@hwendli

Как сделать невидимый (пустой) ник в телеграм

2024-02-07T21:12:58.514Z

Как сделать невидимый (пустой) ник в телеграм

Как сделать невидимый ник в телеграм

Для того чтобы усложнить пробив по вашему телеграм аккаунту, рекомендую сделать невидимый ник. Вас не смогут найти через поиск в чатах, а админы по каналам. Вот как это выглядит:

Невидимый ник в телеграм

Иструкция:

1. Заходим в настройки профиля;

2. Удаляем поле с именем и фамилией;

3. Переходим на сайт unicode-table.com и нажимаем кнопку скопировать

4. У вас в буфере обмена будет специальный символ, который мы вставляем в имя аккаунта.

5. Готово! Теперь у вас невидимое имя в телеграм аккаунте.

Используйте пока не пофиксили!

Больше информации про анонимность и т.д в нашем телеграм канале! - https://t.me/+20unW1tPdVAxYjUy

Как найти владельца и админа Telegram канала

2024-02-07T21:10:44.733Z

Как найти владельца и админа Telegram канала

Важно понимать, что универсального способа поиска админа и владельца канала нет. Однако можно отдельно выделить рабочие способы и источники которые помогают ответить на вопрос.EscapeRКакой вопрос? Перед началом поиска убедитесь в точности формулировки своей цели. Хотите узнать кто владел каналом? Кто там администратор? Кто его владелец сейчас? Или все вместе?

В статье не увидите методы фишинга и социальной инженерии. Будем работать с историей и по минимуму взаимодействовать с пользователями.

Определимся с чем будем работать, что известно о канале и что с этим делать. Вот что обычно на канале встречается чаще:

Публикация

Что в ней может быть? Всё. Фото и аудио, ссылки и файлы. Соберите из поcтов: текст, ссылки, аудио, видео, изображения и найди в

где искать по этим данным. В посте фото? Выбери в боте поиск по фото и перебирай каждый источник в списке. Но, вот что в посте приведет нас к цели:

I. Реферальная ссылка

Это ссылка с реферальным идентификатором. На каналах размещают ссылку на бот где зашифрован или виден Telegram ID пользователя бота. Пример: https://t.me/EyeGodsBotxBot?start=1628834658
где 1628834658 это ID аккаунта Telegram.

Не спешите бросать ссылку если там после start вписаны еще и буквы. Это внутренний идентификатор пользователя. Узнайте способ найти по внутреннему идентификатору бота пользователя. Например спросите поддержку этого робота кто создал ссылку или выполните поиск в боте, если конечно функционал позволяет.

II. Приватная ссылка

До 2017 года Telegram генерировал приватные ссылки в группы и каналы с зашифрованным ID аккаунта создателя этой ссылки, то есть админа или создателя канала.
Что значит приватная ссылка? Эта та в которой присутствует фраза joinchat.

Пример: https://t.me/joinchat/AAAAAFcF8lv6w7Y4RfSW5Q

В каких ссылках ID аккаунта Telegram?

В длинных. Эти ссылки содержат 16-18 символов после фразы joinchat. Например: https://t.me/joinchat/FNPR30Fs51OX1853MfCKVg

В каких ссылках НЕТ ID аккаунта?

В публичных. Адрес в этой ссылке задает сам администратор, что хочет, то и пишет в ней. Пример: t.me/durov
В ссылках с AAAAA. Что такое AAAAA? Это зашифрованные нули вместо ID аккаунта. Следовательно такие ссылки бесполезны для дешифровки. Более того они ведут только на приватные каналы. Согласно веб-архиву появились эти ссыли в начале января 2017 года. Пример: https://t.me/joinchat/AAAAAFcF8lv6w7Y4RfSW5Q
В коротких. Эти Telegram ввел как для каналов так и для групп. Появились в 2019 году и создаются по сегодняшний день. Содержат до 18 символов после joinchat. Пример: https://t.me/joinchat/t5OICPRwudQ2MmFh

Как расшифровать и узнать ID аккаунта создателя ссылки?

Убедитесь что ссылка содержит ID аккаунта. Выше уже были перечислены виды ссылок.
Скопируйте все после фразы joinchat. Пример: из http://t.me/joinchat/D-3jrhMOTiIE-WwV8wnomA останется D-3jrhMOTiIE-WwV8wnomA. Это хэш сумма.
Откройте сайт 8gwifi.org. На сайте в первое input введите эту хэш сумму, и нажминте Sumbit.

Поиск по фото

Скопируйте получившийся Hex и откройте сайт cryptii.com.
Введите Hex в поле как на картинке. Выставите 32 бита. Проверьте параметры дешифровки, должно быть вот так:

Выдает Telegram ID в первом числе.

Вы получите число, это ID аккаунта создателя приватной ссылки. Пример: 267248558.

Чтобы узнать по ID информацию аккаунта и его упоминания, можно использовать ресурсы для поиска по ID аккаунта Telegram в каталоге источников — t.me/HowToFind_RU_bot, где есть ресурс t.me/usinfobot. Впишем в поле для ввода сообщения @usinfobot 349426143 и узнаем имя и ссылку аккаунта Telegram.

Если ссылка не работает, то ID аккаунта остаётся, однако не узнаете так быстро куда она эта ссылка вела. Посмотрите упоминания ссылки в поисковиках по Telegram ну и в Google тоже полезно проверять.

III. Подпись у поста

Скажите банальная вещь, а на деле её игнорируют, не замечают. Эта подпись размещается возле времени публикации, состоит из имени и фамилии аккаунта. Почему же это можно пропустить? Подпись возможна даже на одной публикации из всех сотен не подписанных. Внимательно прошерстите все сообщения канала. Вдруг повезёт встретить имя.

Есть подпись? Ищите упоминания в Telegram и в группе канала.

IV. Репост

Репост это когда сообщение одного канала или пользователя отправлено на другой канал.

Репост из канала чаще делают подписчики, значит админ и/или владелец подписаны на канал откуда был репост. Посмотрите есть ли там чат и кто упоминает наш канал или его контент. Это могут быть фанаты, но больше всего это интересует админа и/или владельца. Запишите всех кому понравилось упоминание и контент канала в чате. Будем искать совпадения.

Группа

Группа подключена к каналу а может и не быть, это не так важно. Важно сначала убедиться что группа связана с каналом. Это видно на самом канале, там есть ссылка на чат или открыты комментарии к постам.

Как с помощью группы найти владельца канала.

Если администратор в группе — значит на канале тоже. Тут просто.
Пишут в чате от имени группы? Это анонимные админы. Но их можно найти. Сперва пролистай к началу чата. Посмотри кто первый вступил в группу. Кто раздает команды ботам модераторам. Так кого искать, и какие критерии. Админ скрывшийся под анонимного теперь имеет сообщения в группе без подписи админа, его нет в списках участников, и нет даже сообщения о том, что он покинул группу, так как он ее не покидал, а просто был скрыт. Однако это косвенные признаки, но важные.
Поищи к кому обращаются участники группы как к админу. Открой поиск в группе и введи следующие фразы: admin, /admin, администратор и т.п.
Удали все сообщения чата, это позволяет в Bgram, тогда останутся только системные, там видно кто закрепил сообщение, кто начал голосовой чат и т.п
Спроси участников чата и в нем самом.
Поищи упоминания группы в поисковиках по Telegram.
Собери все ссылки на группы которые есть в чате. Ищи в группе joinchat или t.me. А там проверь кто упоминает канал или группу. Тут выходит рекурсия.
Прочитай всю группу. Много сообщений? Читай, если ничего не сработало.

Изображение канала

Упоминание изображения приводит к архиву канала или публикациям во вне Telegram. Обратный поиск по изображению такой как Яндекс Картинки — первый источник для проверки упоминаний, после него в топе это Google Images и все остальное.

Имя и адрес канала

Первое что с этим можно сделать это найти их упоминания в сети. Лучше всего использовать поисковики способные искать в Telegram. Так можно наткнулся на публикации с покупкой рекламы, админа зазывающего подписаться на канал, репост администратора и тому подобные упоминания.

А если канал приватный? Посмотрите пункт II. Приватная ссылка.

Удаленные посты

Как узнать что с канала был удалён пост:

Скопируйте ссылку на последний пост. Пример: t.me/durov/171
Посчитайте все посты канала, например выделив их. Пример: на канале t.me/durov всего постов 138
Получаем порядковый номер последней публикации — 171, и всего доступных постов — 138.
Считаем разницу: 171 - 138 = 33.
Получаем число 33. Это количество постов которые были удалены с канала.

Как их искать:

Найти профиль канала на этих ресурсах также можно по имени и ссылке. По статистике чаще всего удаляют рекламные посты. В них указывают того, кто заплатил за рекламу. Это рекламодатель, можно ему написать, узнать как он разместил свой пост, и с кем для этого договаривался и кому платил.

Не забудь посмотреть пункт публикация, к нему тоже относится удалённый пост.

История изменения имени канала

На самом канале есть информация о том когда и на что было изменено имя этого канала, только обычное приложение Telegram не покажет такое. Нужен Telegram X на Android, скачай и открой его, а в нем перейди на канал.

При создании любого канала надо задать имя. Это будет первое имя, которое всегда останется в первом сообщении канала. Чтобы к нему перейти, можно пролистать до первого поста, но проще сделать ссылку на этот пост. Пример: t.me/durov/1

Не забывайте о том факте, что имя канала может меняться, и все эти изменения также фиксируются на канале среди публикаций. Если на канале много постов, то выделите все посты и удалите их, но удалять можно только в альтернативных клиентах Telegram таких как Bgram. Тогда перед вами останутся системные сообщения. В том числе и об изменении имени.
Удалять посты канала допускается только если выданы права админа или владелец канала, такое ограничение ввел клиент Telegram на Android. Чем могут помочь другие клиенты? В других как раз можно удалять не администраторам. Например в Bgram и Telegraph можно перейти к первому сообщению нажав на одну кнопку. Выделите первый, а в конце канала последней пост, и тогда можно выделить все публикации канала и разом их удалить. Не бойтесь, посты не удаляются а только скрываются на вашем устройстве.

Остаются системные сообщения об изменении имени канала. Не забывайте, что первое сообщение с именем канала видно только в Telegram X.

Как использовать эти имена? Смотрите способы для имени канала описанные выше.

Описание канала

Мало что оно дает если нет ссылок. Но даже там указывают контакты которые ведут к админу. Посмотрите описание канала например в tgstat.ru. Tgstat сохраняет описание канала.

К сожалению Tgstat хранит только первые 30 символов описания, но обновляет редко.

Итог

Используя способы и ресурсы из этой статьи можно достичь цели и узнать кто администратор и владелец Telegram-канала. Но, нет гарантий того, что эти методы подойдут к каждому Telegram каналу и группе.

Больше информации про анонимность и т.д в нашем телеграм канале! - https://t.me/+20unW1tPdVAxYjUy

Деанон!

2024-02-07T21:08:15.422Z

По вектору красивой визуальности и удобности, есть непревзойденный инструмент под названием Maltego.

Он есть и в платной версии и в бесплатной. К слову, бесплатная версия вполне себе функициональна, поэтому для работы ее достаточно.

Maltego анализирует подаваемые данные и строит график связей, где отсвечивала жертва, что очень удобно для определения вектора, куда капать.

Предлагаю вам ознакомиться с данными инструментами в отношении себя и посмотреть, где вы успели засветиться =)

Больше информации про анонимность и т.д в нашем телеграм канале! - https://t.me/+20unW1tPdVAxYjUy

Как сделать мощный спам на любой номер

2024-02-07T21:06:28.588Z

Как сделать мощный спам на любой номер

Метод, который я опишу в этой статье, максимально простой но трудоемкий в реализации. Использовать мы будем:

Левую симкарту
Переадресацию вызовов
Сайты для эскорт-услуг

Основная наша задача - сделать так, чтобы на левый номер звонило как можно больше людей. Вы должны включить свое воображение и подумать о том, где можно оставить ваш фейковый номер, чтобы получить как можно больше на него звонков. После этого включаем переадресацию на номер, который мы хотим заспамить.

Я использую сайт для эскорт услуг ukrgo.com - это украинская доска объявлений. Создаем объявление и оставляем свой номер.

Пример объявления

Объявление даст примерно 50 звонков в сутки. Теперь ваша задача создать на разных подобных ресурсах. Больше объявлений - сильнее спам.

Теперь нужно поставить переадресацию. Вот такой код используем **004*Номер#
Где "Номер" - это номер жертвы. Все готово. Мощность спама зависит от ваших усилий.

Больше информации про анонимность и т.д в нашем телеграм канале! - https://t.me/+20unW1tPdVAxYjUy

Как провести деанон пользователя в интернете!

2024-02-07T21:04:45.215Z

Как провести деанон пользователя в интернете

Итак, Вы хотите узнать, кто является владельцем аккаунта какой-либо социальной сети или профиля на форуме. Сложность этой задачи варьируется от крайне простой до невозможной. Зачастую, человек сам о себе сообщает всю необходимую информацию. Но как быть, если сведений мало или недостаточно? Не нужно самостоятельно выискивать информацию, поскольку существуют специализированные ресурсы-помощники. Деанон – это, простыми словами, деанонимизация. Выяснение настоящей личности пользователя разнообразными методами.

Рассмотрим, как делать деанон ВК или в других сервисах. Подробнее ознакомимся с особенностями этого процесса. Необходимо понимать, что не существует универсального решения. Нет такого сайта, где скидываешь ссылку на интересующего пользователя и получаешь всю информацию о его реальной личности.

Лучшие сайты для деанона

Перечислим наиболее популярные ресурсы. Некоторые из них ориентируются на конкретные социальные сети, другие действуют по общей информации.

Деанон в ВК

Один из простых способов, как сделать деанон на человека в ВК – это сайт 220vk.com. Считается основным ресурсом при работе с данной социальной сетью. Достаточно ввести интересующий ID, чтобы получить информацию:

· обычные и скрытые друзья;

· лайки;

· комментарии;

· изменения профиля;

· указанная в профиле дата рождения;

· подписки и многое другое.

Здесь важно понимать – представленная информация получена от системы. Довольно часто, для выяснения личности, потребуется смекалка.

Деанон по фото

У Вас имеется фотография интересующего человека и хотите узнать его личность. Возможности современных нейросетей поражают воображение. Имеется несколько ресурсов, которые работают в данном направлении. Наиболее известным считается сайт FindClone. Достаточно загрузить фотографию, чтобы получить ссылки на аккаунты наиболее вероятных людей. Нейросеть способна найти взрослого человека по его детским фото, а также справиться в других сложных случаях.

Здесь существуют важные ограничения. В первую очередь, человек должен сам загрузить свое фото в социальных сетях, иначе он выпадает из поиска. Другой момент – это ограничения самого сервиса. Бесплатный пакет включает только 25 поисков. После этого необходимо купить подписку. Аналогичные сервисы используют похожую схему работы.

Деанон по номеру и IP-адресу

Это важные сведения, которые рушат анонимность в сети. Чтобы «пробить» их существуют различные сайты. Если интересует бесплатный деанон, можно отметить ресурс «Ищейка». Достаточно ввести номер или IP-адрес в поле поиска. Система выдаст основную информацию из баз данных. Здесь стоит отметить, что не большинство обычных контактов предусматривают только общую информацию – регион регистрации и оператора. Имеется большое количество платных сервисов, но многие из них являются мошенниками.

Глаз Бога

Как же можно промолчать про альфу и омегу данной сферы. Деанон по дискорду, Телеграм, ВК, Instagram и другим данным в одном флаконе. Речь идет о ТГ канале «Глаз Бога» @EyeGodsBot. Этот бот способен найти все интересующие сведения по конкретному человеку. Анализируется большое количество баз.

Базовый функционал является бесплатным, но для получения дополнительных сведений, нужно воспользоваться расширенным поиском. Для этого, приобретается платная подписка.

Как защититься от деанона

А теперь рассмотрим ситуацию с другой стороны. Требуется внимательно прочесть не один мануал по деанону, чтобы выяснить основные ошибки в деле сохранения тайны личности. Перечислим краткий список:

· не следует использовать на различных форумах, социальных сетях или других ресурсах одинаковый никнейм;

· никаких реальных фотографий (даже детских);

· не публикуйте никаких фото, способных раскрыть местоположение;

· не указывайте личных данных;

· не используйте реквизиты для оплаты, зарегистрированные на собственное имя;

· устанавливайте максимальные настройки приватности везде, где это возможно;

· не пишите лишнего;

· используйте приложения, расширения или программы для сокрытия данных о себе.

Как совместить социальную жизнь в сети и анонимность

В Вас живут две личности – одна не принимает никакой секретности, а другая желает писать любые комментарии и участвовать в «серых схемах»? Это существенно осложняет задачу поддержки анонимности, но способ есть. Нужно полностью разделить данные сферы, вплоть до входа в аккаунты с различных устройств. Естественно, задействуются VPN, прокси, разные наборы профилей и прочее. Запомните – никакого пересечения между личностями быть не должно.

Больше информации про анонимность и т.д в нашем телеграм канале! - https://t.me/+20unW1tPdVAxYjUy

Security Week 2214: готовые наборы для фишинга

2024-02-07T20:59:49.777Z

Черный рынок инструментов киберкриминала позволяет начинающему преступнику собрать все необходимое для атаки за умеренную плату. Обычно предметом исследования такого подпольного b2b становятся партнерские программы по распространению вымогателей-шифровальщиков и продажа иного вредоносного ПО. Недавно исследователи «Лаборатории Касперского» опубликовали обзор фишинг-китов — готовых инструментов для создания фишинговых страниц.

Очевидно, что некоторые кибермошенники могут не иметь достаточно знаний для создания собственных фишинговых страниц либо не желают тратить на это время. Кроме того, «наборы для фишинга» решают проблему малого срока жизни фишинговых страниц. Они часто поднимаются на бесплатных веб-хостингах и довольно быстро удаляются администрацией сервиса. Фишинговые страницы сканируются поставщиками защитных решений и сервисов, и их эффективность со временем снижается. Фишинг-киты предлагают какую-никакую автоматизацию процесса непрерывного обновления фишинговых страниц в попытке украсть данные пользователя. Как и в любых рыночных отношениях, фишинговые наборы бывают по разной цене и разных сортов, от совсем унылых до нетривиальных.

Список файлов самого базового фишинг-кита выглядит так:

Внутри — совершенно скучная страница, при создании которой даже особо не старались воспроизвести вид настоящей социальной сети. Единственное, что покупатель фишингового набора должен сделать перед загрузкой кода на хостинг — это внести в скрипт токен Telegram-бота или адрес электронной почты, куда поступят собранные данные жертвы. В одном из примеров украденные логин и пароль отправляются в мессенджер Telegram:

Чуть сложнее (и наверняка дороже) более сложные веб-страницы — например, пытающиеся выдавать посетителю информацию на родном для него языке. Ниже это показано на примере кода фишинговой страницы для интернет-площадки Amazon:

На верхнем скриншоте в этом тексте показан совсем сложный пример фишинговой инфраструктуры, созданной для атак на корпоративную почту. Первым шагом для любой фишинговой атаки становится почтовая рассылка. К ссылке из фишингового e-mail прикрепляется адрес получателя, и если жертва переходит по ней, содержимое сайта адаптируется под конкретную ситуацию. Например, подставляет логотип компании, в которой работает жертва, подгружая иконку с настоящего домена. На скриншоте выше это иконка Яндекс, а в примере кода внизу — Google:

Еще один интересный пример построения фишинговой страницы: подгрузка поддельной формы для логина и пароля поверх легитимного веб-сайта:

Значительная часть обзорной статьи посвящена попыткам спрятать фишинговую природу веб-страницы от автономных сканеров. Самый простой пример: исходный код страницы изменен по "шифру Цезаря". Каждая буква в текстовом контенте меняется на другую, отстоящую от оригинальной на фиксированное число символов в алфавите. При отображении страницы в браузере жертвы производится обратная перестановка:

Чуть более сложные варианты: кодирование всего исходного кода по алгоритму base64 или AES; попытки сбить детектирование большим количеством мусорных HTML-тегов, которые не влияют на конечное отображение страницы; перемешивание кусков текста; отображение текста номерами из кодовой таблицы. Иногда обфускации подвергается и код, обрабатывающий введенные в форму данные, — например, чтобы создатель фишинг-кита мог скрытно получать данные вместе с его покупателем. Дополнительные средства, затрудняющие обнаружение фишинговой страницы, — блокировка доступа для конкретного региона и более сложные функции обнаружения и защиты от автоматизированного сканирования.

Цены на фишинговые наборы варьируются от 50 до 900 долларов в зависимости от качества и целевого сервиса. Фишинговая страница для кражи пароля от соцсетей обойдется дешевле, для банков — дороже. За прошлый год специалисты «Лаборатории Касперского» обнаружили почти 500 уникальных фишинг-китов, благодаря чему защитные решения компании «оптом» заблокировали более 1,2 миллиона фишинговых страниц. На октябрь 2021 года пришлось самое активное применение наборов для фишинга: решения заблокировали вредоносные страницы на более чем 25 тысячах доменных имен.

Больше информации про анонимность и т.д в нашем телеграм канале! - https://t.me/+20unW1tPdVAxYjUy

Как узнать местоположение пользователя, зная только его email-адрес

2024-02-07T20:55:46.586Z

В статье описан очень простой и банальный метод, позволяющий определить IP-адрес получателя письма. Как все мы с вами знаем — имея IP-адрес, вычислить скрытую за ним персону не составит труда, особенно если вы сотрудник министерства Правды.

Статья не откроет ничего нового для людей, знакомых с принципом работы HTML, HTTP и почтовых клиентов, но, возможно, покажет, как этим можно пользоваться с другой точки зрения. Для “просто”-пользователей ПО, мобильных устройств и электронной почты статья может показать на сколько важно соблюдать интернет-гигиену и оберегать свои персональные данные (к которым относиться email-адрес) в сети «Интернет».

Метод

Всем известно, что в современном мире можно отправить письмо c заголовком Content-Type: text/html;, что позволяет придать письму “правильный” внешний вид, подключить стили и картинки. Стили и картинки могут быть как вложенными, так и ссылающимися на внешние ресурсы. Если отправленное письмо пройдет мимо “спам”-фильтра, прикрепленные файлы будут подгружены автоматически при открытии письма.

Более того, многие почтовые клиенты на ПК, Mac и мобильных устройствах подгружают прикрепленные файлы заблаговременно, то есть в момент получения письма и до его фактического открытия и прочтения пользователем, например, в момент подключения к Wi-Fi или 3G (в зависимости от почтового клиента и его настроек).

Дело в том, что при обращении к прикрепленному файлу происходит HTTP-запрос на сервер, где файл физически расположен. При входящем обращении, оба хоста обмениваются данными о себе, в том числе IP-адресами, соотвественно — почтовый клиент, обратившись за ccs-фалом или графическим изображением вложенным в письмо, моментально передает IP-адрес получателя письма.

Что делать с полученным IP-адресом

Для Хабражителей данный вопрос не актуален, но тем не менее поясню. Имея IP-адрес его можно передать в министерство Правды, там дальше сами разберутся.

Дополнительно можно воспользоваться поиском по IP-адресам (whois) и выяснить кому он принадлежит, редко, но может оказаться так, что искомый нами IP-адрес выдан физическому лицу. Далее как с доменом — все явки (ФИО, адрес и др. данные) указаны в whois информации. В случае, если IP-адрес принадлежит интернет-провайдеру (в том числе оператору мобильной связи), за которым скрыт наш получатель письма, можно обратится к оператору напрямую или через МВД (в случае помощи в каком-либо расследовании или его ведении).
При обращении к интернет-провайдеру помимо IP-адреса и причины обращения, необходимо указать точное время, когда к пользователю был привязан данный IP-адрес.

Имея IP-адрес через whois всегда можно узнать город, а часто и административный округ, в котором находится получатель письма.

Как оформить письмо и откуда его отправить

Для составления письма возьмите любой текст, который будет выглядеть как “спам” для получателя письма, что бы он не обратил на него внимания. Но при этом не стоит брать текст из “спам”-писем, пришедших на Вашу почту, и тем более в “спам”-папку — для минимизации шансов попадания отправленного нами письма в поле зрения “спам”-фильтра на стороне получателя.

Для отправки письма воспользуйтесь любым сервисом, предоставляющим возможность анонимной отправки писем. При этом рекомендую выходить в интернет используя различные анонимайзеры, VPN, Tor и браузер в ~~порно~~ приватном-режиме (без сохранения cookie, localStorage и т.п.), ~~и с публичного Wi-Fi (в кепке, очках и темной неприметной одежде~~).

Что необходимо для сохранения заголовка REMOTE_ADDR

Вам необходим доступ на публично-доступный сервер или хостинг. Желательно с ненужным IP-адресом или доменным именем, который не жалко сменить или который никак к Вам не относится. Можно воспользоваться динамическим DNS, который временно будет перенаправлять все запросы с временного IP-адреса на Ваш хост.

На сервере имеем некий роут (route), который при входящем HTTP-запросе сохраняет все заголовки в файл или БД, или куда-либо еще на Ваше усмотрение. В письме рекомендую вставить ссылки на два файла. Один файл в заголовок письма — css-файл, другой на графическое изображение в теле письма (в виду разной работы почтовых клиентов).

Для уменьшения подозрительности возвращаем реальные файлы с правильными заголовками и Content-Type соответствующим запрошенным файлам (некоторые почтовые-клиенты и их браузерные версии проверяют прикрепленные файлы на соответствие).

При отправке писем по множеству адресов можно прикрепить GET-параметр для идентификации каждого из получателей.

В каких случаях это не работает

Если получатель письма пользуется каким-либо анонимайзером, VPN или Tor;
Большинство браузерных версий почтовых-клиентов кешируют прикрепленные файлы на своей стороне — в данном случае Вы получите IP-адрес почтового сервиса;
При попадании письма в “спам”.

Когда это работает

В 70% случаях при использовании получателем письма почтового клиента на мобильном устройстве, благо количество пользователей смартфонов и мобильного-интернета растет.

Спасибо. Соблюдайте интернет-гигиену и обрегайте свои персональные данные.

Большо информации про анонимность и т.д и деа00н у нашем канале - https://t.me/+20unW1tPdVAxYjUy

Вас сдаст Гитхаб: деанонимизация пользователей SSH-серверов

2024-02-07T20:44:42.903Z

Недавно в своих ежедневных чтениях я наткнулся на явление, о котором думал уже много лет: феномен утечки информации людей, использующих SSH. Этот тип утечки информации не является новым явлением. Я давно предупреждал об этой опасности своих друзей, использующих SSH, но мой голос услышали лишь несколько человек. Поэтому я решил дать пояснения по этому поводу, потому что я считаю, что необходимо понимать этот риск в ИТ-сообществе, особенно в нынешней ситуации. Я буду исходить из предположения, что у вас, дорогой читатель, есть опыт работы с SSH.

Асимметричные ключи SSH

Протокол SSH использует асимметричную криптографию. Короче говоря, для шифрования связи и клиент и сервер каждый имеют открытый ключ и закрытый ключ, при установлении соединения они обмениваются друг с другом только открытым ключом, чтобы информация каждой стороны шифровалась с его помощью, а после обмена данные будут расшифрованы с помощью закрытого ключа. SSH использует тот же метод и для так называемой "авторизации по ключам". Существует распространенное мнение, что этот метод более безопасен, чем аутентификация по паролю, и это, безусловно, правда.

Чтобы подключиться, клиент должен сначала отправить открытый ключ на хост на другой стороне, которым обычно является SSH-сервер или Git.

Github, Gitlab и открытые ключи

В предыдущем абзаце я говорил о подключении к серверам Git через SSH. GitHub — один из нескольких известных сервисов Git, у которого много пользователей из нашей страны. GitHub позволяет пользователям работать с Git, используя публичные ключи SSH, но проблема в том, что такие сервера, как GitHub, публикуют ключи своих пользователей... в открытом виде. Вы можете увидеть один аспект этого увлекательного, но вредного действия GitHub, перейдя по ссылке ниже и подставив вместо "username" свое имя пользователя:

https://github.com/username.keys

Злоумышленники или работники силовых органов, имеющие какие-то намерения против своих граждан, могут просто просканировать эти SSH-ключи и создать базу данных аккаунтов и ключей, а дальше устанавливать совпадения с открытыми ключами, обнаруженными в других местах, и использовать их для идентификации граждан. Например, вы можете проверить наличие вашего ключа SSH на GitHub с помощью команды (ssh git@github.com ), и если такой ключ существует, вы увидите свое имя пользователя GitHub в ответе сервера.

Короче говоря, если у вас действительно есть SSH-ключ, зарегистрированный в GitHub, вам нужно принять за данность, что все ваши SSH-ключи GitHub вполне возможно уже просканированы и хранятся в какой-то базе данных.

Опасность сопоставления открытых ключей

Чтобы понять, как утечка открытого ключа пользователей SSH ставит под угрозу конфиденциальность, рассмотрим следующий эксперимент.

У меня есть два ключа SSH и сервер, который принимает от меня только один ключ. Теперь я пытаюсь подключиться к серверу с обоими ключами, а затем сравниваю логи клиента (с флагом verbose). Обратите внимание, что я удалил некоторые строки вывода из-за большого количества логов.

$ ssh -v -o "IdentitiesOnly=yes" -i ~/.ssh/id_ed25519 root@10.2.10.5
OpenSSH_9.1p1, OpenSSL 3.0.7 1 Nov 2022
debug1: Connecting to 10.2.10.5 [10.2.10.5] port 22.
debug1: Connection established.
debug1: Authenticating to 10.2.10.5:22 as 'root'
debug1: Host '10.2.10.5' is known and matches the ED25519 host key.
debug1: Will attempt key: /home/mark/.ssh/id_ed25519
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Offering public key: /home/mark/.ssh/id_ed25519
debug1: Server accepts key: /home/mark/.ssh/id_ed25519
Authenticated to 10.2.10.5 ([10.2.10.5]:22) using "publickey".

$ ssh -v -o "IdentitiesOnly=yes" -i ~/.ssh/id_rsa root@10.2.10.5
OpenSSH_9.1p1, OpenSSL 3.0.7 1 Nov 2022
debug1: Connecting to 10.2.10.5 [10.2.10.5] port 22.
debug1: Connection established.
debug1: Authenticating to 10.2.10.5:22 as 'root'
debug1: Host '10.2.10.5' is known and matches the ED25519 host key.
debug1: Will attempt key: /home/mark/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Offering public key: /home/mark/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: keyboard-interactive
(root@10.2.10.5) Password:

Приведенный выше пример показывает, что в первом случае клиент предлагает серверу свой открытый ключ, сервер его принимает. Но во втором логе публичный ключ не принимается. Но вопрос в том, реально ли с помощью одного только публичного ключа, но не имея приватного, определить, разрешено пользователю, обладающим этим ключу подключение к серверу или нет? Обязательно ли для такой проверки иметь и приватный ключ? Кажется, что да, но давайте проверим доказательство этой гипотезы.

Для проверки я написал короткий код и попробовал использовать открытый ключ на целевом сервере, без использования приватного.

package main

import (
	"fmt"
	"io"

	"golang.org/x/crypto/ssh"
)

const (
	username  = "root"
	server    = "10.2.10.5:22"
	publicKey = "ssh-ed25519 AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
)

func main() {
	parsed, _, _, _, err := ssh.ParseAuthorizedKey([]byte(publicKey))
	if err != nil {
		panic(err)
	}

	signer := &DummySigner{PubKey: parsed}
	authMethod := []ssh.AuthMethod{ssh.PublicKeysCallback(
		func() ([]ssh.Signer, error) {
			return []ssh.Signer{signer}, nil
		},
	)}

	config := &ssh.ClientConfig{
		User:            username,
		Auth:            authMethod,
		HostKeyCallback: ssh.InsecureIgnoreHostKey(),
	}

	_, _ = ssh.Dial("tcp", server, config)

	if signer.Accepted {
		fmt.Println("Public key was accepted by server")
		return
	}

	fmt.Println("Public key was rejected by server")
}

type DummySigner struct {
	PubKey   ssh.PublicKey
	Accepted bool
}

func (signer *DummySigner) PublicKey() ssh.PublicKey {
	return signer.PubKey
}
func (signer *DummySigner) Sign(rand io.Reader, data []byte) (*ssh.Signature, error) {
	signer.Accepted = true
	return &ssh.Signature{Format: signer.PubKey.Type()}, nil
}

Результат:

Public key was accepted by server

Как и ожидалось, все сработало.

Что в итоге?

Мы увидели, что с помощью нескольких строк кода можно протестировать, разрешен ли человеку с определенным публичным SSH-ключом (даже не имея его приватного ключа) доступ на сервер. Соответственно, тестирование того или иного ключа на большом количестве IP-адресов не должно стать проблемой. С помощью этого метода, используя данные из открытых источников, можно легко получить связки "юзернеймы - открытые ключи", а потом идентифицировать сервера, которые этим юзерам принадлежат.

Речь идет не о взломе сервера или учетной записи GitHub, а о сборе общедоступной информации о людях и организациях. Поэтому имейте в виду, что раз ваш публичный ключ светится в открытом доступе где-нибудь на Github, и вы установили этот же ключ для пользователя root или угадываемого имени пользователя для входа в систему на вашем сервере, то сопоставить эти два факта будет довольно легко. Я рекомендую использовать два разных публичных ключа для действий, связанных с Git, и для вашего сервера, и не публиковать нигде даже публичные ключи, используемые на сервере.

Использованная литература:

SSH WHOAMI.FILIPPO.IO

whoarethey: Determine Who Can Log In to an SSH Server

От переводчика: Это статья - очередное напоминание о том, что публичные ключи - именно публичные, и поэтому они могут использоваться для деанонимизации пользователя, если тот использует один и тот же ключ на разных серверах.

Например, зная юзернейм интересующего вас человека на Гитхабе и получив его публичный ключ оттуда, можно сканированием IP-адресов найти сервера в сети, которые он администрирует.

Либо другой случай, имея базу "юзернейм - публичный ключ", дампнутую с Гитхаба, теоретически можно найти аккаунт человека, который администрирует интересующий вас сервер - перебирать придется очень долго, но все-таки реально (особенно если отфильтровать набор юзеров для перебора по каким-то дополнительным критериям). А при возможности MitM-перехвата трафика (помните недавнюю историю с Hetzner и Jabber.ru?) где-то по пути до сервер, подслушав публичный ключ узнать аккаунт его администратора на Гитхабе можно вообще одной командой.

@hwendli

Как сделать невидимый (пустой) ник в телеграм

Как сделать невидимый (пустой) ник в телеграм

Больше информации про анонимность и т.д в нашем телеграм канале! - https://t.me/+20unW1tPdVAxYjUy

Как найти владельца и админа Telegram канала

Как найти владельца и админа Telegram канала

Публикация

I. Реферальная ссылка

II. Приватная ссылка

Группа

Изображение канала

Имя и адрес канала

Удаленные посты

История изменения имени канала

Описание канала

Итог

Деанон!

Как сделать мощный спам на любой номер

Как сделать мощный спам на любой номер

Как провести деанон пользователя в интернете!

Как провести деанон пользователя в интернете

Лучшие сайты для деанона

Деанон в ВК

Деанон по фото

Деанон по номеру и IP-адресу

Глаз Бога

Как защититься от деанона

Как совместить социальную жизнь в сети и анонимность

Больше информации про анонимность и т.д в нашем телеграм канале! - https://t.me/+20unW1tPdVAxYjUy

Security Week 2214: готовые наборы для фишинга

Больше информации про анонимность и т.д в нашем телеграм канале! - https://t.me/+20unW1tPdVAxYjUy

Как узнать местоположение пользователя, зная только его email-адрес

Метод

Что делать с полученным IP-адресом

Как оформить письмо и откуда его отправить

Что необходимо для сохранения заголовка REMOTE_ADDR

В каких случаях это не работает

Когда это работает

Большо информации про анонимность и т.д и деа00н у нашем канале - https://t.me/+20unW1tPdVAxYjUy

Вас сдаст Гитхаб: деанонимизация пользователей SSH-серверов

Асимметричные ключи SSH

Github, Gitlab и открытые ключи

Опасность сопоставления открытых ключей

Что в итоге?

Больше информации про анонимность и т.д готовые мануалы у нас в канале! - https://t.me/+20unW1tPdVAxYjUy