Что случилось?
На этой неделе появлялись сообщения о спаме с аккаунтов журналистов. Кроме того, у СМИ периодически «угоняют» телеграм-каналы, как это случилось, например, с «Фонтанкой» в мае.
Как происходит «угон» каналов?
«Угнать» канал (как сущность, со всеми пользователями) можно двумя основными способами:
- получив доступ к телеграм-аккаунту владельца (через физический доступ к устройству или фишинг);
- заставив передать права владением путём социальной инженерии.
А я слышал(а), что ещё через ботов угнать можно?
Да, если в админы добавлен сторонний бот, этот бот может делать всё что угодно в пределах своих прав, рассказывают наши технические специалисты: «Если у бота есть права на публикацию, он может постить всякое. Если есть права на удаление пользователей — может удалять аудиторию. Если есть права на правку информации о канале — может, соответственно, её менять».
Правда, в этом случае владение каналов как сущностью остаётся у «законных» владельцев (если, конечно, боту ранее не выдали права владельца канала).
А как могут взломать мой личный аккаунт?
Через те же фишинг и социальную инженерию.
Кроме того, это может сделать человек, имеющий физический доступ к устройству, на котором вы авторизованы.
Как мне защитить свой аккаунт и свой канал заранее?
Рекомендации будут следующими:
- включите двухфакторную аутентификацию («настройки» — «облачный пароль»);
- используйте сложные пароли;
- скройте номер телефона через настройки;
- не открывайте незнакомые ссылки от незнакомых людей;
- держите под контролем устройства, на которых вы авторизованы;
- периодически проверяйте «активные сеансы» и прекращайте те, которые начали не вы;
- регистрируйте канал на сим-карту, к которой не имеет доступа никто, кроме владельца;
- не вводите свои авторизационные данные Telegram на каких-либо сайтах, если вы не уверены, что этот сайт принадлежит компании Telegram (например, в адресе есть подмена кириллических букв на латинские);
- по возможности, не добавляйте ботов, написанных не вами, либо не по вашему заказу знакомыми программистами, в список админов канала.
К слову, а если мой бот создан через специального бота?
«Свои» боты, созданные через «специальных ботов», не являются безопасными и, по сути, всё ещё принадлежат третьим лицам, а не вам.
Безопасными ботами являются только те, чьим исходным кодом вы обладаете и которых запускаете самостоятельно на своих мощностях. Остальные боты всегда могут быть использованы их владельцами в каких-либо целях.
Хорошо. Ну а что делать, когда канал/аккаунт уже украли?
Если аккаунт/канал угнали, но вы имеете к нему доступ, то удалите из списка сеансов незнакомые устройства и поменяйте облачный пароль.
Если у вас уже нет доступа к аккаунту, попробуйте зайти в аккаунт снова (и выбрать доставку кода через СМС). Есть шанс, что злоумышленники ещё не успели сменить привязанный к нему номер телефона.
Если же окажется, что номер изменён, остаётся только пытаться восстановить доступ через службу поддержки Telegram.
Техподдержка сможет мне помочь?
Вряд ли обращение туда сильно (и быстро) поможет, но пожаловаться, во всяком случае, можно.
Кроме того, на мошенников можно заявить в полицию и прибегнуть к помощи юристов, например, из Digital Rights Center.
Кстати, а поможет ли изменение ссылки канала?
Ни в коем случае не делайте этого (бывает, что в канале «хулиганит» бот, который прав владельца при этом не имеет). Как только вы смените публичную ссылку канала (тем самым «освободив» её), сидящие наготове злоумышленники присвоят её своему свежесозданному подставному каналу, который потом смогут выдавать за настоящий и использовать в том числе для мошеннических действий.
Источник: Роскомсвобода