Массовая спам-рассылка в телеграм-каналах повторилась. Это второй раз за последний месяц. Как обезопасить свой канал от подобных и других действий злоумышленников?

Сегодня ночью телеграм-админы, клиенты одного и того же сервиса для отложенного постинга, пожаловались на сообщение, опубликованное в каналах без их ведома. Это уже второй прецедент за последний месяц с этим сервисом и третий за последние два года, учитывая взлом другого сервиса.

Пример спам-рассылки, опубликованной в каналах сегодня ночью — из архива постов сервиса аналитики телеграм-каналов
Пример спам-рассылки, опубликованной в каналах сегодня ночью — из архива постов сервиса аналитики телеграм-каналов

Во всех случаях сценарий один: злоумышленник получал несанкционированный доступ к сервису и массово публиковал сообщения с политическим подтекстом в подключённых каналах. Единственное отличие в том, что два года назад это был бот для защиты каналов от накрутки, — и сообщение вышло только в каналах, где пользователи дали боту лишние права. А последние два раза в этом месяце — специализированный бот для постинга, которому необходимы права на публикацию сообщений для работы.

Привет, это Grogency. Мы телеграм-агентство, и мы следим за тем, чтобы каналы клиентов, пользующихся нашими услугами, были в безопасности. В этой статье хотим поделиться базовыми советами по защите каналов, которыми пользуемся сами.

После инцидента, описанного в начале статьи, многие призывают отказываться от ботов для постинга и других полезных сервисов.

Не хотите, чтобы в какое-то утро в вашем канале вышли посты, которые вы не планировали выпускать, — не подключайте сторонних ботов либо делайте собственные самописные и нигде их публично не показывайте. Во всех остальных случаях будет то, что уже второй раз за последний месяц происходит с...

Семён Ефимов, автор телеграм-канала «Русский маркетинг»

Мы же понимаем, что полный отказ от сервисов в работе невозможен, и вместо того чтобы создавать «чёрные списки», расскажем, как делать базовую профилактику угроз. Только так можно минимизировать риски для канала извне.

Этап №1. Работа с каналом

Откройте список администраторов

  • Проверьте каждого подключённого пользователя и бота. Они точно должны иметь права в канале или вы просто забыли их удалить? Если им не нужен доступ, удаляйте.
  • Когда остались только нужные пользователи и боты, проверьте права каждого. Если добавляли SMM-менеджера в админы, заберите права на управление групповыми звонками. Если добавляли бота для защиты от накрутки, заберите права на публикацию сообщений — и так далее.

Найдите информацию про сервисы, которые используете

  • Известны ли создатели? Из какой они страны, каких взглядов?
  • Как они обеспечивают безопасность пользователей?
  • Были ли инциденты с ними за последнее время?

Если бэкграунд сервиса вас не смущает, а его репутация прозрачна — можно использовать с осторожностью. В остальных случаях лучше отказаться.

Защитите комментарии

Злоумышленники могут добраться до аудитории не только путём взлома канала, но и через привязанный к комментариям канала чат. Например:

  • устроить спам-рассылку в самом чате;
  • атаковать участников в личных сообщениях;
  • «украсть» базу пользователей чата.

Вариант избежать этого «из коробки»:

  • Включить заявки на вступление. Новый участник сможет писать сообщения только после того, как его примет администратор. Включается в Настройках > Тип группы.

  • Скрыть список участников. Его смогут видеть только админы чата. Включается в Настройках > Участники.

  • Изменить возможности. Например, запретить отправлять файлы и другое медиа. Настраивается в разделе «Разрешения».

Также можно использовать сторонние сервисы. Они позволяют автоматизировать процесс: настроить капчу, запретить отправление ссылок и многое другое. Также автоматически удаляют подозрительных пользователей и ботов.

Если чат большой, лучше использовать и встроенные, и сторонние сервисы. Если поменьше — достаточно встроенных.

Этап №2. Работа с аккаунтом

Двухфакторная аутентификация

При входе в аккаунт, кроме кода из СМС, понадобится ввести пароль. Удивительно, но не все админы знают и используют эту функцию.

Включение строго обязательно: Настройки > Конфиденциальность > Облачный пароль. Пароль хранить в надёжном месте.

Активные сессии

Проверьте, пользуетесь ли вы теми устройствами, у которых есть доступ к аккаунту. Удалите ненужные, а если увидите незнакомое — удалите и смените облачный пароль.

Устройства

Лучше воздержаться от входа в аккаунт с устройств на Android и Windows без антивируса. На iOS и macOS — приемлемо, если установлена последняя версия системы.

Это простая инструкция, которая покроет 90% потребностей телеграм-админов. Но у нас есть что предложить компаниям и крупным каналам. Если для вас это актуально, напишите нам →

Мы также проводим бесплатные аудиты телеграм-каналов, в которые входит проверка безопасности. Подойдёт для каналов любого масштаба, заказать можно по ссылке →

Если после прочтения статьи остались вопросы, пишите их в комментариях. Не прощаемся.

11
Начать дискуссию