Эпитафия украденным Telegram-каналам
Поскольку люди не знают элементарных правил компьютерной безопасности и гигиены, попробуем объяснить.
Коллеги, у всех, у кого увели канал, действовали по двум схемам — либо ссылка, либо обход двухфакторной авторизации через простую методику:
🔸 В бот обратной связи кидают ссылку рекламную/ссылку на публикацию якобы по теме/ссылку на дополнение, а администраторы — будь они хоть трижды опытными публицистами — оказались просто безграмотны в техническом плане. Они взяли и перешли по ссылке. Произошёл перехват сессии устройства, с которого сидел администратор. В случае, если админ перешёл с аккаунта владельца (либо на телефоне/планшете была авторизация одновременно в аккаунтах и администратора, и владельца) — доступ был утрачен.
🔸 У двоих людей увели каналы, представившись рекламными агентами Тинькофф и предложив зарегистрироваться по якобы реферальной ссылке. Люди, не надо никогда вешать свои личные банковские карты. Погуглите, что такое «даркнет» хотя бы, скачайте себе Tor и купите на какой-нибудь Гидре киви-кошелек с реальной анонимной. А ещё лучше — научитесь пользоваться криптовалютой.
📌 Не нажимайте на скрытые ссылки. Предпросмотр в телеге помогает облегчить жизнь. Если предпросмотр не работает, лучше скопируйте ссылку в блокнотик, покрутите, посмотрите её, убедитесь, что она нормальная. Даже если написал знакомый. Даже если написал фанат.
🔸 Схема похищения канала с двухфакторной авторизацией простая: создаётся дубль номера, на который завязан канал (кто-то пренебрегает собственной конфиденциальностью и раздаёт свой номер направо и налево, журналисты светятся в базах, а кто-то палится через оплату рекламы со своей собственной карты).
После этого через этот дубль генерируется запрос в телеграм. Когда дело доходит до двухфакторной авторизации, её можно обойти через привязанную почту. И как вы думаете, что за номер указан для восстановления привязанной почты? Бинго — тот же самый, что и для уже известного аккаунта в телеграме.
📌 Простые правила пользования Telegram
🔹 Заведите привычку ежедневно проверять список активных сессий на вашем устройстве. Если в Ваш аккаунт подключился посторонний человек — в течение суток он не сможет Вас с Вашего устройства вышвырнуть.
🔹 Переведите Ваш канал на другой аккаунт владельца. На тот номер, который никому неизвестен. Кто-то предпочитает физический номер, но можно просто взять, купить виртуальный номер какого-нибудь Восточного Тимора или Монако, зарегистрировать на него аккаунт, настроить уникальный пароль для двухфакторной авторизации, завести почту на protonmail с уникальным логином и паролем, а в качестве восстановления к почте привязать номер лучшего друга, которому доверяете.
🔹 Не пользуйтесь аккаунтом владельца в повседневной жизни. Не пишите с него. Не контактируйте. Его никто не должен знать. Не присваивайте ему короткого имени. Проставьте все настройки конфиденциальности. Залогиньтесь на нём на каком-нибудь своём старом телефоне и ноутбуке. И периодически проверяйте, чтобы с ним всё было хорошо. Сидите и пишите с аккаунта администратора, а не владельца.
🔹 Не переходите по ссылкам. Вообще.