Привет, чемпион!
Будем считать, что читатель этой статьи столкнулся с кражей своих доступов к телеграм каналу. Кратко расскажу мою историю кражи канала и дам пошаговый план действий, как вернуть украденный доступ и что делать, чтоб этого больше не повторилось.
⚠️ Не скачивайте и не открывайте присылаемые архивы!
Вечером 8-го января приходит сообщение от рекламного менеджера из Яндекс на запрос покупки рекламы (размещение поста). Условия странные. Сам пост надо найти в присланном архиве. Читаю диалог с телефона. Разумеется, это скам, подумал я, и закрыл диалог, попросив прислать пост текстом.
???? Автоматическая загрузка файлов из телеграмм.
Следующий день. Сажусь утром 9 января за ноутбук поработать. Вдруг замечаю, что вчерашний диалог тут же проснулся. Просит все же посмотреть, что черном ящике в архиве? Открываю диалог уже на ноутбуке. Присланный файл автоматически скачивается и открывается из-за настроек телеграм. (Не придав этому значение, через час я потеряю все доступы). Заметил, что пароль в телеграмм клауд привязан к чужой почте. Осознав, что что-то не так, я сбросил все активные сессии. Среди них, кстати, была одна незнакомая. (По-честному говоря, возможно я случайно кликнул тогда по скачанному архиву, когда заметил его, точно не вспомню). Операционная система Windows.
Реакция выше не помогла. Очень скоро я теряю все доступы к блогам и каналам. И даже больше не могу войти в телеграм. Восстановив доступ по номеру, получаю чистый профиль с удаленной историей переписок. Полностью чистый профиль. А во всех моих блогах закрыты комментарии. Полностью изолирован. А главное, мой личный блок про Data Science больше не мой.
???? Так это трендовый развод!
Спустя время узнаю, что это, оказывается, один из очень популярных разводов. Причем, очень качественный, если уж даже крупные техно блогеры на это подаются. Где была их двух факторная авторизация?
???????? Допустим, ты все же лопухнулся. Что делать?
Вот список того, что сделал я, и, мне кажется, это оказалось самым полезным.
Не паникуй. Все доступы вполне реально вернуть, но надо действовать оперативно.
Пишем в поддержку и подробно объясняем, что случилось. Пример письма и почты ниже. Не забывайте указывать название канала и номер владельца. Писать можно на английском и русском. Ибо поддержка телеграмм раскидана по всему миру.
Hello, my account nick_name (phone_number) was stolen from me, which had the right to own the @datafeeling channel. It happened on January 9th (2023)
Here is how it was. The archive was sent to me in private messages. After opening the archive, after a few hours, I lost access to my account and channels. I am ready to provide any evidence, screenshots and confirm ownership of the account. Please return access to my account to phone_number. Thank you!
Создаем новый канал, куда пишем пост с объяснением произошедшего. В идеале с доказательством, что это вы настоящий. Оповещаем свою аудиторию любыми способами, что вас взломали. (Через ваших друзей, подписчиков и другие источники). Мне помогли друзья блогеры из моей тематики.
Просим друзей продублировать информацию в поддержку. Не знаю, есть ли приоритезация в зависимости от премиум подписки, но финальный ответ пришел другу без премиум подписки.
Начинаем просить знакомых накидывать страйки (жалобы) на украденный канал и указывать причину - мошенничество. Если через ваш канал начнут рекламировать какой-нибудь скам, то считайте - вам повезло. Быстрее вернете доступы. Если нет, то реакция поддержки Телеграм будет медленнее.
???? Быстро вернули? Ждал месяц.
Кому-то возвращают через считанные часы. Кому-то через пару недель. Мне понадобился месяц. Очень повезло, что весь этот месяц у меня был пожар по работе и проектам, поэтому думать про основной блог оставалось не много времени.
Все свои мысли и новости я писал во второй мини блог, который спустя неделю составлял 10% от численности основного. Спасибо друзьям.
???? Суровые времена требуют суровых решений. Что помогло?
Спустя почти месяц понял, что надо сделать новый рывок и вернуть уже доступы. На этот момент у меня было отправлено 40 писем в поддержку. Накидано на старый канал ~150 страйков, проведено два свидания с сотрудницами телеги, но ответа из поддержки все еще не было. Что ж, давайте сделаем конкурс с призовым!
???? Профилактика. Риски. Лайфаки.
А сейчас я сделаю так, чтоб взломать вас было чертовски сложно.
Активируйте двух-факторную аутентификацию. Это дело одной минуты никак не влияющие на удобство пользования телеграм. Зато вас будет крайне сложно взломать. Очень выгодная инвестиция.
Почувствовали, что что-то не так? Сбросьте все активные сессии. В моем случае, это не дало использовать мой канал для дальнейшего мошенничества.
Не светите нигде аккаунт владельца блога или чата. Для комуникации с комьюнити или рекламодателями создайте другой аккаунт. Такой аккаунт в случае взлома приведет к меньшему числу проблем. Настройте на нем двух-факторную тоже!
Если у вас сетка из нескольких чатов/групп, то дайте админку надежным друзьям, родственникам или сотрудникам. Так в случае взлома, у вас останется возможность влиять на ситуацию. Мне лично такой подход помог весь месяц продолжать принимать заявки на рекламу в других блогах, где мой аккунт владельца был удален.
Сотрудничайте с блогерами вашей тематики. Не бойтесь рассказать аудитории про коллег "по цеху". Так вы сможете в случае проблемы оповестить свою аудиторию через других блогеров. Не знаю, что бы я делал без этого пункта.
Не скачивайте и уж точно не открывайте присылаемые файлы сомнительного происхождения! Можно даже отключить автоскачивание, чтоб еще больше снизить риски.
Спасибо за внимание! Удачи!
Комментарии (39)
isBlaze
00.00.0000 00:00+25А у Вас не осталось этого архива? Хотелось бы его поковырять. Крайне странно, что от скачивания и открытия системными средствами на просмотр, без запуска руками содержимого, уезжает доступ.
Popadanec
00.00.0000 00:00+4Автор говорит что у него само открылось(правда я не нашёл такой настройки в телеге).
На исполняемые файлы Окна по умолчанию ругаются, даже если не установлен антивирус.
Так что автор мог пропустить пункт, где он открыл файл и подтвердил что хочет запустить непонятный исполняемый файт.
Либо я чего то не знаю. У меня телега вэб версия на ПК. Окна если лезут сами в архив, то первым делом с проверкой файлов, самостоятельно ничего не запускают, а уже потом индексация.
Aleron75 Автор
00.00.0000 00:00Архив есть. Пробовал его через сервисы проанализировать. Ничего не получилось. Возможно, просто плохо старался.
vilgeforce
00.00.0000 00:00+3Дайте ссылку на проверку этого архива. Или SHA256/SHA1/MD5 его. Посмотрю что там
foxyrus
00.00.0000 00:00+14Как автоскачивание архивов телегой на pc, запускает деструктивные действия?
ksbes
00.00.0000 00:00+5Винда (и не только винда) любит лазить в архивы, если может, чтобы
переслать их ЦРУпроиндексировать. Причём лазит и внутрь файлов в архивах для всяких там тамбнейлов и более глубокой индексации. Этим можно пользоваться для эксплуатации всяких-разных эксплоитов.
У меня так из-за одного битого архива на очень много картинок винда забивала 100% пропускной способности диска, висла и падала. Тоже — просто скачал с фтп неудачно (внтренного — на работе было), даже не открывал никак.isBlaze
00.00.0000 00:00+2Можно. и на обновленной системе для этого нужно использовать уязвимость нулевого дня. Как то маловероятно, особенно если учесть что на скрине архивы и rar, и zip. они используют разные библиотеки для открытия
foxyrus
00.00.0000 00:00+3Там по ссылка некоторые архивы в виде rar, по ним винда не может лазить.
Мне кажется все таки расчет на запуск содержимого архива пользователем.
ksbes
00.00.0000 00:00+1Если вы переименуете у зип архива расширение на рар — то винрар его откроет. И винда тоже. Они по заголовку смотрят.
И дефендер у меня в рарных архивах вирусы находил, сволочь. Есть старый уникальный завирусованный, но рабочий специализированный софт, который вовсе не хочется терять. Так что приходится паролить архивы, чтобы не потерять.
MountainGoat
00.00.0000 00:00+11Вот именно. Тут либо практическое использование всё более теоретического эксплойта с уязвимым превью у офиса. Либо, что куда более вероятно, автор всё таки кликнул. Может повёлся на старые добрые siski.jpg.exe.
К тому же телеграмм ставит на автоскачанные файлы флаг "скачано с интернета" и винда при открытии должна была переспросить. Но возможно, что у автора "оптимизированная и облегчённая" винда, где эта защита выкинута. А виноват телеграмм.
Fox_exe
00.00.0000 00:00+1В 18м году была уязвимость телеги - можно было с помощью спец. символов переименовывать файл таким образом, чтобы она казался rar/zip/png/jpg, а на самом деле - exe/js/com/bat.
Тоесть тыкаем в файл, надеясь, что откроется картинка/документ/архив, а на самом деле - запускаем исполняемый файл с вирусом.
https://securelist.com/zero-day-vulnerability-in-telegram/83800/
Возможно, используется похожая уязвимость.
max_zorn
00.00.0000 00:00+4А если взломали из-за автоскачивания файлов, почему в советах по профилактике не предлагается его отключить?
Aleron75 Автор
00.00.0000 00:00Спасибо за пометку. Думал над этим.
Для авто-скачивания стоит лимит по размеру файлов. Архив весил пару килобайт. Поэтому не знаю, на сколько это поможет. Двух-фактора приоритетнее.Popadanec
00.00.0000 00:00Т.е. размер вы видели. Но понимания, что в такой размер можно утрамбовать разве что несколько строчек текста(которые можно было просто написать), не возникло?
Aquahawk
00.00.0000 00:00+9Ну собственно как и везде, как в гугле, эпле и других крупных сервисах, решает кумовство и связи. Сейчас принято это называть словом Networking, но это именно оно. Официальные бюрократические каналы ничего не дают, а прямы связи решаю вопрос за дни. Это работало две тысячи лет назад. Это работало 100 лет назад, это работает сегодня, и будет работать через 100 лет.
tagir_analyzes
00.00.0000 00:00+2Я искренне надеюсь, что злоумышленника, который угнал аккаунт, звали не Х. Аптухов со второго скрина(
Vincent1
00.00.0000 00:00+15Само скачалось, само запустилось.... Пока что пост похож на рекламу своего канала.
TheRaven
00.00.0000 00:00+8Почему похож? Она и есть.
Это вообще какой-то тренд последнего времени — писать на хабр про всё подряд добавляя "а вот мой телеграм-канал!" в конце.
Vsevo10d
00.00.0000 00:00Это как на Пикабу, где есть стандартная зеленая надпись "показать полностью" для раскрытия поста в ленте, и с недавнего времени многие под нее косят таким же шрифтом "Читать в источнике" со ссылками на тележку, юзеры зачастую чисто на автомате жмут.
Viacheslav01
00.00.0000 00:00+3Вот что интересно, если оно само скачалось, само запустилось, то думать надо не о безотасности телеграмма, а о компрометации всей системы, как минимум установка загрузчика, а потом уже как повезет.
vassabi
00.00.0000 00:00+1хммм.... что-то нигде не вижу в тексте - автор на Windows / Mac или Linux ?
Aleron75 Автор
00.00.0000 00:00Windows
vassabi
00.00.0000 00:00-1а не пробовали перетащить критические ресурсы на Linux ?
я себе создал несколько VirtualBox образов - пара линуксовых и один виндовый. В линуксовых бегает разный софт для общения с интернетом (тот же телеграм там отлично себя чуствует), а в виндовой виртуалке - запускаю (если это очень надо) всякий стремный софт и микрософт офис.
Vsevo10d
00.00.0000 00:00Hello, my nick_name account (number phone_number) was stolen from me, which had the right to own the @datafeeling channel. It happened on January 9th (2023)
I got phishing. The archive was sent to me in private messages. After opening the archive, after a few hours, I lost access to my account and channels. I am ready to provide any evidence, screenshots and confirm ownership of the account. Please return access to my account to the number phone_number. thanks!
Английский уровня Сисун Транспортейшн.
bodyawm
Прям анекдот дня на превью