Безопасность Telegram аккаунта

Безопасность Telegram аккаунта

GrabLab

Оглавление

Вступление

Далее в статье, в тех местах, где указан путь до нужной настройки, используются названия настроек русскоязычной версии Desktop приложения Telegram.

Если у вас есть замечания или дополнения к статье вы можете озвучить их в чате @grablab_osint_ru или отправить сообщение на email support @ tgdev.io

Профиль: имя

Где: Настройки / Изменить профиль / Имя

Имя аккаунта состоит из двух полей: "Имя" и "Фамилия". Поле "Имя" обязательно к заполнению. Поле "Фамилия" может быть пустым. Если указать в поле "Имя" редкий нестандартный символ типа буквы эзкотического алфавита или эмоджи, то можно снизить шансы того, что ваш аккаунт найдут боты-пауки, которые ходят по группам и собирают списки пользователей для спама или составления базы типа TgScanRobot.

Профиль: username

Где: Настройки / Изменить профиль / Имя пользователя

Если не задавать username т.е. оставить его пустым, то это позволит снизить шансы попадания вашего аккаунта в различных спам базы или базы типа TgScanRobot.

Интересно, что обычный пользователь может использовать username с символами "bot" в конце. Такой вид юзернеймов используется Telegram ботами, вернее им не разрешено иметь юзерней, не заканчивающийся символами "bot".

Конфиденциальность: номер телефона

Где: Настройки / Конфиденциальность / Номер телефона

В настройке "Кто видит мой номер телефона" следует выбрать "Никто". Если выбрать "Мои контакты" или "Все", то ваш аккаунт будет возможно найти по номеру телефона, используя ссылку "https://t.me/+вашномертелефона" или же добавив ваш номер телефона в книгу контактов Telegram приложения.

В настройке "Кто может найти меня по номеру" следует выбрать "Мои контакты".

Конфиденциальность: последняя активность

Где: Настройки / Конфиденциальность / Последняя активность

В настройке "Кто видит время последнего входа" следует выбрать "Никто".

Другие пользователи не смогут увидеть точное время, когда вы были в сети. Вместо точного времени будет показываться одно из значений, в зависимости от времени, прошедшего с момента вашей последней активности:

  • "недавно" -- до трёх дней
  • "на этой неделе" -- от 3 до 7 дней
  • "в этом месяце" -- от 7 до 30 дней
  • "очень давно" -- более 30 дней

Конфиденциальность: пересылка сообщений

Где: Настройки / Конфиденциальность / Пересылка сообщений

В настройке "Кто может ссылаться на мой аккаунт при пересылке сообщений" следует выбрать "Никто".

Если выбрать "Никто", то при пересылке вашего сообщения другим пользователям, они не смогут установить, что сообщение написано именно вами. Им будет видно только имя вашего аккаунта, которое однозначно не идентифицирует ваш аккаунт. Также это запретит роботам типа @TgScanRobot показывать ваш username и числовой Telegram ID при пересылке им ваших сообщений.

Конфиденциальность: фотография профиля

Где: Настройки / Конфиденциальность / Фотография профиля

В настройке "Кто видит мою фотографию" следует выбрать "Мои контакты".

Совет: чтобы вашу фотографию никто не увидел (даже ваши контакты) можно просто не заливать её в фотографию профиля :)

Конфиденциальность: звонки

Где: Настройки / Конфиденциальность / Звонки

В настройке "Кто может звонить мне" следует выставить "Мои контакты" или "Никто".

В настройке "Использовать peeer-to-peer" следует выбрать "Мои контакты" или "Никто".

Если в результате действия peer-to-peer настройки некоторому пользователю будет разрешено установить с вами голосовое peer-to-peer соединение, то пользователь сможет узнать ваш IP адрес.

Конфиденциальность: группы и каналы

Где: Настройки / Конфиденциальность / Группы и Каналы

В настройке "Кто может приглашать меня в группы и каналы" следует выбрать "Мои контакты".

Если в этой настройке выбрать "Все", то вас регулярно будут приглашать в различные spam и scam группы. Кроме того, возможна атака направленная на удаление вашего Telegram аккаунта. Подробности такой атаки можно прочитать по ссылке: https://vc.ru/social/206340-kak-zashchitit-svoy-akkaunt-v-telegram-ot-udaleniya-zloumyshlennikami

Пользовательские сеансы

Где: Настройки / Конфиденциальность / Показать все сеансы

Сеансы -- это устройства, с которых вы залогинились в ваш Telegram аккаунт. Вам следует периодически проверять список сеансов. Если вы обнаружите в списке сеансов неизвестное вам устройство, это будет означать, что безопасность вашего Telegram аккаунта скомпроментирована.

Не удивляйтесь, если в списке сеансов увидите что-то типа "Firefox, Telegram Widgets". Такая запись означает скорее всего, что вы залогинились на каком-то сайте через браузер, использя стандартный Telegram виджет авторизации.

Если в настройке "Автозавершение после периода неактивности" выбрать максимальное значение, то это позволит сохранить ваше сессию на редко используемых устройствах. На данный момент максимально доступное значение -- 6 месяцев.

Код-пароль

Где: Настройки / Конфиденциальность / Код-пароль

Если задать код-пароль, то появится возможность блокировать другим лицам доступ к приложению на данном устройстве. Также, при заданном код-пароле, блокировка будет включаться автоматически спустя некоторое время отсутствия вашей активности на устройстве.

Следует заметить, что код-пароль никоим образом не защищает информацию о ваших сообщениях, которая хранится в открытом виде в локальной sqlite базе данных на вашем устройстве.

Двухэтапная аутентификация

Где: Настройки / Конфиденциальность / Двухэтапная аутентификация

Это критическая настройка безопасности. Если для Telegram аккаунта задан пароль двухэтапной аутентификации (2fa пароль), то его нужно вводить каждый раз при аутентификации на новом устройстве. Не путайте 2fa пароль с обычной аутентификацией с помощью кода, который Telegram высылает через SMS или в виде Telegram сообщения на другое устройство с активной сессией. Пароль 2fa это дополнительный шаг, который нужно выполнить после прохождения обычной аутентификации. Пароль 2fa позволяет защитить доступ к вашему Telegram аккаунту в случае кражи вашей SIM-карты или выпуска её дубликата. Даже если злоумышленник сможет получить код для обычной аутентификации, он не сможет пройти второй шаг аутентификации c помощьью 2fa пароля.

Вы можете указать в настройках email-адрес, используемыq для сброса 2fa-пароля, на случай забытия 2fa-пароля.

Если вы забыли 2fa-пароль и не указывали email адрес для сброса 2fa-пароля или же у вас нет доступа к этому email ящику, то у вас остаётся два варианта: пытаться вспоминать 2fa-пароль или сбросить Telegram аккаунт.

Операция сброса Telegram удаляет все личные данные из профиля, удаляет участие в любых группах, историю переписок с другими пользователями, привязку к ботам, которые вы создали через @BotFather. Ваши соощения в группах и в переписках с другими людьми удалены не будут, просто в информации об их авторе будет написано "Deleted account".

Мне видится логичным, не указывать email для сброса 2fa пароля, при условии, что вы никогда не забудете этот самый пароль :) Email для сброса 2fa-пароля -- это лишь дополнительная точка отказа, которая может быть использована при атаке на ваш Telegram аккаунт.

Удаление аккаунта при неактивности

Где: Настройки / Конфиденциальность / Удаление аккаунта при неактивности

В настройке "Удаление аккаунта при неактивности" следует выбрать максимальное значение. На данный момент -- это 1 год.

Я не знаю точно, что считается активностью. Думаю, любая пользовательская сессия в любом Telegram приложении на мобильном телефоне или десктопе порождает периодически запросы к серверу и тем самым обнуляет отсчёт времени неактивности. А вот если авторизоваться в Telegram аккаунте на телефоне, а затем выключить телефон, то вряд ли это будет считаться активностью.

Использование прокси-сервера

Где: Настройки / Продвинутые настройки / Тип соединения

При желании вы можете направлять ваш Telegram трафик через прокси-сервер. Возможно использование прокси-серверов трёх типов: SOCKS5, HTTP и MTPROTO.

Самая частая причина, по которой может понадобиться использовать прокси-сервер, -- это блокировка Telegram в сети конкретной организации или целого государства.

Я плохо представляю достоинства и недостатки каждого из вышеуказанных типов прокси-серверов. Могу лишь заметить, что зачастую проще использовать универсальное решение в виде подключения к VPN-серверу.

Также замечу, что есть быстрый и бесплатный способ получить SOCKS5 прокси-сервер -- нужно установить TOR на локальный компьютер. Впрочем, этот способ уже не работает, например, в России т.к. доступ к TOR-серверам в данное время (2022 г.) блокируется в большинстве провайдеров РФ.

PIN-код на SIM-карте

Это критическая настройка безопасности. SIM-карта, которую вы вставляете в телефон, позволяет включить запрос четырёхзначный PIN-кода, каждый раз, когда вы включаете телефон. Если злоумышленник украдёт ваш телефон, вытащит из него SIM-карту и попытается использовать её в другом устройстве, ему нужно будет ввести PIN-код.

После трёх неудачных попыток ввода PIN-кода SIM-карта будет заблокирована. Разблокировать симку можно, набрав специальный номер на телефоне, содержащий PUK-код. PUK-код указан на пластиковой карте, в которую вставлена SIM-карта, в момент продажи. Если ввести 10 раз подряд неверный PUK-код, то SIM-карта будет окончательно заблокирована навсегда и потребуется выпуск новой SIM-карты у вашего оператора сотовой связи. Если вы забыли PUK-код, его можно узнать в салоне вашего оператора сотовой связи, а также по телефону в службе поддержки.

Для того, чтобы включить или отключить запрос PIN-кода при включении телефона, а также для изменения PIN-кода, нужно знать текущее значение PIN-кода. По-умолчанию, ваш PIN-код, установленный оператором, будет, скорее всего, "0000" (четыре нуля) или "1111". Также PIN-код можно изменить с помощью PUK-кода.

Способы установки PIN-кода:

  • На iphone/ipad: "Настройки / Сотовая связь / SIM-PIN" или "Настройки / Мобильные данные / SIM-PIN"
  • На android: Настройки / Безопасность и конфиденциальность / Дополнительные настройки / Шифрование и учётные данные / Задать блокировку

Анонимный администратор группы

Где: Информация о группе / Управление группой / Админстраторы / Изменить права / Анонимность

Чтобы скрыть ваш аккаунт из списка администраторов группы, включите данную настройку для вашего Telegram аккаунта в нужной группе. Сообщения анонимного админа появляются в группе от лица самой группы. Анонимность администратора действует только против обычных участников группы, у которых нету доступа к списку админов. Любой другой администратор этой группы может просмотреть список админов и увидеть вас там. Если в чате есть бот-администратор, он также будет видеть, кто является анонимным админом.

Профилактика: содержимое переписок

Когда вы общаетесь в публичном чате или в личном чате с каким-либо человеком, копии ваших сообщений остаются на вашем устройстве, а также на устройствах участников этих чатов, а также на серверах Telegram. Как минимум, вы можете регулярно удалять сообщения на своём устройстве.

Некоторые типы чатов позволяют при удалении ваших сообщений выбрать галочку "Удалить ваши сообщения у других участников чата":

  • личная переписка с другим пользователем Telegram
  • публичные чаты с адресом вида @chatusername или что то же самое "t.me/chatusername"

Чем больше вы оставляете сообщений в публичных чатах, тем больше информации о вас может собрать посторонний наблюдатель. Например, с помощью бота @TgScanRobot можно узнать список чатов, в которых состоит человек. Далее можно зайти в каждый чат из этого списка и найти сообщения, оставленные человеком. В найденных сообщениях теоритически может быть компроментирующая информация или же контактные данные человека.

С другими методами поиска информации о человеке вы можете ознакомиться в этой статье https://telegra.ph/person-search-howto-07-06

Контакты поддержки Telegram

Список контактов команды Telegram для решения различных вопросов:

  • sms@telegram.org -- проблемы с регистрацией или входом в аккаунт Telegram
  • abuse@telegram.org -- сюда можно пожаловаться на канал или бот, которые нарушают закон
  • recover@telegram.org -- сюда можно обратиться по поводу аккаунта, который был удалён системой модерации Telegram
  • support@telegram.org -- стандартный email-адрес службы поддержки Telegram
  • security@telegram.org -- сюда можно отправить отчёт о найденной уязвимости в системе Telegram
  • @notoscam -- Telegram аккаунт, куда можно отправить жалобу на аккаунт, бот или канал, осуществляющий мошенничество
  • @SpamBot -- Telegram бот, куда следует писать, если на ваш Telegram пометили как спам. Спам-аккаунты ограничены в некоторых действиях, например, не могут писать новым контактам или в новые публичные группы. Чтобы снять спам-отметку нужно пообщаться с ботом и ответить на несколько вопросов.
  • https://telegram.org/support -- веб-страница для отправки вашего вопроса службе поддержки Telegram
  • В официальном приложении Telegram войти в Настройки, далее выбрать пункт "Задать вопрос".
Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org