Чем опасны боты в телеграм
Мошенники все чаще используют Telegram-боты. По незнанию можно стать их сообщником
Telegram-боты приобретают все большую популярность: через них можно получать полезные напоминания, узнавать новости, находить интересные места рядом, искать жилье, соседей и многое другое. Но есть и другие боты — криминальные или мошеннические. Первые, например, могут дать доступ к закрытой информации, за которую вам, возможно, придется ответить. А вторые просто обчистят ваш кошелек.
Как работают боты
Боты — это обычные программы, которые пишут разработчики, объяснил «360» эксперт компании «Доктор Веб» Илья Куркин. Сейчас стало популярным использовать серверы мессенджера Telegram для коммуникации с пользователем — приложение уже знакомо человеку. Для создания ботов используется специальный интерфейс — bot API.
За начинку, то есть за весь функционал бота, отвечают его авторы, а не команда мессенджера. Цели создания ботов могут быть разными. Они могут, например, помочь людям найти соседей по адресу и жилье, уютные заведения неподалеку или интересное кино под ваши вкусы. А могут обмануть — через вымогательство или продажу незаконно полученных сведений.
Подбирать информацию из открытых источников или собственных баз данных боты могут благодаря сведениям, которые пользователь предоставляет сам. Например, если вы хотите найти квартиру в своем районе, придется рассказать боту, какие станции метро вас интересуют, какой метраж квартиры, какие условия — вроде возможности жить с домашним животным. Если же вы хотите найти интересный фильм, нужно будет назвать жанры, режиссеров или актеров, которые вам нравятся. Но личную информацию ботам лучше не сообщать.
«Администраторы ботов имеют доступ к данным, которые пользователи отправляют этим самым ботам. Поэтому не стоит отправлять важную и секретную информацию первому попавшемуся боту — ее легко прочитают его хозяева», — предупредил Илья Куркин.
Боты-мошенники
Если бот запрашивает у вас личную информацию (например, не только спрашивает, как к вам обращаться, но и просит назвать адрес, паспортные данные, логины и пароли от какого-либо аккаунта или номер карты), стоит задуматься, не мошеннический ли это сервис. Подобными данными нельзя делиться.
По словам Ильи Куркина, мошеннические схемы с использованием Telegram-ботов мало отличаются от других. Вам могут присылать сообщения о якобы произошедшем взломе и угрожать слить информацию. Могут шантажировать тем, что узнали подробности личной жизни.
Распространены схемы с заманиванием потенциальных жертв на мошеннические и вредоносные сайты. Например, для получения некоего приза, покупки дорогостоящей техники со скидкой. Кроме того, мошенники могут представляться сотрудниками кредитных организаций и сообщать о взломе с последующим приглашением на поддельный сайт банка
Поэтому нужно особенно внимательно следить за ссылками, по которым вы переходите из ботов, мессенджеров и других непроверенных источников. Обязательно проверяйте доменные имена, ведь чаще всего мошенники создают сайты с тем же дизайном и созвучным названием в адресной строке.
Куркин добавил, что существуют целые вредоносные программы — трояны, которые используют Telegram-ботов для передачи похищаемой ими информации на сторону.
«Такие трояны используют ботов в качестве сервера. Задействовав API Telegram, они подключаются к боту, минуя само клиентское приложение Telegram, и отправляют в его чат собранные данные, например СМС-сообщения пользователя», — отметил эксперт.
Причем избавиться от такой проблемы сложно — просто удалить приложение недостаточно. Также распространенной схемой мошенничества именно в Telegram является предложение купить доступ к каким-либо приватным каналам за деньги. На такие провокации вестись не стоит.
Нелегальные боты
Куркин добавил, что любые боты, которые передают персональные данные других людей без их согласия, являются незаконными. Например, очень популярны боты, где можно узнать номер владельца по государственному регистрационному знаку автомобиля. Депутат фракции «Единой России» Антон Горелкин отмечал, что такие сервисы находятся в серой зоне российского законодательства и, действительно, справиться с ними может пока только основатель мессенджера Павел Дуров. Хотя часть ботов уже начали блокировать.
Адвокат Московской коллегии адвокатов «Аронов и партнеры» Евгений Розенблат объяснил «360», что универсального ответа о законности или незаконности создания и тем более использования таких ботов нет. Каждый случай нужно рассматривать отдельно.
«Если тебе предоставили какую-то информацию, использование или распространение которой противоречит действующему законодательству, будет нарушение. Может быть много вариантов: нарушение коммерческой тайны, государственной тайны, закона о персональных данных и так далее», — сказал он.
Главное — смотреть, какую именно информацию предоставляет бот, а также откуда он ее взял. Например, на странице временно заблокированного бота «Глаз Бога» есть список источников информации, среди которых не только социальные сети и приложения типа Avito, где многие люди оставляют свои контакты и другие данные, не задумываясь об этом, но и Центр раскрытия корпоративной информации, банковские приложения и сотовые операторы.
Если информация является общедоступной, то получение согласия на ее обработку не требуется с точки зрения закона о персональных данных. Но если это биллинги от авиакомпаний и прочее, что не находится в общем доступе, [но может продаваться в Telegram-ботах], приобретение такой информации полностью корректным быть не может
«И тот, кто распространяет такую информацию за деньги, точно будет нести ответственность, потому что это информация ограниченного пользования», — добавил адвокат.
При этом получение информации из слитых баз банков и других учреждений тоже может оказаться спорным для пользователя, даже если он сам к ее краже не причастен. Его могут привлечь к ответственности, если использование информации нанесет кому-то ущерб — как материальный, так и репутационный.
Роботы в Телеграм — как найти и добавить
Телеграм имеет существенное отличие от ближайших конкурентов — Viber и WhatsApp. Оно заключается в огромном количестве самых разнообразных ботов, которые востребованы аудиторией. Ботов иногда называют «роботами». Разберемся, что такое роботы в Телеграм и как они работают.
Специально для жителей РФ: рекомендуем бота TeleBot, который раздает надежные, быстрые и бесплатные MTProxy для обхода блокировки Telegram.
Содержание:
Что такое роботы в Телеграм
Бот — это программный робот, который может делать самые разные вещи. Спектр применения таких роботов очень обширен: заказ билетов, банковские операции, курсы валют, новости, развлечения, онлайн игры, информация. Короче говоря, всё, на что способна фантазия разработчика.
Рекомендуем: КредоБот — удобный бот для подбора кредитов и займов в 2019 году с возможностью узнать бесплатно свой кредитный рейтинг.
Суть бота — выполнение различных действий в ответ на посылаемые пользователем команды.
Так как у Телеграм открытое API (интерфейс прикладного программирования), любой желающий может создать собственных роботов. Однако для этого все же потребуются навыки программирования.
Безопасны ли Telegram-боты?
Да, вы можете не волноваться, главное запомнить основной принцип: относиться к Телеграм-роботу так, как вы относитесь к пользователям, с которыми не знакомы. В общем, актуальны стандартные правила безопасности.
Это означает, что не стоит давать ботам личную информацию, пароли, банковские данные и т.д. По умолчанию они видят ваше публичное имя, а также фотографию аккаунта. И, конечно, те сообщения, что вы им отправляете.
Если же неприятность произошла и бот завладел вашими данными, то один из выходов — удалить свою страницу в Телеграм, чтобы пресечь дальнейшую кражу личной информации.
Телеграм-роботами очень просто пользоваться. Далее, на примере пары интересных ботов, мы расскажем и покажем последовательность действий.
Следует быть осторожным с предложениями взломать ботов, обычно это просто выманивание денег.
Как найти и запустить бота в Телеграм
Способ №1: зная юзейрнем
Роботов в мессенджере сотни тысяч, если не миллионы. Найти среди них что-то интересное непросто, но возможно. Посмотрим что нужно сделать, чтобы найти нужного робота в Телеграме.
Если вы знаете юзернейм бота (@имя_бота_bot), то всё очень просто. Нужно всего лишь ввести его в строку поиска мессенджера.
Вот Телеграм-робот для примера: @EasyStrongPasswordBot. Кстати, весьма полезный помощник. Он создаёт для вас сложные пароли и подбирает к ним мнемонические фразы для быстрого запоминания.
На примере этого Телеграм бота вы видите, что пользоваться программными помощниками очень просто.
Все роботы действуют по одному принципу — через команды. Где-то команды вводятся через строку набора сообщения, где-то — через специальные кнопки под этой строкой.
Многие роботы откликаются на команду /help — это справочник, заложенный в самого бота. Часто там можно найти полезную информацию о том, как управлять Телеграм ботом.
Способ №2: Каталог ботов
На нашем сайте есть огромный Каталог ботов. В нем вы обязательно найдете Телеграм бота по душе, поскольку суммарно их добавлено практически 2 000 штук!
Каталог регулярно обновляется — в нем появляются новые роботы, так что стоит добавить его в закладки.
Способ №3: Список лучших
Тут все просто: воспользуйтесь нашей статьей с перечнем самых крутых роботов.
Встроенные боты (роботы) в Телеграм
Помимо программных роботов, которые выглядят, как отдельный диалог, в Телеграм есть боты, работающие в любой беседе. Чтобы ими воспользоваться, начните вводить их имя прямо в окне набора текста!
Таких роботов несколько:
@pic — ищет картинки;
@youtube — любое видео на Ютубе к вашим услугам;
@wiki — можно найти интересную статью на Википедии;
@vkmusic_bot — помогает найти и скачать музыку из Вконтакте;
@ya — поиск в Яндексе.
Чтобы запустить такого бота нужен минимум усилий:
Встроенные роботы в Телеграм позволяют быстро найти практически любую информацию. При этом не нужно выходить из мессенджера и пользоваться другими приложениями или браузером.
Информацию из Telegram-ботов начали использовать для шантажа
Письма несчастья
Киберпреступники начали использовать ботов Telegram, которые собирают персональные данные, для шантажа пользователей, сообщает «Коммерсантъ».
Одним из источников информации стал бот MailSearchBot компании LeakCheck, созданный для проверки паролей.
Данный сервис предлагает пользователю найти все логины и пароли, которые оказались в открытом доступе, по номеру телефона за плату. По словам экспертов, данные сервисы работают по принципу поисковой системы, они ищут информацию по открытым интернет-источникам, и популярность таких ботов растет как среди обычных пользователей, так и среди мошенников.
У MailSearchBot есть и бесплатная версия бота, в которой часть пароля скрыта, однако несмотря на это мошенники используют полученную информацию для шантажа.
Злоумышленники присылают людям письма на электронную почту, в которых угрожают взломать аккаунт жертвы или раскрыть информацию о действиях человека в сети его родным и коллегам. Таким образом, хакеры вымогают у пользователей деньги, однако оплата не гарантирует того, что украденные данные не будут опубликованы и жертву перестанут шантажировать.
Стоит отметить, что компания LeakCheck, которая владеет ботом, знает о случаях злоупотребления своей разработкой.
«Чаще всего мошенники пишут жертвам, что на их компьютер попал вирус и все действия в сети записаны, а для подтверждения прикладывают последний использованный пароль»,— поделилась LeakCheck с изданием.
MailSearchBot не хранит историю запросов, поэтому установить связь с мошенниками нельзя.
«Ограничение числа запросов в бот не поможет в борьбе с мошенниками, поскольку при желании его можно будет обойти, сменив аккаунт»,— отметили в LeakCheck.
Боты-шантажисты
«Боты могут улучшить обмен сообщениями, выполняя и автоматизируя задачи, например, ежедневные уведомления о погоде или гороскопе. Вам также не нужно регистрировать хост и домен для развертывания приложения, эти боты – просто автоматические Telegram-клиенты. Использование ботов, также уменьшает цифровой след приложения, поскольку взаимодействия с ним пользователя происходит через Telegram», — объяснил эксперт.
За последние три года ежегодно на 20% растет число подтвержденных случаев мошенничества в сети и утечек персональных данных граждан, сообщил «Газете.Ru» директор департамента информационной безопасности компании Oberon Евгений Суханов. Чаще всего мошенники используют методы социальной инженерии для компрометации и похищения персональной информации и данных платежных карт.
«Telegram-боты выступают в роли поисковых систем по открытым базам данных, которые доступны в даркнете. Таким образом они находят персональные данные и номер платежной карты пользователя, затем, манипулируя жертвой, злоумышленники получают недостающую информацию», — рассказал Суханов.
По словам руководителя аналитического департамента AMarkets Артема Деева, мошенники используют самые проверенные способы социальной инженерии – они пугают пользователя, обещая раскрыть информацию о его переписке, фотографиях сторонним лицам.
«Чтобы избежать подобного, нужно, в первую очередь, не использовать электронную переписку для размещения информации, которая может вас скомпрометировать. Не делиться в мессенджере личными данными карты, не размещать персональную информацию», — объясняет Деев.
Если же письмо о шантаже поступило, эксперт советует обратиться в правоохранительные органы.
«Шантаж, вне зависимости от используемых инструментов, шантажом и остается – разбираться с такими случаями является прерогативой полиции, у которой наверняка способов выйти на мошенников больше, чем у пользователя», — считает Деев.
Александр Черныхов, ведущий эксперт направления «Информационная безопасность» ИТ-компании КРОК, считает, что Telegram сам по себе не является источником новых угроз. Это инструмент, который злоумышленники используют для облегчения сбора данных или взаимодействия с пользователями. Так как Telegram обладает широкими возможностями автоматизации за счет использования ботов, часто злоумышленники используют легальный функционал для получения открытой информации, ее агрегации и дальнейшего мошенничества.
«Если вы все же получили письмо с требованиями заплатить деньги за неразглашение информации никогда нельзя выполнять то, чего хотят злоумышленники. Необходимо сразу сменить пароли на чувствительных аккаунтах и не вступать ни в какие переговоры с мошенниками. В 99% никаких конкретных данных о вас у них нет и это обычный блеф», — советует эксперт.
Геочаты, вредные боты и стеганография: пополняем знания о Telegram
Что ты знаешь о геочатах в Telegram? А сможешь различить стеганографию в VideoNote (в народе — кругляши)? Разбираем то самое задание NeoQUEST-2020, которое вызвало больше всего вопросов и восклицаний на наш support! Спойлер: да-да, и здесь тоже будет немного крипты 🙂
В легенде NeoQUEST-2020 обнаруживаем ссылку на профиль путешествующего робота в Инстаграм. Ничего необычного, верно? Вот и мы тоже так решили, но решать задание все же надо, поэтому внимательно рассматриваем все картинки в профиле и ищем хоть какие-то подсказки. Немного медитации над красивой картинкой озера Байкал, и к нам приходит осознание, что зацепка находится именно в последнем посте:
Бот встречает нас задачкой в виде файлика some.bytes с неопознанным содержимым, в котором можем прочитать строки «Decrypt me» и «Apocalypse Spares Nobody».
Первую строчку мы понимаем без всяких проблем, но вот что же означает вторая. Здесь участники поделились на два лагеря: одни писали нам на почту, так как попали в тупик, а другие внимательно вгляделись в словосочетание «Apocalypse Spares Nobody» и разглядели что? Верно! Старый-добрый формат ASN.1 (здесь мы уже писали о том, как его парсить).
Давайте разбираться. Внутри находятся 2 структуры. В одной мы находим набор байтов с пометкой «Decrypt me», из чего предполагаем, что это шифртекст. Во второй структуре видим два числа. Вряд ли это ключ, щедро подаренный участником вместе с шифртекстом, значит, скорее всего. имеем дело с открытым ключом. Вся собранная информация приводит нас к очевидному выводу — почему бы не попробовать RSA?
Итак, перед нами модуль и открытый показатель, который, к слову, достаточно большой. После судорожного изучения RSA недолгих раздумий приходим к выводу, что закрытый показатель мал, а это значит что? Бинго! Мы определенно можем поиграть в «плохишей» и применить атаку Винера.
Мы все продумали даже для тех, кто не любит криптографию — можно было воспользоваться готовым вариантом реализации атаки, например, этим.
Получаем ключ «nq2020faAeFeGUCBjYf7UDrH9FapFCdFPa4u» к первой части задания и пароль «passCxws3jzYhp0HD5Fy84», который нужно скормить бот-представителю. Его можно найти среди участников чата под именем @neoquestbot.
Находясь на волне позитива от получения первого ключа, мы не сразу осознаем, что бот привередлив в общении и все время говорит, что не видит собеседника:
Зато бот с радостью принимает сообщения-кругляши VideoNote и даже отвечает на них… тем же кругляшом:
Кажется, что и видео, и звук те же самые, но это только на первый взгляд. А вдруг наш бот подает нам какие-то тайные знаки? Для выяснения этого сохраним и сравним оригинальное видео с ответом бота. Для этого и для последующих шагов нам отлично подходит пакет FFmpeg. Итак, посмотрим, что тут есть:
Ловким движением рук вытаскиваем его из видео:
То же самое можно сделать с нашим оригинальным сообщением, чтобы потом их сравнить. Для наглядности откроем обе дорожки в Audacity.
Сразу в глаза бросается скачок амплитуды в аудио-ответе бота (особенно странно, если мы вообще молчали). При более близком рассмотрении заметим четкие границы интервалов при чередовании «волна-тишина»:
Предлагаем отложить в сторону все дела и немного посчитать. Анализируем по фрагментам:
0 — 0,005 – тишина
0,005 – 0,01 – волна
0, 01 – 0,0225 – тишина
0,025 – 0,04 – волна
0,04 – 0,045 – тишина
44100 Гц, что является ультразвуком.
Значит, дальше следует работать только с высокими частотами.
На самом деле бот накладывает свой сигнал на оригинальное аудио в слышимом спектре. И те участники, у кого в оригинальном видео был звук, заметили это в Audacity.
Отсекаем высокие частоты фильтром высоких частот либо в Audacity, либо в том же ffmpeg:
Итак, у нас есть 16-битный моно wav-файл. Он состоит из заголовка, несжатого аудио-потока и метаданных. Сам по себе аудио-поток делится на фреймы (а фреймы могут хранить в себе несколько семплов, но это уже совсем другая история), в нашем случае по 16 бит (об этом говорят буковки pcm_s16 на скриншотах). Фреймы представляют собой последовательности бит, описывающие амплитуду волны в момент времени для одного или нескольких каналов (в нашем случае – для одного). Частота дискретизации аудио-потока равна 98000 (то есть на одну секунду приходится по 98000 фреймов), на интервал в 0,005 секунд приходится 490 фреймов.
Следовательно, далее работаем по простому алгоритму: считываем по 490 фреймов, определяем, волна это или тишина, и, в зависимости от этого, выставляем бит в 0 или 1.
Воспользуемся python и пакетом wave для парсинга wav-файлов.
Если при открытии файла возникает ошибка «wave.Error: unknown format: 65534», то заменяем «wFormatTag» в заголовке с ‘FE FF’ на ’01 00′:
Итак, открываем файл, обрабатываем по 490 фреймов и высчитываем усредненное значение:
Возможно, что там, где должна быть тишина (сравниваем с картинкой в Audacity), могут оставаться шумы. Поэтому задаем порог (пусть будет 16000), при превышении которого считаем сигнал равным 1.
Затем группируем биты в байты:
Если все сделано правильно, в результате получаем строку «Givemethepassword». Поскольку бот общается кругляшами с применением стеганографии, будет логичным подсунуть ему пароль (а мы его получили вместе с ключом в результате расшифрования) в том же формате.
Для начала составляем аудио-дорожку с паролем. Для этого используем данные, полученные при разборе сообщения от бота: частота дискретизации 98000 Гц; продолжительность сигнала, описывающего каждый бит – 5 мс; частота сигнала, соответствующая битовому значению «1» — как мы видели по графикам, 44100 Гц.
Теперь нам нужно «сгенерировать» тишину. Делаем это занулением:
Для генерации звука будем использовать синусоиду (информацию можно прочитать тут):
Теперь дело за малым: осталось преобразовать пароль в биты, а затем и в звук.
Примечание: Бот использует оригинальную дорожку входного видео, чтобы наложить на нее свое сообщение, как было упомянуто ранее. Поэтому нужно добавить несколько нулевых байт после пароля, чтобы вытрясти из бота целый ключ, а не только его начало (длина ключа составляла 36 байт).
Теперь сформируем готовый WAV-файл:
Сохраняем нашу дорожку, например, в pass.wav. Попутно проверяем нашим стего-декодером, распознается ли пароль. Если все хорошо, то получаем новое видео с паролем из первоначального видео my_video.mp4, заменяя аудио-дорожку:
Теперь надо сделать из этого VideoNote. Можно попробовать поискать работающие (кто-то из участников, например, нашел @TelescopyBot), а можно написать своего бота с помощью TelegramAPI.
Anyway, пересылаем нашему боту:
Получаем новый кругляш и поздравления (еще бы, такую работу проделали!), декодируем по уже отработанному сценарию аудио и получаем ключ: «nq2020SyOMK7SnnJP1sNlvbTs8zt35vUrrsD»
Да уж, не зря стеганография считается одной из самых сложных областей кибербезопасности — попробуй тут догадаться про все эти нюансы! Но участники NeoQUEST продемонстрировали прекрасную сноровку и чувство юмора при выполнении этого задания, так что адресуем им наше (от бота поздравления они уже получили) искреннее восхищение!
Что делать если вам залили ботов и как защититься от спам-юзеров в Телеграме
Все, кто серьезно работает с Телеграмом наверняка слышали или даже сталкивались сами с различными накрутками ботами. Вам могут залить их тысячами на ваш канал, могут налить их на канал, который купил у вас рекламу (чтобы дискредитировать вас), а могут начать ежедневно заливать в ваш чат «горячих девчонок» или какие-нибудь «займы».
Все это может сильно усложнить жизнь админа. К счастью, вместе с такими атаками ботов, появились и боты которые от всего этого защищают. Один из них – Crosser Bot, развитием которого я сейчас руковожу. Кратко расскажу об основных его функциях.
1. Анализ аудитории вашего канала/чата. Кроссер получает список ваших подписчиков и показывает кто из них еще жив и активен, а кто – либо бот, либо перестал пользоваться Телеграмом.
2. Очистка канала/чата. Позволяет удалить ботов и мертвые аккаунты по различным критериям. За счет этого можно снять красную метку в Телеметре или поднять ER.
3. Защита от ботов. Если вам угрожают заливом ботов или делают это периодически, вы можете защититься от этого с помощью функции Guard. Когда она актина Кроссер автоматически будет банить заходящих ботов.
4. Поиск похожих каналов. Покажет каких каналы имеют похожую аудиторию – вполне возможно именно там вам имеет смысл закупать рекламу в первую очередь.
5. Защита от вступления в ваш чат спам-аккаунтов (пользователей с никами «горячие девчонки», «знакомства», «займы» и т.д.). Это вид спама стал особо активен в начале ноября, поэтому мы оперативно добавили в Кроссер защиту от него.
Поскольку именно «горячие девчонки» особенно часто стали атаковать многие чаты, расскажу про эту функцию подробнее. Она абсолютно бесплатная и настраивается за минуту.
1. Для начала нужно добавить @crosser_bot в свой чат, сделать администратором и выдать ему права добавлять других администраторов. Это нужно в связи с лимитами Телеграма – без этого бот не сможет получить информацию о всех участниках чата или канала. У кого-то это вызывает опасение, но вы можете сами загуглить отзывы про Crosser bot и убедиться, что он существует уже давно и добросовестно выполняет свою работу.
2. Затем нужно запустить бота, нажать на кнопку «Аудитория» и скинуть ссылку на ваш чат. После этого вы получите подробный отчет по аудитории вашего канала/чата. В нем можно посмотреть какой процент у вас активных и мертвых пользователей. Все подписчики которые заходили последний раз больше месяца назад либо боты, либо перестали пользоваться Телеграмом. Их можно смело удалять через функцию очистки. Это поднимет ER вашего канала/чата, что важно, если вы собираетесь продавать рекламу.
3. Затем нужно нажать на кнопку «Анти-спам» и «Выключен», чтобы активировать функцию защиты от ботов. Антиспам будет анализировать всех вновь вступивших пользователей и банить юзеров со спамными никами. Обычно они выглядят как-то вот так:
Если же вам на канал наливают или угрожают, что будут наливать тысячи ботов, вы можете воспользоваться функцией Guard.
Кроссер существует более 4 лет и им уже воспользовались тысячи админов для десятков тысяч каналов и чатов. Мы не раз попадали в различные подборки мастхэв ботов, в том числе и тут на vc.ru. Например – подборка 1, подборка 2.
По всем функциям бота есть подробная инструкция, а если остались какие-то вопросы, вы всегда можете задать их нашему саппорту. Базовый функционал бота (в том числе и функцию защиты от спам-пользователей) вы можете попробовать абсолютно бесплатно.
Если есть какие-то вопросы по Кроссеру, можете задать их в комментариях к этому посту.