Боты атакуют. Тестируем телеграмм-боты для поиска персональных данных

Marat_1162

Стаж на ФС с 2014 г
Private Club
Старожил
Migalki Club
Меценат💰️
Регистрация
25/3/16
Сообщения
4.649
Репутация
9.166
Реакции
22.739
RUB
0
Депозит
3 500 рублей
Сделок через гаранта
4
1609174425881.jpeg

Недавние разоблачительные публикации известного оппозиционера Алексея Навального всколыхнули волну небывалого интереса общественности к теневому бизнесу, связанному с услугами пробива. То, что почти любые данные у нас продаются и покупаются, — не секрет, но, говорят, кое‑что можно разузнать и вовсе бесплатно у ботов в «Телеграме». Так ли это и о каких ботах речь, мы сейчас выясним.

WARNING

Незаконный сбор персональной информации — это нарушение закона «О персональных данных» и других законов РФ. Также подобные действия могут образовать состав преступления по статье 137 УК РФ «Нарушение неприкосновенности частной жизни». Ни автор, ни редакция не несут ответственности за любые последствия использования приведенных в этой публикации сведений, которые представлены здесь исключительно ради информирования читателя.


Большинство ботов Telegram, выполняющих по запросу пользователя поиск и выдачу персональных данных, работают по схеме OSINT, то есть опираются на открытые источники, для чего эксплуатируют API различных служб и интернет‑ресурсов. Другие используют слитые базы данных, но такие сервисы, во‑первых, не всегда функционируют стабильно, а во‑вторых, испытывают проблемы с актуализацией информации: любая утекшая в паблик база со временем устаревает и, разумеется, не обновляется. Монетизируются подобные боты либо за счет донатов, либо за счет рекламы, или же админы ограничивают количество бесплатных запросов, после чего бот начинает просить денег за каждую следующую выдачу. Иногда — если админы ну очень жадные — используются все методы сразу.


Не все боты одинаково удобны в использовании
Не все боты одинаково удобны в использовании

Люди ищут персональную информацию по разным причинам. Кто‑то пытается таким образом отыскать своих отравителей должников или симпатичную соседку по подъезду с большими и красивыми си… ними глазами. Кто‑то разыскивает прямые контакты блогеров или владельцев пабликов либо пытается из чистого любопытства посмотреть посты в закрытых профилях соцсетей своей бывшей.

Еще можно по номеру машины отыскать мобильный телефон подрезавшего тебя на дороге водятла, позвонить ему, назвать по имени‑отчеству и вежливо попросить объяснений. Некоторые «гонщики» в такие моменты почему‑то немного смущаются. В общем, причины могут быть разными, а средство одно: условно‑бесплатные Telegram-боты или услуги пробива, до сих пор широко рекламируемые в даркнете.

Очевидно, что не все боты одинаково полезны. Некоторые просят денег, но в ответ либо не находят актуальную информацию, либо отдают откровенную туфту. Другие вроде бы работают, но настолько странно, что достоверность предлагаемых ботом данных остается сомнительной. Чтобы ты не тратил драгоценное время и деньги на поиск жемчужин в куче органических удобрений, твой любимый журнал протестировал наиболее популярные боты в Telegram и прямо сейчас поделится с тобой полученными результатами. Погнали!


GET CONTACT

Тот самый легендарный бот, сыгравший немаловажную роль в нашумевшем расследовании. Бот показывает, как именно записан номер мобильного телефона в адресной книге других абонентов. Информацию железяка черпает с мобильных устройств абонентов, установивших приложение Get Contact, поэтому, если на телефонах твоих друзей эта программа не установлена, никаких данных ты не получишь. В день бот позволяет отправить не больше трех телефонных номеров.

В моем случае на все без исключения запросы бот выдавал один и тот же ответ: Result: Nothing found. При этом поиск по имени бота в «Телеграме» выдает пару десятков результатов, отличающихся друг от друга одной или парой букв (get_kontact_bott, get_kontakts_bot и так далее) — видимо, на волне возросшей популярности проекта число желающих поиметь с этого профит тоже резко увеличилось. Некоторые службы, вроде @Getcontact_official_bot, с ходу требуют заплатить 200 рублей за подключение к сервису. Притом ни один из этих ботов, в общем‑то, не работает.
Не знаю, с чем именно связано это досадное явление — с нарушением в логике сервиса или с внезапным наплывом клиентов, но пользоваться сейчас Telegram-ботом Get Contact — бесполезная трата времени.


«ГЛАЗ БОГА»

Еще один популярный бот, упоминавшийся в ряде недавних журналистских публикаций. Бот обладает довольно‑таки обширным набором функций: поиск по имени в простом текстовом формате, по номеру автомобиля, по номеру телефона, по адресу электронной почты, по названию юридического лица или ИНН.

Telegram-бот «Глаз Бога»


Telegram-бот «Глаз Бога»

Для отправки команд бот требует подписаться на собственный канал, но даже это не гарантирует результата. По телефону «Глаз Бога» выдает название оператора и его регион (видимо, для тех, кто не умеет определять эти данные на глаз), возможное имя (я ввел несколько телефонных номеров — имена совпали). Еще он может найти почтовые адреса (вероятнее всего, по базе администраторов доменов), страницу «ВКонтакте», аккаунт «Телеграм», WhatsApp, число интересовавшихся персонажем до тебя. Но эту информацию бот предоставит за 30 рублей. То же самое касается поиска по номеру автомобиля: бесплатно бот показывает только регион (который можно определить и так), а за тридцатку предлагает скачать отчет «Автокода». При этом данные об автомобиле по его номеру при желании нетрудно отыскать в этих ваших интернетах бесплатно.

Если ты введешь адрес электронной почты, бот любезно покажет тебе логин (то, что до символа @) и домен (то, что после @) — это особо ценная информация! Также тебе предложат купить адрес привязанной к этому мылу странички «ВКонтакте» и связанные с email пароли из какой‑то слитой базы. По имени бот ищет только номер телефона в заданном регионе, находит неправильный и для его просмотра предлагает купить подписку.

В общем и целом польза от этого бота показалась мне весьма сомнительной: инфу, которую «Глаз Бога» отдает бесплатно, можно при желании нагуглить и без него, а платная информация скудна и не всегда достоверна.


AVINFO

Бот для проверки данных об истории автомобиля по госномеру, VIN, номеру ПТС, ФИО или телефону владельца, что теоретически позволяет выявить «перекупов». С его помощью нетрудно установить собственника транспортного средства, подпершего твое ведро на стоянке у супермаркета. Возможности у бота довольно широкие, а цена относительно невысокая: один отчет стоит 150 рублей, но можно купить подписку.

Telegram-бот AVinfo


Telegram-бот AVinfo

По номеру телефона можно найти профиль «ВКонтакте» и опубликованные объявления о продаже машин, что теоретически позволяет вычислить перекупщиков. А по госномеру транспортного средства или VIN бот формирует и предлагает купить отчет. В него входят полные сведения об автомобиле, его собственниках, пробеге, всех ранее использованных госномерах, данные об ограничениях, розыске, наличии страховки и ДТП, о работе в такси, о судебных решениях в отношении машины и имеющихся штрафах. В целом информация крайне полезная, если ты собираешься прикупить себе тачло, чтобы с ветерком катать подругу по улицам ночной Москвы, и при этом желаешь узнать, не собрана ли эта ласточка из двух битых ведер где‑нибудь в Дагестане. Но для простого поиска сведений о собственнике авто этот объем данных явно излишний.

Если зайти на канал бота, но не заказывать у него платных услуг, через некоторое время он предложит получить один тестовый отчет на халяву. Я выбрал отчет по номеру телефона, в котором бот обнаружил… только зарегистрированную на этот номер левую страничку «ВКонтакте». Объявлений на «Авито» и «Юле» он не нашел (вероятно, потому, что мои аккаунты привязаны к анонимным симкам), автомобиль — не найден (он зарегистрирован на другого человека, лол), в базе недвижимости также пусто. В общем, данные по госномеру машины AVinfo, может, и способен собрать, а вот с пробивом номеров мобильников дела у него явно обстоят неважно.


SMARTSEARCHBOT

Довольно интересный бот, позволяющий искать по номеру телефона (выдает имя пользователя, регион, город, email, страничку во «ВКонтактике», ник и ID в «Телеграме», если таковые есть), по email (возвращает телефон, имя, страницу «ВК» и город), по номеру транспортного средства, нику или имени в соцсетях, а также по фотографии — бот ищет похожие.

Бесплатно бот позволяет выполнить только два запроса, после чего просит оплатить подписку: суточная стоит в районе 67 рублей, что, в общем‑то, недорого. Я решил потратить на благое дело столь нескромную сумму и потестить бот — исключительно в научных целях.

По нескольким введенным мною автомобильным номерам бот не нашел вообще ничего. С номерами мобильника дела обстоят получше: информация находится, и вроде как даже более‑менее релевантная, но по нескольким указанным мною номерам бот выдал только регион оператора и имя юзера, видимо из чьей‑то записной книжки, — никаких дополнительных сведений обнаружить не удалось.

По фамилии, имени и отчеству бот выдает название организации, с которой может быть связано это лицо, неполный адрес (город, улица) и ИНН: видимо, поиск выполняется по базе юридических лиц и ИП. Часть результатов содержат только номер мобильного телефона. Если фамилия распространенная, результатов может найтись много, поэтому придется уточнять запрос комбинацией ФИО и даты рождения или ФИО и города проживания. Тем не менее мои эксперименты с ботом показали, что базы он использует старые, как ископаемые экскременты динозавра: все найденные им мобильные номера из скормленного мною тестового пула ФИО давным‑давно протухли.

Довольно полные сведения бот выдает по email — тут и страничка в «ВК», и привязанный к ней номер мобильного, и полное имя, указанное в профиле пользователя. Любопытный результат можно получить по запросу «история ВК». Даже если профиль юзера закрытый, SmartSearchBot выкачивает оттуда несколько фотографий и возвращает информацию за несколько минувших лет. Эта функция может оказаться полезной, если юзер удалил и почистил свой профиль «ВКонтакте» — по крайней мере, бот поможет узнать его дату рождения, место жительства и работы (если они были указаны).

Telegram-бот SmartSearchBot


Telegram-бот SmartSearchBot

Напоследок я решил потестить поиск по фотографии в соцсетях — бот позволяет выполнять до трех таких запросов в сутки. На паре загруженных мною фоток SmartSearchBot почему‑то обнаружил несколько лиц (клянусь, там было только одно!), а на других, где человек развернут в профиль, не нашел лица вообще. Методом перебора мне все‑таки удалось скормить ему небольшой набор фотографий. И в целом бот со своей задачей справился — правда, для этого необходимо, чтобы лицо на фото было анфас, а искомый юзер сохранил в своем профиле «ВКонтакте» именно эту или крайне похожую фотографию.

В целом я бы оценил работу Telegram-бота SmartSearchBot на троечку с плюсом. Вроде как и ищет, и среди найденной информации даже попадается полезная, но больше половины результатов выдачи — откровенный шлак, который придется отсортировывать вручную.


QUICK_OSINT_BOT

По своим возможностям бот в целом похож на SmartSearchBot — он способен искать по телефону, адресу электронной почты, госномеру или VIN автомобиля, номеру паспорта, СНИЛС или ИНН. Интересная особенность — поиск по паролю: бот ищет в слитых базах адрес email, которому может соответствовать заданный пароль.
По своим возможностям бот в целом похож на SmartSearchBot — он способен искать по телефону, адресу электронной почты, госномеру или VIN автомобиля, номеру паспорта, СНИЛС или ИНН. Интересная особенность — поиск по паролю: бот ищет в слитых базах адрес email, которому может соответствовать заданный пароль.

Telegram-бот Quick_OSINT_bot


Telegram-бот Quick_OSINT_bot

Тест показал, что номер мобильника по госномеру авто Quick_OSINT_bot находит неправильно, по телефонному номеру выдает в основном регион оператора и имя, под которым абонент записан в телефонных книгах, а также имя, которым он подписывается на досках бесплатных объявлений.

Весьма познавательные результаты получаются при поиске по адресу email: бот возвращает учетки с таким адресом в различных соцсетях, никнеймы, номер мобильного, имя и фамилию (не всегда корректно), а также связанные с этим мылом пароли из слитых баз.

Бот позволяет выполнить несколько бесплатных запросов в сутки, после чего начинает клянчить денег: 0,1 доллара за каждый отчет или предлагает оформить подписку.


HIMERA

Бот, по слухам, подключен к системе проверки контрагентов Unirate24, и он платный. Самый дешевый тариф с ограничением на количество поисковых запросов стоит 1199 рублей. Бот позволяет искать информацию по ФИО, номеру телефона, номеру автомобиля, адресу электронной почты, а также данным юридического лица. Найти он может сведения о прописке гражданина, записи о нарушении им закона, данные о родственниках.

Говорят, этот Telegram-бот неплохо справляется с поиском по Москве и области, а вот с регионами могут возникнуть проблемы: там находится не все и не всегда. Значительная часть инфы по юрлицам есть в свободном доступе. Но в целом бот может быть полезен для проверки контрагентов, потенциальных деловых партнеров или, скажем, при найме мутного кандидата на работу в золотохранилище твоего личного банка.


TELESINT

Бесплатный бот, позволяющий найти по юзернейму, в каких группах в «Телеге» состоит тот или иной пользователь. Теоретически эта информация может рассказать тебе что‑то о моральном облике интересах и увлечениях интересующего тебя персонажа.

Значительный недостаток этого бота заключается в том, что он показывает участие юзера только в открытых публичных группах, а вот закрытые паблики (то есть самое интересное!) остаются вне его поля зрения.


«АРХАНГЕЛ»

Бот, активно рекламировавшийся в сентябре 2020 года на хакерских бордах. По слухам, он подключен к информационно‑аналитической системе Solaris, используемой пробивщиками‑профессионалами. База позволяет искать данные по ФИО, серии и номеру паспорта, фамилии и году рождения, по ИНН, СНИЛС, по адресу, номеру телефона или автомобиля.

Стоимость одного запроса «Архангелу» до недавних пор составляла 250 рублей, но после известных событий бот отключили, и сейчас он выдает сообщение о «временных технических работах». Остается надеяться, что проблемы там действительно временные.


GETFB

Бот работает очень просто: по введенному номеру мобильного телефона в международном формате (+7XXXAAABBCC) GetFB находит зарегистрированную на этот телефон страничку в Facebook. Денег за свою работу бот не просит и работает отменно.


MAILSEARCHBO

Бот ищет по слитым базам пароли, соответствующие адресам электронной почты, логинам или номеру телефона. Бесплатно бот показывает только часть обнаруженных паролей, а за полной версией отправляет на сторонний сайт, где посетителю с ходу предлагают оплатить подписку.


ИТОГИ

Мои эксперименты показали, что боты для поиска персональных данных в целом могут быть полезны, но с небольшими оговорками:

  • большинство из них — платные, и качество поиска информации там все равно среднее, выдачу придется верифицировать и перебирать вручную;
  • есть пара бесплатных вариантов с ограничением на количество запросов, но в выдаче присутствует высокий процент шлака.
Даже несмотря на то, что большинство ботов использует одни и те же источники информации, для уточнения данных лучше применять сразу несколько инструментов — это повысит релевантность поиска и качество результатов. Тем не менее для серьезного расследования без услуг профессиональных пробивал все равно не обойтись: они имеют доступ к актуальным служебным базам различных государственных и коммерческих организаций, вернее, связь с сотрудниками, которые, в свою очередь, могут обращаться к этим базам.

Боты могут подсказать направление поиска и расширить набор исходных данных, но в качестве полноценного инструмента для сбора персональных данных они вряд ли сгодятся.
Источник: Хакер.ру
 
Последнее редактирование:
Почему никто не пишет что сами боты собирают инфу о вас же ,пытающихся что -то пробить бесплатно ?)
Отличная замануха для доверчивых оленят,верящих в Дедов Морозов и Великую Халяву )
 
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
TELESINT недавно для себя открыл, "интересный бот")
В целом страшная вещь все эти боты)) И все п@здят что только по открытым данным работают..
 
Многие из этих ботов просят дать добро на обработку твоего же номера, так и собирается база..
 
Сверху Снизу