mrMazai Sep 1 2024 at 13:14

Новая схема по угону имен Телеграм-ботов и юзернеймов

Easy

3 min

24K

Information Security*

Reportage

+44

Comments 20

Squoworode Sep 1 2024 at 14:24

Он предложил купить домен одного из моих ботов

Из текста статьи похоже, что предложил он продать

mrMazai Sep 1 2024 at 14:37

Поправил, спасибо!

rombell Sep 15 2024 at 16:45

В русском языке, к сожалению, эти конструкции эквивалентны. Обе могут применяться как в смысле "я хочу купить ваш аккаунт", так и в смысле "я предлагаю вам купить мой аккаунт". Поэтому фраза не требовала исправления, направление указано однозначно

dartraiden Sep 1 2024 at 14:53

По правилам Телеграм, отказавшись от имени пользователя, его владелец в течении 15-30 минут (по разным данным), имеет первостепенное право на его восстановление (другие пользователи не видят имя как свободное в течении этого времени). Оказалось, что к ботам это не относится

Похоже, что к каналам тоже не относится. Несколько раз удавалось подловить момент, когда владельцы каналов делали каналы непубличными или меняли имя (не из-за фишинга, я с ними не общался, просто случайно натыкался в этот момент), и тут прежнее имя можно перехватить. Но какой из этого можно извлечь профит, я не придумал. Разве что, вымогать деньги за возврат имени (слишком примитивно). Забрать себе подписчиков не выйдет, они остаются привязанными к каналу, а не к имени.

mrMazai Sep 1 2024 at 15:07

Да, в ботах подписчики тоже не передаются и могут повторно активировать только по ссылке или через повторный старт, т.е. бот сам не напишет. Профита особого нет, выходит, только шантаж или перепродажа. Но, перепродать надо тоже суметь, многим проще похожее имя занять, чем платить, а деньги в раскрутку пустить.

d2d8 Sep 2 2024 at 01:20

Профит есть, т.к. старое имя бота может встречаться как у вас так и в других местах, и теперь этот трафик пойдет новому владельцу.

MountainGoat Sep 1 2024 at 15:36

кривой язык, иероглифы, имя «Бог людей» на китайском и т.д. указывает, что мошенники скорее всего из Китая

— Ватсон, хотите поупражняться в дедукции? Что вы видите над нами?
— Ночное небо, звёзды, Луна.
— Совершенно верно. Какие вы можете сделать выводы?
— Завтра будет хорошая погода?
— А мне это говорит, что у нас украли палатку.

Понятно, что в век гуглопереводчиков не нужно быть китайцем, чтобы написать ник 螃蟹使狮子受精 но зачем тогда вообще об этом говорить?

mrMazai Sep 1 2024 at 17:08

=) Справедливо! Палатку украли! Я хотел посмотреть как ее будут воровать, чтобы понять схему и посмотрел. И описал. Надеюсь, этот эксперимент будет полезен людям именно как опыт. Если честно, я надеялся, что успею перекинуть имя раньше чем он перекинет его на себя и увидеть что будет дальше (я давно в бизнесе и ни разу не верю в предложения на 200к, сходу, за спорный юзернейм. Как минимум, при заинтересованности, предложат 5к и будут повышать). Но он оказался более ловким. Опять же, уверен, что его задача была дернуть мой юзернейм и юзернейм бота. Своим я не стал рисковать, а бота был готов потерять

Advisory Sep 1 2024 at 23:06

Я правильно из статьи понял, что у вас хотели "купить" одно имя, а в итоге угнали другое?

Ratenti Sep 2 2024 at 06:30

Неправильно

Razkrimaka Sep 2 2024 at 11:58

Судя по тексту - нет. Угнали то, за которым охотились. Автор, считая, что проверил всё на левом аккаунте, не учёл, что правило "30 минут вы имеете приоритет на имя" - не относится к именам ботов. Насколько я понял, именно это и является уязвимостью, о которой известно злоумышленнику и именно этому поучает статья.

mrMazai Sep 2 2024 at 11:58

Да, совершенно верно!

keemail Sep 2 2024 at 11:58

теперт ты всё знаешь про китайцев

V-core Sep 1 2024 at 22:46

Добавлю про мошенников

Пытаюстся "купить" номера через фейк fragment bot

mrMazai Sep 2 2024 at 11:58

Добавил способ в статью. Спасибо!

H2oker Sep 1 2024 at 23:29

Да, тоже недавно постучались, просили продать анонимный номер, типа он очень нужен так как совпадает с основным, который у человека якобы на телефоне. Сначала повелся, потом включил голову и стал проверять. Подсовывают страницу от фрагмента, в котором заменено всего одно поле со ссылкой на смартконтракт. Остальное типа от настоящего фрагмента, если попытаться открыть что-либо кроме Accept, то попадаешь на оригинальный Фрагмент, если нажать на Accept, то активируется подписание левого смартконтракта и кидает для подписи на приложение кошелька. Используют боты с именами максимально похожими на оригинальный Fragment 'овский.

Будьте аккуратны с мошенниками, не ведитесь на сладкие уговоры.

Если предлагают купить, сами создавайте продажу через платформу Fragment. Не кликайте по ссылкам, которые вам присылают, типа это оффер.

Wesha Sep 2 2024 at 06:16

"Если предложение выглядит too good to be true (идома: чересчур заманчимым, дословно "слишком хорошим, чтобы быть правдой"), то так оно и есть)

mrMazai Sep 2 2024 at 11:55

Вот я тоже думал, что будет похожая схема, думал начнет присылать инструкции, ссылки. А оказалось просто простукивалка с юзербота. Ну и думаю, что юзернейм пользовательский тоже пытались угнать, но не хотел им рисковать и не стал в эту сторону экспериментировать

mrMazai Sep 2 2024 at 11:57

Добавил описание с подменой полей в статью. Спасибо!

mrMazai Dec 20 2024 at 13:41

Угонщик вернул имя через почти 4 месяца. Вопросов больше чем ответов... Написал продолжение статьи https://habr.com/ru/articles/868346/