Мессенджеры *

Мир устроен так, что самые опасные угрозы обычно скрываются там, где их меньше всего ожидают. Мы в ИБ привыкли к фишинговым письмам и вирусам, но редко думаем, что обычная картинка в мессенджере может превратиться в инструмент шпионажа. Именно поэтому мы решили рассказать о громкой уязвимости PT-2025-34177 (CVE-2025-43300) – zero-day, которая, говоря простыми словами, позволяет злоумышленнику совершить атаку через вредоносную картинку, открытую пользователем на своем устройстве. И на этом примере показать, почему безопасность разработки — это не абстрактная теория, а жизненно важная практика для бизнеса, разработчиков, обычных пользователей и нас самих. Да-да, мошенники пишут даже сотрудникам службы ИБ, и картинки тоже отправляют.

В любой компании почта работает как электричество — пока она есть, никто не обращает на неё внимания… до тех пор, пока однажды не отключится.

Сначала это легкие «подёргивания» — задержки доставки, странные сбои в архивации, обновления сервера, которые превращаются в игру «угадай, что сломалось».

ИТ-служба всё чаще тратит время не на развитие, а на латание дыр. И в какой-то момент мысль о переезде в облако перестаёт быть «на будущее» — она становится планом.

Миграция корпоративной почты — вмешательство в жизненно важную систему компании, где ошибка может парализовать коммуникации. Если проводить аналогии, то это нечто среднее между трансплантацией сердца и заменой всей нервной системы.

На что обратить внимание, как подойти к задаче — подробно расскажем на вебинаре 10 сентября и в нашем сегодняшнем материале. Статью подготовили Роман Овчинников, Product Owner Офис MWS, и Станислав Старовойтов, Product Owner Корпоративная почта MWS.

Нам каждый раз рассказывают про то, что если подключиться к публичному Wi-Fi, то может случиться что-то ужасное. А, собственно, что? 

• Трафик перехватят;
• Пароли утекут;
• Смартфон будет взломан;
• Установят какой-то мессенджер без вашего согласия.

Причем транслируют инструкции «не пользоваться публичными/открытыми Wi-Fi» множество ИБ-компаний, включая вполне именитых экспертов. Но, кажется, это карго-культ 2015 года, и давайте попробуем разобраться, почему и как так вышло!

Дисклеймер! В статье умышленно рассматривается самый частый сценарий — подключение к Wi-Fi смартфона обычного человека. А не того, кто находится в розыске ФСБ/ФБР/Интерпола. Подключение ноутбука же ныне значительно более редкий и очень детерминированный сценарий, ведь выстрелить себе в ногу с небезопасной настройкой ноута значительно проще, особенно если ты из IT.

Итак, обычный человек, обычный современный смартфон. Поехали?

В свете небезызвестных событий в законотворческой области, столкнулся с необходимостью организовать канал для звонков внутри семьи, т.к. пользоваться звонками в популярных мессенджерах – значит быть подверженным угрозам со стороны мошенников и спонсировать терроризм, а звонить по мобильной сети с ее ужасным качеством связи (несмотря на все потуги операторов в VoLTE и прочие VoiceHD)  в 2025 году – какой-то моветон. А MAX на мои устройства устанавливаться отказался, не знаю почему, я даже не пробовал. Может быть потому что я слишком мало времени провожу в лифте и на парковке?

Что из этого получилось и как повторить — готов поделиться.

Не знаешь где брать подписчиков в Телеграм и как это вообще работает? Я искал недорогих подписчиков и протестировал несколько сервисов и подходво. Разобрался как они работают, для чего использовать. Ещё нашёл способы, которые вообще лучше не трогать. Всё, чтобы вам не пришлось это делать. 

Расскажу сколько сейчас стоят живые подписчики, боты и мотивированные подписчики. Всё со скринами и примерами. Статья для новичков или чуть более опытных. Если что-то забыл буду рад, если расскажете. 

В статье расскажу, как за несколько минут проверить тг-канал и понять, стоит ли покупать там рекламу или таргетиться на него в Telegram Ads. Если вы планируете запустить личный блог про IT, раскрутить pet-проект или сделать свой новостной канал про ИИ, эта инструкция поможет выбрать площадки с живой аудиторией и не попасть на накрученные каналы. 

Привет, Хабр! Сегодня покажем, как буквально за пару вечеров собрать систему, которая расшифровывает звонки, анализирует речь операторов и присылает руководителю отчёт в Telegram.

Например, в кол-центре с 15 операторами такая сводка поможет руководителю быстро понять, кто перегружен, где чаще звучит негатив, а кто просто слишком много говорит. Не надо слушать записи — отчёт сам всё рассказывает.

📊 Отчёт за 19 июля
🎧 Оператор дня: Иван Иванов (emotionScore: 0.42)
🥵 Больше всего негатива: Юлия Тестова (33%)
🗣️ Средняя скорость речи: 132 слов/мин
🤯 Самый «говорящий»: Андрей Максимов (74% времени)
🚨 Перебиваний в среднем: 2,7 на звонок

В статье рассказываем, как всего за 5 дней собрать современный омниканальный контакт‑центр для фитнес‑клуба на базе open‑source‑платформы Chatwoot и подключить к нему WhatsApp, Telegram и VK с помощью самописных шлюзов на Python (Wasender, Telethon, VK API). Вы узнаете, почему мы отказались от «коробочных» SaaS‑решений, автоматизировали до 84% рутинных сценариев (поздравления, записи, напоминания) и подготовили инфраструктуру под внедрение AI‑ассистентов и аналитики SLA. Приводим архитектурные схемы, технические детали и бизнес‑выгоды — от сокращения ручной работы до сохранения всех коммуникаций с клиентами в едином окне.

Шалом алейкум, Хабр! В интересное время живём. Наши «любимые» ведомства делают всё, чтобы общение стало максимально «доступным» — но исключительно в тех местах, где удобнее контролировать. Пока уголовной статьи за дискредитацию этих усилий нет, напишу этот пост.

А если без шуток — блокировка звонков в Telegram и WhatsApp резко сделала актуальным вопрос: где теперь созваниваться? Мы привыкли решать рабочие дела в телеге или вотсапе, а теперь приходится крутиться. Меня лично накрыло вчера: Google Meet внезапно отвалился, и урок английского сорвался.

Поэтому собрал небольшой топ сервисов, где звонить можно без VPN и танцев с бубном. Ниже — список, проверенный на себе и коллегах. В конце бонус — варианты связи для родителей и бабушек.

Большинство гайдов по Telegram Ads учат нажимать на кнопки.

Эта статья учит строить систему.

Мы разберем платформу с инженерной точки зрения: от экономики аукциона и неочевидных механик таргетинга до проектирования отказоустойчивой системы трекинга на базе Telegram Deep Links с примерами на Python.

Я покажу, как мы строим data-driven подход, который позволяет отсекать до 90% неконверсионного трафика, снижать CAC в разы и принимать решения на основе данных, а не интуиции.

Это самый полный технический мануал по Telegram Ads в рунете.

Привет, Хабр!

Сегодня в сети есть много дискуссий о мессенджере Макс. Недавно я наткнулся на один пост в гитхабе с анализом Android-приложения, где приводятся страшные выводы о слежке за пользователями. Поскольку интерес к этому вопросу лично у меня велик, я решил разобрать важный файл приложения — его AndroidManifest.xml — и проверить факты. 

Сам по себе AndroidManifest.xml — это своеобразный декларативный контракт приложения с Android: в нем зашиты его идентичность, модель доступа, поверхность атаки, аппаратные и сетевые зависимости, а также внешние взаимодействия. По одному этому файлу уже видно, к каким данным приложение может проситься, что оно имеет право делать в фоне, какие входные точки открыты наружу и под какие правила безопасности платформы оно подпадает. Манифест задает границы возможностей и рисков, а код и выданные пользователем разрешения решают, воспользуется ли приложение этими возможностями.

Всем привет!

Я, на свой страх и риск, решил установить себе MAX и посмотреть, а что же происходит после установки? По итогам моего исследования будет минимум 2 статьи.

Это - первая статья. В ней я сравню разрешения, которые запрашивает приложение MAX для Android с разрешениями, которые запрашивают Telegram и WhatsApp.

Привет! Это Камиль Камалетдинов и Егор Григорьев, специалисты Angara SOC. Мы обнаружили и изучили вредоносное ПО, которое злоумышленники распространяют в тематических группах, посвященных поиску пропавших в зоне СВО.

По подсчетам экспертов Отдела защиты бренда Angara SOC, на 43% каналов, посвященных поиску пропавших в зоне СВО, распространяются APK-файлы, содержащие вредоносное ПО.

С начала 2025 года в мессенджереTelegram все чаще стали появляться тематические группы с названиями «Поиск пропавших на СВО», «Пропавшие без вести СВО», созданные для помощи родственникам и волонтерам. Этим воспользовались злоумышленники, которые быстро придумали новую схему обмана пользователей.

Мошенники создают каналы с похожими названиями. На первый взгляд, такие ресурсы выглядят как каналы для помощи в поиске пропавших людей или как обычные информационные сообщества. В группах публикуются новостные посты о ходе СВО и списки пропавших военнослужащих в виде фотографий, PDF-и Excel-файлов с фамилиями и данными пропавших.

Но спустя некоторое время в этих же группах начинают появляться APK-файлы с названиями: «Списки действующих бойцов», «Список СВО», «Список погибших», «Список пленных». Также в группах могут публиковаться ссылки для скачивания этих файлов. Данные файлы, как утверждают авторы, содержат «расширенные списки» или «приложение с интерактивным поиском пропавших людей». Как правило, данные сообщения сопровождаются отзывами о работоспособности данного «приложения».

Такие удобные и понятные Lync, Teams, Slack, Jabber. Но каждый день эти привычные значки на наших экранах рискуют превратиться в тыкву. Плюс угрозы информационной безопасности и сохранности рабочей информации. По-хорошему, принимать решении о миграции на доступные платформы, нужно было еще вчера. Или хотя бы понимать куда мигрировать, когда наступит день Х. Для тех, кто этого еще не сделал – наш обзор. 

В статье мы собрали качественные и доступные в России корпоративные мессенджеры, которые могут стать достойной заменой западным платформам. Рассмотрим, какие мессенджеры подходят для разных сценариев использования и приведем сравнительные таблицы с характеристиками вендоров. Под катом – 30+ вендоров и наши рекомендации по выбору и внедрению. 

После начала Специальной Военной Операции многие западные компании объявили о прекращении своей деятельности в России и Белоруссии и некоторые из них стали блокировать пользователям с российскими и белорусскими IP-адресами доступ на свои ресурсы в сети Интернет. Яркими примерами таких блокировок являются сайты: intel.com, dell.com, chatgpt.com, community.cisco.com, mongodb.com, tenable.com, wiki.zimbra.com, releases.hashicorp.com, registry.terraform.io, vagrantcloud.com, solarwinds.com и множество других.

Такие блокировки мешают IT-специалистам из России и Белоруссии получать доступ к актуальной информации и программному обеспечению необходимому для обучения и работы. Препятствуют получению актуальных релизов программных продуктов и критических обновлений безопасности, что в условиях участившихся хакерских атак стало особенно важным.

Также, в качестве упражнений для ума, можно поизучать вопросы о допустимости дискриминации по национальному признаку и принципе сетевой нейтральности.

В этой статье будет рассказано о том, как сконфигурировать роутеры марки Keenetic (возможно и других марок, поддерживающих установку пакетов из репозитория Entware) для развертывания на них программного пакета обеспечивающего расширенное управление маршрутизацией. Будет приведена инструкция как установить на роутер Telegram-бота для быстрого и удобного управления маршрутизацией трафика.

В это статье НЕ БУДЕТ инструкций о том откуда взять работающий VPN и НЕ БУДЕТ инструкций о том как обходить блокировки Роскомнадзора. Обсуждать это в комментариях к статье тоже НЕ НУЖНО.

Моя статья посвящена изучению современных инструментов и технологий и объясняет то как получить доступ к легальным сайтам, доступ к которым изнутри страны не ограничен и которые самостоятельно закрыли доступ для пользователей из России и Белоруссии.

Отдельно хочу заметить, что я регулярно вычитываю законы которые затрагивают мои права, свободы и законные интересы и не собираюсь давать Роскомнадзору правовых оснований для скрытия этой статьи из публичного доступа. Конечно, я не могу исключать попыток Роскомнадзора скрыть мою статью путём расширенного толкования действующих законов, либо превышения должностных полномочий и выходом за пределы правового поля. Однако надеюсь что и в этом случае у меня хватит знаний и опыта для юридической защиты моей публикации.

Продолжая чтение настоящей статьи вы полностью соглашаетесь с тем что всеми полученными знаниями, технологиями и программными продуктами следует распоряжаться добросовестно и разумно, не планируете нарушать действующее законодательство и собираетесь получать доступ только к ресурсам, использование которых не запрещено в стране вашего пребывания.

Если вы не согласны хоть с чем-то из вышеописанного - вам следует немедленно прекратить чтение настоящей статьи.

В свете сами знаете чего, свой приватный мессенджер и возможность звонков на XMPP стали как никогда актуальны.

Есть быстрый и простой способ: за несколько минут вы поднимаете собственный Jabber-сервер. Дальше — дело техники: рассылаете приглашения маме, бабушке, теще, жене и соседке Даше. После этого можно спокойно звонить и переписываться в защищённом мессенджере, который полностью под вашим контролем.

Звонки идут в зашифрованном режиме, работают p2p. А если у собеседника хитрый NAT, то на помощь автоматически приходит встроенный STUN-сервер.

Клиенты есть под все платформы: Android, iOS, Windows, macOS и Linux.

15 августа 2025 года Telegram выпустил обновление Bot API 9.2. Если прошлые версии (9.0 и 9.1) в основном усиливали возможности ботов в работе с платным контентом, подарками и чек-листами, то 9.2 делает шаг в сторону более тесной интеграции ботов с каналами и их экосистемой.

В этом релизе добавили поддержку прямых сообщений в каналах, инструменты работы с рекомендуемыми постами, расширили систему чек-листов и доработали механику подарков. Давай разберём, что это значит для разработчиков и администраторов сообществ.

Продвижение privacy-инструментов — это всегда хождение по лезвию ножа. Прямая реклама почти невозможна, а цена привлечения клиента (CAC) из классических каналов ломает любую юнит-экономику. Мы взялись за проект, где CAC уже был на грани рентабельности. Вместо конкуренции в перегретых аукционах, мы пошли в Telegram Ads с неочевидной стратегией — сфокусировались на рекламе внутри ботов. В этой статье я подробно, с цифрами и разбором ошибок, расскажу, как мы построили data-driven подход, который позволил отсечь 90% неконверсионного трафика, снизить CAC в 4 раза и получить 25 954 целевых подписчика по 27 рублей.

Операторы «большой четверки» — МТС, «МегаФон», «Билайн» и Tele2 — попросили запретить звонки в иностранных мессенджерах. Они объяснили это тем, что им «не хватает средств для поддержания инфраструктуры». 

На той неделе это действительно произошло — власти заблокировали звонки в Ватсап и Телеграм. Это самые популярные мессенджеры для звонков близким. РКН объясняет это борьбой с преступниками.

Мы собрали список альтернатив, которые могут заменить звонки через Ватсап и Телеграм — от простых «позвонить бабушке» до сервисов с более широким функционалом, например, для видеозвонков с коллегами.
Здесь нет сложных решений вроде «разверните свой сервер на Docker». Только понятные инструменты, которыми можно пользоваться без VPN.

P.S. Почтовые голуби в список не попали, хотя этот вариант становится все актуальнее.

Если Вы когда-либо разрабатывали Telegram-бота, Вы наверняка знаете, что такое callback_data. Если нет, вкратце, это произвольная строка, которая привязывается к кнопкам в чате, при помощи которой на бэкенде Вы определяете, какая именно кнопка была нажата.

Когда Ваш бот масштабируется, скорее всего управление значениями callback_data превращается в «кашу». По крайней мере, так произошло у меня. Поэтому сегодня я хочу поделиться с Вами практикой по организации этой всей «каши» в красивый и органичный код.