Несколько дней назад ко мне в личку постучался товарищ c аккаунта @GreatChinas с ID: 6778690281 и именем 人民之神
Он предложил продать ему домен одного из моих ботов @krymbot за 300 TON (сейчас около 150000₽, на момент обращения около 200000₽).
Обычно, владелец бота не виден, но у меня все боты выводят сообщение о том, что бот в разработке и факт обращения меня не удивил. Отсутствие прелюдий, торга и вопросов сразу подсказало мне, что это мошенник и я решил посмотреть на схему, т.к. планов по использованию имени не было.
Мошенник предложил провести сделку через Fragment, хотя я знаю, что там продаются только имена каналов и пользователей, но не ботов. Проверил — действительно, боты там не продаются. Решил продолжить разговор, чтобы понять его следующую тактику. Когда я сказал, что не могу выставить бот на продажу, он сказал «можно, другие делают», но инструкции не присылает. Удивил на этом моменте.
Затем он сказал: «Кто-то сказал мне, что робот должен заменить ваше имя пользователя, а затем оно появится перед вами, и вы сможете установить цену», ага, уже интересней, надо имена менять местами, это уязвимость, по такой схеме в ВК уводили домены групп. Еще раз уточнил и получил ответ, что нужно перекинуть имя бота на имя пользователя. Т.к. имена владельцев ботов не видны, я предположил, что целью является не домен бота, а мое имя пользователя которое потом будут использовать для вымогательства и фишинга. Кстати, я не знал, что имя пользователя может оканчиваться на «Bot», но попробовав изменить юзернейм на одном из аккаунтов убедился, что это реально. Решил подстраховаться и идти дальше. Не хотелось быть обманутым, поэтому я решил делать все на третьем аккаунте, про который мошенник не знает, да и если знает, я им не пользуюсь и имя не представляет для меня ценности. По правилам Телеграм, отказавшись от имени пользователя, его владелец в течении 15-30 минут (по разным данным), имеет первостепенное право на его восстановление (другие пользователи не видят имя как свободное в течении этого времени). Оказалось, что к ботам это не относится, сразу после удаления бота доменное имя бота стало занято и его невозможно стало применить ни как имя пользователя, ни зарегистрировать бота на аккаунте владельца.
Спросил у мошенника «Я все сделал и ты забрал имя себе в этот момент, когда я удалил бота. Когда ты пришлешь деньги?», пока тишина в ответ. Написал жалобу на имя бота, но вряд-ли ее удовлетворят, т.к. формально я сам удалил бота и другой пользователь его зарегистрировал после удаления.
Выводы
Кривой язык, иероглифы, имя «Бог людей» на китайском и т.д. указывает, что мошенники скорее всего из Китая или полностью работает юзербот;
Схема рабочая, запросы на атакуемое имя идут постоянно;
Основная цель — увести имя бота;
Под угрозой могут быть как имя бота, так и имя пользователя.
Имя владельца бота скрыто, поэтому подготовка атаки требует усилий.
Изменение username бота через Telegram API невозможно, и атакующему приходится использовать userbot API, что повышает риск блокировки.
Эта информация предоставлена для обеспечения безопасности пользователей и предотвращения мошенничества с именами Телеграм-ботов и пользователей. Пожалуйста, распространяйте, чтобы другие могли избежать подобных атак.
UPD: В комментариях еще два варианта прислали:
1) Пытаются "купить" номера через фейк fragment bot
2) Подсовывают страницу от фрагмента, в котором заменено всего одно поле со ссылкой на смартконтракт. Остальное типа от настоящего фрагмента, если попытаться открыть что-либо кроме Accept, то попадаешь на оригинальный Фрагмент, если нажать на Accept, то активируется подписание левого смартконтракта и кидает для подписи на приложение кошелька. Используют боты с именами максимально похожими на оригинальный Fragment 'овский.
