Боты Телеграмм для поиска по номеру телефона
Как пробить человека через Telegram
Тема поиска информации о человеке никогда не теряла своей актуальности. Эта наука даже уже даже имеет свое название — OSINT (Open-source intelligence) а по русски — разведка на основе открытых источников данных. Т.е. для этого не нужно ничего взламывать и совершать какие либо противоправные действия. Вся информация лежит на поверхности. А вот как ее найти, мы вам время от время рассказываем. Вот и сегодня мы расскажем как пробить человека через Telegram
Как пробить человека через Telegram c помощью ботов
Теневые боты помогут найти практически любую информацию о человеке на основе минимальных данных. Необычные боты для индетификации человека, пробив по базам и другие полезные инструменты месседжера.
Ну, что, бро и систер, погнали!)
Список ботов (пока все работают на момент публикации)
EGRUL — пробивает конторы/ИП, по вводу ФИО/фирмы предоставляет ИНН объекта; учредителей бизнеса/партнеров и отчет налоговую декларацию. И наоборот: поиск по ИНН выдаст ФИО/конторы. Базы данных сами понимаете откуда
BMI NP — по номеру телефона определяет регион и оператора. Если повезет то бот определяет даже новые номера и определяет номера, которые были перенесены совершенно недавно
WHOIS DOMAIN — пробивает всю основную информацию о нужном домене (адрес сайта), IP и другое.
MAILSEARCH — по запросу пробива e-mail выдает открытый пароль от ящика если тот есть в базе. Очень серьезная база данных. Висит давно, 1.5 млрд учёток, год актуальности
<2014г.. Удобно составлять/вычислять персональные чарсеты с помощью, например, JTR. Функционал условно бесплатный.
GETFB — по запрашиваемому номеру телефона выдает ссылку на личность в FaceBook. Функционал бесплатный.
BUZZIM ALERPTS — неплохая поисковая система по платформе Telegram. Ищет упоминания ников/каналов в чатах статьях. Присутствует функция оповещения, если что-то где-то всплывёт. Например, можно посмотреть какие каналы разнесли твои посты с Хабра, проверить ник юзера, где он еще трепался.
AVINFO — бот, который по вводу мобильного телефона выдаст номер машины/марку, а также ссылку и все объявления на Avito.ru. В демо-режиме бесплатно доступно несколько таких поисков/отчетов. Ценник за функционал приличный, некоторые хитрожопые юзеры только ради этого бота сбрасывают свой аккаунт в Telegram, чтобы бесплатно пробивать своих жертв (бесконечное удаление/регистрация учетки на один и тот же номер телефона). БД Avito – или проданная или сдёрнутая, в любом случае хочется дать им в Авито по ИБ
HOWTOFIND — робот разведчик. Подскажет секреты и приемы OSINT.
SMART SEARCH — отличный бот, очень полный. Помогает найти дополнительную информацию, относительно телефонного номера, id ВКонтакте, email, или ИНН юр./физ. лица.
Чат-боты «Telegram» для поиска людей
Мессенджер «Телеграм» завоевал огромную популярность среди пользователей благодаря удобному обмену сообщениями, файлами между двумя или более людьми и наличию интересных инструментов. В качестве полезных помощников «Telegram» для выполнения необходимых задач используются боты, выполняющие различные функции в зависимости от своей направленности. Они доставляют необходимую информацию по запросу посредством чата и могут использоваться для поиска людей, музыки, фильмов, книг, предоставляют ссылки на скачивание, рассылают свежие новости, курсы валют и т. д.
Распознать ботов «Телеграм» можно по окончанию имени аккаунта «bot». Чтобы добавить любого из них, необходимо произвести ряд простых действий:
- перейдите к строке поиска приложения, пропишите имя бота;
- из выпавшего списка найдите аккаунт;
- начните диалог с команды Start;
- далее, в зависимости от функционала бота задаём нужные запросы, скачиваем файлы, пробиваем требуемые сведения и т. д.
Боты, позволяющие найти человека
Некоторые чат-боты «Telegram» работают с базами данных и могут выяснить информацию о номере телефона, найти контактные данные владельца авто по госномеру транспортного средства. Все они выполняют различные функции.
Получение сведений о номере телефона – @MsisdnInfoBot
При помощи бота с именем Никлаус MSISDN Info можно проверить, в каком регионе зарегистрирован абонент, определить оператора связи. Информация поступит ответным сообщением в чате после отправки цифр телефонного номера в любом формате.
Поиск сведений об автовладельце – @AVinfoBot, @antiparkon_bot
Бот Avinfobot находит данные о владельце, пробивает историю автомобиля, проверяет на участие в ДТП по номеру автомобиля, чёткой фотографии транспортного средства с номерными знаками, имени или контактам автомобилиста, активной ссылке на объявление о продаже ТС. Аналогичные функции выполняет «Антипаркон», ещё один бот «Телеграм». Пробить человека он способен по собственной базе, регулярно пополняемой самими автомобилистами. Проверка сведений об авто и его владельце – далеко не полный перечень возможностей. Воспользовавшись ботом, каждый автомобилист найдёт для себя много полезного.
Поиск человека по местоположению — @friendsfindbot
Бот ищет находящихся вблизи пользователей «ВКонтакте» по местоположению, отправленному ему в чате независимо от того, имеют люди аккаунт в «Телеграм» или нет. На запрос приходит ответное сообщение с информацией, добытой в результате проверки.
На самом деле, аккаунтов, работающих с телефонными базами, очень мало, но так как сервис постоянно развивается и у каждого есть возможность создать собственного бота, не исключено, что вскоре информация о каждом будет доступна в один клик.
Раскрытие номера телефона и геолокации через уязвимость в Телеграме
Последнее время в Telegram все чаще обсуждаются темы пробива людей и утечек персональных данных. Мне стало интересно, а насколько сама экосистема Telegram устойчива к подобным утечкам.
Под катом история о том, как я нашел баг в Telegram. Баг позволяет ввести в заблуждение пользователя, и подтолкнуть его неосознанно поделиться своими данными — геолокацией и номером телефона.
Вот как это работает:
Сложность системы всегда была врагом безопасности.
Telegram вырос, уже перестал быть просто мессенджером, и дорос до большой медиа платформы с богатым функционалом. Отдельным особняком стоит Telegram Bot API, позволяющее выстраивать целые приложения внутри мессенджера — так называемых ботов.
Скорее всего каждый, кто пробовал создать своего бота, уже знает, что пользователю можно отправить запрос его номера телефона с помощью специальной кнопки.
Текст на этой кнопке можно задать любой. Причём такие же кнопки бот может использовать и для других взаимодействий:
После нажатия на кнопку, пользователю конечно же будет показано предупреждение что сейчас его контакт будет отправлен боту:
Это сообщение довольно однозначно говорит о риске деанонимизации, и предостерегает вдумчивого пользователя от опасных для него действий.
Перебирая обновления API, я вспомнил, что в какой-то момент Telegram дал пользователям возможность делать собственные локализации мессенджера. Были примеры, когда локализацию использовали для шуточных переделок интерфейса. В тот момент мне пришла в голову та же мысль, что и возможно вам сейчас:
А что, если попробовать “шуточно перевести” диалоговое окно, предупреждающее пользователя о передаче номера телефона боту, заменив его текст?
Вначале я думал, что заставить пользователя установить в приложение посторонний xml файл-локализацию будет намного сложнее, чем просто убедить кликнуть на Share contact. Ведь именно так, с помощью xml файла, Telegram предлагал распространять свои локализации среди собеседников.
Так я думал, пока не наткнулся в исходных кодах android приложения на обработчик ссылок setlanguage.
Оказалось, что в Telegram уже давно сделали платформу переводов, translations.telegram.org, доступную для всех пользователей Telegram, и теперь не нужно передавать никаких xml файлов.
Достаточно кликнуть по ссылке t.me/setlanguage/%lang%, после чего пользователь увидит диалоговое окно с запросом установки нового языка. И это окно значительно менее отпугивающее, чем сообщение о запросе номера телефона:
Как это работает?
Добавляем свой язык, переводим нужные нам элементы интерфейса и еще парочку других.
В локализации можно писать все что угодно. Мы напишем безобидный текст вместо ужасного предупреждения о расшаривании геолокации и номера телефона. Проделываем тоже самое для остальных платформ.
Наш ядовитый язык готов. Осталось подсунуть его пользователю.
Мне так и не удалось найти способ узнать установил ли пользователь предложенную ему локализацию. Не нашлось ни статистики языка на translations.telegram.org, ни изменений в профиле пользователя. Bot api позволяет узнать язык пользователя через параметр language_code, но его значение берется из системных настроек. Смена языка в приложении на параметр никак не влияет.
Что ж, тогда просто добавляем небольшую задержку после сообщения с ссылкой на язык. После выбора языка предлагаем пользователю ознакомиться с меню бота. При нажатии Ок в данном диалоговом окне, номер утекает к боту сообщением, а бот это сообщение тут же удаляет. Если бот будет использовать webhook для получения обновлений, то сообщение удаляется быстрее и пользователь возможно и не поймет что он только что отправил свой контакт.
Кстати, аналогично запросу контакта бот может попросить пользователя расшарить его геолокацию. Да, и это диалоговое окно тоже можно “перевести”.
Как исправить
Очевидно нельзя давать возможность пользователям переводить абсолютно весь интерфейс без модерации. Модерация переводов кстати включена для например вот этого диалогового окна translations.telegram.org/rutech/ios/unsorted/AuthCode.Alert. О необходимости модерации нам сообщает метка Critical.
Выходит что вот такое маленькое упущение как отсутствие метки Critical для диалогов о расшаривании номера и геолокации приводят к утечке. Утечке весьма чувствительных данных, как для мессенджера строящего свой маркетинг вокруг privacy/security.
Мессенджер привязаный к вашему личному номеру телефона по определению не может быть приватным. Он может лишь удорожить процесс раскрытия вашей личности.
Данная уязвимость попала в программу bug bounty телеграма и была оценена в 100€.
Заходите к нам в Telegram чат @secinfosec. Там мы делимся опытом и обсуждаем всё что касается информационной безопасности: баг баунти, пентесты, бумажную и практическую безопасность, новые угрозы и методы борьбы с ними.
Лучшая подборка Telegram ботов для решения OSINT задач и конкурентной разведки
Привет, друг! Давненько я не выкладывал для тебя интересный контент. Хочу поделиться с тобой личной подборкой Telegram ботов, которой сам пользуюсь давно. Настоятельно рекомендую использовать виртуальные номера, так как информация о запросах к боту может логироваться.
Регистрируй аккаунт Telegram на любом удобном сервисе на виртуальную сим-карту + 2FA (двухфакторная защита) от брута и поехали осинтить!
OSINT (Разведка по открытым источникам) — это разведка, проводимая на основе общедоступной информации, которая своевременно собирается, используются и распространяется среди соответствующей аудитории, с целью удовлетворения конкретных потребностей потановщика задачи.
Автоматизированный OSINT:
@EyeGodsBot — лучший платный бот для комплексного пробива
@SearchPerson_bot — один из лучших бесплатных ботов (howtofind аналог)
@Smart_SearchBot — комплексный пробив с широким функционалом
@SovaAppBot — осинтит по Telegram, VK, радиосигналы и прочее
@imole_bot — КРОТ, пробивает комплексно (не использовал)
@mvd_fsb_bot — комплексный пробив (широкий список услуг)
@HimeraSearch_bot — проф пробив фио, телефон, почта
@AvinfoBot — проверка данных об авто по госномеру, VIN, номеру ПТС, ФИО
@quick_osint_bot — ищет по телефону, email, госномеру или VIN авто
@Dosie_Bot — составляет досье на человека по Украине (не пользовался)
@info_baza_bot — пробив по Украине (не пользовался)
Точечный OSINT по username/ID в Telegram
@deanonym_bot — пробив username от «Интернет-Розыск» (требует номер)
@anonimov_bot — пробивает username в Telegram
@LinkCreatorBot — бот найдет ID аккаунта создателя ссылки
@username_to_id_bot — история изменения имени аккаунта
@infoleakbot — проверка своего id на утечки
@SangMataInfo_bot — история изменения имени аккаунта
@ShowJsonBot — Бот возвращает JSON для всех отправляемых сообщений
@maigret_osint_bot — проверка username среди 1366 различных сайтов
@eyeofbeholder_bot — бот подсказывает интересы человека по его аккаунту
Точечный OSINT по группам в Telegram
@telesint_bot — найдет группы в которых состоит пользователь
@creationdatebot — примерная дата создания аккаунта, не работает по ID
@tgscanrobot — найдет группы в которых состоит аккаунт
@list_member_bot — бот для парсинга чатов и не только
@quant_parserbot — бот для сбора аудитории из чатов
Точечный OSINT по E-mail
(больше инфо смотри в «Автоматизированный OSINT»)
@mailsearchbot — поиск пароля по слитым базам
@UniversalSearchBot — поиск аккаунтов, привязанных к почте Yandex
@GetGmail_bot — поиск аккаунтов, привязанных к почте Gmail
@mailExistsBot — найдет где привязан email адрес
@shi_ver_bot — показывает утекшие пароли email
Точечный OSINT по пробиву номера
(больше инфо смотри в «Автоматизированный OSINT»)
@Tpoisk_Bot — пробив номера от компании «Интернет-Розыск»
@clerkinfobot — поиск по номеру телефона и username Telegram.
@BuratinoEyeBot — пробив и бомбер в одном боте
@xinitbot — информация о базовых станциях, IMEI-номерах (не работает)
@get_kontakt_bot — пока не работает, раньше пробивал номер
Точечный OSINT по остальным соц сетям:
@VKUserInfo_bot — выдает полную инфу о профиле ВК
@InstaBot — скачивает любые медиафайлы из Instagram.
@madeinttbot — скачивает видео с TikTok
@SaveYoutubeBot — скачивает ролики из YouTube
@getfb_bot — поиск страницы в Facebook по номеру телефона.
Полезные боты в Telegram на все случаи жизни:
@last4mailbot — показывает 4 цифры карты Сбербанка
@DrWebBot — проверяет файлы и ссылки на вирусы
@VirusTotalAV_bot — проверяет файлы и ссылки на вирусы
@SafeCallsBot — звонок с подменой номера
@Maksobot — озвучка синтезатором речи
@RoundDFBot — делает DeepFake video (качество так себе)
@EasyStrongPasswordBot — генератор сложных и запоминающихся паролей
@iptools_robot — умеет искать уязвимости на сайтах, собирать информацию про IP и домены, искать субдомены и многое другое.
Но помни, друг, что Белый Кролик не несёт ответственность за оказание или неоказание услуг ботами в Telegram для 3-их лиц. Вся информация о ботах является общедоступной и может использоваться только для ознакомления в образовательных целях.