його в Getcontact на наявність тегів!), а ще краще іноземну SIM (необхідно регулярно поповнювати). Ми рекомендуємо використовувати номери країн Євросоюзу. Річ в тому, що аби захистити дані користувачів ЄС, Telegram змушений відповідати європейським нормам і законам, включаючи GDPR. В іншому випадку, з нього стягнуть штрафи або взагалі заблокують.
    Ви також можете придбати анонімний NFT-номер з префіксом +888 на платформі fragment.com (яку заснував, до речі, сам Telegram) за криптовалюту TON і потім зареєструватися по ньому в додатку без SIM-картки. Для цього потрібно встановити мобільний гаманець Tonkeeper і прив’язати його до маркетплейса Fragment. Якщо номер стане в майбутньому непотрібним, ви зможете його продати, причому за значно більшу ціну. Варто відзначити, що випадків зламу акаунтів з такими номерами практично не зафіксовано. А якщо хтось спробує повторно зареєструвати його, то код активації приходить не в додаток, а в особистий кабінет на платформу Fragment, доступ до якої відбувається через криптогаманець Tonkeeper.
    І ще: будь-який прив’язаний до облікового записа Telegram номер в майбутньому можна змінити. Тобто ви періодично можете проводити ротацію своїх номерів.

    Telegram +888 номер
  • Не задавайте username у своєму акаунті. Це не обов’язково. Якщо username вказано, профіль будь-якого користувача стає вразливим до різних атак, його можна відкрити у будь-якому браузері: https://t.me/USERNAME. Такий профіль індексується пошуковими системами і з’являється у відкритому доступі. По юзернейму можна вирахувати ідентифікатор користувача Telegram ID і провести деанон. По юзернейму вас будуть парсити і аналізувати ваші повідомлення в групах. Якщо ж задаєте юзернейм, то робіть його унікальним, аби він не співпадав з іншими вашими URL та нікнеймами в інтернеті (перевірити їх можна інструментами Maigret, Sherlock або Instantusername). До речі, Username в Телезі можна змінити і навіть продати на аукціоні fragment.com.
  • Не вказуйте свої справжні ім’я та прізвище в профілі. Ці поля хоч і обов’язкові, але є довільними. Ніхто не зобов’язує там вказувати свої персональні дані. Можна скористатися лайфхаком і ввести невидимі спецсимволи, наприклад “м’яке перенесення” – символ пробілу в таблиці Юнікод (U+00AD). Ваше ім’я стане невидимим. Хочемо зауважити, що будь-які зміни в профілі відразу фіксуються на серверах Telegram. Тобто, якщо ви при реєстрації вказали одне ім’я, а потім інше, то це відобразиться в історії вашого Telegram ID. І, за певних обставин, з допомогою API цю історію можна спарсити.
  • Не завантажуйте свої справжні фото на аватар, а також зображення, які ви використовуєте на інших сайтах. По фото можна провести розгорнуте OSINT-дослідження, визначити метадані і геолокацію, знайти профілі в соцмережах та пов’язати віртуальні дані (Fingerprint) з реальною особою. В OSINT присвячений окремий розділ веб-аналітики — розвідка по зображенню – IMINT (Image Intelligence). Якщо ви все-таки хочете використати власне зображення, то проведіть пост-обробку в Photoshop (приберіть різкість, заблюрте зайві елементи, застосуйте фільтр) й очистіть EXIF-дані (сучасні фотокамери часто записують в файл надто багато даних, наприклад час і дату знімання, GPS-координати, фотопристрій).
  • Якщо ви змушені часто користуватися Telegram з тих чи інших причин (наприклад, робота, активізм, навчання), створіть кілька акаунтів і використовуйте їх для різних задач. Наприклад, один анонімний (про який не знає ніхто) для адміністрування груп, інший для спілкування. Не один акаунт для всіх задач, не змішуйте професійне і особисте (друзі, родичі, знайомства, чати, новини). До речі, Telegram підтримує мультиакаунт.  Можете перейти в налаштування, натиснути “Add Account”, далі пройти звичний процес реєстрації в додатку й ви зможете перемикатися між акаунтами в одному профілі. Максимально так можна додати до 3-х акаунтів, хоча це обмеження відсутнє в неофіційних версіях Telegram. Існує більш конфіденційний спосіб: використати спеціальний додаток Parallel Space для Android/iOS, що дозволить користуватися декількома додатками Telegram одночасно на одному пристрої. Відповідно у вас буде декілька не пов’язаних між собою профілів. Ще один спосіб — просто встановити різні неофіційні версії Telegram на одному пристрої.
    How add second account in Telegram
  • Не вмикайте опцію “People Nearby” (Люди поруч) -> “Make Myself Visible”. Через неї Telegram отримує доступ до ваших GPS-координат та визначає локацію інших людей, присутніх у Telegram, поблизу з вами у вашій місцевості, з точністю до метра! Далі ці дані, ймовірно, теж зберігаються на серверах. Цікаво, що подібним чином можна проводити GEOINT-розвідку. Наприклад, завантажити додаток “Fake GPS location” або скористатись іншими рішеннями,  задати конкретну локацію на мапі й з допомогою Telegram парсити користувачів та групи по заданій локації (див. відео). Чим не інструмент кіберсталкінгу? Хакери таким чином підбирають жертви для своїх атак. Скаммери розсилають фішинг і спам. SEOшники відправляють інвайти та накручують учасників. Ну а зловмисники можуть цю опцію використовувати для визначення фізичного місцеперебування осіб, фішингу, булінгу, вішингу, смішингу, перехвату дзвінків (SS7) та SMS. Дивно, що ця функція, якою можна так зловживати, досі жива.
    People nearby in Telegram
  • Не приймайте дзвінки від незнайомих користувачів в Telegram. Ця функція може дозволити зловмиснику визначити вашу IP-адресу (якщо у налаштуваннях приватності увімкнуто “Use peer-to-peer”).
    How steal user ip address in Telegram
  • Будьте уважними з папкою “Saved Messages” (дозволяє писати й пересилати повідомлення самому собі). Закріпіть її у списку чатів так, щоб ви її бачили та могли оперативно знайти. Також, пам’ятайте, що ця тека не має наскрізного E2EE-шифрування й усі дані йдуть на сервер. Не використовуйте її для зберігання конфіденційної інформації: паролів, логінів, документів і т.д. Шахраї примудрилися використати цю функцію для викрадення приватної інформації користувачів. Вони реєструють нові акаунти з ім’ям Saved Messages і аватаром закладки, а потім пишуть випадковим користувачам Телеграму й миттєво видаляють свої повідомлення. Після цього, через деякий час діалог залишається і неуважний або заклопотаний користувач шукає в пошуку свою папку “Saved Messages” й знаходить ворожий акаунт “Saved Messages”, якому відправляє свої повідомлення. Сам Telegram рекомендує використовувати приватні канали у випадку, якщо конче треба зберегти щось приватне, наприклад фото.
    Saved Messages in Telegram
  • Не використовуйте Telegram для реєстрації або авторизації на інших сайтах. Існує чимало випадків, коли саме через цей спосіб викрадали акаунти. Наприклад, ви можете потрапити на фішинговий ресурс з підробленим віджетом “Потрібно авторизуватися через Telegram, щоб продовжити”. У висновку, після входу ваша сесія Telegram та cookie витечуть до зловмисників. Аналогічно, не прив’язуйте обліковий запис Telegram до інших онлайн-сервісів,  електронних кабінетів, платіжних систем, додатків і т.д. Уникайте будь-яких сторонніх інтеграцій Telegram – вони можуть бути зловмисними і поставити ваш акаунт під загрозу!
  • Не переходьте за посиланням, які вам надсилають в Telegram. Це може бути пропозиція перейти на сайт, перейти в бот, завантажити щось, спробувати безкоштовний додаток, проголосувати за когось, прийняти участь в конкурсі, прохання перерахувати кошти, авторизуватись і т.д. Схем безліч! Причому, написати вам можуть як з невідомих акаунтів, так й акаунтів ваших друзів, родичів, знайомих (їх можуть банально хакнути). В такому випадку найкраще зателефонувати їм особисто і уточнити інформацію.
    Завдяки шкідливим посиланням зловмисники досить легко проводять численні операції – перехоплення/захоплення/викрадення облікових даних (Telegram Session Hijacking). Вам можуть підсунути IP-логгер у вигляді посилання для визначення метаданих вашого пристрою та GPS-координат. Дізнатись як розпізнати фішинг і як перевіряти шкідливі посилання ми писали тут.
  • Обережно ставтеся до QR-кодів, які скануєте додатком Telegram. Перевіряйте, що ви скануєте, на яких пристроях чи сайтах скануєте. Часто шахраї підробляють QR-коди й підсовують жертвам для перехоплення доступу (атака QRLJacking).
  • Не пересилайте в Telegram скріншоти з номерами своїх кредитних карт, телефонами, паролями та іншими конфіденційними даними. Як показує практика, в Telegram це все не зникає безслідно, а зберігається на серверах, і локально в кеші пристрою теж. Причому це нерідко стається і тоді, коли автотаймер знищення повідомлень увімкнуто.
  • Дотримуйтесь правил цифрової гігієни в будь-яких чатах Telegram. Не розміщуйте жодної персональної інформації про себе – місце роботи, проживання, вік. Не надсилайте нікому свої документи. Не знайомтеся в анонімних чатах і не робіть там жодних необдуманих дій, висловлювань. Пам’ятайте, що в цих чатах окрім вас перебувають найрізноманітніший контенгент – і хакери, і шахраї, і спамери, і спецслужби. Ось стаття, опублікована Washington Post, в якій йдеться про те як Росія активно стежила за чатами Telegram в рамках своїх операцій проти українських активістів в окупованому Херсоні.
  • Не вмикайте біометрію для входу в Telegram, наприклад вхід по Face ID або відбитку пальця. На сьогодні, ці методи вдосконалюються і можуть містити невідомі раніше 0-Day вразливості. До прикладу, ось одна із офіційно публікованих вразливостей, яка дозволяла зловмиснику підібрати відбиток пальця.
  • Не застосовуйте функцію Telegram Passport. Це спосіб авторизації в різних платіжних сервісах, які вимагають ідентифікації особи через документи, що посвідчують особу. В цьому випадку Telegram попросить завантажити свої паспортні дані. Є ризик їх “посіяти”.
  • Користуйтеся VPN під час роботи в Telegram. Як вже згадувалося, будь-які IP-адреси з яких ви входите в акаунт реєструються в журналах та зберігаються на серверах. Шукайте надійні та якісні VPN-сервіси з функцією “Kill Switch” – заборона інтернет-з’єднання без увімкненого VPN. Пропонуємо ознайомитись з нашими рекомендаціями.
  • Не використовуйте веб-версію Telegram Web. В такому випадку злочинцю достатньо через фішинг отримати кукі вашого браузера, щоб перехопити сесію. Також, дуже часто злочинці створюють фейкові сторінки входу в Telegram Web з метою обдурити жертву й отримати дані авторизації. Найбезпечніше використовувати Telegram лише у вигляді легітимного додатка для мобільного/ПК.
  • Регулярно перевіряйте активні сесії в налаштуваннях додатка Telegram (Мобільний/ПК). Якщо бачите незнайомі пристрої – вилучайте їх і одразу змінюйте пароль. Генеруйте складні паролі і не зберігайте їх в браузері. Зберігайте лише в спеціалізованому менеджері паролей, наприклад KeepassXC (для ПК/браузера/мобільного).
  • Оновлюйте свої додатки Telegram. Застарілі версії містять баги і вразливості.
  • Не вводьте, не показуйте і не повідомляйте нікому свої коди підтвердження, які надходять на Telegram. 
  • Встановіть фарєвол і антивірусний засіб для операційної системи Windows/Android. Зверніть увагу, що зловмисники можуть взламати Telegram, отримавши віддалений доступ до вашого пристрою. Регулярно скануйте систему на наявність експлойтів, троянів, руткітів, стилерів та іншого шкідливого програмного забезпечення.

👉 Читайте більше рекомендацій в публікації “Безпека в інтернеті: поради і рекомендації”.

Лайфхаки Telegram

⚡ Лайфхак #1: Ще один недолік приватності Telegram полягає в неможливості приховати сам факт використання додатка. Якщо ваш номер зареєстрований в Телеграмі, то, по-перше, усім тим, хто має його у своїй телефонній книзі надійде сповіщення що ви там є, а по-друге, можна будь-який номер вручну пробити на наявність Телеграму, що дає можливість зловживати цим. Шахраї й спецслужби беруть відразу увесь пул номерів того чи іншого оператора, формують з них розбиту на частини телефонну книгу і з допомогою спеціалізованого софта на базі Telegram API, перевіряють кожен номер на наявність в Telegram. Якщо контакт присутній, через методи API далі отримується його ID, список груп, коментарі користувача, активність і багато іншого. Так проводиться деанонімізація. Шахраї ж можуть просто формувати базу даних номерів з метою збуту у даркнеті.  Уникнути подібного можна таким чином – або купивши анонімний Телеграм-номер на +888, якого немає в жодних абонентських базах (тому що це штучний NFT-номер, читай вище). Або використовувати SIM-картки надійних іноземних операторів в країнах ЄС (з відповідним законодавством про захист персональних даних), регулярно сплачуючи їх послуги.

⚡Лайфхак #2: Якщо ви маєте номер телефону незнайомої особи і за ним є Telegram-акаунт, ви можете дізнатися справжнє ім’я або нікнейм цієї особи. Для цього додайте цей номер собі в контакти в Telegram під будь-яким іменем, а потім вилучіть його натиснувши Delete Account. Ви побачите ім’я, яке особа вказала сама собі в своєму акаунті.

👉 Додаткові посилання:

Секретні чати Telegram

Секретні чати Telegram

Усі чати в Telegram діляться на 2 типи:

  • Звичайні (хмарні) чати (Cloud chats) – це типові чати Telegram, які не мають наскрізного E2EE-шифрування, вони зберігаються на серверах компанії та синхронізуються з усіма прив’язаними до облікового запису пристроями користувача. До 99% листування в Telegram відбувається у звичайних хмарних чатах. Повідомлення в них шифруються звичайним типом по моделі “клієнт-сервер/сервер-клієнт”, тобто сервер має доступ до ключів шифрування. Відсутність E2EE робить хмарні чати потенційно вразливими до атак типу перехоплення Man-in-the-Middle (Людина посередині). Також до історії листування можуть отримати доступ й самі модератори/адміністратори Telegram за рішенням (або без рішення) суду. Саме тому конфіденційне листування найкраще вести лише у секретних чатах.
  • Секретні чати — це спеціальні чати Telegram з підвищеною безпекою даних, повідомлення в них шифруються асиметричним наскрізним End-to-End шифруванням по моделі “клієнт-клієнт” (1:1). Тобто, за ідеєю, тут немає посередника. Ключами шифрування володіють лише учасники чату. Це означає, що ніхто інший не зможе розшифрувати дані. Обмін ключами здійснюється по протоколу Діффі-Хеллмана (DH). Підтримується запобіжна система з прямою секретністю – Perfect Forward Secrecy (PFS), яка автоматично оновлює ключі кожного сеансу та вилучає неактуальні, скомпрометовані ключі. Резервні копії секретних чатів не створюються на хмарних серверах Telegram – повідомлення доступні тільки на пристроях користувачів. Крім того, секретні чати прив’язані до поточної сесії. Якщо ви вийдете з акаунта й увійдете знову, то втратите усі свої секретні чати.
Алгоритм обміну ключами шифрування Діффі-Хеллмана
Схема роботи алгоритму Діффі-Хеллмана. Аліса та Боб мають по парі ключів – публічний та приватний. а і b – приватні ключі, g і p – випадкові ключі, А і B – публічні ключі, якими Аліса і Боб обмінюються між собою. К – загальний для обох секретний ключ.

Аудіо та відеовиклики, голосові повідомлення, стріми в Telegram підтримують наскрізне E2EE-шифрування. Принаймні так говориться в офіційній документації.

Нижче зображена схема наскрізного шифрування секретних чатів (MTProto 2.0 Part II):

MTproto E2E

Фахівці KR. Laboratories наполегливо рекомендують використовувати тільки секретні чати для листування в Telegram. До речі, міжнародна організація з захисту цифрових прав та свобод в інтернеті Electronic Frontier Foundation (EFF) на диво високо оцінила секретні чати Telegram.

Схема пояснення секретних чатів Telegram.

Щоб розпочати секретний чат з користувачем в Telegram, необхідно відкрити його профіль, натиснути символ «…» в правому верхньому куті та обрати “Start Secret Chat”. Після цього у співрозмовника на головному екрані з’явиться новий чат зі значком замочка і написом “You joined the secret chat”. Увійдіть в нього та почніть діалог.

How to start secret chat in Telegram

В чаті, поруч з аватаркою співрозмовника буде іконка таймера автознищення повідомлень “Self-Desctuct Timer”. Клацнувши по ній ви можете задати значення навіть в секундах. Щоб перевірити ключі шифрування, необхідно клацнути по аватарці співрозмовника і обрати пункт “Encryption Key”. Вам відкриється зображення ключа шифрування вашого секретного чату і його хеш. Надалі, ви можете порівняти цей хеш з тим, який має ваш співбесідник — якщо обидва сходяться, ви можете бути впевнені, що спілкуєтеся саме з цією особою і ніхто не перехоплює вашу розмову, а отже атака типу MITM (Man-in-The-Middle, «Людина посередині») неможлива.

Encryption E2E in secret chats Telegram

Пересилання повідомлень й скріншоти по замовчуванню в секретних чатах заборонені. Однак, як сказано в довідці, у випадку, якщо хтось зробить знімок екрана в секретному чаті, Telegram повинен сповістити користувача про це.

Після завершення розмови рекомендуємо видалити секретний чат натиснувши на значок “…” в правому верхньому куті діалогу та обравши “Delete chat”, після чого у діалоговому вікні додатково позначити галочкою “Also delete for” й натиснути “Delete chat” – секретний чат видалиться і миттєво зникне з головного екрану і пристрою обох користувачів одночасно.

How delete secret chat in Telegram

Пам’ятайте, що секретні чати Telegram залежать від пристрою. Їх немає в Desktop-додатку, вони доступні лише на мобільному пристрої. Якщо ви починаєте секретний чат на одному зі своїх пристроїв – цей чат буде доступний лише на цьому пристрої. Ви можете створювати скільки завгодно різних секретних чатів з одним контактом.

Посилання:

Безпека груп і каналів в Telegram

Безпека Телеграм каналів і груп

В Telegram розрізняють два типи ресурсів:

  • Групи (чати) – це спільноти для групового обміну повідомленнями, підтримують до 200 000 учасників. Історія повідомлень зберігається на серверах Telegram, учасники мають можливість її експортувати з допомогою опції “Export chat history”, яка доступна в описі групи. В чатах можна згадувати один одного з допомогою символу @. Адміністратори можуть підключати спеціальних ботів для модерації повідомлень.
  • Канали – це сторінки для публікації. Можуть мати необмежену кількість підписників. Коли ви публікуєте щось в каналі, ваші повідомлення підписуються назвою каналу, а не іменем адміністратора. Також ви можете призначати додаткових адміністраторів. Нові підписники бачать всю історію повідомлень у каналі. Підписники не можуть писати в каналах, за виключенням, якщо до них не прив’язаний чат для коментування.

Групи і канали можуть бути публічними або приватними. Публічні мають URL-адресу, яка дозволяє кожному знаходити їх у пошукових системах, відкривати в браузері, приєднуватися. Приватні є закритими – щоб долучитися, потрібно мати посилання або QR-код запрошення. Згенерувати їх або оновити можна в налаштуваннях каналу або групи.

У всіх груп та каналів є свій ID (починається з символу мінус), ім’я, аватар, опис. Ім’я групи формує URL-адресу, яку можна переглянути як сторінку у будь-якому браузері. Максимальна довжина URL-адреси – 5 символів, включаючи 0-9, літери a-z та нижні підкреслення.

***

Питання безпеки груп і каналів в Telegram сьогодні особливо актуальне, адже шахрайських схем дедалі більшає. Це і сквоттинг, і токсичні посилання, і злочинна накрутка конкуренту “липових” підписників, атаки з підставними каналами та інше. На щастя цього можна уникнути, користуючись відповідними налаштуваннями, які доступні усім адміністраторам груп і каналів:

✅ Removed Users –  опція блокування учасників в групах і каналах. Необхідно перейти в пункт “Subscribers” й обрати у списку бажаного користувача та натиснути “Remove”. Він буде видалений і з’явиться в окремому списку забанених – “Removed Users”. Надалі ви зможете редагувати цей список – вилучати або заново додавати користувачів у групу.

How ban user in Telegram

✅ Approve new members – опція, яка дозволяє вступ в групу лише після попереднього схвалення адміністратора. Корисна функція, адже обмежує активність небажаних персонажів. Щоправда, доступна вона, чомусь, тільки в процесі створення групи, або при переведенні приватної в публічну.

How approve members in groups Telegram

✅ Restrict Saving Content – опція забороняє учасникам груп та каналів ділитися вашим контентом, копіювати та зберігати його. Це добре захищає від несанкціонованого повторного використання і просто приховує від зайвих очей.

Restrict saving content in Telegram

✅ Chat history for new members – опція обмежує видимість історії чатів в групах для нових учасників. Тут є дві опції: “Visible” і “Hidden”. Якщо увімкнути режим “Hidden”, то нові учасники не зможуть переглядати хто і що писав раніше, до того як вони вступили в групу. В іншому випадку, кожен охочий зможе вивантажити й проаналізувати історію чату разом з усім контентом – фото, відео, посиланнями, вкладеннями та іншими матеріалами. Корисна функція, захищає від несанкціонованого парсингу.

How make invisible history chats for new members in Telegram

✅ Permissions – гнучка опція, яка дає адміну можливість редагувати дозволи для учасників груп: обмежити відправу повідомлень і медіа, запрошувати, закріпляти повідомлення, змінювати інформацію в описі. Можна задати проміжок часу, через який користувач зможе почати надсилати повідомлення в чат. Є опція “Add Exception’, що дозволяє видавати окремі дозволи для тих чи інших користувачів, призначати модераторів.

Permissions for users in Telegram groups

✅ Remain anonymous, Custom title – опції доступні у налаштуваннях адміністраторів групи. Дає можливість адміну писати в чаті анонімно, від імені своєї групи, а також змінити напис “owner”, який відображається по замовчуванню. Боти-парсери таких адмінів не бачать і не можуть вивантажити при експорті, на відміну від решти учасників.

Admin rights in Telegram

Основна відмінність Telegram-каналу від Telegram-групи полягає в тому, що в каналах користувач не може переглядати список учасників. Відповідно провести деанонімізацію адміністратора каналу стає важчим – допоможуть або соціальна інженерія, або спеціальні OSINT-інструменти. Причому, не завжди.

Поради безпеки власникам Telegram-каналів

Більшість шахрайських схем в Телеграм розраховані на неуважність, довірливість та наївність, а також відсутність цифрової гігієни і недотримання вимог безпеки в інтернеті.

  1. Створіть окремий Telegram-акаунт з окремою SIM-картою, до якої маєте постійний доступ. Захистіть його налаштуваннями приватності і не показуйте цей профіль, не вступайте у жодні групи й канали, щоб він не потрапив у жодну базу. Зробіть цей акаунт адміністратором ваших груп.
  2. Якщо на вас вийшли незнайомці й пропонують співпрацю, перш ніж вступати в діалог, проаналізуйте їх з допомогою OSINT або найміть фахівця з інформаційної безпеки, який це зробить за вас.
  3. Не ведіться на привабливі умови і пропозиції – це може бути соціальна інженерія. Шахраї часто вигадують спокусливі схеми та маніпулюють неправдоподібними цифрами, аби надавити на вашу вигоду й тим самим ввести в оману та розвести.
  4. Якщо вам хтось пише з пошти GMAIL і при цьому представляється співробітником якогось відомого бренду, компанії чи організації – вимагайте підтвердження. Хай напише з корпоративної електронної пошти – так ви пересвідчитеся, чи ця особа дійсно там працює. Обов’язково перевіряйте Email-заголовки, щоби упевнитися в автентичності листа. Також уважно перевіряйте сайт, щоб він не був підробленим або свіжозареєстрованим. Це може бути просто фейк.
  5. Часто під виглядом покупця або рекламного партнера, протилежна сторона починає розпитувати про канал, вивідувати історію, якими сервісами користуєтеся, а разом з тим – вашу історію, де ви проживаєте, освіта, робота, чи є у вас інші Телеграм-канали і таке подібне. Це конкурентна розвідка. Не ведіться і не повідомляйте жодної зайвої інформації. Не надсилайте жодних документів, посвідчень, сертифікатів.
  6. Ставтеся дуже уважно до пропозицій під’єднатися в Skype і продемонструвати свій канал. Нерідко через такі способи зловмисники дізнаються номера телефонів, тут же повторно реєструють їх і підглядають через Скайп код авторизації, після чого зламують акаунт і викрадають Телеграм-канал.
  7. Не надавайте нікому тимчасового доступу для перегляду вашого каналу, не підключайте жодних Телеграм-ботів для аналізу статистики. Не авторизуйтеся на сторонніх сервісах аналітики, які вам надсилають в особисті повідомлення – вони можуть бути фішинговими. Всю статистику по Телеграм-каналах кожен охочий може переглянути без вашої допомоги в спеціалізованих онлайн-сервісах (див. нижче).
  8. Не приймайте жодних файлів від незнайомих осіб – вони можуть містити шкідливий код і слугувати трояном для зламу вашого акаунта, сайту, пристрою.
  9. Не робіть адмінами своїх груп і каналів людей, яких ви добре не знаєте, наприклад познайомилися в інтернеті.

Схема захисту Telegram каналу

Додаткові посилання:

OSINT в Telegram

Telegram OSINT

Існує безліч інструментів з допомогою яких в Telegram можна вести мережеву розвідку різних типів: OSINT, HUMINT, WEBINT, IMINT, GEOINT. Давайте розберемо їх детальніше.

Telegram-боти

Боти (bots) – це автоматизовані облікові записи, які базуються на функціях Telegram API. По суті це своєрідний інтерфейс API. Існують – вбудовані боти (надані самою платформою, наприклад @BotFather) та авторські – створені користувачами. Останні можуть працювати за підготовленими сценаріями й виконувати різноманітні операції: автоматизація дій в Telegram, парсинг і аналіз інформації, онлайн-сповіщення, розсилка повідомлень, відправка SMS і здійснення дзвінків, публікації матеріалів, математичні обчислення, конвертація файлів, інтернет-переклад, віддалене керування веб-додатками та інше. Користувачі можуть взаємодіяти з ботами з допомогою звичайних чатів.

Знаючи всього лиш Username користувача, з допомогою ботів в Telegram можна:

  • Отримати ID користувача, а з ним такі дані як: номер телефону, IP-адреса, геолокація, мова профілю, електронна пошта;
  • Дізнатися дату створення акаунта;
  • Відстежити час і дату входів/виходів з акаунта;
  • Відстежити активність в групах/каналах;
  • Спарсити історію змін профілю користувача, зокрема зміна імені та username;
  • Дізнатися учасником і адміністратором яких груп/чатів (включаючи приватні) є запитуваний користувач, отримати коло його інтересів;
  • Які повідомлення та посилання надсилав користувач в публічних групах/чатах;
  • Знайти згадки юзернейм користувача у пошукових системах;
  • Знайти акаунти у соцмережах;
  • Перевірити користувача на публічні витоки даних (логіни/паролі/документи).

Це далеко не увесь список інформації, яку можна отримати. Ці дані у більшості випадків стають доступними, якщо користувач не захистив профіль налаштуваннями приватності (див. вище). По замовчуванню, кожен профіль в Telegram є відкритим та вільно індексується пошуковими системами.

Telegram OSINT mindmap

Приклади Telegram-ботів для пошуку інформації:

  • @OpenDataBotUA — бот української платформи OpenData для роботи з відкритими даними.
  • @YouControlBot — бот української онлайн-системи YouControl для пошуку та аналізу контрагентів і юридичних осіб.
  • @MaigretOsintBot — Telegram-бот інструменту Maigret для пошуку профілів в інтернеті за вказаним нікнеймом.
  • @QuickOSINTbot — OSINT-бот.
  • @TeleSINT — багатофункціональний OSINT-бот.
  • @TgScanRobot — покаже ID та групи користувача.
  • @TelegramDB — бот для пошуку груп і каналів в Telegram.
  • @GetContactBot — видає теги з додатка GetContact за вказаним номером телефону.
  • @BotoDetective — допомагає швидко знаходити інформацію про людей за такими критеріями, як номери телефонів, імена, адреси електронної пошти та ідентифікатори соціальних мереж.
  • @Unamer — показує історію імені по юзернейму.
  • @getfb_bot — видає посилання на профіль в FaceBook по вказаному номеру телефону.
  • @IDbot — визначає Telegram ID не тільки для користувачів, а й каналів та груп.
  • @userinfobot — ще один бот для пробиву ID.
  • @CreationDateBot — видає дату реєстрації акаунта за вказаним юзернеймом.
  • @ChatGPTBot — Telegram-версія популярного двигуна штучного інтелекту GPT. Допоможе в різних задачах OSINT, напише код Телеграм-бота або підготує сценарій.
  • @TheFeedReaderBot — бот для моніторингу RSS-стрічок.
  • @ShowJsonBot — бот для збереження будь-яких даних в Telegram в форматі JSON.

👉 Більше Telegram-ботів, відсортованих за категоріями тут і тут.

Примітка: Хочемо зауважити, що не усім Telegram-ботам можна довіряти, і не всі з них є безпечними до використання. Часто вони використовують для деанонімізації або проведення атак. У 2019 році Juniper Threat Labs виявили шпигунське програмне забезпечення типу RAT, яке використовувало Telegram як сервер для поширення трояна. І це не одиничний випадок. У 2020 році спеціалісти Malwarebytes писали про стилер для викрадення платіжних даних, який маскувався під Telegram-бот. У 2021 році Avast повідомили про виявлення малварі, яка поширюється через Телеграм і краде криптовалюту у власників. В червні 2023-го викрили зловмисників, які через фішингових Telegram-ботів викрадали дані авторизації користувачів і зламували їх акаунти.

Telegram Malware Bot
Приклад роботи шкідливих Telegram-ботів.

Деякі Телеграм-боти незаконно збирають користувацькі дані за межами Telegram. Так, у 2021 році громадськості стало відомо, що російський бот “Глаз Бога”  імпортував клієнтські бази ПриватБанку, Нової Пошти, Київстару та інших компаній й роздає всім охочим за невелику плату. Внаслідок цього були скомпрометовані дані громадян України. При цьому, при завантаженні файлу звіту бот зберігає IP-адресу того, хто його завантажив.

Приклад даних, які потрапили у відкритий доступ через Telegram. Джерело: Скрипка В.О. Актуальні проблеми кібербезпеки.

Зловмисники вищевказану інформацію використовують для нелегального продажу персональних даних. У 2021 році 130 000 персональних даних було викрадено, і понад 1,1 мільярда євро витрачено на штрафи через порушення GDPR.

Telegram API і CLI інструменти

Кібербезпека Telegram

Окрім ботів, існують такі засоби експлуатації Telegram API як мережеві утиліти і засоби командного рядка (Command Line Interface, CLI):

  • Telegram Chat Parser конвертує JSON-файли експорту історії Telegram-чатів в Excel таблицю для подальшого комфортного аналізу.
  • Telegram Groups Crawler — краулер на Python на базі API Telethon.
  • Telegram Phone Number Checker — скрипт дозволяє перевірити, чи певний номер телефону підключений до облікового запису Telegram.
  • Tosint — інструмент для отримання інформації з телеграм-ботів і каналів.
  • Telegram Index — веб-додаток на базі Python, який індексує телеграм-канал (або чат) і завантажує його.
  • Telegram Tracker — набір інструментів для роботи з Telegram API.
  • Telegram online status logger bot — бот для відстеження активності користувачів Телеграм.
  • Informer Telegram Mass Surveillance — бібліотека ботів, яка дозволяє маскуватися під кількох СПРАВЖНІХ користувачів у Telegram і стежити за понад 500 каналами Telegram. Деталі зберігаються в базі даних MySQL, приватній таблиці Google і вашому власному приватному каналі для аналізу.
  • Geogramint — OSINT-інструмент, який використовує API Telegram для пошуку користувачів і груп на мапі, використовуючи вбудовану функцію “Люди поруч”.
  • Telegram Nearby Map — ще один інструмент для визначення активних користувачів Телеграм на карті через вбудовану функцію “Люди поруч”.
  • Archive-Bot — інструмент, який дозволяє завантажувати вміст Телеграм-каналів на локальний сервер.
  • Telescan — пошук груп у яких перебуває користувач за ідентифікатором, іменем або номером телефону користувача.
  • Telepathy — набір інструментів OSINT для дослідження чатів Telegram.
  • telegram scan — набір інструментів для дослідження чатів/груп Telegram.
  • Telegram Scraper — набір інструментів для сканування Telegram та проведення OSINT досліджень.
  • Telegram Members Adder — програмне забезпечення для масового додавання користувачів в групи Телеграм.
  • Telegram Spammer — платний інструмент для спам-атаки на цільовий обліковий запис або групу в Telegram.
  • Telegram Web K — клон веб-версії Telegram типу “K”.
  • MadelineProto, a PHP MTProto telegram client — окремий клієнт для використання Телеграм API.
  • Telegram API Server — асинхронний php-сервер Telegram API: MadelineProto та сервер Amp Http.
  • Telegram Calls Library — бібліотека Telegram.
  • Telegram OSINT scenario library — бібліотеки Телеграм API для роботи з OSINT.
  • Harpoon — утиліта командного рядка Linux, яка може допомогти зібрати багато інформації про інших користувачів та групи в Телеграм.
    Telegram. Інструмент написаний на Python і простий у використанні
  • tgcf — інструмент автоматизації пересилання повідомлень Telegram.
  • Telethon — бібліотека Python для роботи з Telegram API. Документація по Телетон.
  • Splunk Telegram — модуль Splunk, який аналізує повідомлення з груп Телеграм і візуалізує їх.
  • Biba and Boba — пакет Python для аналізу чатів Telegram і пошуку кореляцій між користувачами.
  • Telegram Anti Revoke — плагін, який зберігає та показує відкликані (видалені) співрозмовником у чаті Telegram повідомлення.
  • Telegram Storage Parser — програма для розшифровки та аналізу локального сховища Telegram Desktop.
  • Telegram desktop encrypt — інструмент для розшифровки файлів tdata.
  • Telegram messenger for Android — вихідний код додатка для Android.
  • PGPgram — це інструмент резервного копіювання/відновлення, зашифрований технологією GPG, написаний на Python із використанням TDLib. Він локально шифрує ваші файли з допомогою GnuPG, перш ніж вони надсилаються в хмару Telegram.
  • Teleparser — парсер списку підписників та їх ID і повідомлень з груп або каналів, де ви є адміністратором від розробників KR. Laboratories.
  • tgparser — парсер списку підписників з публічних груп від розробників KR. Laboratories.
  • MT4-Telegram-Bot-Recon — Телеграм-бот для мережевої розвідки і аналізу.
  • VMGram (Voicemod Telegram) — додаток для накладання цифрових ефектів і зміни голосу в голосових чатах, голосових повідомлення, відео і аудіодзвінках.
  • Telephish — готовий фішинговий бот для Telegram.
  • Dnnme2 — ще один готовий фішинговий бот.
  • snscrape — програмний засіб командного рядка для парсингу Telegram-каналів, а також інших даних в інтернеті.
  • CCTV (Close-Circuit Telegram Vision) — скрипт, який через Telegram API використовує функцію “Люди поряд” і дозволяє визначити геолокацію активних користувачів Telegram в межах 100-50 метрів.
  • TGpyrate — Telegram session hijacker with SFTP.
  • Telegram-hitbackscammer — набір сценаріїв для виконання різних задач OSINT в Telegram.

Розширення для Chrome/Firefox

  • Telegram Sender – Telegram bulk message send — розширення для браузера Google Chrome, яке дозволяє парсити аудиторію і розсилати повідомлення.
  • Telegram Search Engine – TG Group Link Search — ще одне розширення для Chrome, шукає посилання на групи.
  • Greasemonkey — додаток для Firefox, який дозволяє парсити дані онлайн. З допомогою цих скриптів, можна налаштувати експорт користувачів груп в формат CSV. Існує також подібне розширення для Chrome – Tampermonkey.

Пошукові системи Telegram

  • Telegago — пошукова система по Telegram каналам на базі кастомізованого пошуку Google CSE.
  • Lyzem — пошукова система по Telegram.
  • Telegram Search Engine — метапошукова система.
  • Telegram Search CSE by Francesco Poldi — пошук по Телеграм на базі Google CSE, створений Франческо Польді.
  • Commentgram — пошук по коментарях Телеграм, на базі Google CSE.
  • Telegram CSE by OSINTme — ще одна авторська версія пошуку по Телеграм.
  • Intelx.io Search Telegram — пошук по Телеграм в популярній OSINT-платформі.
  • Search Telegram Channels Post — пошуковий двигун з можливістю задавати інтервал часу та інші параметри.
  • Telegcrack — пошук по публікаціях Telegraph.

Аналітика Telegram-каналів

  • Tgstat — популярна платформа для онлайн-аналітики Telegram.
  • Telegramchannels.me — платформа зі статистикою Телеграм-каналів.
  • Telemetr.io — ще одна платформа Телеграм-статистики.
  • Telegramindex — аналітика каналів Телеграм.
  • TGBots — рейтинг ботів Телеграм.
  • Tgviewer — сервіс для перегляду Телеграм-каналів без реєстрації в додатку.
  • Tlgrm.eu — колекція Телеграм-каналів, розбитих за категоріями.

Google Dorks Telegram

  • site:t.me
  • site:t.me/joinchat
  • site:t.me/joinchat inurl:<anything>
  • site:t.me intext: 2 members
  • intext:t.me/
  • intext:t.me/joinchat
  • site:t.me/joinchat -Exchange -crypto -crypt -mining
  • "t.me/joinchat" "qanon" -site:t.me

ℹ️ Лайфхак: Як читати публічні Telegram-канали анонімно, без реєстрації в Telegram? Таку можливість дає нам онлайн-сервіс RSSHUB.APP. Просто відкриваємо URL-посилання і підставляємо ім’я Telegram-каналу, який хочемо читати. Наприклад: https://rsshub.app/telegram/channel/cybdetective
Відкриється звичайна RSS-стрічка в форматі XML, яку можна загнати в будь-який Feed Reader, наприклад Feedbro. Тепер усі сповіщення про нові публікації будуть надходити вам в RSS-стрічку і ви зможете читати їх у браузері.

👉 Корисні мануали і туторіали по OSINT в Telegram:

За що можуть забанити в Telegram?

Ban Telegram

Багато-хто помилково вважає буцімто в Telegram все дозволено і цензури як такої немає, його ніхто не модерує, все анонімно та секретно. Насправді це велика ілюзія. Телеграм чудово модерується, в ньому працюють сотні, а то й тисячі людей, добре налагоджена система скарг і співпраця з правоохоронними органами. Інша справа, що рішення щодо блокування часто приймаються вибірково.

Сотні каналів і профілів блокуються мало не щодня через скаргу користувачів або самих модераторів. Не рідко цим зловживають спамери та недобросовісні конкуренти, які з допомогою автоматизованих систем накручують жалоби.

В Telegram також існує таке явище як “тіньовий бан”, коли сторінка з невідомих причин не з’являється у глобальному пошуку. Зняти його дуже складно, це може тривати до 6 і більше місяців.

В Telegram заборонено:

  • Створювати акаунти з іменем “Telegram Support”;
  • Накручувати підписників в групах і каналах;
  • Розсилати велику кількість повідомлень в день незнайомим контактам;
  • Розсилати велику кількість запрошень в день незнайомим контактам;
  • Закликати до насильства, екстремізму, тероризму, розпалювання міжнаціональної ворожнечі;
  • Торгувати забороненими матеріалами/продуктами/речовинами;
  • Поширювати піратський, заборонений, чужий контент;
  • Вводити в оману користувачів, видавати себе за іншу особу/компанію;
  • Публікувати виконувані або шкідливі файли: EXE, BAT, APK;
  • Створювати Телеграм-канали з різними сумнівними темами: ставки, казино, піраміди, розіграші, рефералки, нелегальний дохід, кардинг і т.д.;
  • Публікувати персональні дані інших людей;
  • Приниження людей за расовою ознакою, релігією, статтю, віком, національністю та ін.

Користувачі Telegram мають право:

  • Поскаржитись на порушення, якщо він вважає що його стікери або боти нелегально хтось використовує в Telegram: abuse@telegram.org;
  • Поскаржитись про порушення авторських прав: dmca@telegram.org;
  • Поскаржитись на контент, який пропагує дитяче насилля: stopCA@telegram.org;
  • Поскпржитися на стікери, які порушують правила або є шкідливими: sticker@telegram.org;
  • Поскаржитись на кіберсквоттинг – захоплення юзернейма: https://t.me/username_bot (в разі якщо у вас є акаунти з цим же юзернеймом в Facebook, Instagram, Twitter);
  • Поскаржитись на спам-повідомлення, фішинг та інші види зловживань та порушень (або навпаки оскаржити їх): https://t.me/spambot;
  • Поскаржитись на контент терористичного характеру: https://t.me/isiswatch;
  • Поскаржитись на користувачів, групи, канали, які вводять в оману і займаються шахрайством: https://t.me/notoscam (необхідно надати пояснення, чому ви вважаєте ресурс шахрайським. Скріни, повідомлення, матеріали листування є обов’язковими);
  • Органи влади в країнах ЄС можуть надсилати запити на видалення контенту, якщо його буде виявлено на публічній платформі Telegram: https://t.me/gdprbot.

Якщо ви є рекламодавцем і використовуєте можливості Telegram Ads, то вам заборонено:

  • Рекламувати контент сексуального, інтимного, шокового характеру.
  • Рекламувати контент, який пропагує ненависть, насильство, переслідування.
  • Рекламувати контент, який порушує права третіх осіб.
  • Рекламувати контент релігійного та політичного характеру.
  • Рекламувати азартні ігри, гемблінг.
  • Рекламувати оманливі або шкідливі фінансові продукти чи послуги.
  • Рекламувати несертифіковані медичні послуги, ліки, продукти.
  • Рекламувати наркотики, алкоголь, тютюн, фастфуд.
  • Рекламувати вогнепальну зброю, вибухові речовини, боєприпаси.
  • Рекламувати зловмисне програмне забезпечення, хакінг.
  • Рекламувати будь-яку сумнівну, нелегальну продукцію.

ℹ️ У довідці Telegram сказано, що у деяких випадках облікові записи користувачів можуть бути забанені без причини, якщо ваш мобільний номер має негативну історію в Телеграм, наприклад через дії попередніх власників (при покупці SIM-картки дивіться, щоб вона була чистою). Особливо це стосується віртуальних номерів, котрі можна придбати в онлайн-маркетплейсах.

Ліміти і обмеження в Telegram

Telegram limits

Ліміти для облікового запису користувача:

  • Довжина @username – від 5 до 32 символів.
  • Опис користувача (розділ Bio) – 70 символів.
  • Максимальна кількість акаунтів у клієнті Telegram – 3 (у Telegram X – 65536).
  • Максимальна кількість каналів та груп, на які можна підписатися – 500.
  • Максимальна кількість публічних каналів та груп, які можна створити на один обліковий запис — 10.
  • Максимальна кількість папок в Telegram – 10.
  • Кількість закріплених чатів – до 5.
  • Кількість закріплених чатів в Архіві – необмежена.
  • Кількість закріплених чатів у Папці – 100.
  • Термін самознищення облікового запису за відсутності активності: від 1 до 12 місяців.
  • Спам-блокування облікового запису – від 3 днів і вище.

Ліміти для особистих чатів та груп:

  • Максимальна кількість учасників групи – 200 000 (ліміт може бути збільшений).
  • Максимальна кількість учасників голосового чату – 5000.
  • Довжина @username для групи – від 5 до 32 символів.
  • Кількість символів у назві та описі групи – до 255.
  • Довжина одного повідомлення в особистих чатах, групах та каналах – до 4096 символів.
  • Опис до медіафайлів у особистих чатах, групах та каналах – до 1024 символів.
  • Максимальний обсяг файлів, що передаються – 2 ГБ.
  • Максимальна довжина відеоповідомлення – 1 хвилина.
  • Максимальна кількість фотографій в одному повідомленні (альбомі) – 10 штук.
  • Можливість редагування повідомлення в особистих чатах – до 48 годин після надсилання.
  • Самознищення фото чи відео в особистих чатах – від 1 до 60 секунд.
  • Ліміт на запрошення користувачів до групи (інвайт) – 200 осіб.
  • Кількість адмінів у групі – до 50.
  • Кількість підключених ботів у групі – до 20
  • Пересилання повідомлень за 1 раз – до 100.
  • Радіус пошуку людей поблизу «Люди поряд» – 100 метрів.
  • Радіус пошуку геочатів “Групи поруч” – 12 км.
  • Максимальна кількість геочатів, створених з одного облікового запису – до 5.
  • Статистика груп доступна у спільнотах від 100 осіб.
  • Прив’язати стікери до групи можуть спільноти від 200 учасників.

Ліміти для каналів:

  • Довжина @username для каналу – від 5 до 32 символів.
  • Довжина назви та опису каналу – 255 символів.
  • Кількість читачів каналу – необмежена.
  • Кількість учасників, яких може бачити творець каналу – 200 осіб.
  • Можливість редагування повідомлення в каналах без обмеження (починаючи з версії 6.1).
  • Кількість адмінів у каналі – до 50.
  • Кількість підключених ботів у каналі – до 20
  • Творець може бачити всі дії на каналі (учасники, що вступили, відписалися і т.д., публікація/видалення посту) за останні 2 дні.
  • Якщо на публічному каналі понад 1000 передплатників, видалити такий канал можна лише через техпідтримку Telegram.
  • Статистка доступна лише для каналів чисельністю від 50 осіб.

Ліміти для ботів:

  • Максимальна кількість ботів на один обліковий запис, створених через @BotFather – 20 штук.
  • Довжина @username для робота – від 5 до 32 символів.
  • Максимальна довжина інформації про бот (/setabouttext) – 120 символів.
  • Максимальна довжина опису бота (/description) – 512 символів.
  • Макс. кількість повідомлень від бота в секунду – 30.

Ліміти для стікерів:

  • Ліміт на кількість доданих стікерпаків – 200 штук.
  • Кількість вибраних стікерів – 5 штук.
  • Кількість стікерів в одному наборі – від 1 до 120.

Ліміти для Telegraph:

  • Максимальна кількість знаків у тексті – 34 087.

Посилання:

Що робити якщо ваш Telegram акаунт взламали?

Перш за все, необхідно терміново звернутися в технічну підтримку Telegram і повідомити про інцидент: https://telegram.org/support. Намагайтесь детально й водночас чітко та лаконічно описати ситуацію.

Не буде зайвим відправити електронного листа-звернення на email інших служб техпідтримки Telegram:

  • recover@telegram.org – для питань щодо відновлення (видалених/зламаних) облікових записів, Вкажіть свій номер телефону та коротко опишіть ситуацію. Модератори зможуть розглянути справу та, можливо, відновлять обліковий запис;
  • sms@telegram.org – для питань щодо проблем із входом або активації облікового запису по номеру телефону, а також проблем з прийомом sms.
  • support@telegram.org – для питань загального характеру, пов’язані з обліковим записом. 
  • security@telegram.org – для повідомлень про недоліки безпеки додатка, а також кіберінциденти.

Надайте максимально всі матеріали: фото, відео, скріншоти. Листа бажано скласти двома мовами: українська і англійська (в одному листі). Також вкажіть свої контанти як з вами ще можна зв’язатися крім пошти. Писати краще всього зі звичайної гуглівської пошти GMAIL.

Додатково напишіть в форму на оф. сайті Telegram:

Відповідь може надійти не зразу, або не надійти взагалі. Подейкують, що сапорт волонтерський. У деяких випадках проблема може бути вирішена мовчки без зворотного повідомлення. Через деякий час спробуйте знову увійти у свій акаунт.

Окрім цього, у Telegram є спеціальний обліковий запис в Twitter – @SmsTelegram (Telegram Login Help). Спробуйте написати ще туди, це також може допомогти вирішити проблеми з входом.

Якщо маєте резервний обліковий запис, або в знайомих – можна ще написати в технічну підтримку безпосередньо в самому додатку і також повідомити про проблему. 

Не забудьте також:

  1. Обов’язково повідомити усі свої контакти, що ваш обліковий запис зламано. Вони повинні знати, що будь-які підозрілі повідомлення від вас – це робота зловмисника і не наразилися на небезпеку (не позичали ніякі кошти, не повідомляли коди, не переходили за посиланням і т.д.).
  2. Змінити усі свої паролі до інших акаунтів/додатків в інтернеті, у тому числі месенджерів (разом з Telegram зловмисники могли отримати доступ й до інших ваших облікових записів).
  3. Очистити усі кукі і сесії в інтернет-браузері (мобільний/ПК). Браузер є нестерильним і стає часто “точкою входу”.
  4. Скинути усі сесії додатка Telegram на інших своїх пристроях, якщо маєте до них доступ.

Коли у вас відновиться доступ до Telegram, негайно перейдіть в налаштування і увімкніть ДВОФАКТОРНУ ВЕРИФІКАЦІЮ. Рекомендується також змінити свій номер телефону в Telegram на інший (зловмисники могли перевипустити або клонувати SIM, чит. вище).

Ви також можете спробувати вилучити свій акаунт, якщо у вас є доступ до SIM-картки і вас впускає в акаунт (пробуйте з різних пристроїв Desktop/Mobile), але викидає через кілька секунд (зловмисник просто видаляє ваші сесії). Для цього необхідно спочатку перейти сюди, вказати свій мобільний номер і ввести код підтвердження, який надійде в чат в обліковому записі Telegram. Вам потрібно буде його відкрити швидше, ніж зловмисник встигне вас вилучити. Таким чином акаунт буде знищений, а зловмисник вже не зможе вчиняти несанкціоновані дії. Однак у цьому випадку дані облікового запису будуть втрачені назавжди.

Експериментальний спосіб: Спробуйте також додати мобільний номер хакнутого облікового запису в інший активний обліковий запис Telegram (опція мультиакаунт, Settings -> Add Account). Тоді можливо замість коду в додаток система відправить код в SMS на ваш телефон і ви зможете розлогінити зловмисника та залогінитися самому.

Якщо усі вищезгадані способи не допомогли, спробуйте цей лайфхак, який пропонує використати resetAutorizations через самописного бота на базі API Telegram.

Чого не варто робити: Не звертайтесь ні до яких “хакерів” на OLX, Telegram, Viber, WhatsApp, Facebook або інтернет-форумах, які нібито пропонують відновити акаунт за відповідну суму. У 90% випадках це чистий розвод. Також не думайте платити якийсь викуп за повернення акаунта, якщо зловмисники пропонують такий варіант.

👉 Читайте також: Безпека в інтернеті. Основні  поради і рекомендації

Як видалити cвій акаунт Telegram?

How delete Telegram account

На щастя, процес видалення Telegram-акаунта забирає не так багато часу, однак візьміть до уваги, що ваші дані не зникнуть з серверів безслідно. Вони можуть зберігатися там певний період часу – до 12 місяців. Причому, ваші контакти зможуть спілкуватися в групах, які ви створили, і вони матимуть свою копію ваших повідомлень, але замість вашого ім’я буде напис – “Deleted Account”.

Щоб подати запит на видалення свого акаунта з Telegram необхідно перейти на веб-сторінку: https://my.telegram.org/auth?to=delete. Далі ввести свій номер телефону, зв’язаний з акаунтом Telegram і код, який система надішле вам в додаток (не SMS).

How to delete Telegram account

Припинення дії облікового запису Telegram є безповоротним. Якщо ви зареєструєтесь знову, то ви відобразитесь як новий користувач і не зможете відновити свою історію, контакти чи групи.

Порада: Перед видаленням акаунта рекомендуємо очистити історію ваших повідомлень у чатах і видалити діалоги з усіма вашими співрозмовниками з обох сторін.

Вразливості Telegram

Vulnerabilities Telegram

ℹ️ За всю історію в Telegram, станом на Червень 2023-го, знайдено 32 офіційних вразливостей. Більшість з них виправлені. Хоча є й такі, які перебувають у стані диспуту або розгляду.

Пропонуємо ознайомитись з повним списком:

  • 🔴 CVE-2014-8688 – у Telegram Messenger 2.6 для iOS і 1.8.2 для Android виявлено, що повідомлення секретних чатів були доступними у вигляді тексту в пам’яті процесів Telegram та файлі .db. Отже, зловмисник який отримав доступ до пристрою міг прочитати секретні чати. Опис вразливості опублікований дослідником Джоном Патерсоном у блозі компанії ZIMPERIUM. Команда Telegram ніяк не прореагувала на повідомлення дослідника, однак в наступних версіях вразливість вже була відсутня.
  • 🔴 CVE-2017-17715 – зафіксований збій та витік даних у Telegram Messenger для Android до 2017-12-08. Докладний опис вразливості розміщено в баг-трекері Chromium.
  • 🔴 CVE-2018-3986у функціоналі «Секретні чати» для Telegram Android 4.9.0 зафіксована вразливість розкриття інформації. Функція «Секретні чати» дозволяла користувачеві видалити усі сліди чату за допомогою тригера часу або прямого запиту. У цій функції була помилка, яка зберігала на пристрої фото, зроблені та надіслані в секретних чатах, навіть після їх видалення. Фото були доступні для всіх додатків, встановлених на пристрої. Про вразливість повідомив Vitor Ventura у блозі CISCO Talos.
  • 🔴 CVE-2018-15542 – виявлено проблему в додатку org.telegram.messenger 4.8.11 для Android. Функція пароля дозволяла обходити автентифікацію за допомогою різних маніпуляцій. Вразливість виявили дослідники Boonpoj Thongakaraniroj, Prathan Phongthiproek та вказали на GitHub. Представники Telegram відповіли, що ця вразливість не представляє інтересу, адже можлива лише на Android-пристроях з root правами.
  • 🔴 CVE-2018-15543 – виявлено проблему в додатку org.telegram.messenger 4.8.11 для Android. Зловмисник міг автентифікуватися за підробленим відбитком пальця. Вразливість виявили дослідники Boonpoj Thongakaraniroj, Prathan Phongthiproek та вказали на GitHub. Представники Telegram знову відповіли, що ця вразливість не представляє для них інтересу, адже можлива лише на Android-пристроях з root правами.
  • 🔴 CVE-2018-17231– Telegram Desktop (tdesktop) 1.3.14 дозволяв зловмисникам спричинити відмову в обслуговуванні (збій та самовільний вихід із програми) з допомогою функції «Редагувати палітру кольорів». Проблема досі оскаржується і не визнана Telegram.
  • 🔴 CVE-2018-17613 – Telegram Desktop (tdesktop) 1.3.16 Alpha, коли увімкнено опцію «Використовувати проксі», надсилав облікові дані та дані додатків через звичайне URL-посилання у незашифрованому вигляді по протоколу SOCKS5. Про вразливість прозвітував дослідник Dhiraj Mishra.
  • 🔴 CVE-2018-17780 – Telegram Desktop 1.3.14 (tdesktop) і Telegram 3.3.0.0 WP8.1 для Windows здійснював витік загальнодоступних та приватних IP-адрес кінцевого користувача під час аудіовиклику – P2P-з’єднання були активовані по замовчуванню. Пізніше цю проблему в Telegram було вирішено, додавши можливість відключити режим “Use peer to peer”. Про баг відзвітував дослідник Dhiraj Mishra.
  • 🔴 CVE-2018-20436 – функціонал “Секретні чати” в Telegram 4.9.1 для Android та Telegram Web 0.7.0 мала “прихований канал”, через який сервери Telegram надсилали GET-запити до різних URL-адрес. Подібну вразливість можна інтерпретувати як атаку SSRF. На неї вказав дослідник Capitan Alfa у своєму блозі. Telegram відхилив баг та повідомив, що проблему спричинила неправильна конфігурація параметра «Секретні чати > Попередній перегляд посилань».
  • 🔴 CVE-2019-10044 – Telegram Desktop <1.5.12 у Windows і Telegram для Android, iOS і Linux були вразливими до омографічної атаки IDN під час відображення повідомлень, що містили URL-адреси. Сценарій атаки описали представники компанії Blaze Labs в GitHub.
  • 🔴 CVE-2019-15514 – опція «Конфіденційність > Номер телефону» в Telegram 5.10 для Android та iOS надавала неправильну індикацію режиму доступу «Ніхто», оскільки зловмисники все одно могли бачити і вивантажувати номери користувачів в публічних групах. Помилка призвела до витоку персональних даних, незалежно від налаштувань конфіденційності. Цю вразливість виявили дослідники безпеки з Гонконгу. За їх словами, її використали спонсоровані урядом зловмисники для нападу на протестувальників в Гонконзі.
  • 🔴 CVE-2019-16248 – проблема конфіденційності в Telegram <5.11 на Android, функція «Delete for» не видаляла спільні медіафайли з каталогу зображень Telegram. Існувала потенційно оманлива вказівка інтерфейсу, що відправник може видалити копію одержувача раніше надісланого зображення. Про баг прозвітував дослідник Dhiraj Mishra. Баг було виправлено, команда Telegram виплатила йому 2500 євро.
  • 🔴 CVE-2020-10570 – в Telegram <5.12 для Android зафіксований баг конфіденційності, який дозволяв зловмиснику, який заволодів пристроєм, без введення пароля, при включеній опції “Показати спливаюче вікно”, читати повідомлення користувача і відповідати на них. Про вразливість повідомив дослідник безпеки Vijay Tikudave у своєму GitHub.
  • 🔴 CVE-2020-12474 – Telegram Desktop <2.0.1, Telegram <6.0.1 для Android і Telegram <6.0.1 для iOS дозволяли атакувати IDN Homograph через Punycode у загальнодоступній URL-адресі або URL-адресі запрошення до групового чату. Про знайдену вразливість повідомив дослідник безпеки Vijay Tikudave у своєму GitHub.
  • 🔴 CVE-2020-17448 – Telegram Desktop <2.1.13 дозволяв обійти захист від виконання небезпечного типу файлу. Щоб успішно проексплуатувати баг, зловмиснику достатньо було надіслати жертві шкідливі файли без розширення у вікні чату. Про знайдену вразливість відзвітував Vijay Tikudave у своєму GitHub.
  • 🔴 CVE-2020-25824 – Telegram Desktop <2.4.3 не вимагає введення пароля після натискання клавіші “Export” у майстрі експорту даних. Модель загрози — жертва, яка добровільно відкрила експорт даних, але потім відволіклася. Відповідно зловмисник може скористатися цим, щоб таємно експортувати історію чатів. Про баг відзвітував Soheil Samanabadi у своєму GitHub.
  • 🔴 CVE-2021-27204, CVE-2021-27205 – логічна помилка, помічена в Telegram <7.4 (212543) Stable для MacOS. Зберігає локальну копію отриманого повідомлення (аудіо/відео) на пристрої користувача навіть після того, як ці повідомлення було видалено або вони автоматично зникли з секретного чату. Окрім того, вищенаведена версія зберігала локальний пароль у вигляді незашифрованого тексту. Про баги повідомив дослідник Dhiraj Mishra. Обидві вразливості було виправлено у Telegram Stable 7.4 (212543), автора нагороджено 3000 євро.
  • 🔴 CVE-2021-27351 – функція завершення сесій в Telegram <7.2.1 для Android і <2.4.7 для Windows та UNIX працювала некоректно — користувач не міг завершити інший активний сеанс. Про вразливість повідомив Vijay Tikudave.
  • 🔴 CVE-2021-30496 – Telegram 7.6.2 для iOS дозволяла віддаленим автентифікованим користувачам викликати відмову в обслуговуванні (збій DOS), якщо жертва вставляє надане зловмисником повідомлення (наприклад, перською мовою) у будь-який публічний Telegram-канал або групу. На вразливість вказав дослідник безпеки Ramin Farajpour Camiу своєму GitHub. Telegram відхилив баг.
  • 🔴 CVE-2021-31323CVE-2021-31322CVE-2021-31321, CVE-2021-31320, CVE-2021-31319, CVE-2021-31318, CVE-2021-31317, CVE-2021-31315 – в Telegram Android <7.1.0 (2090), Telegram iOS <7.1 і Telegram macOS <7.1 зафіксовані різноманітні баги у вихідному коді. Зловмисник віддалено міг отримати доступ поза межами пам’яті на пристрої-жертві за допомогою анімованої наклейки (стікера). Також він міг перезаписати стекову пам’ять Telegram на пристрої-жертви за допомогою того ж стікера. На вразливості вказав дослідник безпеки polict у блозі Shielder.com. Атаки були презентовані на конференції Hack the Box 2021.
  • 🔴 CVE-2021-36769 – проблема зі зміною порядку існувала в Telegram <7.8.1 для Android, Telegram <7.8.3 для iOS і Telegram Desktop <2.8.8. Зловмисник міг змусити сервер отримувати повідомлення в іншому порядку, ніж вони були надіслані відправником. Про вразливість повідомили автори блогу https://mtpsym.github.io/.
  • 🔴 CVE-2021-37596 – Telegram Web K Alpha 0.6.1 дозволяв використовувати XSS через назву документа. На вразливість вказав Едуард Кузьменко у своєму GitHub.
  • 🔴 CVE-2021-40532 – Telegram Web K Alpha <0.7.2 неправильно обробляє символи в розширенні документа. На вразливість вказав Едуард Кузьменко у GitHub.
  • 🔴 CVE-2021-41861 – Telegram 7.5.0–7.8.0 для Android хибно реалізував самознищення зображень. Приблизно після двох-чотирьох застосувань функції самознищення по таймеру в інтерфейсі користувача з’являється оманлива вказівка на те, що зображення видалено, хоча вони були присутні в каталозі /Storage/Emulated/0/Telegram/Telegram Image/. Баг відкрито і повідомлено користувачем під ніком ne555, однак свою виплату в 1000 євро він так і не отримав через заборону Telegram розголошувати інформацію. Як зазначають деякі ентузіасти, Telegram ніби-то свідомо відмовлялися фіксити цей баг, залишаючи діру для силовиків, які продовжували видобувати дані підозрюваних з кешу. Інакше просто складно пояснити, чому ця вразливість “кочує” від однієї версії до іншої.
  • 🔴 CVE-2022-43363 – Telegram Web 15.3.1 дозволяв проведення XSS-атаки через корисне навантаження, отримане з веб-сайту Target Corporation. Щоправда, не всі змогли відтворити цей баг, тому він досі знаходиться в статусі DISPUTED.
  • 🔴 CVE-2023-26818 – баг дозволяє зловмисникам активувати камеру та мікрофон в додатку Telegram Desktop на ноутбуках з MacOS. Виявив та дослідив інженер з безпеки Ден Рева. Вразливість була додана та прийнята в різні пошукові бази (NIST, Tenable). Цікаво, що Павло Дуров заперечив факт вразливості і спростував її. Також на цей момент жодному іншому досліднику не вдалося, поки що, відтворити баг.

ℹ️ Примітка: Варто додати, що окрім офіційно зареєстрованих та задокументованих вразливостей Telegram, існує ряд неофіційних, які ніхто ніде не реєстрував і не звітував, або які були повідомлені в службу підтримки Telegram анонімно. До слова, чимало баг-хантерів нарікають на політику Telegram щодо виявлення вразливостей. Адже компанія не дозволяє публічно розголошувати будь-які дані, пов’язані з вразливостями, публікувати імена дослідників. Винагорода за виявлені баги також не є адекватною і не дотягує до виплат на платформах Bug Bounty. Так, у червні 2023-го дослідник з ніком Slonser виявив досить стару (існувала приблизно з 2021 року) і серйозну XSS-вразливість в веб-версії Telegram, яка давала змогу не тільки читати й надсилати повідомлення від імені користувача, а й повністю захопити доступ до акаунта. Команда Telegram отримала звернення від користувача і нічого не відповіла, після чого просто виправили баг. Лише після повторних запитів йому виплатили 500$ винагороди.

Хочемо зауважити, що подібна поведінка компанії Telegram веде до того, що майбутні баги будуть експлуатуватися хакерами таємно і нікому не повідомлятися. Відповідно команда Telegram не зможе вчасно виявляти та виправляти їх, а користувачі будуть наражатися на небезпеку. Це призведе до великої кількості інцидентів та катастрофічних наслідків.

👉 Додаткові посилання для дослідників безпеки:

Події, інциденти, скандали з Telegram

Pavel Durov and Kremlin

У квітні 2016 року були зламані Telegram-акаунти двох російських опозиціонерів і активістів — Георгія Албурова і Олега Козловського. Троянським конем у цьому інциденті виступив оператор мобільного зв’язку — МТС. За словами одного з активістів, пізно вночі відділ технологічної безпеки МТС повністю відключив їм на телефонах приймання SMS та інтернет, а також повідомлення про підключені та відключені послуги. Після чого невідомі зловмисники (ймовірно ФСБ) через TOR направили запит на вхід до Telegram-акаунтів потерпілих. У відповідь месенджер відправив SMS з кодом авторизації на номери Козловського та Албурова. Але оскільки SMS-сервіс було відключено, ці коди вони не отримали — їх отримали зловмисники з продубльованими SIM-картками активістів. У результаті вони успішно увійшли в їх Telegram і завантажили звідти історію листування. На ранок МТС, як ні в чому не бувало, відновив усі відключені сервіси. Пізніше власник Telegram Павло Дуров підтвердив, що за зламом стояли спецслужби.

Через деякий час після цього випадку у мережі з’явився матеріал, де фахівці з кібербезпеки демонструють злам Telegram через вразливість SS7 – технологія, яка використовується в мережах мобільного зв’язку. Вони пояснили, що цю вразливість може проексплуатувати практично кожен хакер-початківець. Спеціалістам вдалося дізнатися IMSI-код SIM-картки жертви і перехопити SMS-повідомлення з кодом активації Telegram. Таким чином вони взяли під контроль акаунт. Щоправда, таке можливо лише за відсутності активної двофакторної авторизації, а також наявності у зловмисників спеціальних пристроїв та програмного забезпечення.

SS7 Telegram Attack

У січні 2017 року порталом BuzzFeed.News було розсекречено документ, створений офіцером британської розвідки, який містить збірку різноманітних записів. У ньому в основному йдеться про втручання російських хакерів і спецслужб у вибори в США, а також непомітно згадується Telegram. Невідомий автор заявляє, що ФСБ вдалося зламати додаток і тепер він не є безпечним до використання. Повідомлення датується 26 червня 2015 року. Документ було розміщено у вільному доступі на Document Cloud.

Telegram flagged FSB

Того ж 2017 року в ЗМІ просочилася інформація про те, що Антон Розенберг, який стояв біля витоків “Вконтакте”, подав в суд на братів Дурових за своє неправомірне звільнення. Він опублікував довгий лонгрід на платформі Medium, де розповідає про всю “підноготну” Вконтакте й Telegram. За словами Розенберга, його звільнили через особистий конфлікт з Миколою Дуровим — братом Павла. Останній відзначився, на думку автора, особливою непорядністю. Історія закінчилася мировою: Розенбергу виплатили 1,5 мільйона рублів та зробили запис у трудовій книжці про звільнення за власним бажанням. Для себе з цієї історії можемо взяти наступне: Телеграмом керує не одна персона, а брати. І кожен з них має власні погляди, інтереси та ініціативи. Наприклад, компанія Telegraph Inc., яка числиться серед нинішніх груп-власників Telegram і зареєстрована на Британських Віргінських Островах, володіє ще однією ООО “Telegraph” в Росії, з якої усе починалось. Таким чином з допомогою різних юридичних схем, власники ймовірно приховують свої зв’язки з Росією.

Telegraph
Схема володіння LLC Telegraph. Джерело.

Як повідомляють інсайдерські джерела, інвесторами компанії Telegram були російські підсанкційні особи та арабські фонди, які здійснювали інвестиції в російські бізнес та економіку.

Інвестори Telegram

1 липня 2017 року в РФ усіх телеком-провайдерів зобов’язали зберігати записи телефонних дзвінків і повідомлень та інтернет-трафік протягом пів року, а інтернет-месенджери – зберігати ключі розшифровування онлайн-листування та надавати ФСБ по запиту. Telegram відмовились надавати ключі шифрування, обґрунтувавши це тим, що їх архітектура не передбачає подібного втручання (лист-відповідь “Роскомнагляду”). Паралельно вони заручились підтримкою юристів міжнародної правозахисної групи «Агора» й звернулася до суду з вимогою визнати незаконною вимогу силовиків. Судову справу вони програли,  що стало першим етапом їхнього блокування в Росії. У 2018 році “Роскомнагляд” почав банити IP-адреси Telegram, що привело до блокування цілого ряду ресурсів: Google, Viber, Twitter, Facebook та інших. Проте сам Telegram залишався доступним. Одна з причин: використання різних механізмів моментальної зміни IPv4-адрес на хостингах Amazon, Google, DigitalOcean, а також використання адрес IPv6, які “Роскомнагляд” не міг технічно заблокувати. Окрім того, вбудована підтримка проксі SOCKS5 і MTProto давала користувачам змогу обходити ці блокування. У висновку, “Роскомнагляд” зрозумів, що таким чином він заблокує увесь Рунет, але не Telegram. Через якийсь час все затихло, про «блокування» Telegram стали говорити дедалі менше, а різні російські чиновники заявляли, що в них вже все працює, і що «заблокований» не значить «заборонений». 18 червня 2020 року “Роскомнагляд” на своєму сайті оголосив:

“Позитивно оцінюємо висловлену засновником Telegram готовність протидіяти тероризму та екстремізму. За погодженням з Генеральною прокуратурою РФ Роскомнагляд знімає вимоги щодо обмеження доступу до месенджера Телеграм…”.

Is Telegram russian spyware?

Ось так гучна справа блокування Телеграм в Росії дивовижним чином зам’ялася. Це породило масу чуток в ЗМІ про можливе співробітництво Telegram і ФСБ, зв’язки Дурова з Кремлем і таке інше. Правда це чи вигадки – питання досі відкрите. Хотілось би, щоб цим кейсом зайнялись провідні детективи світу, наприклад Христо Грозєв з “Bellingcat”.

У 2020-2021 роках силовики Білорусі широко застосовували функції Telegram для ідентифікації протестувальників. Зокрема, визначали Telegram ID, пробивали номери телефонів, парсили публічні чати, щоби дізнатися, які саме повідомлення публікував той чи інший користувач. І навіть відновлювали видалений користувачами контент через доступ до кешу, який накопичувався на їх пристроях. Більш детально про це у документі.

Методичка, яку використовують силовики Білорусі і РФ в роботі з Telegram. Джерело.

У 2019 році в Гонконгу спалахнули масові протести, викликані законом про екстрадицію, що дало уряду право передавати своїх громадян на запити країн, з якими не підписано угоду про екстрадицію. Жителі Гонконгу побачили в цьому загрозу автономії регіону й порушення прав громадян, що стало приводом до масових протестів. Через деякий час протестувальники розширили список своїх вимог, і на початок 2020-го протести продовжували вирувати. Для координації дій використовувався Telegram. На думку активістів, Telegram був кращим вибором через приватність даних, а також можливість створювати великі чати і групи. Саме в цих чатах та групах планувалися акції та обговорювалися протиправні, з погляду влади, дії. Дуже швидко всіх активістів вичислили і притягнули до відповідальності. Викриття відбулося, за деякими оцінками, через баг в Telegram.

У березні 2022 року уряд Бразилії виставив Telegram ультиматум – платформі дається 24 години на виконання рішень суду, інакше її блокують. Telegram дотримався умов, вибачився і зобов’язався:

  • Вести щоденний ручний моніторинг 100 найпопулярніших каналів Бразилії;
  • Вести щоденний ручний моніторинг усіх основних бразильських ЗМІ;
  • Позначати конкретні пости в каналах як неточні;
  • Обмежувати публікації користувачів, яких заблоковано за поширення дезінформації;
  • Просувати в Telegram перевірену інформацію.

Ось вам і “…право на конфіденційність та таємницю особистого листування залишаються фундаментальним принципом Telegram у всіх країнах”.

На початку повномасштабного військового вторгнення росії в Україну, ФСБ з допомогою Telegram визначало проукраїнських активістів та журналістів на окупованих територіях. Одним з них став Ігор Бондаренко. Чоловік вів листування з допомогою Telegram зі своїми побратимами. Коли його затримали, виявилося що військові мають доступ до всіх чатів активіста. Про цю історію детально розповів The Washington Post. Потім її детально розібрав американський експерт з безпеки Метт Тейт.

Оголошення російських “фсбшних” хакерів на одному з форумів в даркнеті про послугу отримання несанкціонованого доступу до облікових записів Telegram.
Програмне забезпечення для віддаленого доступу до облікових записів користувачів Telegram, розроблене російськими спецслужбами.

24 листопада 2022 року за рішенням Вищого суду Індії в Делі Telegram зобов’язали розкрити імена адміністраторів, номери телефонів та IP-адреси каналів, звинувачених у несанкціонованому обміні навчальними матеріалами для національних іспитів. Telegram стверджував, що його регіональні сервери розташовані в Сінгапурі, а тому жодні дані не можуть бути розкриті, оскільки місцеве законодавство забороняє це. Врешті-решт, Telegram оприлюднив всі дані, зберігши таким чином присутність в Індії, яка є їх найбільшим ринком – понад 700 мільйонів користувачів. Як кажуть, “бабло перемагає зло”.

У червні 2022-го в німецькому виданні Spiegel з’явилася стаття про те як Telegram співпрацює з правоохоронними органами Німеччини. За твердженням авторів, зафіксовані активні і постійні відносини Дурова з Управлінням кримінальної поліції Німеччини (Bundeskriminalamt або BKA) та Федеральним міністерством юстиції. Додається, що це відбулось внаслідок постійного тиску збоку німецького уряду. Telegram оштрафували на 55 мільйонів доларів згідно німецького Закону про захист мереж (Network Enforcement Act). У висновку, Telegram і уряд Німеччини домовилися про створення прямої лінії зв’язку.

У 2023 році губернатор штату Монтана Ґреґ Джанфорте ввів заборону на використання Telegram на державних пристроях. Чиновник обґрунтував це своїм занепокоєнням щодо безпеки та конфіденційності даних, припустивши, що Телеграм можна використовувати для моніторингу користувачів і доступу до особистої інформації.

У жовтні 2024 року Павло Дуров, засновник і генеральний директор Telegram, був затриманий у Франції після прибуття в аеропорт Парижа. Це сталося в рамках розслідування, яке стосується кіберзлочинів, зокрема звинувачень у поширенні незаконного контенту, такого як дитяча порнографія, наркотики і відмивання грошей через платформу. Дурова звільнили під заставу в 5 мільйонів євро, але він залишається під судовим наглядом й зобов’язаний регулярно звітувати в поліцію. Є побоювання, що це призведе до посилення цензури та нагляду на платформі Telegram.

Intelligence Telegram

👉 Посилання на інші кейси, матеріали, розслідування пов’язані з Telegram і Дуровим:

  1. Hong Kong protesters warn of Telegram feature that can disclose their identities
  2. As Hong Kong protesters embrace Telegram, when will the messaging app fix one of its biggest security flaws?
  3. Dear Hong Kong Activists, Please Stop Telling Everyone Telegram is Secure
  4. HABR. МВД отжало у меня телеграмм, или о дыре в защите
  5. HABR. Почему я больше не нажимаю кнопку «Add contact» в Telegram
  6. TJournal. Из-за бага в Telegram москвичка получила возможность незаметно читать переписку редакции «Дождя»
  7. Telegram Bug ‘Exploited’ By Chinese Agencies, Hong Kong Activists Claim
  8. Mediazona.by. «Web‑капкан» и «Т‑Поиск». Как следователей учат искать пользователей телеграма с помощью OSINT
  9. Dailystorm.ru. Как белорусские силовики «угоняют» Telegram-каналы и внедряются в чаты протестующих
  10. Dailystorm.ru.«От Родины не должно быть секретов. Их у вас, собственно, нет»: как силовики, детективы и пробивщики деанонимизируют пользователей Telegram
  11. «Надеюсь, что нас готовят не к реальной войне». Экс-топ-менеджер «ВКонтакте» Антон Розенберг о цифровых итогах 2019 года
  12. The Washington Post. Stealthy Kherson resistance fighters undermined Russian occupying forces
  13. Russia is spying on Telegram chats in occupied Ukrainian regions. Here’s how.
  14. WIRED. The Kremlin Has Entered The Chat
  15. WIRED. How Telegram Became the Anti-Facebook
  16. Medium. Yaroslav Azhnyuk. What’s off with Telegram’s response to the piece about their potential ties to the Kremlin.
  17. Telegram: Azhnyuk-Claims. Why Telegram is Safe for Users in Ukraine.
  18. Ярослав Ажнюк. Чому варто видалити Телеграм зі свого мобільного.
  19. Yahoo.com. Yaroslav Azhnyuk: Why doesn’t Ukraine restrict use of the Russian Telegram app?
  20. Youtube. Радіо НВ. Інтерв’ю з журналістом, переписку якого в Телеграмі читало фсб.
  21. Russian Oligarch, Ex-Cabinet Minister Invested in Telegram’s ICO, Court Filing Says
  22. IT-бізнесмен із США Талан: Дуров віддав Telegram Кремлю з усіма даними всіх користувачів
  23. Bloomberg. Is Pavel Durov, Russia’s Zuckerberg, a Kremlin Target?
  24. Hromadske.radio.«Кремль приєднався до чату»: що може ховатись у Telegram?
  25. Операція Telegram: 7 причин для обмеження російського додатку в Україні
  26. Liga.net. Як влаштована анонімна імперія Павла Дурова?
  27. AIN.UA. Wired: Telegram може співпрацювати з Кремлем. Ось аргументи
  28. Костянтин Корсун. Смертельно небезпечний Телеграм
  29. ЕКОНОМІЧНА ПРАВДА. Микита Книш. Як “зламують” Telegram з двофакторною авторизацією
  30. Detector Media. Небезпечний телеграм: підводні камені найпопулярнішого в Україні месенджера
  31. Detector Media.Розслідування FT: Telegram перетворився на новий даркнет для кіберзлочинців
  32. Detector Media. Як Телеграм сприяє дезінформації та маніпуляціям?
  33. Detector Media. Дослідження телеграм-каналів, які наслідують інші та поширюють російську пропаганду
  34. Чи є безпечним активне використання Телеграм в Україні?
  35. Youtube. Ярема Дух. Ризики Telegram.
  36. DOU.UA. Чи варто довіряти Telegram?
  37. Ukrainer. Що не так з Telegram?
  38. Українська Правда. Анастасія Романюк. Ілюзія безпеки: Telegram
  39. NO NAME PODCAST. Про Телеграм з Ярославом Ажнюком
  40. Bitcoin.com. Pavel Durov Closes UK-Based Company Telegram Messenger LLP
  41. HABR. Как Telegram сливает вас Ростелекому
  42. Reuters. Exclusive: Hackers accessed Telegram messaging accounts in Iran – researchers
  43. VICE. Ексклюзив: співробітник BKA розповів, як державні хакери незаконно зламують Telegram (DE)
  44. Medium.com. Anton Rosenberg. История создания Telegram. Всё новое — это хорошо забытое старое
  45. Medium.com. Иван Павлов: Павел ДУРОВ — российский Волан-де-Морт: о связи мессенджера Telegram со спецслужбами и не только
  46. The Guardian. Telegram founder listed in leaked Pegasus project data
  47. KREMLINGRAM.ORG
  48. Telegram company information
  49. Mubadala Telegram
  50. Telegram raises $1BN+, including $150M from Mubadala and Abu Dhabi CP via pre-IPO convertible bonds
  51. Російська «Енігма» ХХІ сторіччя: як Telegram пов’язаний з Кремлем
  52. Youtube. СТАСЯ. Правда про Telegram.
  53. Пересадка волос, дети и отношения с Аленой Шишковой. Тайны Павла Дурова
  54. Youtube. THE INSIDER. Як російські спецслужби зламують і деанонімізують Telegram (текстова версія)
  55. Telegram: A Thriving Hub of Criminal Activity
  56. HABR. Как Telegram сливает вас Ростелекому
  57. HABR. История про угон Telegram аккаунта (отчасти успешная)
  58. Telegram-канал “Галера Морева”. Разочарование в Telegram как продукте

Чи існує альтернатива Telegram?

Matrix protocol

У першу чергу альтернативою можуть стати захищені месенджери, такі як Signal, Threema, Briar, XMPP Conversations, Wire та інші. Їх ми детально розглянули в окремій статті: ТОП безпечних та захищених месенджерів.

Ще однією альтернативою може слугувати добре знайомий нам Viber, який володіє широким функціоналом – канали, групи, чати, боти. Підтримує E2EE-шифрування в приватних і групових чатах. Є API-інтерфейс. Має достатньо непогану документацію. За останні роки Viber здійснив певний прогрес, додавши різноманітні функції приватності, однак він є централізованим і використовує ADINT (Ads Intelligence) – це система рекламної розвідки, яка збирає знеособлені дані користувачів та націлює на них таргетовану рекламу. З допомогою ADINT можна відстежувати особу та здійснити деанонімізацію. Щоправда, Viber не є виключенням, подібна система вже давно присутня в усіх продуктах Meta: Facebook, WhatsApp, Instagram. В Telegram, попри заяви Павла Дурова не вводити рекламу, вона теж присутня.

Найбільш схожим до Telegram за архітектурою та функціоналом є Matrix. На ньому зупинимось детальніше.

***

Matrix – це відкритий децентралізований протокол для інтернет-комунікації, який підтримує усі типи обміну повідомленнями: чати, голосові повідомлення, аудіо та відео виклики, обмін файлами, API-інтеграції і інше. Протокол складається з серверної та клієнтської частин. Підтримує E2E-шифрування і федеративну систему. Користувач має змогу розгорнути власний домашній сервер Matrix та під’єднати до нього клієнт. Движки для реалізації Matrix-сервера: Synapse, Dendrite, Construct, Ligase.

Користувачі, які не мають досвіду в адмініструванні VPS-серверів і не хочуть розбиратися з движками, можуть скористатися “коробочними” рішеннями від різних провайдерів, які надають Matrix-сервер і клієнт (програму). Все, що необхідно — це завантажити безкоштовно додаток і створити обліковий запис:

  • Element (рекомендовано) – один із найпопулярніших та найфункціональніших кросплатформних додатків на базі Matrix. В ролі постачальника сервера виступає материнський Matrix.org. Реєстрація без номера телефону — потрібно вказати лише електронну пошту. Додаток, подібно до Telegram, має різні версії: Web, Desktop, Android, iOS. Серед підтримуваних інтеграцій: боти, віджети, мости. Наскрізне шифрування увімкнуто по замовчуванню. Ключі зберігаються на пристрої користувача. Додаток має також платні версії, які розкривають додатковий функціонал.
  • FluffyChat – клієнт Matrix, публічний Matrix-сервер можна вказати при реєстрації самостійно (див. список публічних серверів). Має інтуїтивно-зрозумілий інтерфейс. Додаток швидкий, підтримує мультиакаунти.
  • Syphon – ще один Matrix-клієнт, орієнтований на простоту і приватність. Публічний сервер вказується зі списку.
MATRIX federative protocol
Федеративний протокол MATRIX дозволяє налагоджувати мости з іншими мережами.

Переваги Matrix:

  • Open Source протокол;
  • Відповідає регламенту про захист персональних даних GDPR;
  • Наскрізне шифрування End to End Ecryption застосовується по замовчуванню;
  • Підтримка мостів з популярними додатками: IRC, Gitter, Github, Discord, Signal, WhatsApp, Telegram;
  • Широкий функціонал для адміністрування каналів;
  • Платформа для онлайн-колаборації між командами;
  • Контакти на вашому власному мобільному телефоні не передаються автоматично третім особам (без завантаження адресної книги);
  • Автономність і контроль: можна встановити локально;
  • Мatrix як канал комунікації застосовують європейські уряди і наукові установи.
  • Свої Matrix-сервери використовують відомі ІТ-компанії, наприклад Mozilla.

Matrix vs Telegram

Посилання:

Висновки

Telegram - троянський кінь анонімності

Сказати, що Telegram – це страшне зло, доступ до якого в Україні потрібно заблокувати вже завтра, складно. Сама ідея цікава та актуальна – створити кишенькову “хмару”, не вимогливу до пристрою, з допомогою якої можна отримати доступ до своїх мультимедіа у будь-якій точці світу та можливість виконувати найрізноманітніші операції в інтернеті: приватний месенджер, стрічка новин, плеєр, соцмережа, веб-сторінки, браузер, пошук, платежі, обчислення і так далі. Розробники ж, у свою чергу, можуть писати додатки для цієї платформи й таким чином заробляти. Це дійсно захопливо, але на практиці не так все казково, як здається. Захистити подібне непросто. Власне, що ми й бачимо — функціонал Telegram має прогалини, які роблять його “троянським конем”. А тому є привід поставитися з усією серйозністю та відповідальністю щодо техніки безпеки у цьому додатку.

Загалом, усі потенційні вразливості Telegram можна поділити на такі типи:

  1. Вразливості шифрування. Алгоритм шифрування MTProto закритий, тому до нього є чимало питань. Наскрізне шифрування E2E реалізовано лише в секретних чатах. Усі інші чати шифруються по моделі – “клієнт-сервер-клієнт”, що потенційно може привести до перехоплення та розшифрування повідомлень.
  2. Вразливості серверної інфраструктури. Атаки на сервери Telegram, включаючи DDoS атаки або вразливості в програмному забезпеченні серверів. Можуть вплинути на доступність і безпеку платформи.
  3. Вразливості клієнтських додатків. Вразливості в мобільних і десктопних додатках та веб-версії Telegram можуть призвести до зламу акаунта, перехоплення повідомлень або інших видів атак.
  4. Соціальна інженерія. Завдяки великій кількості OSINT-інструментів, що використовують функції API та CLI, Telegram стає ідеальним середовищем для проведення різного роду атак з використанням соціальної інженерії. Вони можуть негативно впливати на користувачів Telegram шляхом різноманітних маніпуляцій, наприклад фішингу, смішингу, сталкінгу, парсингу та інших методів.

Основне, що варто назавжди запам’ятати користувачу:

  • користуйтесь VPN;
  • реєструйтесь на SIM-картку оператора ЄС;
  • відразу вмикайте двофакторну верифікацію (хмарний пароль);
  • приховуйте свій номер телефону;
  • не вказуйте особисті дані в профілі;
  • не задавайте username;
  • використовуйте лише секретні чати для спілкування в Telegram;
  • не зберігайте в хмарі Telegram будь-якої конфіденційної інформації;
  • регулярно очищайте кеш Telegram.

Ну, а якщо ви знаходитесь в зоні підвищеного ризику (військові, журналісти, волонтери, політики), то рекомендуємо взагалі відмовитися від Telegram і використовувати децентралізовані захищені месенджери (див. вище).

З іншого боку, таке творіння П.Дурова як “ВКонтакте”, зі значно слабшим функціоналом та призначенням, на багато років заблоковано на території України. Сьогодні “ВК” практично мертвий і не являє собою жодного інтересу, тим часом як вся російська пропаганда переїхала в Telegram, який став одним з найпопулярніших додатків в Україні.

Top apps ranking in Ukraine
Статистика найпопулярніших веб-додатків в Україні станом на Червень, 2023 рік. Рейтинг сформовано компанією SimilarWeb.

Громадянам України варто знати:

  1. Telegram – це продукт російської інтелектуальної спільноти. Його заснували громадяни росії, яка визнана світом державою-терористом. Над ним досі працюють розробники з Санкт-Петербурга.
  2. Корпоративна структура, топ-менеджери Telegram можуть бути пов’язані з Кремлем. Московські олігархи могли або можуть бути дотичними до фінансування компанії (і її дотичних груп) на певних стадіях розвитку проєкту.
  3. Telegram дійсно використовувався і використовується російськими силовиками та спецслужбами (і не тільки ними). Єдине, що залишається відкритим так це: чи мають вони бекдор для дешифрування? Кажуть, що мають. У всякому випадку, диму без вогню не буває і сподіваємося на це ще проллють світло міжнародні експерти.
  4. Телеграм став криміногенним середовищем, що нагадує DarkWeb. А також розплідником фейків, пліток, чуток і наративів. Поряд з цим, його використовують українські державні, банківські, інфраструктурні сервіси. Його популяризують журналісти і політики. І в цьому, на нашу думку, й криється основна проблема національної безпеки і безперервні розмови про ризики та наслідки Telegram.

P.S. І на завершення. Безпека та комфорт, безпека і бізнес – часто суперечать один одному. Наприклад, щоби забезпечити наскрізне шифрування в Телеграмі не тільки в секретних чатах, а й на усіх інших рівнях інфраструктури, і при цьому зберегти швидкість, компактність, гнучкість – треба докорінно змінювати архітектуру, відмовлятися від принципів хмарного сховища (відмова від пересилки об’ємних файлів до 4 ГБ), вводити новий функціонал і вкладати у це кошти, а відтак змінювати сам тип і характер додатка. А хіба це їм потрібно? Навіщо Дурову щось змінювати, якщо Телеграм й так успішний. Це ж не захищений месенджер, а соціальна платформа з розвинутим функціоналом, де основна мета – збільшувати аудиторію і заробляти на ній. Слова “безпечно, конфіденційно” – маркетингова обгортка, аби користувач повірив у якусь ідею. Бо проєкт без ідеї – ніщо. Зараз вже можемо сказати чого варті обіцянки буцімто Телеграм ніколи не стане комерційним, ніколи не співпрацюватиме з урядами, вся ця критика вбік WhatsApp… Насправді і Telegram, і WhatsApp – “одного поля ягідки”. А ставлення Telegram до баг-хантерів бажає кращого.

У всякому випадку, хай кожен сам собі вирішує користуватися йому “Тєлєгою” чи ні. Можливо, хтось-колись створить добре захищений український форк чи аналог Telegram. Ми ж черговий раз повторюємо: читайте інструкції, вивчайте специфікації, досліджуйте хронологію і біографії, шукайте джерела і першопричини, зберігайте анонімність та вчасно оновлюйте програмне забезпечення!

ПОДІЛИТИСЬ У СОЦМЕРЕЖАХ:

Отримати комерційну пропозицію
Оформити заявку
Замовити консультацію
Замовити дзвінок

Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!