Основы технической безопасности в Телеграм
Если ты думал, что если Дуров обозвал Телеграм обсидианово защищенным мессенджером, то в нем можно творить вакханалию и тебе ничего не будет, то разочаруйся, поскольку своя мораль есть даже в либералистическом мессенджере.
Настройки приватности
Жил-был Тема, админ каналов @diarytelegrammer, @BarcelonaLeoMessi и @RealCrRonaldo, не тужил, надумал каналы про футбик продать. Но все три канала лежали на одном аккаунте, и продать два не продав один – технически невозможно, поскольку Дуров слово, данное им в мае 2017, не сдержал и функцию передачи создателя канала другому аккаунту не ввел.
Поэтому Артему пришлось создать новый аккаунт, на новом номере, на котором он заново создал канал Дневник Телеграмщика, а на старом канале сообщил подписчикам, чтобы подписывались на новый канал, поскольку он налажал с основами техники безопасности в Телеграм.
Исторических скриншотов тех событий у меня нет, но ты всегда можешь Артему с вопросом школьной формулировки: “А правда, что ты все каналы на одном аккаунте создал?!”.
Первое правило Телеграмщика – каждый канал создавать на отдельном аккаунте с реальным номером телефона, купленном у дилера сотовой связи.
Инструкция:
0. Покупаем номер
1. Регистрируемся в Телеграм
2. Регулируем настройки приватности в аккаунте, чтобы всякая моль не доставляла неудобств (см. ниже)
3. Создаем канал
4. Добавляем администратором в канал личный аккаунт, из которого обычно втихаря дрочим на Irotica 2.0
5. В описании канал для связи ставим ссылку на бот обратной связи, а не на личный аккаунт
6. Откладываем симку в места, недоступные для детей младше трех лет
7. Раз в месяц из спрятанной симки делаем звонок, чтобы не потерять номер, а с ним и канал
8. Повторить при создании нового канала
Теперь со своего личного аккаунта, где у тебя установлен набор стикеров с Фомой, переписка с мамой и туева хуча каналов в ленте, ты можешь почти полноценно управлять каналом. Если непонятно где что тыкать, вопросы к Елисею
Разъяснения к п.3 ПТБ: регуляция настроек приватности
Тут описаны действия, которые нужно проделать любому аккаунту, чтобы сохранить молодость и долговечность в Телеграм. Из радужного разнообразия настроек нас интересуют только раздел Info и Privacy and Security.
Инструкция:
0. Кнопка в виде бургера -> Settings -> раздел Info: ставим поэтичный юзернейм своему аккаунту, и в дальнейшем для связи сообщаем свой юзернейм, а не номер телефона (см. ниже)!
1. Last seen privacy: Nobody. Это, чтобы можно было беспалевно сидеть в Телеграм и никто не возмущался на твой игнор
2. Phone calls privacy: Nobody. Это, чтобы шизики не наяривали звонками, а писали в личку
3. Group Invite Setting: My contact. Это чтобы в группы смогли добавлять только твои контакты (см. ниже)
4. Local passcode: PIN-код, чтобы мамка не смогла читать сообщения
5. Auto-lock: время блокировки мессенджера, после которого снова надо будет вводить PIN-код
6. Cloud password: двухфакторная аутентификация, облачный пароль, который нужно вводить каждый раз при входе в аккаунт. Ставить пароль посложнее, и записать на отдельном листочке. Email для восстановления если введешь, то взломщику нужно будет получить доступ помимо телефона еще и к почте.
Остальные параметры не столь важны\на свое усмотрение. А теперь: почему мы делали эти шаманские действия с аккаунтом, почему все так сложно, а не как говорил Дуров? Потому что Telegram можно взломать (условно) методом перехвата сообщения. Так что надо, чтобы:
- номер от аккаунта, на котором создан канал, никто не знал
- этот же аккаунт не светился в подписчиках каналов и в чатах
Про юзернеймы и имена
Раньше в Телеграм был баг (вроде, убрали), из-за которого, судя по всему, у Дмитрия Сурова и угнали юзернейм. Поэтому в целях безопасности не ставь красивый юзернейм, который боишься потерять. А на аккаунт, на котором лежит канал, поставить юзернейм дикого содержания, типа "efih39tvkv", чтобы аккаунт невозможно было найти в поиске, и такого же дикого содержания дать имя, чтобы его невозможно было найти в поиске.
Система банов
В Telegram есть довольно хладнокровная система банов. На официальном сайте есть страница про спам, но то далеко не вся информация по банам. Банят и удаляют аккаунты, каналы и боты по нескольким причинам:
- после жалобы (репорта)
- из-за подозрительной активности
- из-за использования Телеграм для отправки спама пользователям или мошенничества над ними
- из-за поддержки насилия в открыто просматриваемых каналах или ботах Telegram
- из-за публикаций порнографического контента в открыто просматриваемых каналах или ботах Telegram
Репорт могут дать другие юзеры:
- за спам в личных сообщениях (когда ты первым написал человеку, и отсутствуешь в его контактах)
- за спам в группах
- на созданную тобою группу\канал (бан переходит на создателя)
Если на тебя пожаловались несколько раз за короткий промежуток времени – твою свободу временно ограничивают:
- первичное ограничение на неделю
- вторичное ограничение на более долгий период, больше недели
- и окончательный пожизненный приговор без возможности освобождения
Временно ограниченные за спам аккаунты не могут:
- писать первыми в личку людям не из записной книжки, то есть тем, у которых нет их номера
- добавлять в группу\канал людей по юзернейму
Пользователи с вечным баном в дополнение лишаются следующих возможностей:
- писать в группы с публичной ссылкой
- создавать группы и каналы
- назначать админов в собственные группы и каналы
Как попасть в бан:
- писать незнакомцам, которых нет среди контактов
- не соблюдать правила групп
- оставить включенной возможность добавления себя в группы (см. выше; через эту функцию тебя могут добавить в группу, а потом пожаловаться)
- добавлять в группу\канал людей по юзернейму - пожалуются на оные, а бан влетит тебе
В случае, если ты не совершал преступных действий из вышеперечисленных и получил бан, есть @SpamBot, через которого можно проверить свой статус и отправить сигнал SOS в техподдержку о снятии такого статуса. На случаи более серьезные, чем просто бан, есть два адреса для связи с тех. поддержкой Telegram: abuse@telegram.org для вопросов по поводу бана и recover@telegram.org для вопросов по поводу восстановления
Необосновання ситуёвина, например, бан на неделю, когда регистрируешь аккаунт на виртуальном номере от textnow.com (это на будущее).
Письма незнакомцам
По поводу сообщений пользователям, которых нет в контактах: писать можно, и часто нужно по вопросам рекламы, взаимного пиара или других бюрократических дел. Но человек может оказаться неадекватным и послать на тебя репорт (есть такие). Феноменальный, конечно, случай.
А если вздумаешь спамить в Телеграм, придется обзавестись отдельным аккаунтом для черных дел: купить виртуальный номер, зарегать аккаунт, и из него рассылать предложения, от которого невозможно отказатся
Ограничения в Telegram
В Телеграм есть чек-лист лимитов и ограничений:
- Ограничение на количество запросов в поиске по юзернеймам и на переходы по этим юзернеймам (даже без поиска) за определённый период времени. Это такой флуд-контроль и добиться таких ограничений непросто. Нужно в течение определённого времени сделать большое количество запросов на поиск по юзернейму, или перейти по внутрителеграмовским ссылкам на боты каналы или чаты много раз за короткий промежуток времени. Ограничения будут выдаваться на сроки увеличивающиеся с геометрической прогрессией: секунды, минуты, часы, сутки. И чтобы неповадно было - история
- Флуд-контроль на подбор короткой ссылки для своего аккаунта, публичного чата или канала. После определенного количества попыток проверки свободности желаемого юзернейма, выдаётся ограничение, после которого ты не сможешь некоторое время менять и проверять свободные линки
- Ограничение на регистрацию одного и того же номера четырьмя попытками: три раза можно зарегистрировать после удаления один и тот же номер, а на четвертый номер блокируется. Удалить аккаунт можно на странице Телеграм
- лимит на количество подписок на каналы – до 500
- лимит участников в супергруппах - до 150 000 участников, но он растет пропорционально росту юзеров
- лимит на создание публичных каналов – до 8 штук на аккаунт, больше – только с приватной ссылкой
- лимит на сообщения (Дуров обещал убрать) - клиент показывает только последний миллион сообщений в переписке, и чтобы просмотреть все сообщения, нужно удалить новые
В заключение скажу: никогда не клади яйца в одну корзину! Никогда не одевай розово-фиолетовую сварочную маску и не думай, что если у тебя все ништяк, то ништяк будет и завтра. У тебя канал в Телеграм, или в Ютуб, или сайт, блог на Спарк или страница в Инстаграм, или паблик-миллионник в ВК. Завтра милые лица бросят пожизненный бан, а ты бросишь себе петлю на шею. Никому не доверяйте, проверяйте, страхуйтесь иридиевыми ремнями и делайте бэкапы ваших данных, даже если это очень неудобно и времязатратно. Об бэкапах в дальнейшем еще будем говорить.
Не факт, что в этой статье были упомянуты абсолютно все правила технической безопасности. Какие-то я забыл, какие-то раскроются в последующих статьях. Но с новыми косяками статья будет обновляться. Со всеми вопросами к Елисею
Кое-что еще
Этот абзац - дополнение к первому абзацу об отдельном номере телефона на каждый канал. Если ты уже владелец раскрученного канала и создал его по неаккуратности на том же номере телефона, по которому разговариваешь с мамой и принимаешь звонки в три часа ночи с претензиями о недоделанном проекте с работы, поздравляю, если ты кому-то перейдешь дорогу и канал - самое ценное, что у тебя есть, будут стрелять именно в него. Знаешь, узнать твой номер телефона у знакомых сложно.
В такой ситуации, если кому-то перешел дорогу, есть две дороги: взламают аккаунт либо будут слать репорты на канал. Второй способ не доказан работает ли, если нет нарушающего авторские права контента. А вот второй - если на аккаунте стоит двухфакторная авторизация, злодеятели знают номер телефона, могут перехватить SMS и канал имеет больше 1000 подписчиков - не все потеряно.
Каналы с наличием больше 1000 подписчиков удаляются только через тех. поддержку Телеграма. Меньше - можно удалить из панели управления каналом. Если перехватили SMS, то введут код, но потом хакеров встретит окошко, требующее ввести код двухфакторной авторизации. Если кода не знают, то тут два варианта: либо они отошлют письмо на email для восстановления, если такой привязан к аккаунту, либо со злости кликнут кнопку удалить аккаунт и создать новый на этом же номере. То есть, аккаунт подчистую удаляется и на его номере создает новый чистый акк без переписок, доступа к созданным каналам и ботам.
Дабы сохранить доступ к каналу хотя бы в качестве администратора, регистрируем новый аккаунт на новом номере, который никто не знает. Создаем нового бота для автопостинга, подключаем на него @controllerbot, делаем в канале админом новосозданный бот, и потом с нового аккаунта раздаем админские права на использование контроллербота старому аккаунту, на котором канал и переписки со всеми знакомыми. Рекомендую вообще всем имеющимся в Телеграм аккаунтам раздать админские права в канал и через контроллербота, чтобы сохранить к нему доступ в случае потери. Непонятно как делать? Вопросы - Елисею
Как Павел Дуров позорит Телеграм: читать статью Telegram кузница им. Николая Дурова - пансионат администраторов Телеграм-каналов: черная бухгалтерия, неугомонные страсти и вся подноготная мессенджераПрочитать на досуге
Лимиты и секреты взаимодействия с Telegram: читать статью
Мошенники угоняют аккаунты с каналами через фишинг: читать статью
Разоблачение этих самых мощенников: читать статью
Как защитить аккаунт от угона: читать статью
0-day уязвимость Telegram: читать статью
Лаборатория Касперского сообщила об уязвимости в Telegram: читать статью
Скриншот больше не доказательство: читать статью
