1. Введение: Telegram как OSINT-источник
2. Архитектура Telegram
2.1. Каналы, группы, боты
2.2. Username vs User ID
2.3. Public vs Private
3. Поиск каналов и групп
3.1. Встроенный поиск
3.2. TGStat, Telemetr
3.3. Google dorks для Telegram
4. Поиск пользователей
4.1. Поиск по username и display name
4.2. Поиск по телефонному номер
4.3. Поиск по пересланным сообщениям
5. OSINT-боты
5.1. GetContact: поиск по номеру
5.2. SangMata: история имён
5.3. Другие полезные боты
6. Мониторинг и автоматизация
6.1. TGStat API
6.2 Telegram Bot API
6.3. Keyword tracking
7. Legal и OPSEC
7.1. Правовые ограничения (РФ)
7.2. Защита исследователя (OPSEC)
1. Введение: Telegram как OSINT-источник
За последние годы Telegram превратился из обычного мессенджера в одну из ключевых платформ для открытой разведки (OSINT), особенно в русскоязычном сегменте интернета. По состоянию на 2026 год аудитория Telegram превышает 900 миллионов пользователей, а сама платформа используется не только для личного общения, но и как платформа для рассылки новостей, бизнеса, социального и политического активизма, а также легальных и нелегальных рынков.
Для специалистов по информационной безопасности, OSINT-аналитиков и threat intelligence Telegram представляет особую ценность. В отличие от классических социальных сетей, здесь исторически сложилась культура публичности: открытые каналы, супергруппы, боты с доступом к API, а также слабая индексация контента внешними поисковыми системами. Это делает Telegram одновременно богатым источником данных и сложной, перегруженной средой для анализа.
Отдельного внимания заслуживает роль Telegram в киберпреступной экосистеме СНГ. По оценкам профильных исследователей, до 70% коммуникаций теневого киберрынка в регионе в 2025 году происходит именно через Telegram - от продажи слитых баз данных и малварей до координации атак и утечек. В результате Telegram OSINT становится базовым инструментом для расследований мониторинга угроз и атрибуции активности.
Цель данного материала - показать, как использовать Telegram для OSINT-поиска информации и расследований: от базовых возможностей встроенного поиска до анализа контента, автоматизированного мониторинга и соблюдения OPSEC. Статья ориентирована на практическое применение и может служить отправной точкой для специалистов уровня Junior и Middle, работающих в сфере OSINT, TI и корпоративной безопасности.
2. Архитектура Telegram
Чтобы эффективно использовать Telegram для OSINT и расследований, необходимо понимать его внутреннюю структуру. Telegram весьма сильно отличается от классических соцсетей: здесь, по сути, нет «профилей» в привычном смысле. Вы, конечно, видите аватарку и юзернейм пользователя, но в отличии от большинства соцсетей у вас нет возможности посмотреть на какие группы подписан тот или иной пользователь, узнать какую музыку он слушает и далее по списку.
По большому счету взаимодействие в ТГ строится вокруг сущностей - каналов, групп, ботов и идентификаторов пользователей. Эти различия напрямую влияют на методы поиска, анализа и деанонимизации.
2.1. Каналы, группы, боты
Каналы - это односторонний источник информации. Публикации делает администратор (или целая команда админов), подписчики не могут писать сообщения (разве что оставлять комментарии, если этот функционал подключен). Для OSINT каналы - один из важнейших объектов анализа: именно здесь публикуются утечки, объявления, новости, пропаганда, «витрины» киберрынков. Каналы удобны для мониторинга, так как имеют понятную структуру, историю сообщений и часто публичный доступ.
Группы и супергруппы предназначены для общения. В них можно наблюдать живые дискуссии, выявлять активных участников, связи между пользователями, реакцию на события. С точки зрения расследований группы полезны для атрибуции и поведенческого анализа.
Боты - отдельный и самый на мой взгляд интересный класс сущностей. Это автоматизированные аккаунты, работающие через Telegram Bot API. В OSINT они используются как инструменты доступа к данным (поиск, агрегация, экспорт, мониторинг), но важно понимать, что бот - это посредник. Он не «имеет доступ ко всему Telegram», а работает в рамках разрешений и логики, заданной разработчиком. С точки зрения OPSEC боты представляют повышенный риск, так как могут логировать действия пользователей, о чем мы позже еще поговорим в рамках этой статьи.
2.2. Username vs User ID
Одна из ключевых концепций Telegram - разделение публичного имени и внутреннего идентификатора.
Username - это человекочитаемый идентификатор (например, @NickName, @durov, @IvanPetrov). Он может отсутствовать, изменяться и переиспользоваться. Для OSINT username полезен как скорее как отправная точка: по нему ищут сообщения, упоминания, каналы и группы. Однако опираться только на username не совсем надежная стратегия - пользователь может сменить его в любой момент.
Другое дело - user ID. Это числовой уникальный идентификатор аккаунта. Он постоянен и не меняется за всё время существования аккаунта. Именно user ID используется Telegram на уровне системы. Для расследований это более надёжный маркер. Для того, чтобы узнать User ID пользователя существует множество способов. Существуют боты, которые определяют User ID по юзертегу пользователя или по пересланному от пользователя сообщению, но есть более надежный способ и приватный способ:
Заходим в настройки телеграмма, заходим в продвинутые настройки:
В самом низу находим пункт «Экспериментальные настройки»:
Включаем функцию «Show Peer Ids in Profile»:
Готово! Теперь мы видим ID любого пользователя:
Практический вывод: username - поверхность, user ID - основа. Глубокий OSINT в Telegram всегда стремится уйти от имени к идентификатору.
2.3. Public vs Private
Telegram чётко разделяет публичные и приватные сущности.
Публичные каналы и группы имеют username и доступны по прямой ссылке. Их можно найти через встроенный поиск, сторонние каталоги и внешние поисковые системы. Это основной массив данных для OSINT и мониторинга.
Приватные каналы и группы не индексируются и доступны только по пригласительной ссылке. Однако они не полностью скрытны: ссылки на них могут утекать, сообщения могут пересылаться, а участники - взаимодействовать с публичными чатами. В расследованиях приватные сущности часто обнаруживаются косвенно, через анализ пересланных сообщений, совпадений user ID и поведенческих паттернов.
Важно понимать, что «приватный» в Telegram означает ограничение доступа, а не отсутствие следов. Для OSINT это принципиально: даже закрытые сообщества оставляют на первый взгляд незначительные цифровые артефакты, которые иногда можно использоваться при идентификации пользователей.
Этот архитектурный фундамент определяет все последующие методы поиска, анализа и автоматизации в Telegram OSINT. Без его понимания дальнейшие инструменты работают вслепую.
3. Поиск каналов и групп
3.1. Встроенный поиск
Встроенный поиск в Telegram - это самый доступный, но одновременно самый ограниченный инструмент поиска. Для OSINT его следует рассматривать исключительно как механизм первичной навигации, а не как полноценный поисковый движок.Поиск работает только с публичными сущностями, имеющими username: каналами, группами и ботами. Он индексирует название и частично описание, но практически не анализирует содержимое сообщений.
Критически важно понимать, что поиск Telegram не гарантирует полноту выдачи. Алгоритмы ранжирования и фильтрации непрозрачны и зависят от множества факторов: языка интерфейса, региона, истории подписок, жалоб на контент и внутренней политики платформы. В результате одни и те же запросы могут давать разные результаты у разных пользователей, а часть публичных каналов может полностью выпадать из поиска.
Из вышесказанного можно сделать следующие выводы:
- отсутствие канала или группы в поисковой выдаче не свидетельствует об их приватности или удалении
- встроенный поиск нельзя использовать как критерий существования объекта
В OSINT-расследованиях и threat intelligence встроенный поиск Telegram используется только как стартовая точка. Полагаться на него как на основной OSINT-инструмент - методологическая ошибка, ведущая к пропуску значимой информации.
3.2. TGStat, Telemetr
TGStat и Telemetr - это внешние агрегаторы и аналитические сервисы, которые индексируют публичные Telegram-каналы и группы и потому заметно удобнее встроенного поиска Telegram. В отличие от нативного поиска, они дают стабильную и воспроизводимую выдачу, не зависящую от языка интерфейса, региона или истории подписок пользователя. Такой механизм поиска намного эффективнее и стабильнее для OSINT: один и тот же запрос должен давать одинаковый результат независимо от того, кто его выполняет.Оба сервиса позволяют находить каналы, которые полностью отсутствуют во встроенном поиске Telegram, анализировать их тематику, историю публикаций и динамику аудитории. TGStat ориентирован на более глубокую аналитику и, как правило, требует регистрации для полноценного доступа. Это связано с хранением исторических метрик, расширенными фильтрами и возможностью API-доступа. Telemetr, напротив, предоставляет базовый функционал без обязательной регистрации, что делает его удобным инструментом для быстрого поиска и первичной проверки каналов.
Важно понимать, каким образом такие сервисы получают данные. Ни TGStat, ни Telemetr не имеют внутреннего или привилегированного доступа к Telegram. Они собирают информацию исключительно из открытых источников: публичных каналов и групп с username, доступных по ссылкам формата «t.me». Сбор осуществляется автоматизированно - через клиентские библиотеки, Telegram API и собственные краулеры которые сохраняют контент, метрики и связи.
Малые каналы при этом не всегда удаётся найти даже через агрегаторы, и это не является ошибкой поиска. Причины обычно технические: канал слишком новый и ещё не проиндексирован, редко публикует сообщения, имеет небольшую аудиторию или не упоминается в других публичных источниках. Агрегаторы вынуждены вводить пороги индексации и приоритизировать активные и заметные каналы, поскольку полный охват Telegram технически и экономически невозможен. Поэтому отсутствие канала в TGStat или Telemetr означает лишь то, что он пока не попал в поле зрения конкретного сервиса, а не то, что он приватный или скрытый.
3.3. Google dorks для Telegram
Google dorks являются важным дополнением к встроенному поиску Telegram и специализированным агрегаторам. Их ценность заключается в том, что Google индексирует внешние следы активности в Telegram, которые сама платформа либо не показывает, либо скрывает из поиска.
В первую очередь dorks применяются для поиска по домену t.me. Запросы вида «site:t.me» в сочетании с ключевыми словами позволяют находить публичные каналы, группы и отдельные сообщения, даже если они отсутствуют во встроенном поиске Telegram. Особенно часто таким образом обнаруживаются старые, переименованные или выведенные из поиска каналы.
Отдельную ценность представляет поиск утекших вступительных ссылок на приватные группы и каналы. Пригласительные ссылки нередко публикуются на форумах, в комментариях, блогах или технической документации. Google индексирует такие страницы, и через dorks можно зафиксировать факт существования закрытого сообщества, его тематику и приблизительный круг участников, даже не имея прямого доступа (Пригласительные ссылки имеют довольно короткий срок жизни, поэтому вступить в закрытое сообщество с их помощью вряд-ли получится).
Google dorks также позволяют восстанавливать исторический контекст. Репосты, зеркала, цитаты и скриншоты сообщений сохраняются на внешних ресурсах и продолжают индексироваться после удаления оригинального контента в Telegram. Это особенно полезно в расследованиях, когда важно определить, что определённая информация публиковалась в конкретный период времени и в принципе существовала.
Для OSINT дорки используются и для корреляции Telegram с другими платформами. Через поиск можно связать Telegram-каналы с форумами, маркетплейсами, GitHub, Pastebin и соцсетями, выстраивая общую картину инфраструктуры.
Google dorks очевидно не дают прямого доступа к приватному контенту и не позволяют взломать закрытые каналы. Они работают только с тем, что уже стало публичным или было вынесено за пределы Telegram.
Пример поиска без дорков
Пример поиска с дорком «site:t.me»
4. Поиск пользователей
4.1. Поиск по username и display name
Поиск пользователей в Telegram чаще всего начинается с username или отображаемого имени, но этот метод является самым поверхностным и наименее надёжным с точки зрения OSINT. Он подходит для первичной навигации, но почти никогда не достаточен для атрибуции.
Username в Telegram представляет собой публичный идентификатор вида @NickName. Его ключевая особенность в том, что он не является обязательным и постоянным. Пользователь может в любой момент его удалить, сменить или освободить для повторного использования другим аккаунтом. В результате один и тот же юзернейм в разные периоды времени может принадлежать разным людям, а один и тот же пользователь может фигурировать под несколькими юзернеймами.
Поиск по username возможен через встроенный поиск Telegram, внешние агрегаторы и Google. Это позволяет находить публичные сообщения, комментарии в группах, упоминания в каналах и внешние ссылки. Для OSINT это полезно как стартовая точка, но любые выводы, сделанные только на основании username, всегда остаются гипотезой.
Display name, то есть отображаемое имя профиля, ещё менее надёжен. Он не уникален, не имеет формальных ограничений и может быть изменён неограниченное число раз. Поиск по display name даёт большое количество ложных совпадений, особенно в популярных группах и комментариях. В расследованиях display name используется исключительно как вспомогательный признак, например для первичного сопоставления сообщений в одном контексте.
Отдельно важно учитывать намеренные манипуляции. В Telegram широко распространены случаи, когда пользователи:
-копируют display name и аватар другого человека;
-используют визуально похожие юзернеймы;
-меняют имя под конкретную аудиторию или канал;
-Все это делает поиск по имени уязвимым для ошибок и подмен.
С точки зрения OSINT username и display name следует рассматривать лишь как маркеры активности, а не как признаки идентичности и уникальности. Они позволяют обнаружить сообщения, комментарии и упоминания, связанные с конкретным отображаемым именем, но сами по себе не доказывают, что эти следы принадлежат одному и тому же аккаунту. Смена username, отсутствие уникальности display name и возможность намеренной подмены делают такие совпадения ненадёжными.
Поэтому поиск по имени используется только для сбора первичных артефактов и построения гипотез. Подтверждение того, что разные проявления активности относятся к одному пользователю, возможно лишь при корреляции с более устойчивыми признаками, такими как forwarded messages, user ID и другие технические атрибуты аккаунта.
4.2. Поиск по телефонному номер
Поиск пользователя в Telegram по номеру телефона возможен, но его работоспособность полностью определяется настройками приватности конкретного аккаунта. Это принципиальный момент, который часто искажается или упрощается.
В Telegram существует отдельная настройка приватности - «кто может найти меня по номеру телефона». Она напрямую влияет на возможность обнаружения аккаунта.
Если эта настройка установлена на всё, то номер телефона становится поисковым идентификатором. В этом случае, имея номер, можно найти аккаунт Telegram через добавление номера в контакты или через механизмы, использующие официальный клиент и API. Фактически номер начинает выполнять роль публичного селектора, сопоставимого по функциям с username.
Если настройка установлена на «только мои контакты», то номер телефона перестаёт быть глобально используемым идентификатором. Добавление номера в адресную книгу стороннего аккаунта не приводит к обнаружению профиля, если этот аккаунт не находится в списке контактов владельца номера. В таком режиме поиск по номеру для внешнего наблюдателя не даёт результата.
Важно подчеркнуть, что в Telegram по‑прежнему отсутствует прямой строковый поиск по номеру. Поиск реализуется через механизм контактов и проверку условий приватности, а не через открытую поисковую систему.
С точки зрения OSINT это означает следующее:
Во‑первых, номер телефона может быть эффективным инструментом обнаружения аккаунта только при заведомо открытой настройке «кто может найти меня по номеру». Без знания или проверки этой настройки метод изначально носит вероятностный характер.
Во‑вторых, успешное обнаружение аккаунта по номеру подтверждает лишь факт существования связи «номер - Telegram‑аккаунт» на текущий момент. Оно не доказывает, что аккаунт контролируется конкретным человеком в прошлом или будущем, и не исключает использования виртуального или временного номера.
Во‑третьих, сторонние OSINT‑инструменты и боты, которые «ищут по номеру», работают либо:
через собственные аккаунты с синхронизированными контактами;
через ранее собранные соответствия, когда номер был доступен при более открытых настройках;
через утечки и внешние базы данных.
Они не обходят настройки приватности Telegram, а лишь используют исторические или косвенные данные. Поэтому их результаты могут быть неполными, устаревшими или ложно-положительными.
Ключевое ограничение метода заключается в том, что номер телефона не является устойчивым идентификатором. Пользователь может:
- сменить номер;
- скрыть его в настройках;
- использовать одноразовые или виртуальные SIM‑карты.
Поэтому в OSINT номер телефона рассматривается как вспомогательный корреляционный признак.
4.3. Поиск по пересланным сообщениям
Поиск и анализ пересланных сообщений (forwarded messages) - это один из ключевых методов Telegram OSINT, потому что он опирается не на изменяемые атрибуты вроде отображаемого имени или юзернейма, а на более устойчивые технические связи внутри самой платформы.
Когда сообщение пересылается из переписки, чата, группы или канала, Telegram по умолчанию сохраняет информацию об источнике. В пересланном сообщении может отображаться ссылка на исходный аккаунт, канал или группу. Это поведение определяется настройками приватности отправителя, но в любом случае сам механизм пересылки оставляет цифровой след.
Основная ценность forwarded messages для OSINT заключается в следующем:
Во-первых, пересланные сообщения позволяют связать разные проявления активности между собой. Пользователь может менять отображаемое имя, свой тэг и аватар, но если его сообщения регулярно пересылаются из разных чатов, появляется возможность коррелировать эти источники и восстановить цепочку активности. Особенно это заметно в тематических сообществах, где контент распространяется повторно и с задержкой.
Во-вторых, forwarded messages часто содержат прямую ссылку на исходный аккаунт или канал. Даже если профиль закрыт или username был изменён позже, старые пересылки могут продолжать указывать на прежнюю сущность. Это позволяет фиксировать исторические состояния аккаунта и отслеживать эволюцию его присутствия в Telegram.
В-третьих, в ряде случаев forwarded messages позволяют косвенно установить user ID. Через экспорт чатов (удобнее всего использовать формат JSON), Telegram API или клиентские библиотеки можно извлечь метаданные сообщений, в которых user ID источника сохраняется даже при отсутствии публичного username. Это делает пересылки одним из немногих способов связать разные юзернеймы с одним и тем же устойчивым идентификатором.
Само собой у метода есть свои ограничения: если у пользователя включена настройка «скрывать источник пересылки», Telegram будет отображать только display name без ссылкуи на источник. В этом случае прямой атрибуции нет, но сам факт регулярного появления идентичного контента в одних и тех же временных рамках всё равно может использоваться для поведенческого анализа.
Пересланные сообщения не всегда гарантируют актуальность данных. Источник мог быть удалён, переименован или ограничен, а пересылка осталась в других чатах. С точки зрения OSINT это не недостаток, а особенность, так как такие артефакты фиксируют прошлое состояние изучаемого объекта.
С практической точки зрения forwarded messages используются для:
- связывания нескольких аккаунтов или каналов между собой;
- восстановления истории активности при смене username;
- подтверждения того, что разные упоминания относятся к одному и тому же источнику;
- выявления первоисточников контента в цепочках репостов.
Ключевой момент состоит в том, что forwarded messages работают на уровне внутренней логики Telegram. В отличие от поиска по имени или номеру, здесь исследователь опирается не на пользовательский ввод, а на структурные связи между объектами системы. Именно поэтому данный метод считается одним из самых надёжных в Telegram OSINT и почти всегда используется как опорный при подтверждении гипотез идентичности.
Так выглядит экспорт личного чата в формате JSON
5. OSINT-боты
5.1. GetContact: поиск по номеру
GetContact в контексте Telegram OSINT используется как внешний источник данных о номере телефона, который сам Telegram намеренно скрывает от исследователя. Telegram-аккаунт технически всегда привязан к номеру, но после регистрации этот номер может быть полностью исключён из публичного поля за счёт настроек приватности. В результате номер остаётся внутренним идентификатором, но перестаёт быть доступным для анализа внутри мессенджера.
GetContact частично компенсирует этот разрыв за счёт агрегации данных из пользовательских адресных книг. Сервис показывает, под какими именами и с какими тегами номер сохранялся у других людей. Эти данные не связаны напрямую с Telegram, но позволяют получить контекст, который затем используется при анализе Telegram-аккаунтов.
Практическая ценность здесь заключается в том, что имена и теги из GetContact могут совпадать с username, display name или устойчивыми псевдонимами, используемыми человеком в Telegram. Это даёт возможность сузить поиск, проверить гипотезы и связать анонимный или обезличенный аккаунт с ранее зафиксированной активностью. Речь идёт не об атрибуции пользователя, а о корреляции признаков.
Важно понимать ограничения метода. GetContact не показывает user ID, не подтверждает наличие Telegram-аккаунта и не отражает актуальное состояние профиля. Данные могут быть устаревшими или искажёнными, поскольку формируются третьими лицами. Поэтому информация из GetContact всегда рассматривается как вспомогательная и проверяется через внутренние механизмы Telegram, прежде всего анализ сообщений, пересылок и истории активности.
С точки зрения OPSEC использование GetContact несёт отдельные риски, поскольку работа идёт с номером телефона (о чем подробнее поговорим совсем скоро). Этот фактор требует изоляции среды и понимания того, что сам факт запроса может быть и будет зафиксирован сервисом.
5.2. SangMata: история имён
SangMata (@SangMata_BOT) используется в Telegram OSINT для восстановления истории публичных атрибутов аккаунта. Речь идёт прежде всего о юзернейме и display name, которые пользователь может менять неограниченное количество раз. Эти изменения не фиксируются самим интерфейсом Telegram, но все равно оставляют следы для того, кто эти изменения отслеживает.
Принцип работы SangMata основан на наблюдении. Бот сохраняет состояния аккаунта в те моменты, когда тот взаимодействует с публичными чатами, группами или каналами. Если в определённый момент у аккаунта был конкретный username или display name, бот фиксирует это и сопоставляет с user ID. В дальнейшем при изменении имени бот может показать предыдущие значения.
С практической точки зрения SangMata решает задачу связывания разрозненных упоминаний. Старые сообщения, комментарии или forwarded messages могли быть опубликованы под другим именем. Через историю изменений становится возможным связать эти следы с текущим состоянием аккаунта и понять, что речь идёт об одном и том же источнике.
Ключевой момент заключается в том, что SangMata работает с устойчивым идентификатором. Несмотря на то что пользователь видит только имя и никнейм, на уровне данных бот опирается на user ID. Именно поэтому история имён остаётся доступной даже после удаления старого username или его передачи другому аккаунту.
Однако не стоит полагать, что SangMata или аналогичные сервисы владеют полной и исчерпывающей информацией об аккаунте. Он показывает только те изменения, которые произошли после того, как бот впервые «увидел» этот аккаунт в публичном пространстве. Если аккаунт долгое время был приватным или не взаимодействовал с отслеживаемыми чатами, история будет неполной или отсутствовать.
С точки зрения OSINT SangMata используется скорее не для идентификации личности, а для подтверждения принадлежности тому или иному пользвоателю разных атрибутов в разные периоды времени. Он позволяет ответить на вопрос, менялся ли публичный облик объекта и какие именно состояния аккаунта существовали ранее. Это делает его важным инструментом при анализе попыток маскировки внутри Telegram.
5.3. Другие полезные боты
Теперь поговорим о других полезных ботах, которые помогают работать с публичной информацией в Telegram, но не дают доступа к приватным чатам или скрытым данным. Они упрощают сбор базовых атрибутов аккаунтов, анализ каналов и групп, а также ускоряют предварительную работу OSINT‑исследователя.
Важно понимать, что все эти боты актуальны только на момент написания статьи. Telegram регулярно меняет API и ограничения, а сами боты зависят от сторонней инфраструктуры. Часто расширенный функционал платный, но базовые команды, которые полезны для OSINT, обычно остаются бесплатными.
Например, TgDB (@tgdb_search_bot) позволяет искать публичные каналы, группы и чаты по нескольким признакам сразу, а не только по ключевому слову, как встроенный поиск. Это помогает быстро увидеть, где аккаунт встречается, какие сообщества связаны с интересующей темой и выбрать источники для дальнейшего анализа.
@creationdatebot показывает дату создания аккаунта или канала. Эта информация помогает оценить, насколько «свежий» источник, и заметить новые аккаунты, которые часто создаются для фейковых операций, спама или координированной активности. Дата сама по себе не является доказательством, но вместе с другими данными помогает понять историю аккаунта.
@username_to_id_bot и аналогичные боты превращают публичный username в числовой user ID. Это важно, потому что username можно менять, а ID остаётся постоянным. С его помощью проще связывать сообщения, пересылки и активность аккаунта, особенно при автоматизации через API.
В целом эти боты помогают ускорить сбор и структурирование данных, дают первые зацепки и экономят время. Но их результаты всегда нужно проверять и использовать вместе с другими методами OSINT, чтобы корректно интерпретировать активность и связи в Telegram.
6. Мониторинг и автоматизация
6.1. TGStat API
TGStat API - это программный интерфейс для автоматизированного получения статистических данных по публичным Telegram-каналам. Он используется для регулярного мониторинга и накопления метрик без ручной работы через веб-интерфейс.
Через API можно получать числовые показатели: количество подписчиков, прирост и падение аудитории, просмотры публикаций, частоту постинга, временные метки появления новых сообщений. Эти данные подходят для построения таймлайнов, выявления аномалий и сопоставления активности каналов между собой.
Ключевая задача TGStat API в OSINT - мониторинг изменений во времени. Инструмент позволяет фиксировать динамику: резкие скачки подписчиков, периоды повышенной активности, синхронные изменения у нескольких каналов. Это используется для выявления сетей каналов, управляемого роста, информационных кампаний и координированного распространения контента.
API не дает полноценного доступа к содержимому сообщений и не заменяет парсинг Telegram напрямую. Он работает с агрегированными метриками и ограниченным набором метаданных, собранных самим сервисом. Это вторичный источник данных, а не первичный артефакт Telegram.
Доступ к API предоставляется через TGStat и требует регистрации. В практических OSINT-задачах TGStat API применяют там, где нужна автоматизация и масштаб, а не разовая проверка одного канала, поэтому если не занимаетесь OSINT’ом на постоянной основе, возможно использование API будет излишним.
6.2 Telegram Bot API
Telegram Bot API - это официальный интерфейс Telegram для программного взаимодействия с публичным контентом внутри платформы. В отличие от TGStat API, это не агрегатор и не аналитический сервис, а прямой способ получать данные из Telegram в моменте, в том виде, в котором они доступны самому клиенту.
Через Bot API можно автоматически читать сообщения из публичных каналов и групп, в которых бот добавлен или на которые он подписан. Это включает текст сообщений, вложения, временные метки, usernames отправителей, ID каналов и чатов. Именно здесь начинается первичный сбор данных, а не работа с производной статистикой.
С точки зрения OSINT Bot API используется для контентного мониторинга. Он подходит для отслеживания конкретных каналов, сбора сообщений по времени, выгрузки истории публикаций и последующего анализа текста, медиафайлов и структуры обсуждений. На практике это выглядит как бот, который в фоне сохраняет все новые сообщения в базе или файлах.
Важно учитывать ограничения. Bot API не дает доступ к приватным чатам и закрытым каналам без приглашения. Он не позволяет читать личные сообщения пользователей и не раскрывает скрытые атрибуты аккаунтов. Бот видит только то, что и так доступно любому участнику соответствующего публичного пространства.
Ключевая ценность Bot API в OSINT - автоматизация сбора первичных данных. Он позволяет отказаться от ручного просмотра каналов, фиксировать публикации в реальном времени и сохранять данные до того, как они будут удалены или отредактированы. Это особенно важно при мониторинге краткоживущего контента, спама, скам-кампаний и координированных информационных вбросов.
Bot API предоставляется официально через Telegram и бесплатен, но имеет технические лимиты по частоте запросов и объему данных. Для OSINT-задач это рабочий инструмент низкого уровня, который требует собственной инфраструктуры и последующей аналитической обработки, но дает максимальный контроль над процессом сбора информации.
6.3. Keyword tracking
Keyword tracking в Telegram - это практика непрерывного мониторинга сообщений на предмет появления заранее определенных слов, выражений или маркеров. В отличие от анализа отдельных каналов, здесь объектом наблюдения становится сам информационный поток, а не конкретный источник.
На практике keyword tracking строится поверх автоматизированного сбора сообщений. Сообщения из публичных каналов и чатов сохраняются локально, после чего каждый новый пост проверяется на наличие ключевых слов. Ключевыми словами могут быть названия компаний, домены, никнеймы, номера телефонов, хэши, термины из даркнет-лексикона, названия инструментов или услуг.
В OSINT и threat intelligence этот подход используется для раннего выявления событий. Keyword tracking позволяет зафиксировать появление интересующего сигнала в момент публикации, а не задним числом. Это особенно важно для мониторинга утечек данных, объявлений о продаже доступов, скоординированных вбросов и «краткоживущего» контента, который быстро удаляется или редактируется.
С технической точки зрения keyword tracking не является отдельным сервисом Telegram. Это логика обработки данных, реализуемая поверх инструментов сбора, чаще всего через Telegram Bot API или собственные парсеры. Сам Telegram не предоставляет встроенного механизма отслеживания ключевых слов по множеству каналов, поэтому вся автоматизация строится на стороне исследователя.
Отдельное внимание уделяется формированию словарей. В рабочих задачах используют не одиночные слова, а наборы терминов, включая синонимы, транслитерацию, сленг и намеренные искажения. Это снижает риск пропуска релевантных сообщений и позволяет частично обходить примитивные попытки маскировки.
Ограничения keyword tracking напрямую связаны с источниками данных. Он работает только с теми каналами и чатами, к которым есть доступ, и не позволяет видеть обсуждения в приватных или закрытых сообществах без приглашения. Кроме того, сам факт появления ключевого слова не равен значимости события. Каждое срабатывание требует последующей ручной проверки и контекстного анализа.
7. Legal и OPSEC
Напоследок поговорим о том, какие существуют правовые ограничения в процессе OSINT-деятельности и о том, как обезопасить себя в ходе расследования, остаться анонимным и не оставить за собой цифрового следа.
7.1. Правовые ограничения (РФ)
В России существуют прямые и косвенные нормы, ограничивающие сбор, хранение и распространение персональных данных. OSINT‑исследования, даже если они кажутся законными, могут выходить за рамки правового поля, если касаются идентифицирующей информации о живых людях без их согласия.
Фактические риски включают незаконный сбор, передачу или хранение персональных данных, использование Telegram‑ботов для поиска сведений о физических лицах, сопоставление найденного контента с реальными людьми и публикацию личной информации в открытом доступе. Если в процессе OSINT используются данные, прямо идентифицирующие человека - номер, ФИО, email без согласия субъекта, это считается обработкой персональных данных и подпадает под требования закона.
С точки зрения OSINT не следует сохранять или обрабатывать персональные данные дольше, чем это необходимо для цели. Если ты находишь номер телефона, email, IP или ФИО конкретного человека, запись и дальнейшее распространение этих сведений без правового основания может уже быть нарушением закона. Эта же логика распространяется и на публикацию найденной информации: размещение персональных данных на сторонних ресурсах, GitHub, блогах или форуме может быть квалифицировано как разглашение и привести к ответственности.
7.2. Защита исследователя (OPSEC)
Первое и самое важное правило - используй отдельный аккаунт для OSINT. Основной номер и основная учётная запись должны быть отделены от исследовательской деятельности. При взаимодействии с ботами, каналами или другими сервисами твой номер и user ID могут быть зафиксированы и сохранены в логах. Даже официальные боты Telegram логируют запросы, и эти логи компенсируются участием многих сторонних систем, которые тоже ведут журнал активности. Если ты используешь свой основной аккаунт, твоя личная активность становится коррелируемой - то есть её можно связать с твоими другими цифровыми следами.
Далее важно корректно настроить приватность в Telegram. Telegram позволяет ограничить, кто может найти тебя по номеру телефона, кто видит аватарку, последний раз в сети и другую информацию. В контексте OSINT стоит установить скрытый номер и запретить показ времени активности, отключить отображение профиля для всех или ограничить его только кругом доверенных контактов. Даже такие простые настройки влияют на цифровой след, который ты оставляешь, поскольку они уменьшают объём метаданных, доступных другим участникам и третьим системам.
Еще один важный момент: взаимодействие с ботами всегда оставляет след. Когда ты отправляешь запрос боту, ты передаёшь номер, username, текст запроса и временную метку. Это записывается в логах сервера, и разработчик бота может сохранять и анализировать эти данные. Это нормальное поведение серверной инфраструктуры - но для исследователя это означает, что любой бот может собрать исторические данные о твоих запросах и тем самым создать корреляционный след активности. Поэтому если ты используешь ботов для поиска по номерам, юзернеймам или любым другим признакам, важно понимать, что именно ты передаёшь и где это хранится.
Последнее редактирование:
