Опасны ли боты в телеграм
Все, кто серьезно работает с Телеграмом наверняка слышали или даже сталкивались сами с различными накрутками ботами. Вам могут залить их тысячами на ваш канал, могут налить их на канал, который купил у вас рекламу (чтобы дискредитировать вас), а могут начать ежедневно заливать в ваш чат «горячих девчонок» или какие-нибудь «займы».
Все это может сильно усложнить жизнь админа. К счастью, вместе с такими атаками ботов, появились и боты которые от всего этого защищают. Один из них – Crosser Bot, развитием которого я сейчас руковожу. Кратко расскажу об основных его функциях.
1. Анализ аудитории вашего канала/чата. Кроссер получает список ваших подписчиков и показывает кто из них еще жив и активен, а кто – либо бот, либо перестал пользоваться Телеграмом.
2. Очистка канала/чата. Позволяет удалить ботов и мертвые аккаунты по различным критериям. За счет этого можно снять красную метку в Телеметре или поднять ER.
3. Защита от ботов. Если вам угрожают заливом ботов или делают это периодически, вы можете защититься от этого с помощью функции Guard. Когда она актина Кроссер автоматически будет банить заходящих ботов.
4. Поиск похожих каналов. Покажет каких каналы имеют похожую аудиторию – вполне возможно именно там вам имеет смысл закупать рекламу в первую очередь.
5. Защита от вступления в ваш чат спам-аккаунтов (пользователей с никами «горячие девчонки», «знакомства», «займы» и т.д.). Это вид спама стал особо активен в начале ноября, поэтому мы оперативно добавили в Кроссер защиту от него.
Поскольку именно «горячие девчонки» особенно часто стали атаковать многие чаты, расскажу про эту функцию подробнее. Она абсолютно бесплатная и настраивается за минуту.
1. Для начала нужно добавить @crosser_bot в свой чат, сделать администратором и выдать ему права добавлять других администраторов. Это нужно в связи с лимитами Телеграма – без этого бот не сможет получить информацию о всех участниках чата или канала. У кого-то это вызывает опасение, но вы можете сами загуглить отзывы про Crosser bot и убедиться, что он существует уже давно и добросовестно выполняет свою работу.
2. Затем нужно запустить бота, нажать на кнопку «Аудитория» и скинуть ссылку на ваш чат. После этого вы получите подробный отчет по аудитории вашего канала/чата. В нем можно посмотреть какой процент у вас активных и мертвых пользователей. Все подписчики которые заходили последний раз больше месяца назад либо боты, либо перестали пользоваться Телеграмом. Их можно смело удалять через функцию очистки. Это поднимет ER вашего канала/чата, что важно, если вы собираетесь продавать рекламу.
3. Затем нужно нажать на кнопку «Анти-спам» и «Выключен», чтобы активировать функцию защиты от ботов. Антиспам будет анализировать всех вновь вступивших пользователей и банить юзеров со спамными никами. Обычно они выглядят как-то вот так:
Если же вам на канал наливают или угрожают, что будут наливать тысячи ботов, вы можете воспользоваться функцией Guard.
По всем функциям бота есть подробная инструкция, а если остались какие-то вопросы, вы всегда можете задать их нашему саппорту. Базовый функционал бота (в том числе и функцию защиты от спам-пользователей) вы можете попробовать абсолютно бесплатно.
Если есть какие-то вопросы по Кроссеру, можете задать их в комментариях к этому посту.
Как работают боты
Боты — это обычные программы, которые пишут разработчики, объяснил «360» эксперт компании «Доктор Веб» Илья Куркин. Сейчас стало популярным использовать серверы мессенджера Telegram для коммуникации с пользователем — приложение уже знакомо человеку. Для создания ботов используется специальный интерфейс — bot API.
За начинку, то есть за весь функционал бота, отвечают его авторы, а не команда мессенджера. Цели создания ботов могут быть разными. Они могут, например, помочь людям найти соседей по адресу и жилье, уютные заведения неподалеку или интересное кино под ваши вкусы. А могут обмануть — через вымогательство или продажу незаконно полученных сведений.
Подбирать информацию из открытых источников или собственных баз данных боты могут благодаря сведениям, которые пользователь предоставляет сам. Например, если вы хотите найти квартиру в своем районе, придется рассказать боту, какие станции метро вас интересуют, какой метраж квартиры, какие условия — вроде возможности жить с домашним животным. Если же вы хотите найти интересный фильм, нужно будет назвать жанры, режиссеров или актеров, которые вам нравятся. Но личную информацию ботам лучше не сообщать.
«Администраторы ботов имеют доступ к данным, которые пользователи отправляют этим самым ботам. Поэтому не стоит отправлять важную и секретную информацию первому попавшемуся боту — ее легко прочитают его хозяева», — предупредил Илья Куркин.
Боты-мошенники
Если бот запрашивает у вас личную информацию (например, не только спрашивает, как к вам обращаться, но и просит назвать адрес, паспортные данные, логины и пароли от какого-либо аккаунта или номер карты), стоит задуматься, не мошеннический ли это сервис. Подобными данными нельзя делиться.
Распространены схемы с заманиванием потенциальных жертв на мошеннические и вредоносные сайты. Например, для получения некоего приза, покупки дорогостоящей техники со скидкой. Кроме того, мошенники могут представляться сотрудниками кредитных организаций и сообщать о взломе с последующим приглашением на поддельный сайт банка
Поэтому нужно особенно внимательно следить за ссылками, по которым вы переходите из ботов, мессенджеров и других непроверенных источников. Обязательно проверяйте доменные имена, ведь чаще всего мошенники создают сайты с тем же дизайном и созвучным названием в адресной строке.
Куркин добавил, что существуют целые вредоносные программы — трояны, которые используют Telegram-ботов для передачи похищаемой ими информации на сторону.
Причем избавиться от такой проблемы сложно — просто удалить приложение недостаточно. Также распространенной схемой мошенничества именно в Telegram является предложение купить доступ к каким-либо приватным каналам за деньги. На такие провокации вестись не стоит.
Нелегальные боты
Адвокат Московской коллегии адвокатов «Аронов и партнеры» Евгений Розенблат объяснил «360», что универсального ответа о законности или незаконности создания и тем более использования таких ботов нет. Каждый случай нужно рассматривать отдельно.
«Если тебе предоставили какую-то информацию, использование или распространение которой противоречит действующему законодательству, будет нарушение. Может быть много вариантов: нарушение коммерческой тайны, государственной тайны, закона о персональных данных и так далее», — сказал он.
Главное — смотреть, какую именно информацию предоставляет бот, а также откуда он ее взял. Например, на странице временно заблокированного бота «Глаз Бога» есть список источников информации, среди которых не только социальные сети и приложения типа Avito, где многие люди оставляют свои контакты и другие данные, не задумываясь об этом, но и Центр раскрытия корпоративной информации, банковские приложения и сотовые операторы.
Если информация является общедоступной, то получение согласия на ее обработку не требуется с точки зрения закона о персональных данных. Но если это биллинги от авиакомпаний и прочее, что не находится в общем доступе, [но может продаваться в Telegram-ботах], приобретение такой информации полностью корректным быть не может
Евгений Розенблат адвокат Московской коллегии адвокатов «Аронов и партнеры».«И тот, кто распространяет такую информацию за деньги, точно будет нести ответственность, потому что это информация ограниченного пользования», — добавил адвокат.
При этом получение информации из слитых баз банков и других учреждений тоже может оказаться спорным для пользователя, даже если он сам к ее краже не причастен. Его могут привлечь к ответственности, если использование информации нанесет кому-то ущерб — как материальный, так и репутационный.
Что ты знаешь о геочатах в Telegram? А сможешь различить стеганографию в VideoNote (в народе — кругляши)? Разбираем то самое задание NeoQUEST-2020, которое вызвало больше всего вопросов и восклицаний на наш support! Спойлер: да-да, и здесь тоже будет немного крипты :)
В легенде NeoQUEST-2020 обнаруживаем ссылку на профиль путешествующего робота в Инстаграм. Ничего необычного, верно? Вот и мы тоже так решили, но решать задание все же надо, поэтому внимательно рассматриваем все картинки в профиле и ищем хоть какие-то подсказки. Немного медитации над красивой картинкой озера Байкал, и к нам приходит осознание, что зацепка находится именно в последнем посте:
Благодаря картинке понимаем, что нужно как-то связать Байкал (Shaman Rock) и Telegram («U can join my. » — ничего не напоминает?). Сначала мы решили не давать участникам прямого намека на геочат (а ведь это именно он!), и многие из них успешно справились с задачей, воспользовавшись эмулятором или мобильным устройством с возможностью смены геопозиции. Шаманим Задаем координаты (53.20074, 107.349426) (можно на глаз) в районе скалы Шаманки и готовимся к самому сложному — ожиданию. Телеграм странно работает с геопозицией и подтягивает соответствующие контакты и чаты в течение часа. За наше старание и терпение нам воздается сполна — искомый чат появляется в разделе Контакты ->Найти людей рядом -> Группы рядом.
Вуаля, мы в деле!
Бот встречает нас задачкой в виде файлика some.bytes с неопознанным содержимым, в котором можем прочитать строки «Decrypt me» и «Apocalypse Spares Nobody».
Первую строчку мы понимаем без всяких проблем, но вот что же означает вторая. Здесь участники поделились на два лагеря: одни писали нам на почту, так как попали в тупик, а другие внимательно вгляделись в словосочетание «Apocalypse Spares Nobody» и разглядели что? Верно! Старый-добрый формат ASN.1 (здесь мы уже писали о том, как его парсить).
Давайте разбираться. Внутри находятся 2 структуры. В одной мы находим набор байтов с пометкой «Decrypt me», из чего предполагаем, что это шифртекст. Во второй структуре видим два числа. Вряд ли это ключ, щедро подаренный участником вместе с шифртекстом, значит, скорее всего. имеем дело с открытым ключом. Вся собранная информация приводит нас к очевидному выводу — почему бы не попробовать RSA?
Итак, перед нами модуль и открытый показатель, который, к слову, достаточно большой. После судорожного изучения RSA недолгих раздумий приходим к выводу, что закрытый показатель мал, а это значит что? Бинго! Мы определенно можем поиграть в «плохишей» и применить атаку Винера.
Мы все продумали даже для тех, кто не любит криптографию — можно было воспользоваться готовым вариантом реализации атаки, например, этим.
Дальше мы получаем значение закрытого показателя d=40553818206320299896275948250950248823966726834704013657854904761789429403771 и расшифровываем шифртекст: key=nq2020faAeFeGUCBjYf7UDrH9FapFCdFPa4u;pass=passCxws3jzYhp0HD5Fy84 .
Получаем ключ «nq2020faAeFeGUCBjYf7UDrH9FapFCdFPa4u» к первой части задания и пароль «passCxws3jzYhp0HD5Fy84», который нужно скормить бот-представителю. Его можно найти среди участников чата под именем @neoquestbot.
Находясь на волне позитива от получения первого ключа, мы не сразу осознаем, что бот привередлив в общении и все время говорит, что не видит собеседника:
Кажется, что и видео, и звук те же самые, но это только на первый взгляд. А вдруг наш бот подает нам какие-то тайные знаки? Для выяснения этого сохраним и сравним оригинальное видео с ответом бота. Для этого и для последующих шагов нам отлично подходит пакет FFmpeg. Итак, посмотрим, что тут есть:
Формат aac -> flac, частота 44100 Гц -> 98000 Гц. Это выяснили, продолжаем дальше работать с аудио.
Ловким движением рук вытаскиваем его из видео:
Сразу в глаза бросается скачок амплитуды в аудио-ответе бота (особенно странно, если мы вообще молчали). При более близком рассмотрении заметим четкие границы интервалов при чередовании «волна-тишина»:
Предлагаем отложить в сторону все дела и немного посчитать. Анализируем по фрагментам:
0 — 0,005 – тишина
0,005 – 0,01 – волна
0, 01 – 0,0225 – тишина
0,025 – 0,04 – волна
0,04 – 0,045 – тишина
Самый маленький интервал – 0,005, и при этом все остальные интервалы кратны 0,005.
Примем наличие волны в 0,005 за 1, а тишину за 0. Получаем не что иное, как бинарный код!
Вспоминаем, что изменилась частота, и пробуем взглянуть на график спектра (Анализ -> График спектра):
Видим, что самый мощный сигнал приходится на частоту
44100 Гц, что является ультразвуком.
Значит, дальше следует работать только с высокими частотами.
На самом деле бот накладывает свой сигнал на оригинальное аудио в слышимом спектре. И те участники, у кого в оригинальном видео был звук, заметили это в Audacity.
Отсекаем высокие частоты фильтром высоких частот либо в Audacity, либо в том же ffmpeg:
Итак, у нас есть 16-битный моно wav-файл. Он состоит из заголовка, несжатого аудио-потока и метаданных. Сам по себе аудио-поток делится на фреймы (а фреймы могут хранить в себе несколько семплов, но это уже совсем другая история), в нашем случае по 16 бит (об этом говорят буковки pcm_s16 на скриншотах). Фреймы представляют собой последовательности бит, описывающие амплитуду волны в момент времени для одного или нескольких каналов (в нашем случае – для одного). Частота дискретизации аудио-потока равна 98000 (то есть на одну секунду приходится по 98000 фреймов), на интервал в 0,005 секунд приходится 490 фреймов.
Следовательно, далее работаем по простому алгоритму: считываем по 490 фреймов, определяем, волна это или тишина, и, в зависимости от этого, выставляем бит в 0 или 1.
Воспользуемся python и пакетом wave для парсинга wav-файлов.
Если при открытии файла возникает ошибка «wave.Error: unknown format: 65534», то заменяем «wFormatTag» в заголовке с 'FE FF' на '01 00':
Итак, открываем файл, обрабатываем по 490 фреймов и высчитываем усредненное значение:
Возможно, что там, где должна быть тишина (сравниваем с картинкой в Audacity), могут оставаться шумы. Поэтому задаем порог (пусть будет 16000), при превышении которого считаем сигнал равным 1.
Затем группируем биты в байты:
Если все сделано правильно, в результате получаем строку «Givemethepassword». Поскольку бот общается кругляшами с применением стеганографии, будет логичным подсунуть ему пароль (а мы его получили вместе с ключом в результате расшифрования) в том же формате.
Теперь нам нужно «сгенерировать» тишину. Делаем это занулением:
Для генерации звука будем использовать синусоиду (информацию можно прочитать тут):
Теперь дело за малым: осталось преобразовать пароль в биты, а затем и в звук.
Теперь сформируем готовый WAV-файл:
Сохраняем нашу дорожку, например, в pass.wav. Попутно проверяем нашим стего-декодером, распознается ли пароль. Если все хорошо, то получаем новое видео с паролем из первоначального видео my_video.mp4, заменяя аудио-дорожку:
Теперь надо сделать из этого VideoNote. Можно попробовать поискать работающие (кто-то из участников, например, нашел @TelescopyBot), а можно написать своего бота с помощью TelegramAPI.
Anyway, пересылаем нашему боту:
Получаем новый кругляш и поздравления (еще бы, такую работу проделали!), декодируем по уже отработанному сценарию аудио и получаем ключ: «nq2020SyOMK7SnnJP1sNlvbTs8zt35vUrrsD»
Да уж, не зря стеганография считается одной из самых сложных областей кибербезопасности — попробуй тут догадаться про все эти нюансы! Но участники NeoQUEST продемонстрировали прекрасную сноровку и чувство юмора при выполнении этого задания, так что адресуем им наше (от бота поздравления они уже получили) искреннее восхищение!
Незаконный сбор персональной информации — это нарушение закона «О персональных данных» и других законов РФ. Также подобные действия могут образовать состав преступления по статье 137 УК РФ «Нарушение неприкосновенности частной жизни». Ни автор, ни редакция не несут ответственности за любые последствия использования приведенных в этой публикации сведений, которые представлены здесь исключительно ради информирования читателя.
Большинство ботов Telegram, выполняющих по запросу пользователя поиск и выдачу персональных данных, работают по схеме OSINT, то есть опираются на открытые источники, для чего эксплуатируют API различных служб и интернет‑ресурсов. Другие используют слитые базы данных, но такие сервисы, во‑первых, не всегда функционируют стабильно, а во‑вторых, испытывают проблемы с актуализацией информации: любая утекшая в паблик база со временем устаревает и, разумеется, не обновляется. Монетизируются подобные боты либо за счет донатов, либо за счет рекламы, или же админы ограничивают количество бесплатных запросов, после чего бот начинает просить денег за каждую следующую выдачу. Иногда — если админы ну очень жадные — используются все методы сразу.
Люди ищут персональную информацию по разным причинам. Кто‑то пытается таким образом отыскать своих отравителей должников или симпатичную соседку по подъезду с большими и красивыми си… ними глазами. Кто‑то разыскивает прямые контакты блогеров или владельцев пабликов либо пытается из чистого любопытства посмотреть посты в закрытых профилях соцсетей своей бывшей.
Еще можно по номеру машины отыскать мобильный телефон подрезавшего тебя на дороге водятла, позвонить ему, назвать по имени‑отчеству и вежливо попросить объяснений. Некоторые «гонщики» в такие моменты почему‑то немного смущаются. В общем, причины могут быть разными, а средство одно: условно‑бесплатные Telegram-боты или услуги пробива, до сих пор широко рекламируемые в даркнете.
Очевидно, что не все боты одинаково полезны. Некоторые просят денег, но в ответ либо не находят актуальную информацию, либо отдают откровенную туфту. Другие вроде бы работают, но настолько странно, что достоверность предлагаемых ботом данных остается сомнительной. Чтобы ты не тратил драгоценное время и деньги на поиск жемчужин в куче органических удобрений, твой любимый журнал протестировал наиболее популярные боты в Telegram и прямо сейчас поделится с тобой полученными результатами. Погнали!
Get Contact
Тот самый легендарный бот, сыгравший немаловажную роль в нашумевшем расследовании. Бот показывает, как именно записан номер мобильного телефона в адресной книге других абонентов. Информацию железяка черпает с мобильных устройств абонентов, установивших приложение Get Contact, поэтому, если на телефонах твоих друзей эта программа не установлена, никаких данных ты не получишь. В день бот позволяет отправить не больше трех телефонных номеров.
В моем случае на все без исключения запросы бот выдавал один и тот же ответ: Result: Nothing found . При этом поиск по имени бота в «Телеграме» выдает пару десятков результатов, отличающихся друг от друга одной или парой букв (get_kontact_bott, get_kontakts_bot и так далее) — видимо, на волне возросшей популярности проекта число желающих поиметь с этого профит тоже резко увеличилось. Некоторые службы, вроде @Getcontact_official_bot, с ходу требуют заплатить 200 рублей за подключение к сервису. Притом ни один из этих ботов, в общем‑то, не работает.
Не знаю, с чем именно связано это досадное явление — с нарушением в логике сервиса или с внезапным наплывом клиентов, но пользоваться сейчас Telegram-ботом Get Contact — бесполезная трата времени.
«Глаз Бога»
Еще один популярный бот, упоминавшийся в ряде недавних журналистских публикаций. Бот обладает довольно‑таки обширным набором функций: поиск по имени в простом текстовом формате, по номеру автомобиля, по номеру телефона, по адресу электронной почты, по названию юридического лица или ИНН.
Telegram-бот «Глаз Бога»
Для отправки команд бот требует подписаться на собственный канал, но даже это не гарантирует результата. По телефону «Глаз Бога» выдает название оператора и его регион (видимо, для тех, кто не умеет определять эти данные на глаз), возможное имя (я ввел несколько телефонных номеров — имена совпали). Еще он может найти почтовые адреса (вероятнее всего, по базе администраторов доменов), страницу «ВКонтакте», аккаунт «Телеграм», WhatsApp, число интересовавшихся персонажем до тебя. Но эту информацию бот предоставит за 30 рублей. То же самое касается поиска по номеру автомобиля: бесплатно бот показывает только регион (который можно определить и так), а за тридцатку предлагает скачать отчет «Автокода». При этом данные об автомобиле по его номеру при желании нетрудно отыскать в этих ваших интернетах бесплатно.
Если ты введешь адрес электронной почты, бот любезно покажет тебе логин (до символа @ ) и домен (после @ ) — это особо ценная информация! Также тебе предложат купить адрес привязанной к этому мылу странички «ВКонтакте» и связанные с email пароли из какой‑то слитой базы. По имени бот ищет только номер телефона в заданном регионе, находит неправильный и для его просмотра предлагает купить подписку.
В общем и целом польза от этого бота показалась мне весьма сомнительной: инфу, которую «Глаз Бога» отдает бесплатно, можно при желании нагуглить и без него, а платная информация скудна и не всегда достоверна.
Продолжение доступно только участникам
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Читайте также: