amorev Jun 5 at 14:34

Как не потерять доступ к Telegram и защититься от взлома

Easy

8 min

6.5K

Information Security*Instant Messaging*

Retrospective

+15

Comments 17

MrSmitix Jun 5 at 15:20

При "входе через Telegram" от вас никогда и никто не попросит номер телефона, код из SMS или облачный пароль. Если у вас просят ввести что угодно из этого списка — вас хотят оставить без вашего драгоценного аккаунта. Механика "входа через" или Oauth построена на следующем механизме:

Настоящий вход через Telegram не требует от вас:– номера телефона

Не совсем верно. Номер телефона как раз таки попросит если вдруг вы не авторизованы в браузере, где открываете страницу авторизации через Telegram. К примеру если перешли по ссылки из нативного приложения

Щас люди начитаются ваших статей и все сайты которые дают возможности войти через ТГ сразу попадут в касту мошеннических. Попробуй им потом докажи

Скрытый текст

А вообще статья хорошая, 8 пункт скорее всего можно автоматизировать через условный pyrogram. Он точно успеет провернуть все операции, и шансов на то что телега среагирует на такое куда больше. Если даже не пытаться косить под настоящее приложение

В ТГ кажется до сих пор не пофиксили "фичу" с тем что если у вас угнали сессию с компа (малварь, или просто папку скопировали), вы об этом даже зайдя в активные сессии никак не узнаете. Будет висеть 1 ваша сессия когда аккаунтом фактически пользуется 2...N человека. При этом и IP и локация будут ваши. Вот вам и защищенный мессенджер. И даже локальный пароль на приложении вам совершенно не поможет ибо он подбирается на раз два через МК Брутфорс FREE от МКО Системы

amorev Jun 5 at 15:43

В том то и прикол, что на вашем скрине вход происходит внутри telegram.org. К этому вопросов нет:) Дальше уже редиректом переходит на страницу сервиса для входа

MrSmitix Jun 5 at 15:59

В вашем тексте нет уточнения про домен, но есть жирным что никто и никогда не попросит номер телефона. Это мы с вами айтишники и всё понимаем, а простые люди возьмут тезисно за правила (если вообще возьмут) и им этого будет достаточно

Я не душню, просто взгляд со стороны

amorev Jun 5 at 15:48

Насчет pyrogram - проблема в том, что входить надо через официальный клиент на телефоне, чтобы смска отправилась. Иначе шлется только код в саму телегу

MrSmitix Jun 5 at 16:02

Да, в pyrogram и форках вроде нет такого метода, но есть в API: https://core.telegram.org/method/auth.sendSms

Возможно кто-то попробует и расскажет. Хорошая идея для простенького, но полезного инструмента

Ну либо можно взять сессию с компа сразу после авторизации, конвертировать в то что переварит pyrogram и быстро из под него сделать всё что нужно. Разумеется всё автоматически, не руками. В любом случае если способ работает и проблема есть - лучше чем ничего

amorev Jun 5 at 16:05

Когда я скриптом помогал, я входил через телефон, потом сразу запускал скрипт, который просит новый код - смотрел его в телефоне, с которого вошел.
Дальше скрипт делал свои дела, если мошенник не успевал выкинуть меня

Tzimie Jun 5 at 21:10

А вот у меня другая проблема. Непонятно почему, эккаунт ограничили. То есть я не могу писать первым. Это очень неудобно. Я регулярно пишу в volunteer support, они сообщения читают, но не отвечают

И нет, я ничего не спамил со своего номера

amorev Jun 5 at 21:22

Увы, но поддержка телеги тот еще отстой. Насчет ограничений слышал ранее, но еще не сталкивался...

gravity Jun 5 at 21:22

На вас несколько раз пожаловались собеседники.

kujoro Jun 5 at 23:52

меня тоже так ограничили, "временное" ограничение оказалось постоянным.

самое забавное что у меня было 7 взаимных контактов с которыми я общался, а так же открытые чаты типа городского, тех поддержки и пару рабочих. Ну а забанили за "спам незнакомым людям" или как-то так, точную цитату не помню т.к прошло уже 3 года, хотя за все время существования аккаунта, он у меня древний, айдишник в районе ста тысяч был, никому не писал первый, и не отвечал в личных сообщениях не контактав, удалял, после появления архива стал кидать туда

Tzimie Jun 6 at 10:02

Вот вот

y_u_h Jun 6 at 07:14

Не нужно цитировать бота, который про это сообщает. Так же ограничили аккаунт. Никому не пишу вообще с него, кроме родни. Но! Накануне писал в паблике одного известного политика своё мнение. И вот на это сообщение, похоже, и напали "недоброжелатели", других вариантов нет. В итоге: кривая формулировка причины, отсутствие способа апелляции, даже не узнать, за что конкретно ограничили. Дня три вроде было пенальти.

ngromyko Jun 7 at 23:02

Попробуй тегнуть Дурова в x

needle_10 Jun 6 at 10:06

Можно немного повозиться с библиотекой telethon на языке программирования Python. Если неправильно настроить вход в аккаунт Telegram, то Telegram сам выкинет все устройста с аккаунта после ввода данных(номер телефона, код и облачный пароль), так как в прошлом telethon без правильной настройки использовался для спама в чатах. Работает не со всеми аккаунтами. С моим основным не работает, а с недавно созданным аккаунтом выкидывает со всех устройств

GiveMeFreeNickName Jun 6 at 22:31

У меня и со старым аккаунтом срабатывало

CodeNameHawk Jun 6 at 12:03

Если мошенник зашел в ваш аккаунт, то у вас есть сутки, чтобы его оттуда выкинуть. Спустя сутки вас выкинет уже он сам и останется хозяином аккаунта. Я сам проверяю список активных устройств примерно раз в два-три дня.

А смысл, если через сутки пока? Самоуспокоение? Надежда на тупого хакера?

Только внимательно следить за добавлением нового устройства или автоматизировать проверку с частотой выше, чем раз в сутки.

rutexd Jun 6 at 17:00

Ответ к теме гораздо менее многословен и не требует отдельной статьи: не качайте всякое говно, не вводите неизвестные коды куда не надо и пользуйтесь банально головой. И ставьте длинные пароли.

На этом статью можно было бы закончить.