Предисловие


Сам способ раскрытия номера — есть совокупность одной технической возможности самого клиента и применения социальной инженерии (СИ). Вообще, эту функцию уже описывали ранее на Хабре, аж в 2016 году — ссылочка.

Автор уже было уловил «месседж» и хотел рассказать зевавшим пользователям, что это небезопасно!, но критике его статейка поддалась слабо. Однако, я пошел дальше и решил показать, как эта «функция» действует в руках «хацкера».

Способ основан на социальной инженерии, поэтому придется общаться с пользователем, чей номер мы хотим узнать. Вся суть в том, что пользователь должен провернуть обычную манипуляцию, присущую мессенджерам, но, при этом, не должен заподозрить – зачем ему делать эту самую манипуляцию…

Что же должна сделать жертва, чтобы раскрыть свой номер? Рассмотрим пример.

image

Есть пользователь А (атакующий) и пользователь Б (жертва).
А стучится к Б в личный диалог и шлет какое-либо сообщение. Пользователь Б отвечает. Начинается диалог. Пользователь А дружится с пользователем Б и добавляет его себе в контакты. Пользователь Б рад и тоже добавляет пользователя А себе в контакты.

После этого у пользователя А (атакующего) виден номер пользователя Б (жертвы), но жертва (Б) не видит номер атакующего (А).

Как это произошло?


Во-первых, тут тоже не все так просто. Желательно, чтобы жертва находилась именно в десктоп мессенджере. При клике на иконку пользователя открывается такое окно:

image

Под именем пользователя виднеется надпись «ADD TO CONTACTS».

Нажав на нее, откроется окно такое окно:

image

Все просто, надо лишь подтвердить авторизацию и нажать «DONE». Но именно после этого наш номер будет виден этому пользователю. Всему виной активированная по умолчанию опция “Share my phone number”. Да, она активирована по умолчанию, поэтому пользователи, добавляющие кого-то в контакты, игнорируют эту функцию.

Через десктоп-клиент нам удастся узнать номер довольно просто. Жертва просто не заметит эту опцию и выдаст номер. Но что касается приложений для телефонов? Тут дело обстоит труднее.
Во-первых, жертва не сразу найдет функцию авторизации пользователя. Во-вторых, жертве будет не понятно – зачем вообще добавлять пользователя в контакты, если диалог идет без проблем. В-третьих, опция называется “share my contact”, – что уже подозрительно. А если нажать эту опцию, то будет предупреждение, где написан номер жертвы и текст, что он отобразится у пользователя. Жертва не станет этого делать. Поэтому данный метод акцентирован более на десктоп-приложение.

Поэтому, прежде чем начинать атаку, необходимо убедиться, что жертва использует не мобильную версию! Есть много способов. Например, посмотреть на скорость печатания, стиль текста, использование стикеров и смайликов и т.д.

Если мы уверены, что жертва сидит с компьютера, то можно начинать.

Как заставить жертву добавить вас в контакты?


Здесь необходимо понимать, для чего вам нужен номер жертвы. Подразумевается, что вы заранее знаете какую-либо информацию о жертве – род деятельности, интересы и т.д. Исходя из диалога, вы сами должны сформулировать причину, по которой жертва должна добавить вас.
Почти из всех практик я применял метод с двумя аккаунтами: один – основной, второй – фейковый. Суть в том, чтобы с первого аккаунта начать диалог с жертвой, а затем переключить ее на второй. Второй аккаунт должен быть не конкретно ваш, а, например, ваш друг/брат/коллега. В общем, надо создать иллюзию для жертвы, при которой она начнет писать второму аккаунту, но не сможет к нему достучаться (нам нужно игнорировать ее). Это подвергнет жертву в ступор, поэтому она начнет выяснять у нашего первого аккаунта причину, а мы должны выступать в качестве «моста связи», как бы направляя жертву на то, чтобы она добавила второй аккаунт в контакты и, тем самым, выдала свой номер.
Сложно? Тогда рассмотрим на практике.

Я приведу пример, когда деанонимизировал мошенников из даркнета.

Деанонимизация мошенника


И так, есть некий пользователь, который занимается мошенническими действия, связанными с финансами – обналичивание краденых денег и т.д.

Я создал 2 аккаунта (А) и (Б).

С первого аккаунта (А) я написал жертве.

image

Жертва вступила в диалог. Я отвечаю:

image

Вставляю ссылку на свой второй аккаунт (Б).

Жертва начинает писать на аккаунт (Б):

image

Я же не читаю эти сообщения специально.

С аккаунта (Б) я пишу на свой же аккаунт (А) текст и пересылаю его жертве:

image

Здесь я не ставлю конкретной задачи от жертвы – чтобы тот добавил меня в контакты. Я как бы сам не понимаю, что за проблема, поэтому предлагаю разные варианты.

Но жертва в недоумении шлет новые письма на аккаунт (Б), которые я так же игнорирую.

Далее – я разыгрываю диалог между своими аккаунтами (А) и (Б), которые так же присылаю жертве с основного аккаунта:

image

Внимание жертвы отвлечено этим инцидентом, поэтому она пытается понять, что может быть не так. Она меньше всего сейчас думает о своей безопасности, ведь никаких ссылок и файлов ей не отправляют. Жертва просто не может наладить диалог.

С аккаунта (Б) я все же прочитал сообщения, но не ответил жертве!

Далее происходит финальный диалог:

image

Здесь жертва окончательно понимает, что все дело в контактах и тогда добавляет аккаунт (Б), игнорируя опцию “share my phone number”.

image

После этого в моем аккаунте (Б) отобразился номер жертвы.

image

Скажу прямо. Я пробовал на многих контактах и 7 из 10 добавляли меня в контакты, раскрывая свой номер. В основном, я раскрывал мошенников, наркобарыг и прочую нечесть «дальквебя». Но и с простыми пользователями можно найти общий язык, включив хитрожопость и втереться в доверие. Казалось бы: «что в этом крутого? Это же так просто!». Но вы знали об этом?.. Не думаю. Если бы только Telegram убрал эту галочку по-умолчанию, когда добавляешь в контакты, — то все было бы иначе. Но это все не важно, ведь все и так хорошо ;)

Комментарии (27)


  1. IgorPie
    25.09.2019 14:01
    +3

    Описание немного запутанно.

    Что до эффективности, то барыги и параноики зарегистрированы на симках с подземных переходов, оформленных на каких-нибудь гастрабайтеров, поэтому не парятся.


    1. ThisMan
      25.09.2019 14:31

      Тут больше пугает то, что спамер таким образом может узнать ваш телефон и после этого ожидайте смски/звонки с предложениями акций, услуг, а вы даже не поймете, где вы телефон спалили.


      1. Mur81
        25.09.2019 15:04

        Умные АОН'ы для этого уже существуют. К сожалению в современном мире не спалить номер телефона практически не возможно, разве что не пользоваться им по прямому назначению.


      1. IgorPie
        25.09.2019 15:14
        +2

        Я практически оскорблен, что за 16 лет сидя на одном и том же номере есть спамерские базы, где отсутствует мой номер!

        А ведь было время, когда спама не боялись и публиковали номера открыто, на досках объявлений, сайтах знакомств, ЖЖ и так далее. Он до сих пор гуглится.


        1. Victor_koly
          25.09.2019 16:25

          И даже на почту не приходит ни одну?


          1. IgorPie
            26.09.2019 10:24

            коммент выше был о том, что мой телефон явно во всех базах.
            Что до спама, то почта хостится у крупных хостеров, они со спамом очень неплохо борятся.


      1. pyrk2142
        25.09.2019 15:16

        Думаю, что для спама такой способ получения номера слишком сложный и затратный. Но в целом идея интересная.


    1. AngelNet
      25.09.2019 18:24

      Есть мнение, что такие симки скоро превратятся в «тыкву», а номера будут ликвидированы операторами. Законодательные акты уже предлагались. Что и говорить, если россиян хотят пересадить на электронные паспорта, где ключевым звеном будет как раз сотовый номер владельца.


      1. IgorPie
        25.09.2019 20:09

        Ну, телеграм тоже обещали закрыть со дня на день, однако воз и ныне там. Только рекламу и сделали.


        1. AngelNet
          25.09.2019 20:56

          Насчёт рекламы это вы точно подметили, я и сам переключился на использование телеграм после этих событий. (До этого сидел в ИРЦ-ах да Jabber-ах).


          1. Chikabanita
            27.09.2019 17:43

            И я… Что наводит на определенные мысли


    1. Taraflex
      26.09.2019 23:10

      Есть куча сервисов принимающих sms для регистрации аккаунтов — даже из дома выходить не нужно. Стоит копейки. Для подобных целей большего и не нужно. Ну и 2FA можно включить, чтобы не увели акк.


    1. Duss
      27.09.2019 09:58

      И хорошо, что не парятся. Но левая симка — не панацея.

      m.habr.com/ru/post/174221


  1. madcatdev
    25.09.2019 16:30

    деанонимизация мошенника
    обналичивание денег
    Обнал — не мошенничество.


    1. dobrev
      25.09.2019 19:20
      +1

      Обнал — не мошенничество.

      Первым звеном в цепи мошенничества обычно является вполне благовидный и законный предлог. Например, мошенник даёт объявление о продаже вещи (это законно), получает полную или частичную предоплату (это законно), не отправляет вещь (и не собирается) — мошенничество завершено.


      1. Shtucer
        25.09.2019 23:05
        -1

        Этим своим комментарием вы что-то оспорили, только я не понял что. Более того, вы даже что-то доказали, только не понятно что.


  1. variable
    26.09.2019 00:26

    это актуально после последнего апдейта?


    1. qyix7z
      26.09.2019 10:44

      Это стало актуальным после последнего апдейта. Раньше можно было просто добавить себе в контакты кучу номеров и контакт жертвы в телеге. Если у жертвы был телефон из уже имеющихся в контактах, то телега показывала номер жертвы.
      Сейчас пофиксили тем, что жертва должна добавить атакующего в свои контакты и дать согласие показать номер.
      Собственно вопрос в том, как заставить жертву добавить атакующего в контакты. Статья показывает один из способов СИ.
      Меня не впечатлил способ. Я бы на месте жертвы не добавил. Я бы сказал: «Тебе нужно что-то? Вот и изложи, либо перешли сообщение от босса, раз он сам не может.»


      1. da411d
        26.09.2019 16:26

        Или создать чат и скинуть пригласительную ссылку


  1. Psychosynthesis
    26.09.2019 03:31
    -1

    Тоже натыкался на эту дыру, очень удивился.


    1. hunroll
      26.09.2019 09:40

      Ну на какую дыру?? Это очень удобный инструмент поделиться с человеком своим номером (когда ВЫ этого САМИ хотите). Человек САМ нажимая «ок» подтверждает все отмеченные чекбоксы.
      Мб телеграм ещё виноват что разрешает отправлять ссылки на вредоносное ПО, которое невнимательный пользователь может скачать?
      Это неплохой пример социальной инженерии, но никак не «дыра».


      1. Psychosynthesis
        27.09.2019 02:38

        Там нет никаких чебоксов или предупреждений. По крайней мере когда я это обнаружил, буквально всё что произошло — нажал «добавить контакт» и в этот же момент мой номер стал виден тому, кого я добавил. Просто опция «кому виден номер» по умолчанию в телеге стоит «моим контактам», а это самая настоящая дыра.

        Так что вы бы прекратили всех вокруг идиотами считать, чести вам это не делает.


  1. mammuthus
    26.09.2019 07:43

    В основном, я раскрывал мошенников, наркобарыг и прочую нечесть «дальквебя»
    Если не секрет, зачем вы этим занимаетесь? Тов. майор? (:


  1. massmedium
    26.09.2019 11:49

    >Нажав на нее, откроется окно такое окно
    И слетит шляпа.


  1. x-tea
    27.09.2019 17:43

    социальная инженерия актуальна после любого апдейта.
    именно в этом суть, а не какой то дефолтной галке.


  1. fenrir1121
    27.09.2019 17:43

    Я тут один из многих read only, но что-то сильно впечатлило насколько треш я сейчас прочитал.
    Статья уровня журнала "Лиза" (простите если тут есть читатели такого журнала).


    1. iig
      28.09.2019 08:35

      Если в статье нет простыни кода, значит она негодная? ;)
      Статья о том, что в любом, даже самом анонимном и защищённом инструменте могут найтись неочевидные дыры. В описанном случае тов. майор может перейти от аккаунта в телеге до мобильного номера, а там уже IMEI рядом.