Как легально «отжимают» юзернеймы в Telegram и как защититься от этого
В августе 2022 года тысячи юзернеймов были «отжаты» у неактивных каналов и «преданы в жертву» будущей аукционной платформе Fragment. Еще свежи воспоминания об этом? Если да, то сегодня я расскажу как в Telegram при помощи декларируемых сами мессенджером способов уже долгое время угоняют юзернеймы, но самое главное, расскажу какая от этого есть защита.
Обязан отметить, что эта схема не для заработка и шантажа, а для защиты владельцами каналов своих раскрученных ссылок, а также для команды Telegram, чтобы они прикрыли эту лазейку. Просьба поделиться статьей в своих сообществах, чтобы как можно больше владельцев каналов узнали про схему и не лишились своих активов.
Как ищут «жертву» в Telegram
Для начала определяются какая в принципе юзерка нужна.
Понадобится сервис TGStat (или Telemetr). И там, и там есть возможность смотреть историю канала, что необходимо для оценки важности юзернейма для его владельца.
Находят крупный канал, например вот этот и проверяют менялась ли у него ссылка, как давно и как часто.
На примере видно, что ссылка не менялась ни разу. Это отличный магнит для угонщика, так как ссылка будет особенно ценной для владельца и он будет готов на многое, если потеряет ее. Кроме того, если ссылка не менялась долгое время, это значит, что все ранее сделанные упоминания этого канала с такой ссылкой и во всех местах будут работать на злоумышленника, делать ему рекламу.
Как проверяют насколько «жертва» уязвима
Чтобы вручную не делать то, что можно вручную не делать, используют сервисы, проверяющие имя на занятость в социальных сетях и мессенджерах.
Например, есть такой instantusername.com — бесплатный, быстрый, удобный и наглядный. Сервис чекает юзерки во всех необходимых местах, в том числе в Telegram.
Угонщика интересуют только Instagram, Facebook и Twitter (и Telegram, но он, понятно, занят).
Есть еще несколько сервисов проверки, они со своими минусами:
namecheckr.com — не ищет по Instagram;
namechk.com — во всех необходимых ищет, но не очень наглядно;
checkusernames.com — не ищет по Facebook, Instagram, Telegram;
knowem.com — неудобно, много лишних соцсетей и сайтов.
По итогам проверок находится такой канал, чей юзернейм свободен, как минимум, в двух сервисах из следующих: Facebook, Twitter, Instagram.
Кстати, недавно Илон Маск заявлял, что много миллионов неактивных аккаунтов в Twitter будут удалены, а это значит, что некоторые юзернеймы, занятые долгое время, освободятся. Уверен, что кто-то обязательно подсуетится и очень легко «закроет» вопрос с занятыми в твиттере именами.
Далее, проверяется коллекционность юзернейма, для чего используется сервис Fragment.
Рассматриваемый как пример «tochkaup» еще не является коллекционным, поэтому отлично подходит нуждающемуся в нем угонщику.
Как подготавливается база для атаки на «жертву»
Для злоумышленника это самый долгий, сложный и ответственный пункт. В тех социальных сетях, где юзернейм «жертвы» свободен, создаются аккаунты и на них устанавливаются имена как у «жертвы», в данном случае TochkaUP.
Для успеха угонщику важно, чтобы аккаунты были максимально похожими на активные. То есть, для него надежнее будет даже не новые создавать, а купить уже готовые аккаунты, с историей, с постами. В идеале делают так, что тематика фейка становится похожей на тематику телеграм-канала «жертвы». Если же создаются новые аккаунты, то некоторое время они наполняются контентом, раскручиваются через соответствующие smm-панели, в общем, создается видимость активности для последующих проверок со стороны Telegram.
Магазинов, торгующих аккаунтами в социальных сетях, на просторах интернета предостаточно, поэтому кому надо, тот найдет и с этим проблем у угонщиков меньше всего.
Финал — попытка забрать чужой юзернейм
Когда все приготовления сделаны, запускается официальный бот @Username_bot и проходятся все шаги согласно инструкциям.
Злоумышленнику нужно доказать модераторам бота, что аккаунты с аналогичными юзернеймами в Twitter и Instagram принадлежат ему.
После проверки предложат указать на какой аккаунт или канал передать запрошенный юзернейм.
Нюансов, как видите, хоть лопатой откидывай, но если все было тщательно проработано и юзернейм передали мошеннику, то, с недавних пор, он может незамедлительно конвертировать его в коллекционный, через Fragment. Тогда прежнему, настоящему владельцу уже невозможно вернуть ссылку на свой канал.
Как защитить свой юзернейм от злоумышленников
Первый способ — проверяете в каких из трех социальных сетях еще не занято аналогичное имя и немедленно, как минимум в двух, занимаете его. Так вы свяжете руки будущим сквоттерам но Павел Дуров круче любого сквоттера, а своему юзернейму гарантируете неприкосновенность.
Второй способ — с помощью платформы Fragment конвертировать юзернейм в коллекционный и пляски с другими соцсетями не потребуются.Если юзернейм у вас уже угнали, то пишите в техподдержку мессенджера, давайте ссылку на данную статью, пусть видят, что это слабое место и страдают обычные пользователи. Удачи!
«Кибер Мастера» там, где вам удобно: Telegram ▫ ТамТам ▫ Дзен ▫ Я.Кью ▫ VK ▫ VC ▫ YouTube ▫ Партнеркин ▫ Pikabu ▫ TenChat
"Злоумышленнику нужно доказать модераторам бота, что аккаунты с аналогичными юзернеймами в Twitter и Instagram принадлежат ему."
забрать права на ак,
потому что у тебя есть паралельный на другой платформе ....
какой клинический алгоритм безопасности ))))
Да ) Весь "щит безопасности" держится на дотошности модераторов которые проверяют занятые в других соцсетях юзернеймы )
Не понял. Т.е. он тупо передает юзернейм на основе двух таких же в других соцсетях, хотя он уже кем-то занят и используется в тг? Как такое может быть?
Это же Телега. Там пакистано-индийские модераторы не особо напрягаются и не вникают в проблему.
Этим и пользуются подкованные сквоттеры.
Хороший материал, благодарю!
Одного не понял – как конвертируется юзернейм в коллекционный?
У вас, походу, пасхалка в коменте спрятана:))))
Через платформу Fragment, за крипту TON
Да, именно так, в статье есть ссылка на сайт телеграм, где в вопросах-ответах черным по белому так и сказано, дублирую https://telegram.org/faq#q-what-do-i-do-if-my-username-is-taken 🤷♂️
Какой ужас. Вообще мутные формулировки.
В соцсетях вам ничего не принадлежит, если это не ваша соцсеть.
Это точно.
Соц инженерия мало того, что продолжается, так и обретает новые краски в свете популяризации ТГ
если захотят забрать ник все равно заберут
Кто?
Дуров на гидре продаст
даже если это неизбежно, то хотелось бы, что бы продали ник по дороже)
спасибо за статью, теперь буду знать как защитить свой юзернейм
Пожалуйста 👍
Что-то я не разу не видел, чтобы угоняли у больших каналов username. Бывали такие случаи?
И, конечно, у крупных каналов вероятнее всего не угоняют, это и сложнее, и больше рисков, что вернут обратно. Условно "мелкой рыбы" гораздо больше и там тише.
Я думаю крупные тщательно проверяют, а мелкие в полуавтоматическом режиме.
Такое вполне возможно, ничему бы не удивился. Во всех соцсетях к крупным блогерам особый подход, как минимум, на их обращения отвечают. Так уж устроен этот мир.
Вся соль в том, что если у кого-то и угнали его, то бывший владелец может никогда об этом не узнать. Точнее так, он увидит, что канал лишился юзерки, напишет в поддержку, и если канал крупный и создается резонанс, то ему юзерку возвращают, но естественно не расписываются в своей косячности "мол нас ввели в заблуждение и мы вашу юзерку отдали, а потом поняли что накосячили и теперь вот возвращаем вам". Понимаете? )
нужно просто регистрировать имя,которое никто не захочет отжать😃😃😃
И не раскручивать? ;)
Почему неуловимого Гонзалеса никто не может поймать? Да потому, что он на#@й никому не нужен )
Отжимальщикам пофиг на имя. Им важна лишь ценность имени для владельца.
Совершенно верно, так как в первую очередь угон планируется с целью вернуть юзерку прежнему владельцу за какую-то сумму.
Я пробовал несколько раз проводить такую "махинацию". Все без успешно. Был ли у вас успешный опыт попытки занять таким способом юзер?