Несколько дней назад ко мне в личку постучался товарищ c аккаунта @GreatChinas с ID: 6778690281 и именем 人民之神
Он предложил продать ему домен одного из моих ботов @krymbot за 300 TON (сейчас около 150000₽, на момент обращения около 200000₽).
Обычно, владелец бота не виден, но у меня все боты выводят сообщение о том, что бот в разработке и факт обращения меня не удивил. Отсутствие прелюдий, торга и вопросов сразу подсказало мне, что это мошенник и я решил посмотреть на схему, т.к. планов по использованию имени не было.
Мошенник предложил провести сделку через Fragment, хотя я знаю, что там продаются только имена каналов и пользователей, но не ботов. Проверил — действительно, боты там не продаются. Решил продолжить разговор, чтобы понять его следующую тактику. Когда я сказал, что не могу выставить бот на продажу, он сказал «можно, другие делают», но инструкции не присылает. Удивил на этом моменте.
Затем он сказал: «Кто-то сказал мне, что робот должен заменить ваше имя пользователя, а затем оно появится перед вами, и вы сможете установить цену», ага, уже интересней, надо имена менять местами, это уязвимость, по такой схеме в ВК уводили домены групп.Еще раз уточнил и получил ответ, что нужно перекинуть имя бота на имя пользователя. Т.к. имена владельцев ботов не видны, я предположил, что целью является не домен бота, а мое имя пользователя которое потом булут использовать для вымогательства и фишинга. Кстати, я не знал, что имя пользователя может оканчиваться на «Bot», но попробовав изменить юзернейм на одном из аккаунтов убедился, что это реально. Решил подстраховаться и идти дальше. Не хотелось быть обманутым, поэтому я решил делать все на третьем аккаунте, про который мошенник не знает, да и если знает, я им не пользуюсь и имя не представляет для меня ценности. По правилам Телеграм, отказавшись от имени пользователя, его владелец в течении 15-30 минут (по разным данным), имеет первостепенное право на его восстановление (другие пользователи не видят имя как свободное в течении этого времени). Оказалось, что к ботам это не относится, сразу после удаления бота доменное имя бота стало занято и его невозможно стало применить ни как имя пользователя, ни зарегистрировать бота на аккаунте владельца.
Спросил у мошенника «Я все сделал и ты забрал имя себе в этот момент, когда я удалил бота. Когда ты пришлешь деньги?», пока тишина в ответ. Написал жалобу на имя бота, но вряд-ли ее удовлетворят, т.к. формально я сам удалил бота и другой пользователь его зарегистрировал после удаления.
Выводы
-
Кривой язык, иероглифы, имя «Бог людей» на китайском и т.д. указывает, что мошенники скорее всего из Китая или полностью работает юзербот;
-
Схема рабочая, запросы на атакуемое имя идут постоянно;
-
Основная цель — увести имя бота;
-
Под угрозой могут быть как имя бота, так и имя пользователя.
-
Имя владельца бота скрыто, поэтому подготовка атаки требует усилий.
-
Изменение username бота через Telegram API невозможно, и атакующему приходится использовать userbot API, что повышает риск блокировки.
Эта информация предоставлена для обеспечения безопасности пользователей и предотвращения мошенничества с именами Телеграм-ботов и пользователей. Пожалуйста, распространяйте, чтобы другие могли избежать подобных атак.
О разработке ботов, моем конструкторе «Бот в блокноте» и экспериментах, читайте на канале: https://t.me/BotNotePad
Автор: mrMazai