Предисловие
Сам способ раскрытия номера — есть совокупность одной технической возможности самого клиента и применения социальной инженерии (СИ). Вообще, эту функцию уже описывали ранее на Хабре, аж в 2016 году — ссылочка.
Автор уже было уловил «месседж» и хотел рассказать зевавшим пользователям, что это небезопасно!, но критике его статейка поддалась слабо. Однако, я пошел дальше и решил показать, как эта «функция» действует в руках «хацкера».
Способ основан на социальной инженерии, поэтому придется общаться с пользователем, чей номер мы хотим узнать. Вся суть в том, что пользователь должен провернуть обычную манипуляцию, присущую мессенджерам, но, при этом, не должен заподозрить – зачем ему делать эту самую манипуляцию…
Что же должна сделать жертва, чтобы раскрыть свой номер? Рассмотрим пример.
Есть пользователь А (атакующий) и пользователь Б (жертва).
А стучится к Б в личный диалог и шлет какое-либо сообщение. Пользователь Б отвечает. Начинается диалог. Пользователь А дружится с пользователем Б и добавляет его себе в контакты. Пользователь Б рад и тоже добавляет пользователя А себе в контакты.
После этого у пользователя А (атакующего) виден номер пользователя Б (жертвы), но жертва (Б) не видит номер атакующего (А).
Как это произошло?
Во-первых, тут тоже не все так просто. Желательно, чтобы жертва находилась именно в десктоп мессенджере. При клике на иконку пользователя открывается такое окно:
Под именем пользователя виднеется надпись «ADD TO CONTACTS».
Нажав на нее, откроется окно такое окно:
Все просто, надо лишь подтвердить авторизацию и нажать «DONE». Но именно после этого наш номер будет виден этому пользователю. Всему виной активированная по умолчанию опция “Share my phone number”. Да, она активирована по умолчанию, поэтому пользователи, добавляющие кого-то в контакты, игнорируют эту функцию.
Через десктоп-клиент нам удастся узнать номер довольно просто. Жертва просто не заметит эту опцию и выдаст номер. Но что касается приложений для телефонов? Тут дело обстоит труднее.
Во-первых, жертва не сразу найдет функцию авторизации пользователя. Во-вторых, жертве будет не понятно – зачем вообще добавлять пользователя в контакты, если диалог идет без проблем. В-третьих, опция называется “share my contact”, – что уже подозрительно. А если нажать эту опцию, то будет предупреждение, где написан номер жертвы и текст, что он отобразится у пользователя. Жертва не станет этого делать. Поэтому данный метод акцентирован более на десктоп-приложение.
Поэтому, прежде чем начинать атаку, необходимо убедиться, что жертва использует не мобильную версию! Есть много способов. Например, посмотреть на скорость печатания, стиль текста, использование стикеров и смайликов и т.д.
Если мы уверены, что жертва сидит с компьютера, то можно начинать.
Как заставить жертву добавить вас в контакты?
Здесь необходимо понимать, для чего вам нужен номер жертвы. Подразумевается, что вы заранее знаете какую-либо информацию о жертве – род деятельности, интересы и т.д. Исходя из диалога, вы сами должны сформулировать причину, по которой жертва должна добавить вас.
Почти из всех практик я применял метод с двумя аккаунтами: один – основной, второй – фейковый. Суть в том, чтобы с первого аккаунта начать диалог с жертвой, а затем переключить ее на второй. Второй аккаунт должен быть не конкретно ваш, а, например, ваш друг/брат/коллега. В общем, надо создать иллюзию для жертвы, при которой она начнет писать второму аккаунту, но не сможет к нему достучаться (нам нужно игнорировать ее). Это подвергнет жертву в ступор, поэтому она начнет выяснять у нашего первого аккаунта причину, а мы должны выступать в качестве «моста связи», как бы направляя жертву на то, чтобы она добавила второй аккаунт в контакты и, тем самым, выдала свой номер.
Сложно? Тогда рассмотрим на практике.
Я приведу пример, когда деанонимизировал мошенников из даркнета.
Деанонимизация мошенника
И так, есть некий пользователь, который занимается мошенническими действия, связанными с финансами – обналичивание краденых денег и т.д.
Я создал 2 аккаунта (А) и (Б).
С первого аккаунта (А) я написал жертве.
Жертва вступила в диалог. Я отвечаю:
Вставляю ссылку на свой второй аккаунт (Б).
Жертва начинает писать на аккаунт (Б):
Я же не читаю эти сообщения специально.
С аккаунта (Б) я пишу на свой же аккаунт (А) текст и пересылаю его жертве:
Здесь я не ставлю конкретной задачи от жертвы – чтобы тот добавил меня в контакты. Я как бы сам не понимаю, что за проблема, поэтому предлагаю разные варианты.
Но жертва в недоумении шлет новые письма на аккаунт (Б), которые я так же игнорирую.
Далее – я разыгрываю диалог между своими аккаунтами (А) и (Б), которые так же присылаю жертве с основного аккаунта:
Внимание жертвы отвлечено этим инцидентом, поэтому она пытается понять, что может быть не так. Она меньше всего сейчас думает о своей безопасности, ведь никаких ссылок и файлов ей не отправляют. Жертва просто не может наладить диалог.
С аккаунта (Б) я все же прочитал сообщения, но не ответил жертве!
Далее происходит финальный диалог:
Здесь жертва окончательно понимает, что все дело в контактах и тогда добавляет аккаунт (Б), игнорируя опцию “share my phone number”.
После этого в моем аккаунте (Б) отобразился номер жертвы.
Скажу прямо. Я пробовал на многих контактах и 7 из 10 добавляли меня в контакты, раскрывая свой номер. В основном, я раскрывал мошенников, наркобарыг и прочую нечесть «дальквебя». Но и с простыми пользователями можно найти общий язык, включив хитрожопость и втереться в доверие. Казалось бы: «что в этом крутого? Это же так просто!». Но вы знали об этом?.. Не думаю. Если бы только Telegram убрал эту галочку по-умолчанию, когда добавляешь в контакты, — то все было бы иначе. Но это все не важно, ведь все и так хорошо ;)
Комментарии (27)
madcatdev
25.09.2019 16:30деанонимизация мошенника
обналичивание денег
Обнал — не мошенничество.dobrev
25.09.2019 19:20+1Обнал — не мошенничество.
Первым звеном в цепи мошенничества обычно является вполне благовидный и законный предлог. Например, мошенник даёт объявление о продаже вещи (это законно), получает полную или частичную предоплату (это законно), не отправляет вещь (и не собирается) — мошенничество завершено.Shtucer
25.09.2019 23:05-1Этим своим комментарием вы что-то оспорили, только я не понял что. Более того, вы даже что-то доказали, только не понятно что.
variable
26.09.2019 00:26это актуально после последнего апдейта?
qyix7z
26.09.2019 10:44Это стало актуальным после последнего апдейта. Раньше можно было просто добавить себе в контакты кучу номеров и контакт жертвы в телеге. Если у жертвы был телефон из уже имеющихся в контактах, то телега показывала номер жертвы.
Сейчас пофиксили тем, что жертва должна добавить атакующего в свои контакты и дать согласие показать номер.
Собственно вопрос в том, как заставить жертву добавить атакующего в контакты. Статья показывает один из способов СИ.
Меня не впечатлил способ. Я бы на месте жертвы не добавил. Я бы сказал: «Тебе нужно что-то? Вот и изложи, либо перешли сообщение от босса, раз он сам не может.»
Psychosynthesis
26.09.2019 03:31-1Тоже натыкался на эту дыру, очень удивился.
hunroll
26.09.2019 09:40Ну на какую дыру?? Это очень удобный инструмент поделиться с человеком своим номером (когда ВЫ этого САМИ хотите). Человек САМ нажимая «ок» подтверждает все отмеченные чекбоксы.
Мб телеграм ещё виноват что разрешает отправлять ссылки на вредоносное ПО, которое невнимательный пользователь может скачать?
Это неплохой пример социальной инженерии, но никак не «дыра».Psychosynthesis
27.09.2019 02:38Там нет никаких чебоксов или предупреждений. По крайней мере когда я это обнаружил, буквально всё что произошло — нажал «добавить контакт» и в этот же момент мой номер стал виден тому, кого я добавил. Просто опция «кому виден номер» по умолчанию в телеге стоит «моим контактам», а это самая настоящая дыра.
Так что вы бы прекратили всех вокруг идиотами считать, чести вам это не делает.
mammuthus
26.09.2019 07:43В основном, я раскрывал мошенников, наркобарыг и прочую нечесть «дальквебя»
Если не секрет, зачем вы этим занимаетесь? Тов. майор? (:
x-tea
27.09.2019 17:43социальная инженерия актуальна после любого апдейта.
именно в этом суть, а не какой то дефолтной галке.
fenrir1121
27.09.2019 17:43Я тут один из многих read only, но что-то сильно впечатлило насколько треш я сейчас прочитал.
Статья уровня журнала "Лиза" (простите если тут есть читатели такого журнала).iig
28.09.2019 08:35Если в статье нет простыни кода, значит она негодная? ;)
Статья о том, что в любом, даже самом анонимном и защищённом инструменте могут найтись неочевидные дыры. В описанном случае тов. майор может перейти от аккаунта в телеге до мобильного номера, а там уже IMEI рядом.
IgorPie
Описание немного запутанно.
Что до эффективности, то барыги и параноики зарегистрированы на симках с подземных переходов, оформленных на каких-нибудь гастрабайтеров, поэтому не парятся.
ThisMan
Тут больше пугает то, что спамер таким образом может узнать ваш телефон и после этого ожидайте смски/звонки с предложениями акций, услуг, а вы даже не поймете, где вы телефон спалили.
Mur81
Умные АОН'ы для этого уже существуют. К сожалению в современном мире не спалить номер телефона практически не возможно, разве что не пользоваться им по прямому назначению.
IgorPie
Я практически оскорблен, что за 16 лет сидя на одном и том же номере есть спамерские базы, где отсутствует мой номер!
А ведь было время, когда спама не боялись и публиковали номера открыто, на досках объявлений, сайтах знакомств, ЖЖ и так далее. Он до сих пор гуглится.
Victor_koly
И даже на почту не приходит ни одну?
IgorPie
коммент выше был о том, что мой телефон явно во всех базах.
Что до спама, то почта хостится у крупных хостеров, они со спамом очень неплохо борятся.
pyrk2142
Думаю, что для спама такой способ получения номера слишком сложный и затратный. Но в целом идея интересная.
AngelNet
Есть мнение, что такие симки скоро превратятся в «тыкву», а номера будут ликвидированы операторами. Законодательные акты уже предлагались. Что и говорить, если россиян хотят пересадить на электронные паспорта, где ключевым звеном будет как раз сотовый номер владельца.
IgorPie
Ну, телеграм тоже обещали закрыть со дня на день, однако воз и ныне там. Только рекламу и сделали.
AngelNet
Насчёт рекламы это вы точно подметили, я и сам переключился на использование телеграм после этих событий. (До этого сидел в ИРЦ-ах да Jabber-ах).
Chikabanita
И я… Что наводит на определенные мысли
Taraflex
Есть куча сервисов принимающих sms для регистрации аккаунтов — даже из дома выходить не нужно. Стоит копейки. Для подобных целей большего и не нужно. Ну и 2FA можно включить, чтобы не увели акк.
Duss
И хорошо, что не парятся. Но левая симка — не панацея.
m.habr.com/ru/post/174221