Как найти владельца и админа Telegram канала
Важно понимать, что универсального способа поиска админа и владельца канала нет. Однако можно отдельно выделить рабочие способы и источники которые помогают ответить на вопрос.
Какой вопрос? Перед началом поиска убедитесь в точности формулировки своей цели. Хотите узнать кто владел каналом? Кто там администратор? Кто его владелец сейчас? Или все вместе?
В статье не увидите методы фишинга и социальной инженерии. Будем работать с историей и по минимуму взаимодействовать с пользователями.
Определимся с чем будем работать, что известно о канале и что с этим делать. Вот что обычно на канале встречается чаще:
Публикация
Что в ней может быть? Всё. Фото и аудио, ссылки и файлы. Соберите из потов: текст, ссылки, аудио, видео, изображения и найди в HowToFind bot где искать по этим данным. В посте фото? Выбери в боте поиск по фото и перебирай каждый источник в списке. Но, вот что в посте приведет нас к цели:
I. Реферальная ссылка
Это ссылка с реферальным идентификатором. На каналах размещают ссылку на бот где зашифрован или виден Telegram ID пользователя бота. Пример: https://t.me/PimEyesBot?start=445588014
где 445588014 это ID аккаунта Telegram.
Не спешите бросать ссылку если там после start вписаны еще и буквы. Это внутренний идентификатор пользователя. Узнайте способ найти по внутреннему идентификатору бота пользователя. Например спросите поддержку этого робота кто создал ссылку или выполните поиск в боте, если конечно функционал позволяет.
II. Приватная ссылка
До 2017 года Telegram генерировал приватные ссылки в группы и каналы с зашифрованным ID аккаунта создателя этой ссылки, то есть админа или создателя канала.
Что значит приватная ссылка? Эта та в которой присутствует фраза joinchat.
В каких ссылках ID аккаунта Telegram?
- В длинных. Эти ссылки содержат 18+ символов после фразы joinchat. Например: https://t.me/joinchat/FNPR30Fs51OX1853MfCKVg
В каких ссылках НЕТ ID аккаунта?
- В публичных. Адрес в этой ссылке задает сам администратор, что хочет, то и пишет в ней. Пример: t.me/durov
- В ссылках с AAAAA. Что такое AAAAA? Это зашифрованные нули вместо ID аккаунта. Следовательно такие ссылки бесполезны для дешифровки. Более того они ведут только на приватные каналы. Согласно веб-архиву появились эти ссыли в начале января 2017 года. Пример: https://t.me/joinchat/AAAAAFcF8lv6w7Y4RfSW5Q
- В коротких. Эти Telegram ввел как для каналов так и для групп. Появились в 2019 году и создаются по сегодняшний день. Содержат до 18 символов после joinchat. Пример: https://t.me/joinchat/t5OICPRwudQ2MmFh
Как расшифровать и узнать ID аккаунта создателя ссылки?
- Убедитесь что ссылка содержит ID аккаунта. Выше уже были перечислены виды ссылок.
- Скопируйте все после фразы joinchat. Пример: из http://t.me/joinchat/D-3jrhMOTiIE-WwV8wnomA останется D-3jrhMOTiIE-WwV8wnomA. Это хэш сумма.
- Откройте сайт 8gwifi.org. На сайте в первое input введите эту хэш сумму, и нажминте Sumbit.
Получается Hex.
- Скопируйте получившийся Hex и откройте сайт cryptii.com.
- Введите Hex в поле как на картинке. Выставите 32 бита. Проверьте параметры дешифровки, должно быть вот так:
Выдает Telegram ID в первом числе.
Вы получите число, это ID аккаунта создателя приватной ссылки. Пример: 267248558.
Чтобы узнать по ID информацию аккаунта и его упоминания, можно использовать ресурсы для поиска по ID аккаунта Telegram в каталоге источников — HowToFind Bot, где есть ресурс t.me/usinfobot. Впишем в поле для ввода сообщения @usinfobot 267248558 и узнаем имя и ссылку аккаунта Telegram.
Если ссылка не работает, то ID аккаунта остаётся, однако не узнаете так быстро куда она эта ссылка вела. Посмотрите упоминания ссылки в поисковиках по Telegram ну и в Google тоже полезно проверять.
III. Подпись у поста
Скажите банальная вещь, а на деле её игнорируют, не замечают. Эта подпись размещается возле времени публикации, состоит из имени и фамилии аккаунта. Почему же это можно пропустить? Подпись возможна даже на одной публикации из всех сотен не подписанных. Внимательно прошерстите все сообщения канала. Вдруг повезёт встретить имя.
Есть подпись? Ищите упоминания в Telegram и в группе канала.
IV. Репост
Репост это когда сообщение одного канала или пользователя отправленно на другой канал.
Репост из канала чаще делают подписчики, значит админ и/или владелец подписаны на канал откуда был репост. Посмотрите есть ли там чат и кто упоминает наш канал или его контент. Это могут быть фанаты, но больше всего это интересует админа и/или владельца. Запишите всех кому понравилось упоминание и контент канала в чате. Будем искать совпадения.
Группа
Группа подключена к каналу а может и не быть, это не так важно. Важно сначала убедиться что группа связана с каналом. Это видно на самом канале, там есть ссылка на чат или открыты комментарии к постам.
Как с помощью группы найти владельца канала.
- Если администратор в группе — значит на канале тоже. Тут просто.
- Пишут в чате от имени группы? Это анонимные админы. Но их можно найти. Сперва пролистай к началу чата. Посмотри кто первый вступил в группу. Кто раздает команды ботам модераторам. Так кого искать, и какие критерии. Админ скрывшийся под анонимного теперь имеет сообщения в группе без подписи админа, его нет в списках участников, и нет даже сообщения о том, что он покинул группу, так как он ее не покидал, а просто был скрыт. Однако это косвенные признаки, но важные.
- Поищи к кому обращаются участники группы как к админу. Открой поиск в группе и введи следующие фразы: admin, /admin, администратор и т.п.
- Удали все сообщения чата, это позволяет в Bgram, тогда останутся только системные, там видно кто закрепил сообщение, кто начал голосовой чат и т.п
- Спроси участников чата и в нем самом.
- Поищи упоминания группы в поисковиках по Telegram.
- Собери все ссылки на группы которые есть в чате. Ищи в группе joinchat или t.me. А там проверь кто упоминает канал или группу. Тут выходит рекурсия.
- Прочитай всю группу. Много сообщений? Читай, если ничего не сработало.
Изображение канала
Упоминание изображения приводит к архиву канала или публикациям во вне Telegram. Обратный поиск по изображению такой как Яндекс Картинки — первый источник для проверки упоминаний, после него в топе это Google Images и все остальное что есть в HowToFind Bot.
Имя и адрес канала
Первое что с этим можно сделать это найти их упоминания в сети. Лучше всего использовать поисковики способные искать в Telegram, полный список в HowToFind Bot. Так можно наткнулся на публикации с покупкой рекламы, админа зазывающего подписаться на канал, репост администратора и тому подобные упоминания.
Второе – это из адреса канала взять ник Пример: из t.me/durov получаем ник durov
И использовать ресурсы для поиска по нику в HowToFind bot. В котором есть инструмент Maigret, t.me/maigret_osint_bot, Sherlok и прочие.
А если канал приватный? Посмотрите пункт II. Приватная ссылка.
Удаленные посты
Как узнать что с канала был удалён пост:
- Скопируйте ссылку на последний пост. Пример: t.me/durov/171
- Посчитайте все посты канала, например выделив их. Пример: на канале t.me/durov всего постов 138
- Получаем порядковый номер последней публикации — 171, и всего доступных постов — 138.
- Считаем разницу: 171 — 138 = 33.
- Получаем число 33. Это количество постов которые были удалены с канала.
Сайты аналитики которые есть в каталоге HowToFind bot сохраняют посты канала, даже после их удаления. Найти профиль канала на этих ресурсах также можно по имени и ссылке. По статистике чаще всего удаляют рекламные посты. В них указывают того, кто заплатил за рекламу. Это рекламодатель, можно ему написать, узнать как он разместил свой пост, и с кем для этого договаривался и кому платил.
Не забудь посмотреть пункт публикация, к нему тоже относится удалённый пост.
История изменения имени канала
На самом канале есть информация о том когда и на что было изменено имя этого канала, только обычное приложение Telegram не покажет такое. Нужен Telegram X на Android, скачай и открой его, а в нем перейди на канал.
При создании любого канала надо задать имя. Это будет первое имя, которое всегда останется в первом сообщении канала. Чтобы к нему перейти, можно пролистать до первого поста, но проще сделать ссылку на этот пост. Пример: t.me/durov/1
Не забывайте о том факте, что имя канала может меняться, и все эти изменения также фиксируются на канале среди публикаций. Если на канале много постов, то выделите все посты и удалите их, но удалять можно только в альтернативных клиентах Telegram таких как Bgram. Тогда перед вами останутся системные сообщения. В том числе и об изменении имени.
Удалять посты канала допускается только если выданы права админа или владелец канала, такое ограничение ввел клиент Telegram на Android. Чем могут помочь другие клиенты? В других как раз можно удалять не администраторам. Например в Bgram и Telegraph можно перейти к первому сообщению нажав на одну кнопку. Выделите первый, а в конце канала последней пост, и тогда можно выделить все публикации канала и разом их удалить. Не бойтесь, посты не удаляются а только скрываются на вашем устройстве.
Остаются системные сообщения об изменении имени канала. Не забывайте, что первое сообщение с именем канала видно только в Telegram X.
Как использовать эти имена? Смотрите способы для имени канала описанные выше.
Описание канала
Мало что оно дает если нет ссылок. Но даже там указывают контакты которые ведут к админу. Посмотрите описание канала например в tgstat.ru который есть в каталоге HowToFind bot. Tgstat сохраняет описание канала.
К сожалению Tgstat хранит только первые 30 символов описания, но обновляет редко.
Идентификация владельцев телеграм-аккаунтов
Для начала ознакомимся с кратким алгоритмом :
Поиск в ботах(утечки)
Поиск повторов на других ресурсах
Поиск на сайтах для проверки никнейма
Поиск на сайтах для проверки никнейма
Поиск на специализированных сайтах
Сначала конечно нужно извлечь индивидуальный идентификатор пользователя, для этого воспользуемся :
Также можно воспользоваться расширением телеграма, которое определит айди, даже при отсутствии юзернейма : https://t.me/Digitalntelligence/410
Когда вы определили id, можно приступать к поиску по нему.
Проверим его наличие в утечках :
Затем поищем в Яндексе и Гугле, возможно, кто-то уже выкладывал информацию на пользователя или он сам допускал ошибки.
Далее можем поискать упоминания юзернейма и ника в чатах, для этого существуют специальные сайты :
Существует так же и поисковик по telegraph, который непосредственно связан с мессенджером :
Не забываем про поиск учёток, логины которых будут совпадать с нашим :
@maigret_osint_bot(Предпочитаю, проверка по более чем 3000 ресурсов)
Также чекаем в поисковиках, в том числе альтернативных : https://t.me/Digitalntelligence/411
Делаем тоже самое, что и с ником, главное использовать оператор точного соответствия.
В этом деле будут полезны и ресурсы для админов, такие как например биржи рекламы и подборки, каталоги. Они выполняют роль архивов постов :
Обязательно стоит посмотреть историю изменений идентификаторов(Имя, фамилия, био, юзернейм и т.п.)
Для этого используем бота :
Чаты и интересы
Для установления интересов можем узнать чаты, в которых юзер состоит. К тому же, внутри них мы можем выполнять поиск по сообщениям, обнаруживая то, чего не находили поисковики и каталоги.
Я предпочитаю первый, так как там присутствует выгодная реф.программа, позволяющая за запросы не платить.
Боты-ловушки. Эффективный способ, который однако требует навыков социальной инженерии.
Перешлите пользователю, разместите в чате или канале один из следующих Telegram-ботов:
Как только пользователь осуществит взаимодействие с одним из ботов, информация о нем станет доступна в Telegram-боте @cryptoscanning_bot
Обратный поиск изображения(аватарки) Для этого воспользуемся следующими инструментами :
Определяем id создателя стикера(нам нужен формат x32) :
Мониторим изменение онлайн-статуса пользователя(Для сопоставления с другими предполагаемыми аккаунтами) : https://github.com/Forichok/TelegramOnlineSpy
Если вы хотите узнать аккаунт телеграм по номеру, просто зайдите в «контакты», введите любое имя и номер человека. Если результата не обнаружится, значит аккаунта нет, либо владелец пожелал его скрыть от такого обнаружения.
https://github.com/Alb-310/Geogramint — Инструмент, использующий Telegram API для определения местоположения пользователей и групп вблизи заданной точки (в радиусе 500 м, 1 км, 2 км и более).
Фишка инструмента в том, что он получает набор пользователей и групп в Telegram, чья функция “Люди Рядом” была активирована, а затем подгружает фотографии их профилей, отображая результаты, если они доступны.
Администраторов каналов в Telegram научились деанонимизировать
В Московской академии Следственного комитета для сотрудников СК разработали методическое пособие по поиску и идентификации администраторов Telegram-каналов. Сейчас оно проходит стадию рецензирования, рассказали несколько источников, знакомых с документом. Ориентировочно в течение трех месяцев его получат работники СК. Об этом изданию «Ведомости. Инновации и технологии» рассказали несколько источников, знакомых с документом.
«В Следственном комитете разработан ряд методик, которые позволяют получать значимую информацию из различных мессенджеров. Эти методики предназначены исключительно для следователей и криминалистов», – заявили в пресс-службе СК РФ.
В пресс-службе отметили, что мессенджеры могут использоваться злоумышленниками для совершения преступлений. Например, в качестве площадки для распространения фейковой информации и экстремистских идей, как инструмент для организации и руководства массовыми беспорядками, координации деятельности преступной группы при подготовке к убийству и другим преступлениям.
«Такие действия всегда оставляют цифровые следы, которые могут помочь в раскрытии преступлений», – отметили представители СК.
Содержание методички не публично, но знакомые с ее содержанием собеседники знают, что там, в частности, объясняется, как найти владельца анонимного Telegram-канала, если в описании нет никакой информации о нем либо для обратной связи оставлены чат-бот, электронная почта или Jabber кого-либо из администраторов.
Также в пособии описываются приемы OSINT – это методология сбора и анализа данных, находящихся в открытом доступе. Например, специалисты смотрят историю канала, архивные сообщения и пытаются вычислить сетки, т. е. ряд сообществ, созданных одной группой людей для продвижения материалов. И в одном из заброшенных сообществ может обнаружиться username владельца – и далее по цепочке находят всю группу администраторов.
Многие злоумышленники используют Telegram из-за мифа об анонимности пользователей и администраторов каналов. По этой же причине в мессенджере стало появляться множество инсайдерской информации и компромата на известных людей и компании.
«Бизнесмены и политики, на которых опубликовали заказные статьи с возможностью платного удаления, – это редкость, но они готовы платить много», – рассказал создатель «Глаза Бога» (российская платформа, специализирующаяся на предоставлении решений и услуг информационной безопасности) Евгений Антипов.
В России действует несколько широко известных сервисов, которые позволяют на коммерческой основе узнать данные пользователей Telegram. Среди них сервис «Криптоскан» Центра исследований легитимности и политического протеста, который возглавляет Евгений Венедиктов, «Глаз Бога» и «Интернет-розыск» с T.Hunter (обе занимаются расследованиями в сети) во главе с Игорем Бедеровым. Все четыре компании заявляют, что могут установить по username или ID номер телефона, фамилию и имя пользователя.
По словам Антипова, есть три основных способа узнать номер телефона пользователя по его username или ID. Самый быстрый – это парсинг. Для этого можно использовать номера телефонов, которые пользователи присылают в чат-бот сервиса, или подобрать все действующие российские номера перебором, а далее пропускать их через API мессенджера (набор программных элементов, позволяющих сторонним сервисам использовать некоторые функции сервиса, например авторизацию с помощью Telegram) для получения ID пользователя и номера телефона.
Второй метод – это фишинг. Его суть – заставить пользователя поделиться своим номером телефона для использования какого-либо сервиса. И третий – это человеческий фактор. Например, когда администраторы простодушно оставляют в описании свой личный username, привязанный к собственному номеру, и т. д.
«Интернет-розыск» совместно с T.Hunter в дополнение к сервису поиска пользователя по номеру телефона разработали еще и инструменты и методики для поиска администраторов анонимных каналов в мессенджере.
«Поиск данных пользователя по username или ID – это базовая функция, на которую опирается поиск данных администраторов, ведь в результате проведенного расследования мы узнаем именно username или ID», – отметил Бедеров.
Своими наработками в этом направлении он поделился со следственными органами, выступив соавтором пособия, рассказал источник. Это подтвердил и сам Бедеров. По его словам, возможности созданных инструментов и методов, описанных в пособии, уже показывали высокую эффективность в начале года, когда в России с новой силой вспыхнула волна ложных сообщений о минировании – сватинге.
«Мы собрали со всех регионов России и дружественных стран все случаи сообщений о минировании. Проанализировав полученную информацию, обнаружили в Telegram 36 сообществ, посвященных сватингу, в которых пользователи брали на себя ответственность за те или иные случаи телефонного терроризма. В результате было найдено 25 человек», – рассказал Бедеров, который за проделанную работу удостоился медали МВД «За противодействие экстремизму».
В качестве примера деанонимизации администраторов Бедеров привел канал «Беспощадный пиарщик». По его словам, удалось установить двух администраторов благодаря каналу с комментариями, который прикреплен к каналу, – это t.me/chatbp22. Его модерируют два человека, которые должны быть администраторами основного канала t.me/prbezposhady, – Дарья Крастелева и Александр Батолло.
Батолло подтвердил, что является администратором чата канала «Беспощадный пиарщик»
«В чате два администратора, но по факту мы просто модерируем чат, удаляем спам и блокируем дебоширов, мы ничего не публикуем на канале. Владельцы и авторы канала анонимны, кто они – нам не известно», – рассказал он. Крастелева не ответила на запрос.
По мнению Антипова, установить на 100% личность пользователя Telegram не всегда возможно даже за большие деньги.
«По-настоящему анонимный пользователь даже не использует свой номер телефона, ведь телефон давно можно купить виртуальный, да и по-другому никто уже и не делает. Выяснить IP-адрес? Дай бог найди тех людей, кто еще не сидит с помощью VPN, ведь обыденные сервисы оказались заблокированы и даже обычный работяга использует VPN, чтобы посещать свой любимый Instagram (признан экстремистским и заблокирован в РФ. – «Ведомости. Инновации и технологии»)», – резюмировал Антипов.
Венедиктов отказался от комментариев.
Администраторов Telegram-каналов правоохранительные органы умели находить и раньше – например, в августе Басманный суд Москвы арестовал трех администраторов Telegram-канала «Сканер» по обвинению в мошенничестве в крупном размере. Позже глава комитета по информационной политике Госдумы РФ Александр Хинштейн заявил о задержании за аналогичные деяния администраторов Telegram-каналов «Сканер 18+», «Народ против», «Погоны и галстуки» – Евгения Москвина, Алексея Слободенюка и Владислава Малушенко.
В августе были задержаны и впоследствии арестованы еще три администратора Telegram-каналов – Ольга Архарова, Александра Баязитова и Инна Чурилова (каналы «Финансовый караульный», «Небрехня», «Адские бабки», «Медиатехнолог», «Мясорубка», «Е-магия»). Их обвинили в вымогательстве 1,2 млн рублей у топ-менеджера Промсвязьбанка Александра Ушакова.
4 октября МВД распространило информацию о новых задержаниях администраторов Telegram-каналов, не уточнив, каких именно. Однако Хинштейн утверждает, что это «Как-то вот так» Анатолия Спирина, а также «Кремлевский мамковед», «Кремлевский шептун» и «Бетономешалка» Станислава Садовова. Депутат отметил, что все эти люди специализировались «на шантаже и вымогательстве» у крупных бизнесменов и сотрудников госкомпаний – в частности, речь шла о так называемых блоках на публикации, т. е. плате блогерам за то, что они не будут публиковать информацию о конкретной персоне.