Несколько дней назад ко мне в личку постучался товарищ c аккаунта @GreatChinas с ID: 6778690281 и именем 人民之神
Он предложил продать ему домен одного из моих ботов @krymbot за 300 TON (сейчас около 150000₽, на момент обращения около 200000₽).
Обычно, владелец бота не виден, но у меня все боты выводят сообщение о том, что бот в разработке и факт обращения меня не удивил. Отсутствие прелюдий, торга и вопросов сразу подсказало мне, что это мошенник и я решил посмотреть на схему, т.к. планов по использованию имени не было.
Мошенник предложил провести сделку через Fragment, хотя я знаю, что там продаются только имена каналов и пользователей, но не ботов. Проверил — действительно, боты там не продаются. Решил продолжить разговор, чтобы понять его следующую тактику. Когда я сказал, что не могу выставить бот на продажу, он сказал «можно, другие делают», но инструкции не присылает. Удивил на этом моменте.
Затем он сказал: «Кто-то сказал мне, что робот должен заменить ваше имя пользователя, а затем оно появится перед вами, и вы сможете установить цену», ага, уже интересней, надо имена менять местами, это уязвимость, по такой схеме в ВК уводили домены групп. Еще раз уточнил и получил ответ, что нужно перекинуть имя бота на имя пользователя. Т.к. имена владельцев ботов не видны, я предположил, что целью является не домен бота, а мое имя пользователя которое потом будут использовать для вымогательства и фишинга. Кстати, я не знал, что имя пользователя может оканчиваться на «Bot», но попробовав изменить юзернейм на одном из аккаунтов убедился, что это реально. Решил подстраховаться и идти дальше. Не хотелось быть обманутым, поэтому я решил делать все на третьем аккаунте, про который мошенник не знает, да и если знает, я им не пользуюсь и имя не представляет для меня ценности. По правилам Телеграм, отказавшись от имени пользователя, его владелец в течении 15-30 минут (по разным данным), имеет первостепенное право на его восстановление (другие пользователи не видят имя как свободное в течении этого времени). Оказалось, что к ботам это не относится, сразу после удаления бота доменное имя бота стало занято и его невозможно стало применить ни как имя пользователя, ни зарегистрировать бота на аккаунте владельца.
Спросил у мошенника «Я все сделал и ты забрал имя себе в этот момент, когда я удалил бота. Когда ты пришлешь деньги?», пока тишина в ответ. Написал жалобу на имя бота, но вряд-ли ее удовлетворят, т.к. формально я сам удалил бота и другой пользователь его зарегистрировал после удаления.
Выводы
Кривой язык, иероглифы, имя «Бог людей» на китайском и т.д. указывает, что мошенники скорее всего из Китая или полностью работает юзербот;
Схема рабочая, запросы на атакуемое имя идут постоянно;
Основная цель — увести имя бота;
Под угрозой могут быть как имя бота, так и имя пользователя.
Имя владельца бота скрыто, поэтому подготовка атаки требует усилий.
Изменение username бота через Telegram API невозможно, и атакующему приходится использовать userbot API, что повышает риск блокировки.
Эта информация предоставлена для обеспечения безопасности пользователей и предотвращения мошенничества с именами Телеграм-ботов и пользователей. Пожалуйста, распространяйте, чтобы другие могли избежать подобных атак.
UPD: В комментариях еще два варианта прислали:
1) Пытаются "купить" номера через фейк fragment bot
2) Подсовывают страницу от фрагмента, в котором заменено всего одно поле со ссылкой на смартконтракт. Остальное типа от настоящего фрагмента, если попытаться открыть что-либо кроме Accept, то попадаешь на оригинальный Фрагмент, если нажать на Accept, то активируется подписание левого смартконтракта и кидает для подписи на приложение кошелька. Используют боты с именами максимально похожими на оригинальный Fragment 'овский
О разработке ботов, моем конструкторе «Бот в блокноте» и экспериментах, читайте на канале: https://t.me/BotNotePad
Комментарии (18)
dartraiden
01.09.2024 11:24+4По правилам Телеграм, отказавшись от имени пользователя, его владелец в течении 15-30 минут (по разным данным), имеет первостепенное право на его восстановление (другие пользователи не видят имя как свободное в течении этого времени). Оказалось, что к ботам это не относится
Похоже, что к каналам тоже не относится. Несколько раз удавалось подловить момент, когда владельцы каналов делали каналы непубличными или меняли имя (не из-за фишинга, я с ними не общался, просто случайно натыкался в этот момент), и тут прежнее имя можно перехватить. Но какой из этого можно извлечь профит, я не придумал. Разве что, вымогать деньги за возврат имени (слишком примитивно). Забрать себе подписчиков не выйдет, они остаются привязанными к каналу, а не к имени.
mrMazai Автор
01.09.2024 11:24+1Да, в ботах подписчики тоже не передаются и могут повторно активировать только по ссылке или через повторный старт, т.е. бот сам не напишет. Профита особого нет, выходит, только шантаж или перепродажа. Но, перепродать надо тоже суметь, многим проще похожее имя занять, чем платить, а деньги в раскрутку пустить.
d2d8
01.09.2024 11:24+2Профит есть, т.к. старое имя бота может встречаться как у вас так и в других местах, и теперь этот трафик пойдет новому владельцу.
MountainGoat
01.09.2024 11:24+5кривой язык, иероглифы, имя «Бог людей» на китайском и т.д. указывает, что мошенники скорее всего из Китая
— Ватсон, хотите поупражняться в дедукции? Что вы видите над нами?
— Ночное небо, звёзды, Луна.
— Совершенно верно. Какие вы можете сделать выводы?
— Завтра будет хорошая погода?
— А мне это говорит, что у нас украли палатку.Понятно, что в век гуглопереводчиков не нужно быть китайцем, чтобы написать ник 螃蟹使狮子受精 но зачем тогда вообще об этом говорить?
mrMazai Автор
01.09.2024 11:24+4=) Справедливо! Палатку украли! Я хотел посмотреть как ее будут воровать, чтобы понять схему и посмотрел. И описал. Надеюсь, этот эксперимент будет полезен людям именно как опыт. Если честно, я надеялся, что успею перекинуть имя раньше чем он перекинет его на себя и увидеть что будет дальше (я давно в бизнесе и ни разу не верю в предложения на 200к, сходу, за спорный юзернейм. Как минимум, при заинтересованности, предложат 5к и будут повышать). Но он оказался более ловким. Опять же, уверен, что его задача была дернуть мой юзернейм и юзернейм бота. Своим я не стал рисковать, а бота был готов потерять
Advisory
01.09.2024 11:24+1Я правильно из статьи понял, что у вас хотели "купить" одно имя, а в итоге угнали другое?
Razkrimaka
01.09.2024 11:24+3Судя по тексту - нет. Угнали то, за которым охотились. Автор, считая, что проверил всё на левом аккаунте, не учёл, что правило "30 минут вы имеете приоритет на имя" - не относится к именам ботов. Насколько я понял, именно это и является уязвимостью, о которой известно злоумышленнику и именно этому поучает статья.
H2oker
01.09.2024 11:24+2Да, тоже недавно постучались, просили продать анонимный номер, типа он очень нужен так как совпадает с основным, который у человека якобы на телефоне. Сначала повелся, потом включил голову и стал проверять. Подсовывают страницу от фрагмента, в котором заменено всего одно поле со ссылкой на смартконтракт. Остальное типа от настоящего фрагмента, если попытаться открыть что-либо кроме Accept, то попадаешь на оригинальный Фрагмент, если нажать на Accept, то активируется подписание левого смартконтракта и кидает для подписи на приложение кошелька. Используют боты с именами максимально похожими на оригинальный Fragment 'овский.
Будьте аккуратны с мошенниками, не ведитесь на сладкие уговоры.
Если предлагают купить, сами создавайте продажу через платформу Fragment. Не кликайте по ссылкам, которые вам присылают, типа это оффер.
Wesha
01.09.2024 11:24+1"Если предложение выглядит too good to be true (идома: чересчур заманчимым, дословно "слишком хорошим, чтобы быть правдой"), то так оно и есть)
mrMazai Автор
01.09.2024 11:24Вот я тоже думал, что будет похожая схема, думал начнет присылать инструкции, ссылки. А оказалось просто простукивалка с юзербота. Ну и думаю, что юзернейм пользовательский тоже пытались угнать, но не хотел им рисковать и не стал в эту сторону экспериментировать
Squoworode
Из текста статьи похоже, что предложил он продать
mrMazai Автор
Поправил, спасибо!