08.08.2024
1 хв
1215
Більшість думає, що для розвідки в Telegram обов’язково потрібен акаунт і номер телефону. Але справжні профі знають: купу корисної інформації можна витягнути прямо з браузера, не залишаючи слідів.
У цій статті розбираємо 5 базових, але потужних методів OSINT: від правильних пошукових дорків до витягування прихованих даних із вихідного коду сторінки. Жодних складних інструментів – тільки прямі руки, уважність і трішки хитрості. Розпочніть своє розслідування анонімно та безпечно вже зараз.
Часто виникає потреба підійти до OSINT-розслідування в Telegram максимально обережно та безпечно. Ідеальний сценарій для багатьох фахівців – це не мати фактичного облікового запису на платформі та використовувати звичайний веббраузер замість мобільного додатка.
Багато розслідувачів стикаються з перешкодами: або неможливо створити акаунт (адже для цього потрібен номер телефону), або робота вимагає виключно браузерного підходу. І хоча це не найочевидніший шлях, існує безліч методів для глибокого дослідження Telegram «ззовні».
Для тих, хто ще не надто знайомий з платформою: Telegram – це потужний месенджер і джерело поширення інформації. Комунікація тут відбувається між користувачами, від авторів до величезної аудиторії через канали, або ж у закритих і відкритих групах. Це основа, з якою доведеться працювати.
А тепер перейдемо до найцікавішого – практичного OSINT-інструментарію.
Незалежно від того, що саме є ціллю пошуку – користувачі, боти, канали чи специфічні групи – старі добрі пошукові оператори (дорки) залишаються найкращими помічниками. Головне – розуміти структуру URL-адрес Telegram і мати набір ключових слів.
Контент Telegram чудово індексується Google та іншими пошуковими системами через два основні домени: t.me та telegram.me. Можна дати вказівку пошуковику шукати інформацію виключно на цих ресурсах.
Приклади запитів: У Google, Bing та DuckDuckGo: site:t.me.
Ці запити видадуть результати, які були проіндексовані саме за посиланнями t.me і містять слово «криптовалюта». Варто завжди чергувати t.me та telegram.me, адже потрібна інформація може ховатися будь-де. Постійно змінюйте підхід і перевіряйте всі можливі варіанти!
Люди часто залишають у своїх біографіях чи описах профілів величезну кількість даних: реальні імена, електронні пошти, номери телефонів, криптогаманці, посилання на інші соцмережі та вебсайти. Креативність у підборі ключових слів тут відіграє вирішальну роль.
Це, мабуть, один із найцікавіших трюків. Коли ви знаходите профіль, що вас цікавить, або сторінку закритої групи, до якої неможливо приєднатися, ви бачите лише публічний опис. Але чи замислювалися ви, що за видимим текстом може ховатися щось більше?
Може здатися, що всі вже вміють просто відкривати профіль і читати текст на екрані. Але суть зовсім не в цьому. Обсяг інформації, прихованої в коді опису, часто значно перевищує те, що відображається у браузері.
Як це знайти? Інструменти розробника!
Натисніть праву кнопку миші на тексті опису та виберіть «Перевірити» (або «Inspect Element»).
У панелі коду, що відкриється, наводьте курсор на різні рядки – відповідні елементи на сторінці будуть підсвічуватися.
Розгортайте маленькі трикутники в коді, поки не знайдете елемент із назвою tgme_page_description.
Бум! Те, що раніше було прихованим, тепер доступне для аналізу. Часто там можна знайти посилання на закриті Instagram або Facebook-акаунти, скорочені посилання bit.ly та інші цифрові сліди, які адміністратори залишили для певних користувачів, але приховали від загального огляду.
Бонус: автоматизація процесу Якщо робота з кодом здається складною, процес можна спростити до одного кліку за допомогою букмарклета (скрипта в закладках):
Створіть нову закладку у вашому браузері.
Замість URL-адреси вставте наступний код: javascript:(function()%7Bvar a %3D document.getElementsByClassName(‘tgme_page_description’)%5B0%5D%3B alert(a.innerText)%7D)()
Збережіть її під зручною назвою.
Тепер, перебуваючи на сторінці профілю Telegram, достатньо просто натиснути на цю закладку, і на екрані з’явиться спливаюче вікно з повним, невідредагованим текстом прихованого опису.
Коли ви відкриваєте публічний канал через веббраузер, ви потрапляєте у нескінченний потік повідомлень, починаючи з найновіших. Але розслідувачі знають: найбільше помилок і випадкових зливів інформації (OPSEC-провалів) автори роблять саме на початку створення каналу, коли ще не так ретельно стежать за безпекою.
Гортати тисячі повідомлень вручну – марна трата часу. Подивіться на URL-адресу відкритого повідомлення, вона виглядає приблизно так:
t.me/areaofhacking/s/6692.
Число в кінці – це порядковий номер посту. Ви можете змінити його, щоб стрибати між публікаціями. Але є ще ефективніший метод розбити історію каналу на зручні блоки. Додайте до базового посилання параметр:
?before=: t.me/areaofhacking?before=100
Цей трюк покаже вам перші повідомлення каналу до сотого посту. Ви можете підставляти будь-які значення (100, 500, 1000), що дозволяє зручно сегментувати масиви даних для детального аналізу.
Під час аналізу повідомлень критично важливо знати точний час їх створення. У нижньому правому куті кожного посту вказано час. Якщо клікнути на нього, відкриється статична URL-адреса цього конкретного повідомлення з датою.
Але для професійного OSINT цього недостатньо, адже видимий час часто адаптується під часовий пояс вашого пристрою. Щоб отримати абсолютну точність:
Клікніть правою кнопкою миші на позначці часу і виберіть «Перевірити» (Inspect).
Знайдіть у коді елемент tgme_widget_message_date.
Ви побачите два різні значення часу. Не лякайтеся! Перший час завжди вказаний у форматі UTC (Всесвітній координований час), а другий – це час, переведений у ваш локальний часовий пояс. Оскільки під час розслідувань часто використовуються VPN або проксі, локальний час може відображатися некоректно. Тому значення UTC у коді сторінки – це ваш єдиний і найнадійніший орієнтир.
Остання порада, яка часто стає вирішальною у складних справах. Ніколи не ігноруйте цифрові архіви!
Навіть якщо канал видалено або інформацію підчищено, велика ймовірність, що хтось уже зберіг ці сторінки. Використовуйте два головні інструменти: archive.org (Wayback Machine) archive.ph (або його дзеркала archive.today, archive.is)
Просто введіть URL-адресу Telegram-каналу (не забувайте перевіряти як t.me, так і telegram.me) у пошуковий рядок цих сервісів і перегляньте знімки сторінки з минулого.
Бонусний трюк із кешем Google: Якщо користувач нещодавно видалив текст зі своєї біографії, Google міг зберегти попередню версію. Введіть у пошук Google оператор cache: перед URL-адресою профілю (наприклад, cache:t.me/username). Або ж знайдіть цей профіль у звичайному пошуку, натисніть на три крапки біля результату і виберіть «Кешована копія». Дуже часто там можна побачити інформацію, яку власник акаунта сподівався назавжди стерти.
