Сообщество фрилансеров и предпринимателей Помогаем монетизировать знания Статьи, кейсы как заработать в интернете, соцсетях, мессенджерах More posts by Кибер Мастера.
Кибер Мастера
25 янв. 2023 • 3 min read
В августе 2022 года тысячи юзернеймов были «отжаты» у неактивных каналов и «преданы в жертву» будущей аукционной платформе Fragment. Еще свежи воспоминания об этом? Если да, то сегодня я расскажу как в Telegram при помощи декларируемых сами мессенджером способов уже долгое время угоняют юзернеймы, но самое главное, расскажу какая от этого есть защита.
Обязан отметить, что эта схема не для заработка и шантажа, а для защиты владельцами каналов своих раскрученных ссылок, а также для команды Telegram, чтобы они прикрыли эту лазейку. Просьба поделиться статьей в своих сообществах, чтобы как можно больше владельцев каналов узнали про схему и не лишились своих активов.
Как ищут «жертву» в Telegram
Для начала определяются какая в принципе юзерка нужна.
Понадобится сервис TGStat (или Telemetr). И там, и там есть возможность смотреть историю канала, что необходимо для оценки важности юзернейма для его владельца.
Находят крупный канал, например вот этот и проверяют менялась ли у него ссылка, как давно и как часто.
На примере видно, что ссылка не менялась ни разу. Это отличный магнит для угонщика, так как ссылка будет особенно ценной для владельца и он будет готов на многое, если потеряет ее. Кроме того, если ссылка не менялась долгое время, это значит, что все ранее сделанные упоминания этого канала с такой ссылкой и во всех местах будут работать на злоумышленника, делать ему рекламу.
Как проверяют насколько «жертва» уязвима
Чтобы вручную не делать то, что можно вручную не делать, используют сервисы, проверяющие имя на занятость в социальных сетях и мессенджерах.
Например, есть такой instantusername.com — бесплатный, быстрый, удобный и наглядный. Сервис чекает юзерки во всех необходимых местах, в том числе в Telegram.
Угонщика интересуют только Instagram, Facebook и Twitter (и Telegram, но он, понятно, занят).
Есть еще несколько сервисов проверки, они со своими минусами:
namecheckr.com — не ищет по Instagram;
namechk.com — во всех необходимых ищет, но не очень наглядно;
checkusernames.com — не ищет по Facebook, Instagram, Telegram;
knowem.com — неудобно, много лишних соцсетей и сайтов.
По итогам проверок находится такой канал, чей юзернейм свободен, как минимум, в двух сервисах из следующих: Facebook, Twitter, Instagram.
Кстати, недавно Илон Маск заявлял, что много миллионов неактивных аккаунтов в Twitter будут удалены, а это значит, что некоторые юзернеймы, занятые долгое время, освободятся. Уверен, что кто-то обязательно подсуетится и очень легко «закроет» вопрос с занятыми в твиттере именами.
Далее, проверяется коллекционность юзернейма, для чего используется сервис Fragment.
Рассматриваемый как пример «tochkaup» еще не является коллекционным, поэтому отлично подходит нуждающемуся в нем угонщику.
Как подготавливается база для атаки на «жертву»
Для злоумышленника это самый долгий, сложный и ответственный пункт. В тех социальных сетях, где юзернейм «жертвы» свободен, создаются аккаунты и на них устанавливаются имена как у «жертвы», в данном случае TochkaUP.
Для успеха угонщику важно, чтобы аккаунты были максимально похожими на активные. То есть, для него надежнее будет даже не новые создавать, а купить уже готовые аккаунты, с историей, с постами. В идеале делают так, что тематика фейка становится похожей на тематику телеграм-канала «жертвы». Если же создаются новые аккаунты, то некоторое время они наполняются контентом, раскручиваются через соответствующие smm-панели, в общем, создается видимость активности для последующих проверок со стороны Telegram.
Магазинов, торгующих аккаунтами в социальных сетях, на просторах интернета предостаточно, поэтому кому надо, тот найдет и с этим проблем у угонщиков меньше всего.
Финал — попытка забрать чужой юзернейм
Злоумышленнику нужно доказать модераторам бота, что аккаунты с аналогичными юзернеймами в Twitter и Instagram принадлежат ему.
После проверки предложат указать на какой аккаунт или канал передать запрошенный юзернейм.
Нюансов, как видите, хоть лопатой откидывай, но если все было тщательно проработано и юзернейм передали мошеннику, то, с недавних пор, он может незамедлительно конвертировать его в коллекционный, через Fragment. Тогда прежнему, настоящему владельцу уже невозможно вернуть ссылку на свой канал.
Как защитить свой юзернейм от злоумышленников
Первый способ — проверяете в каких из трех социальных сетях еще не занято аналогичное имя и немедленно, как минимум в двух, занимаете его. Так вы свяжете руки будущим сквоттерам но Павел Дуров круче любого сквоттера, а своему юзернейму гарантируете неприкосновенность.
Второй способ — с помощью платформы Fragment конвертировать юзернейм в коллекционный и пляски с другими соцсетями не потребуются.
Если юзернейм у вас уже угнали, то пишите в техподдержку мессенджера, давайте ссылку на данную статью, пусть видят, что это слабое место и страдают обычные пользователи. Удачи!
Кибер Мастера там, где вам удобно: Telegram ▫️ Дзен ▫️ Я.Кью ▫️ VK ▫️ VC ▫️ YouTube ▫️ Партнеркин ▫️ Pikabu ▫️ TenChat ▫️ ТамТам
Subscribe to Кибер Мастера
Get the latest posts delivered right to your inbox
Источник: cybermasters.site
Появилась возможность узнать IP-адрес любого пользователя Telegram
Пользователь Twitter с ником Mobile Hacker опубликовал короткое видео с демонстрацией простого способа узнать IP-адрес любого пользователя Telegram.
На все у злоумышленника уйдет не больше 5 минут. Чтобы «пробить» юзера, достаточно скачать и запустить на Android-смартфоне эту утилиту, написанную на Python. Она использует протокол STUN.
После этого «хакер» совершает звонок своей жертве и скидывает, как только она принимает вызов. Всё — адрес отображается в программе.
[Обновлено] Комментарий от команды Telegram:
По умолчанию только звонки с Вашими контактами используют peer-to-peer — это подключение между двумя пользователями напрямую, поэтому оба собеседника должны знать IP-адреса друг друга.
Все остальные звонки всегда используют подключение через сервера Telegram. То есть если Вам позвонит кто-то незнакомый, чтобы «попытаться узнать Ваш IP-адрес», ему станет доступен только IP-адрес самого Telegram.
Для дополнительной конфиденциальности пользователи могут отключить peer-to-peer для абсолютно любых звонков (включая контакты), это можно сделать в Настройках > Конфиденциальность > Звонки > Peer-to-Peer (Никогда).
(34 голосов, общий рейтинг: 4.68 из 5)
Хочешь больше? Подпишись на наш Telegram.
Пользователь Twitter с ником Mobile Hacker опубликовал короткое видео с демонстрацией простого способа узнать IP-адрес любого пользователя Telegram. На все у злоумышленника уйдет не больше 5 минут. Чтобы «пробить» юзера, достаточно скачать и запустить на Android-смартфоне эту утилиту, написанную на Python. Она использует протокол STUN. После этого «хакер» совершает звонок своей жертве и скидывает, как.
Артём Баусов
Источник: www.iphones.ru