Хакеры используют боты на базе Telegram для кражи одноразовых паролей пользователей. Ирония в том, что делают они это при помощи средства для обеспечения безопасности – двухфакторной аутентификации (2FA). Как им это удается, рассказывают эксперты Центра цифровой экспертизы Роскачества.
О двухфакторной защите
Настройка двухфакторной аутентификации – обязательное требование, если вы хотите обеспечить безопасность своих профилей в соцсетях и мессенджерах. Укажите телефонный номер или другой вариант дополнительного подтверждения входа, помимо пароля. Это на порядок усложнит задачу тому, кто попытается взломать ваш аккаунт.
2FA может задействовать одноразовый пароль, код, ссылку или биометрический маркер (отпечаток пальца, сканирование лица) для подтверждения личности владельца учетной записи. Чаще всего токены 2FA отправляются в виде СМС-сообщения или письма на адрес электронной почты.
Почти как настоящий
В конце октября прошла серия хакерских атак через фишинговые ссылки. Пользователи в Telegram получали сообщения якобы от официального бота мессенджера с предложением пройти «верификацию». О том, как работают боты и 2FA, мы уже недавно подробно писали.
Что касается ссылок, первое, что должно броситься в глаза, – странная чехарда из цифр и букв в адресе.
Обратите внимание, как пишется название мессенджера в наименовании контакта. Важно отметить, что наличие синей галочки рядом с наименованием канала или бота доказывает, что он верифицирован администрацией Telegram. Мошенникам получить подобный знак верификации аккаунта практически невозможно.
Кроме того, хакеры постоянно используют методы социальной инженерии, придумывая новые предлоги для сообщений. С подобной схемой столкнулась советник пресс-службы Роскачества, получив подозрительное письмо в WhatsApp.
Советы Роскачества
Сергей Кузьменко
старший специалист Роскачества по тестированию цифровых продуктов
К сожалению, никакие технические средства не дают гарантии защиты от мошенников. Антивирус в большинстве случаев поможет распознать уже известные мошеннические сайты (поэтому так важно вовремя скачивать все обновления ПО).
Единственный, кто сможет распознать мошенника, – это вы. Наш ответ социальной инженерии – осознанность. В любой непонятной ситуации делайте паузу и начинайте думать, кому может понадобиться слать ссылки и почему. Даже если вам звонит или пишет представитель техподдержки, вы всегда можете прервать звонок и сами перезвонить по официальному номеру или написать в чат поддержки на официальном сайте. Соблюдение базовых правил безопасности, как показывает практика, снижает вероятность успеха мошенников во множество раз.
Следите за новостями, подписывайтесь на рассылку.
При цитировании данного материала активная ссылка на источник обязательна.
Источник: rskrf.ru
Бот для чата в Телеграм: зачем нужен, где найти и как добавить (+ подборка ботов)
Пожалуй, сегодня невозможно встретить человека, кто активно пользуется мессенджерами и приложениями, но ни разу не общался с ботом-помощником. Бот в данном случае является плюсом — он может помочь пользователю и сэкономить время и ресурсы компании. Но обо всем по порядку.
Сегодня мы поговорим об интересных ботах для чата в Телеграм.
Зачем нужны боты для чатов и какие функции они могут на себя брать
Бот — это что-то типа искусственного интеллекта или робота-помощника, который может выполнить рутинную задачу при условии, что пользовательский запрос совпадает с прописанными в нем командами. Переписка с таким помощником происходит через обычный чат, причем бот, в отличие от операторов, может отвечать в любое время суток.
Современные боты могут:
- просто поболтать с пользователем;
- провести обучение и принять домашнюю работу по итогу;
- найти что-то в интернете;
- скачать информацию;
- развлекать пользователя;
- оставлять нужные комментарии;
- выполнять роль модератора или администратора группы и многое другое.
Как выглядит работа современного бота со стороны? Пользователь отправляет запрос и практически мгновенно получает на него ответ. Удобная функция, которая в зависимости от своего предназначения может облегчить работу администратора или же, к примеру, сделать канал более живым и полезным.
Как бота устанавливают в чат
Бот для чата в Телеграм — бесплатный или платный — можно добавить в любой канал или группу.
Открой свой канал, кликни на название и нажми на строку «подписчики».
Выбери «добавить подписчиков».
Введи имя бота в поисковой строке. К примеру, Combot.
Клини по имени бота. В Telegram-канале можно добавить бота только в качестве администратора. Если ты согласен, нажми «назначить».
Активируй или удали права, которые будут у бота, и кликни на галочку-подтверждение. Теперь бот сможет выполнять роль администратора канала.
В группу бот добавляется примерно по тому же принципу. Нажми на название группы и выбери «добавить участника».
- Введи имя интересующего бота (можно тот же Комбот).
- Нажми на галочку и подтверди добавление.
Точно также бота можно добавить в любую группу, причем сделать это может простой участник, а не владелец сообщества. Удаление робота доступно в любое время.
Где найти бота для Телеграма
Поиск нужного бота ничем не отличается от поиска нужного канала или сообщества. Ты можешь воспользоваться поиском в самом Телеграме. Для этого кликни на лупу в верхней части экрана на смартфоне и введи ключевой запрос. К примеру, бот статистики. Затем кликни на «enter», и система предложит тебе наиболее подходящие варианты.
Чтобы ознакомиться с информацией о роботе, нажми на имя любого бота и посмотри описание. Если его нет, скорее всего, бот популярностью не пользуется.
В этом случае можно кликнуть на кнопку «запустить», и, возможно, в ответ поступит информация о том, как работать с этим помощником. На компьютере действия будут идентичны.
Если ты знаешь корректное имя нужного тебе бота, введи его в поисковой строке Телеграма. Можно поискать разные подборки с описанием роботов в сети. Там и описание будет, и, возможно, отзывы. Советуем внимательно читать и то, и другое. Однако важно понимать, что такие списки часто носят субъективный характер, поэтому стоит изучить побольше ресурсов.
Кстати, далее мы дадим свою подборку полезных ботов для Телеги разной тематики.
Еще один вариант — спросить совет у друга. Если он такой же опытный пользователь мессенджера, то наверняка знает о ботах и пользуется хотя бы парочкой из них. Если таких знакомых нет, можно поискать отзывы на специализированных форумах, где общаются такие же владельцы сообществ и каналов в Телеграме.
ТОП-10 самых полезных ботов
Приведем краткий обзор наиболее популярных ботов в Телеграме. Пользоваться ими можно совершенно бесплатно.
Бот для чистки чата в Телеграм, который используют для модерации канала. Он контролирует, чтобы в чате не было флуда, следит за общением и активностью пользователей, строго следует заданным администратором правилам и чистит беседу от участников, кто эти правила нарушает.
Бот для удаления ссылок в чате Телеграма от пользователей, которые вступили в него менее суток назад. Он также является модератором и контролирует рассылку рекламы и спама в группе.
Бесплатный бот из категории развлечений. С его помощью можно общаться со случайным собеседником. Просто запусти робота, прочитай правила и укажи свой возраст, чтобы система смогла подобрать наиболее подходящего собеседника. Дальше можешь отправлять ему сообщения, стикеры, фото и видеофайлы.
Хороший русскоязычный Телеграм-бот, отвечающий за модерацию и соблюдение правил в сообществе. Есть функция приветствия новых пользователей канала или группового чата. Может забанить за мат самостоятельно, а также провести голосование за отправку в бан среди других участников. Собирает статистику по участникам беседы.
Очень популярный бот для сбора статистики. Он не только управляет чатом, но и собирает данные по активности участников, популярности канала. Он показывает и общие данные, и статистику для отдельных пользователей, а также выделяет наиболее активных участников группы. С его помощью очищают канал от молчащих пользователей. Работает на русском языке, меню простое и удобное.
Русскоязычный бот-напоминалка. Скажет, когда нужно совершить следующий платеж, используя для этого смс, электронную почту и другие каналы связи. Можно задать платеж практически любого вида: за коммунальные услуги, телефон, интернет, кредит и т.д. Ты можешь установить дату и время напоминания.
Бот, который помогает работать с контентом. Он может форматировать текст, добавлять разного рода файлы, в том числе и медиа, создавать отложенные публикации и ставить таймер для удаления неактуальных постов. Очень удобно, что все на русском языке.
Может добавлять к публикациям в Телеге виджеты с лайками или эмодзи. Он поможет узнать, был ли реально интересен пост пользователям, а также провести онлайн-опрос за лучшую публикацию на канале. Нет русского языка.
Бот, который может преобразовать любое видео в аудио-формат. Просто отправь ссылку на ролик на Youtube, и в ответ получишь аудиофайл. Нет русской версии, но работать с ботом несложно.
Хороший бот для сбора статистики по своему или чужому каналу в Телегрмме. Покажет информацию о подписчиках, охват публикаций, среднее число просмотров, уровень вовлеченности подписчиков, индекс цитирования и многое другое. Робот работает на русском языке.
Заключение
Роботы в Телеграме могут быть весьма полезными. Они выполняют рутинную работу, могут поболтать и отвлечь, что-то найти или помочь совершить определенное действие. Если у тебя свой канал, то бот-аналитик или модератор будет не лишним.
Что самое приятное, тебе не нужно создавать бота самостоятельно — ты можешь воспользоваться любым из тех, которые сейчас зарегистрированы.
Источник: mrtext.ru
Авторизация пользователей через Telegram
Недавно Telegram добавил поддержку виджета для авторизации пользователей на сайте. Мы решили поэкспериментировать с ним и составить простую инструкцию, как настроить такую авторизацию самостоятельно.
В качестве примера будем использовать код на PHP, однако, данные шаги актуальны и для других языков программирования.
Настройка бота
Для использования виджета вам понадобится Telegram-бот.
Скопируйте токен бота, через которого вы хотите производить авторизацию пользователей.
Название и аватарка выбранного вами бота будут показаны пользователю во всплывающем окне. А вы получите возможность отправлять пользователю личные сообщения через этого бота.
Настройка виджета
На сайте можно получить код виджета и выбрать его внешний вид. К сожалению, возможностей для его произвольного конфигурирования на данный момент нет т.к. виджет встраивается на сайт посредством iframe.
Встраивание на сайт
После того, как пользователь нажмёт на кнопку, Telegram готов отправить вам данные любым из двух способов:
- Отправить пользователя на ваш сайт путём редиректа, передав информацию о нём в GET параметрах.
- Вызвать JavaScript функцию, передав в неё информацию о пользователе в качестве аргументов.
На данный момент поддерживаются следующие данные о пользователе:
- id – уникальный идентификатор пользователя в Telegram
- first_name, last_name – фамилия и имя из профиля пользователя
- username – уникальное имя из профиля
- photo_url – ссылка на аватарку пользователя в виде https://t.me/i/. /user.jpg
- auth_date – дата авторазации
- hash – HMAC-подпись ответа на основе секретного токена бота
Получение данных через JavaScript callback
Выберите в конструкторе виджета опцию Authorization Type: Callback. Сгенерированный в результате код виджета содержит JavaScript функцию, которая будет вызвана после успешной авторизации.
Эту функцию нужно передать в аттрибуте data-onauth тега
Вы можете произвольным образом реализовать функцию onTelegramAuth. Например, послать AJAX запрос на сервер с полученными аргументами.
Получение данных через Redirect
Выберите в конструкторе виджета опцию Authorization Type: Redirect to URL и введите URL, на который вы хотите получить запрос с данными пользователя. Например, введите адрес http://example.com/auth/telegram.
На странице обработки можно положить скрипт index.php следующего содержания:
Проверка данных пользователя
Чтобы удостовериться в правильности полученных данных, нужно проверить hash. Разработчики Telegram приводят пример кода проверки, добавим эту функцию в код из файла index.php
function checkTelegramAuthorization($auth_data) < $check_hash = $auth_data[‘hash’]; unset($auth_data[‘hash’]); $data_check_arr = []; foreach ($auth_data as $key =>$value) < $data_check_arr[] = $key . ‘=’ . $value; >sort($data_check_arr); $data_check_string = implode(«n», $data_check_arr); $secret_key = hash(‘sha256’, BOT_TOKEN, true); $hash = hash_hmac(‘sha256’, $data_check_string, $secret_key); if (strcmp($hash, $check_hash) !== 0) < throw new Exception(‘Data is NOT from Telegram’); >if ((time() — $auth_data[‘auth_date’]) > 86400) < throw new Exception(‘Data is outdated’); >return $auth_data; >
Разберём механизм работы функции проверки. В качестве аргумента она получает массив с данными пользователя.
array(7) < [«id»]=>string(7) «1831337» [«first_name»]=> string(18) «Александр» [«last_name»]=> string(16) «Менщиков» [«username»]=> string(5) «n0str» [«photo_url»]=> string(36) «https://t.me/i/userpic/100/n0str.jpg» [«auth_date»]=> string(10) «1518168109» [«hash»]=> string(64) «abba<..>1345» >
На первом шаге из массива извлекается значение по ключу hash и сохраняется в переменной.
На втором шаге массив преобразуется к виду key=value и сортируется в лексикографическом порядке. Полученные данные склеиваются в одну строку через разделитель “n” (код символа – 0xA0).
Далее происходит проверка равенства HMAC-SHA-256 подписи этой строки и значения сохранённого hash. Дополнительно проверяется не устарела ли auth_date.
В случае успеха, функция возвращает исходный массив без параметра hash.
Авторизация пользователя на сайте
Добавим в файл код вызова функции проверки
if (isset($_GET[‘hash’])) < try < $auth_data = checkTelegramAuthorization($_GET); echo «Hello, » . $auth_data[‘username’]; >catch (Exception $e) < die ($e->getMessage()); > >
Пользователь увидит сообщение с приветствием в случае успешной авторизации. Теперь вы можете сохранить информацию о нём в базу данных и привязать его ID к текущей сессии.
Пример кода из рабочего проекта
try < $profile = $tg->checkTelegramAuthorization($_GET); $id = $profile[‘id’]; $user = Model_User::findByAttribute(‘telegram_id’, $id); if ($user->is_empty()) < $user = new Model_User(); $user->telegram_id = $id; . $user->save() > else < . >>
Кастомизация кнопки
Сейчас из-за ограничений iframe нельзя изменить внешний вид кнопки. Однако, если возникла сильная необходимость, можно обойти это ограничения с помощью clickjacking.