Всем привет! Меня зовут Альберт Базалеев, я эксперт в сфере информационной безопасности бизнеса. Одно из моих направлений — проект Варежка, это софт, который защищает telegram-каналы и корпоративные telegram-аккаунты от злоумышленников.
5014 просмотров
Сегодня расскажу, какие «дырки» есть в telegram-каналах (которые так любят пиарить здесь на vc.ru) и к чему может привести легкомысленность в вопросах защиты.
Мессенджер Telegram предоставляет большие возможности для бизнеса. И связь с сотрудниками с помощью групповых и закрытых чатов, и видеозвонки с телефонией, и доступное хранение документации, и раскрутка бренда.
Тысячи компаний в рунете используют Telegram как корпоративное СМИ: публикуют контент, делятся пресс-релизами, формируют собственную повестку.
Однако, чем популярнее канал и чем больше компания, тем больше вероятность взлома. Сложно пройти мимо того, что вкусное и так плохо лежит.
Потеря доступа к аккаунту администратора канала даже на короткий срок может привести к серьезным последствиям. Как минимум придется заново собирать подписчиков, как максимум — рискуете потерять не только деньги, но и репутацию.
Как ПОТЕРЯТЬ РЕПУТАЦИЮ за 5 МИНУТ
Зачем «угонять» аккаунт?
После взлома канал можно выгодно перепродать. Цена зависит от количества подписчиков и известности канала. Например, аккаунт Reddit с 235 тысячами подписчиков перепродали за 1,5 миллиона рублей. Еще вариант — предложить создателю вернуть канал за доплату или шантажировать «сливом» конфиденциальной информации, скопированной из telegram-аккаунта владельца канала.
Либо злоумышленник может переделать аккаунт, поменяв практически все: от аватара до направленности контента. Неизменной остается аудитория. Злоумышленник продолжает размещать публикации и продавать рекламные места.
В крайнем случае канал за бесценок продают какому-нибудь онлайн-казино или размещают бота, который генерирует трафик на «серые» площадки.
Кстати, целью злоумышленников может быть не только угон канала, но и его удаление, если контент мешает конкурентам. Удаление канала — это отдельный вид атаки непосредственно на сам канал, а не на аккаунт администратора
Как взламывают каналы
Случаи угона постоянно появляются в соцсетях и СМИ. О реальных убытках редко пишут, но потерять канал с аудиторией 200 тысяч даже на один месяц — ситуация не из приятных. А возможный ущерб репутации вообще сложно оценить.
Способов завладеть аккаунтом — множество. Чтобы знать, как защищаться, полезно понимать способы атаки. Расскажу о нескольких.
Перехват SMS
Получение доступа к номеру телефона, привязанного к telegram-аккаунту администратора — одна из приоритетных задач для злоумышленников. Как правило, физический доступ к сим-карте и телефону отсутствует. Поэтому тактикой злоумышленников является удаленный перехват SMS, чтобы создать новый сеанс работы в аккаунте.
Некоторые операторы связи ранее предоставляли возможность чтения SMS из личного кабинета. Перехват SMS до сих пор возможен с использованием фейковой базовой станции. А еще в практике случалось, что доступ к содержанию SMS получали через сторонние приложения, установленные на смартфоне. И это не исчерпывающий список атак через перехват SMS!
КАРМА ДИКИХ ● КАК ЭТО РАБОТАЕТ ● РЕПУТАЦИЯ У СКУПЩИКА ESCAPE FROM TARKOV
При потере управления номером, привязанного к аккаунту, единственным препятствием к содержимому аккаунта становится пароль — двухфакторная аутентификация. Но не забывайте, что атаки на telegram-аккаунты параллельно осуществляются с получением доступа к почте. Обычно через привязанную к аккаунту почту злоумышленники удаляют старый пароль и ставят свой.
Приходит ссылка с запросом на подтверждение личности от «официального» аккаунта Telegram. При переходе появляется фейковая веб-версия, мало чем отличающаяся от оригинала. Форма авторизации собирает данные и пересылает их злоумышленникам. На стороне злоумышленников находится робот, который автоматически и «незаметно» создает новую сессию. А через пару дней все сессии аккаунта предыдущего владельца будут завершены, после чего произойдет смена реквизитов доступа.
Зараженные файлы
Мошенник под видом покупки рекламы кидает в чат ссылку на документ MS Word, при открытии которого эксплуатируется уязвимость и производится запуск вредоносной программы. Таким образом злоумышленник перехватывает сессию и угоняет аккаунт.
В более простых версиях компьютерных атак активно используются макросы с элементами фишинга. При открытии документа отобразится надпись, что на вашем компьютере используется старая версия MS Office, и для просмотра содержания документа необходимо разрешить выполнение макросов. После активации макросов запускается вредоносная программа.
И это лишь небольшая часть того, что могут предпринять злоумышленники. Давно не используются прямые атаки. Современные злоумышленники используют хитрую многоходовку, поэтапно и кропотливо собирая информацию о владельце канала. А затем наносят внезапный удар.
Маскировка фейковых аккаунтов под Saved Messages
Пользователю пересылается сообщение, которое тут же удаляется. При дальнейшем сохранении в «Избранное» есть риск отправить важные данные в фейковую папку. Telegram уже пофиксил такую «дырку», но я пишу и о ней тоже, чтобы вы понимали принцип: способы взлома бывают разные.
Ущерб от взломов
Хакеры развиваются: с каждым месяцем количество способов взлома только увеличивается. Примером может служить описанная сайтом Daily Storm ситуация с каналом «Camera Cloud», который удалось угнать с помощью пересылки админу зараженного файла. В результате владелец потерял доступ к аккаунту.
Мошенники изменили название аккаунта на «Продажа каналов», все размещенные посты удалили. Владельцу предложили выкупить канал за 20 тысяч рублей, но он отказался. Пришлось регистрировать новый аккаунт и с нуля собирать аудиторию.
Если такой ущерб хакеры могут нанести рядовому пользователю, корпорации рискуют еще больше. Потеряли канал — досадно. Но кроме этого может оказаться в публичном доступе важная информация: начиная от готовящихся акций до баз данных клиентов. От имени компании могут рассылать спам или обмануть контрагентов.
Такие кейсы не публичны, и я не могу о них рассказывать, но случаи были, и последствия для компаний были весьма тяжелыми.
Как защититься от взлома?
Используйте отдельный номер для аккаунта
Зарегистрируйте отдельную сим-карту для канала. Звоните на нее раз в 100 дней, если не пользуетесь этой симкой. В противном случае оператор может ее отключить или перепродать номер. Что касается использования сервисов приема SMS на иностранные номера телефонов, то не рекомендую ими пользоваться. Бывают случаи, что доступ к сим-карте необходим, но увы — сим-карты нет.
Также рекомендую не регистрировать номер на свои данные. Лучше зарегистрировать на родственника, чтобы в случае необходимости сим-карту можно было восстановить у оператора сотовой связи. Проверяйте регулярно, нет ли номера в системе GetContact и Numbuster, чтобы была уверенность, что номер никто не найдет по фактическому владельцу.
Не делайте звонков со своего личного телефона на номера, к которым привязаны аккаунты с вашими каналами. Не давайте такие номера телефонов своим знакомым.
Скройте номер в Настройках от посторонних
Запретите доступ Telegram к своим контактам. На вкладке «Конфиденциальность и безопасность» укажите, что ваш номер не будет никому отображаться, и найти по нему вас смогут только контакты из списка.
Не забывайте устанавливать на каждый аккаунт двухфакторную аутентификацию
Если умеете безопасно хранить пароли, то рекомендую не привязывать почту к аккаунту — это дополнительный риск сброса пароля. Но если решили привязать почту к аккаунту, то используйте защищенный почтовый сервис с поддержкой двухфакторной авторизации (с использованием другого номера телефона).
Не переходите по ссылкам
Даже если она пришла от знакомого и ссылка не отображается в предпросмотре, скопируйте ее и изучите. Всегда проверяйте ссылки!
Переходить по ссылке рекомендую только внутри виртуальной машины с использованием VPN (чтобы злоумышленник не узнал ваш реальный IP-адрес). Открывайте файлы только в песочнице. Не бойтесь требовать информацию и файлы в «правильном» и удобном для вас формате.
Помните, что Telegram не требует от пользователя подтверждения личности
У официального представителя мессенджера обязательно стоит голубая галочка возле никнейма. В процессе общения в чатах предоставляйте минимум личной информации о себе.
Установите пароли на ваши сим-карту и телефон
Если потеряете телефон, но на нем пароль, то мошенники не смогут угнать аккаунты, привязанные к этому номеру. А лучше заведите отдельный телефон и храните его в безопасном месте.
Любопытный факт
Некоторые администраторы сильно заморачиваются над тем, чтобы точно знать, что сим-карта постоянно находится на связи, чтобы не допустить ее несанкционированного отключения из сети.
Для этого покупают китайские модемы и используют скрипты, которые постоянно мониторят уровень сигнала базовой станции оператора связи, а также к каким базовым станциям подключается симка. В случае потери связи система уведомляет о несанкционированной утрате сигнала вышки. Серьезный подход, не находите?
И наконец, не забывайте периодически проверять список активных сессий (сеансов) ваших аккаунтов. Угон аккаунта, как правило, связан с созданием несанкционированной сессии аккаунта.
Вот такие советы.
Проверьте по этому списку, все ли методы защиты вы используете. Опытные безопасники понимают, что этих мер не будет достаточно, если у вас в компании сотни точек атаки (сотни сотрудников пользуются telegram, например) — здесь нужен комплекс специальных мероприятий, и без софта не обойтись.
Но для защиты небольших проектов этого на 99% достаточно.
Поделитесь в комментариях, есть ли у вас телеграм-каналы? Как защищаете? Сталкивались ли со взломом?
Источник: vc.ru
Бот для группы в Телеграм или мои разработки
Всем привет. Этот пост, как вы поняли, будет про мои разработки для Телеграма. Да, есть продукты, которые делаю на заказ, есть один вообще под NDA, а есть и мои проекты, которые делаю или для заработка или просто так, для людей, бесплатно и без рекламы.
У меня в портфолио уже более 20 ботов, и каждый раз я берусь за все более сложные проекты. Да, все этот сделал за последний год. Движусь так сказать.
- На базовую разработку и запуск проекта мне потребовалось около 5 рабочих дней.
- Раз в неделю я выкатываю обновление, добавляющее новые функции / улучшения
- В боте нет и не будет рекламы, это отличительная особенность и фишка бота, финансы мне тут неинтересны, мне гораздо интереснее, чтобы люди получали максимум пользы от бота.
- Я проанализировал всех конкурентов, и стараюсь сделать проект, который предложит больше, и лучше по качеству, и бесплатно.
- Я открыт к диалогу, и прислушиваюсь к фидбеку по боту (если у вас есть по нему замечания/предложения — смело пишите тут в комменты или в контактах бота).
Первая цель для моего бота в цифрах — 100 подключенных групп, и охват в 10 000 человек.
Этот пост я буду обновлять, по мере добавления все новых и новых функций в бота. Итак, что сейчас реализовано в нем:
- Каптча. На выбор 4 разных вида: кнопкой, решить арифметическую задачу, написать слово, написать символы с картинки. По умолчанию выключена.
- Удаляет сообщения о входе человека в группу и выходе из нее
- Удаляет ссылки на сайты и каналы
- Удаляет команды из чата (когда юзер вводит какую-либо команду для бота/ботов)
- При необходимости удаляет сообщения, которые содержат слова из списка стоп-слов.
- Показывает приветственное сообщение всем новым пользователям группы
- Система репутации, когда кто-то из пользователей ставит лайк или говорит спасибо другому, репутация второго повышается.
Дополнительно, все сервисные сообщения удаляются спустя 10 секунд, чтобы не захламлять группу.
Чтобы подключить бота к группе:
Настраивать бота и вводить команды нужно прямо в группе и только администратором группы. В ином случае бот не даст доступ к управлению.
В планах по боту еще более 20 различных команд и функций, мультиязычность, все это буду постепенно по мере сил внедрять, а сервер, на котором размещается бот — оплачен на 4 года вперед. Если брать глобальные планы, то тут конечно — стать ботом номер 1 для групп. Буду к этому идти.
Это мой бот, а я всегда трепетно отношусь к своим разработкам и слушаю людей — если возникла какая либо проблема или у вас есть что сказать — пишите, всегда рад обсудить все, что касаемо бота.
Т.к бот всегда будет бесплатным и без рекламы, финансам тут браться неоткуда. Поэтому я подумаю, стоит ли покупать рекламу. Все же, он нужен именно админам групп, а не любому юзеру телеграмма. Посмотрим, можно ли без вложений, только лишь за счет лучшего продукта выехать. А если у вас есть предложения по его продвижению — пишите, обсудим.
На этом пока все, если у вас. есть группа в телеграмм — обязательно подключайте бота, это будет очень круто и я буду безмерно благодарен. А так же пишите в комментах, что стоило бы внедрить в него, ну и замечания быть может какие. Всем пока.
P.S Чуть не забыл, если нужно разработать бота, можете тоже обращаться.
Источник: optimizka.ru
Повышаем вовлеченность аудитории в Телеграм-канале
Как повысить вовлеченность аудитории в Телеграм-канале, что такое ER и ERR, как увеличить эти показатели. Обо всем этом расскажу подробно в сегодняшней статье.
Что такое вовлеченность аудитории, ER и ERR
Для начала разберемся с основными понятиями и терминами.
Вовлеченность аудитории, это простым языком — интерес подписчиков к каналу. Чем чаще подписчики заходят в канал и смотрят его, тем быстрее растут просмотры в канале. Со временем интерес подписчиков к каналу падает, они заходят в него реже. Это вполне нормальное явление.
ER (Engagement rate) — это уровень вовлеченности аудитории, статистический показатель, измеряемый в процентах. Вычисляется через отношение числа просмотров на канале к количеству подписчиков. Используется cервисом Телеметр: в нем показывается суточный и недельный Er.
ERR (Engagement rate by reach) – уровень вовлеченности аудитории по охвату, статистический показатель, измеряемый в процентах. Используется cервисом TGStat. Показывается за месяц.
Чтобы лучше понимать что такое Er, советую прочитать эту статью. Чем отличается Er и Err круто разобрано в посте на канале Телеграмщик.
Как повысить вовлеченность аудитории на канале
Если нужно повысить именно вовлеченность подписчиков в канале. Чтобы они чаще возвращались в канал и читали его. Необходимо давать в канале полезный и интересный контент, такой, за которым хочется придти еще.
Например, я подписан на 50 каналов о Тг, а читаю только 10 от силы. Почему остальные не читаю? В них нет полезного материала. Если вдруг эти каналы будут постить полезный мне материал, я буду заходить в них чаще.
То есть, нужно работать над качеством контента, его разнообразием и пользой. Тогда интерес людей к каналу вырастет, а с ним и охваты. Это главное правило.
Как повысить ER и ERR
Так как расчет показателей Er и Err основан на просмотрах, то и повысить их возможно, увеличивая просмотры в канале. Для этого:
- Даем в канале полезный и интересный контент, такой, за которым подписчики будут возвращаться снова и снова. Подписчики активнее читают канал, повышаются просмотры.
- Создаем виральный контент. Такой, которым люди будут делиться. Больше репостов — больше просмотров.
- Покупаем рекламу. Получаем дополнительные просмотры в канал с рекламы.
Так как расчет показателей ER и ERR основан и на числе подписчиков, то повысить их возможно, удалив неактивную аудиторию с канала.
С течением времени в любом канале собирается мертвая аудитория. Это боты и офферы, зачастую умышленно накрученные другими админами под видом живых подписчиков. Впрочем и сами пользователи уходят из мессенджера, предпочитая другие соц. сети или теряя интерес. Такая аудитория висит мертвым грузом, число просмотров с неё не растет и соответственно показатели ER и ERR ухудшаются.
Например, в канале 1000 подписчиков, из них 800 боты. 200 человек ежедневно смотрит канал, но вот остальные 800 — балласт. В таком канале ER, ERR будет очень низким. Поэтому 800 ботов необходимо вычистить с канала и показатели сразу улучшатся.
Почистить канал от неактивной аудитории возможно с помощью специального бота.
Уголок Админа — авторский блог о Телеграм. Только качественная и полезная информация о продвижении и развитии Телеграм-каналов.
Повышаем ER и ERR, используя Crosser_Bot
Никаких рисков нет, но рекомендую ознакомиться:
Любой администратор канала, в том числе и боты с любым набором прав, могут удалить подписчика с канала. Если быть точным, то происходит не удаление, а добавление подписчика в «Banned users».
3. Я запустил бота и добавил его в админы. Теперь отправляю боту юзернейм канала и жду результатов.
4. Бот выдает подробную статистику, где нам важен показатель: подписчики, заходившие больше месяца назад.
Подписчики, заходившие больше месяца назад — это могут быть как боты и офферы (люди, вступающие за деньги) так и пользователи, по каким-то причинам отказавшиеся от использования мессенджера, навсегда или временно.
Вот этот пласт и является балластом, очистить Телеграм-канал от него нужно обязательно.
5. Очищаем канал. Под постом со статистикой видим кнопку «Очистка». Нажимаем на нее. Выбираем «Неактивные». Кликаем на нужный процент удаления (есть возможность удалить всех, или часть).
6. Бот покажет список аккаунтов и потребует финальное подтверждение. После нажатия произойдет списание неактива из аудитории канала.
Важно: создатели Кроссер бота часто меняют инструкцию по работе с ботом. Если вы все сделали по инструкции, но бот не чистит неактивную аудиторию или не присылает отчет, обратитесь в официальный чат бота. Там можно задать вопросы техподдержке.
Также сейчас очистка неактивной аудитории возможна только в платной версии бота.
Что даст удаление неактивной аудитории?
С одной стороны, уменьшится общее число подписчиков, что может отпугнуть рекламодателей, обращающих внимание на количество подписчиков в канале.
С другой стороны, очистив канал от балласта, соотношение просмотров к числу подписчиков будет выше, а значит вырастет вовлеченность аудитории Телеграм-канала. Я, например, после блокировки Телеграм в апреле 2018 года вычистил 600 мертвых душ из канала (давно проданного).
Вовлеченность на Тгстат (ERR) выросла на 8%
Заключение
Используя указанные в статье методы, повысить вовлеченность аудитории возможно, но все же нужно понимать, что статистика слепа. Главное правило хорошего админа и канала — всегда работать на совесть, без обмана и накруток. Это принесет плоды со временем. Будьте честны, уважайте своих подписчиков и рекламодателей.
Надеюсь, статья была для вас полезной. Всегда рад видеть ваши комментарии. Подписывайтесь на канал для админов в телеграм и рассылку, делитесь статьей.
Успехов вам! До новых встреч в следующих статьях. С уважением, Дмитрий Толстой.
Источник: blogger-tolstoy.ru