Как обмануть бота в телеграмме на оплату: где взять, как настроить, зачем использовать

где взять, как настроить, зачем использовать

Telegram зарекомендовал себя как надёжный инструмент маркетинга и развития бизнеса. Многие компании имеют свои каналы или чаты в мессенджере, что позволяет оповещать клиентов о новинках, распродажах или акциях. Помимо информационного источника, Telegram может стать и дополнительным каналом сбыта, осуществить это можно при помощи бота автопродаж Телеграм.

Для начала нужно разобраться в том, что собой представляют роботы, и какие функции они могут выполнять и как обмануть бота в телеграмме или как взломать. Робот – это своего рода программа, которая взаимодействует с пользователем путём отправки сообщений.

Пользователь запускает его нажатием кнопки «страт», далее, из предложенных команд, выбирает ту, что решает его проблему. Набор команд может быть разным, именно это и определяет характер и род его деятельности.

В чём отличие ботов-посредников от ботов автопродаж

Как было сказано выше, боты могут выполнять разные функции, от генерирования анекдотов на заданную тему, до продажи товаров или услуг. Что касается продаж, то тут может быть два варианта – это посредничество в продаже (приём заявок от покупателей и передача их в базу, которая в дальнейшем обрабатывается оператором) и автопродажа (моментальное осуществление сделки между покупателем и продавцом).

Ботами, являющимися посредниками в продаже часто пользуются такие организации, как такси, службы доставки еды, курьерские компании, специалисты, выезжающие на место вызова. Боты автопродаж используются для торговли электронными ресурсами, криптовалютой и т.п, словом, всем тем, что не требует вмешательства третьих лиц для осуществления сделки.

Рисунок 1. Бот-продавец услуг службы доставки.

Рисунок 2. Бот автопродаж криптовалюты.

Как создать бота

Рождение каждого бота происходит при помощи @BotFather. Нужно скопировать этот адрес в поисковую строку мессенджера и из возможных вариантов выбрать тот, что соответствует названию. В открывшемся окне диалога нажать на кнопку «старт» и начать процесс создания или редактирования.

Что нужно делать:

1. Выбрать команду /newbot.
2. Далее нужно дать название боту, для этого следует отправить сообщение с его именем.
3. После, появится сообщение с просьбой придумать адрес боту, где говорится, что одним из обязательных условий является приписка «bot». Для этого, так же как и в предыдущем пункте, нужно отправить сообщение с адресом.
4. Бот создан. @BotFather поздравляет с этим событием и присылает токен (комбинация, состоящая из набора символов, которая необходима для идентификации бота в программных продуктах).

Рисунок3. Поиск и запуск @BotFather.

Рисунок 4.Порядок команд для создания бота, сообщение с токеном.

Не смотря на то, что процесс создания завершён, не стоит удалять @BotFather из своих контактов. Он может понадобиться для дальнейшей работы с ботом, например, при помощи него можно сменить аватар, описание, узнать токен и т.п. В двух словах – это родитель бота и через него им можно управлять в дальнейшем.

Сервисы, при помощи которых можно бесплатно и самостоятельно создать бот для продаж:

Создав базу, можно научить бота выполнять конкретные функции, а именно: показывать каталог товаров, сообщать о цене, узнавать адрес и время доставки и прочее. Для этого можно воспользоваться специальными сервисами, которые работают над обслуживанием Телеграм-помощников:

• @Chatfuel
• @botoboto_bot
• @flowxobot

После запроса к одному из следующих ботов появится меню настроек, а так же ссылка на сайт.

Как настроить работу бота-продавца

Хоть настройка и осуществляется при помощи робота, но загружать изображение товара, указывать цену и описание лучше на сайте, куда он даст ссылку после создания магазина.

Создание магазина на примере @botoboto_bot:

• Запустить @botoboto_bot или зайти на сайт https://www.botobot.ru и нажать на кнопку – «создать магазин», после будет дана ссылка на него в Телеграм.
• Далее нужно указать название магазина и токен робота, созданного при помощи @BotFather.
• Магазин создан. Осталось перейти по ссылке в личный кабинет, где можно управлять товаром, ценой и прочим.
• Этот сервис платный, но если в продаже двадцать или менее товаров, то пользоваться им можно безвозмездно.

Рисунок 5. Порядок работы с @botoboto_bot.

Рисунк 6. Запуск бота с сайта https://www.botobot.ru

Как создаются надёжные и многофункциональные боты

С ботами для автопродаж намного сложнее справится самостоятельно. Если в работу роботов-посредников ещё может вмешиваться оператор, связываясь с покупателем по предоставленным контактам, то автоматические продавцы должны работать автономно. К тому же, в первом варианте можно ограничиться выбором товара, цены и адреса доставки, без перевода денежных средств, а во втором уже придётся осуществлять денежные переводы через него на qiwi или другие электронные кошельки.

Простых ботов, в том числе и посредников между покупателем и продавцом, можно настроить самостоятельно, а более умных и многозадачных помощников придётся покупать. Их для автопродаж лучше покупать у специалистов по программированию или заказывать на специальных сервисах. Создаются Телеграм-помощники и клиент роботы при помощи языков python, php (большинство их написано на нём), c#, java.

В диалоге с ним, как и с обычными пользователями, используется криптографический протокол mtproto, поэтому переписку с платёжными реквизитами взломать вряд ли удастся, ели не получить доступ к управлению роботом. Именно по этой причине для создания помощника автопродаж лучше воспользоваться услугами специалиста, а не доверять бесплатным скриптам, скаченным в интернете, или купленным у лиц, которые не имеют к их созданию никакого отношения.

Рисунок 7. Так выглядят боты (этот пример написан на языке php).

Где взять готовых ботов

Можно конечно скачать, но лучше купить. Как было сказано выше, для проведения безопасных финансовых сделок нужен качественный бот или клиент бот, который создаётся при помощи python и прочих языков программирования.

Если желание получить робота бесплатно, несмотря на риски, велико, то можно воспользоваться поисковой строкой браузера. В результатах поиска будет достаточно ссылок на различные форумы, на которых дают даром или продают готовые скрипты за символическую сумму. Например:

1. https://wildmoney.org/threads/bot-avtoprodazh-Telegram-Telegram.339/
2. https://slivap.ru/threads/Telegram-bot-avtoprodazh-24-7.3745/
3. http://helix-24.ru/threads/Telegram-bot-avtoprodazh-24-7.837/

Заказать или купить его можно на следующих сайтах:

1. https://Telegrambot.pro/
2. https://karhouse.org/
3. http://baks.it/Telegram-bot-prodavec/
4. https://angrydev.ru/

Возможные проблемы

Проблем может быть несколько, от неправильной настройки, до сбоев в работе сервиса. Наиболее актуальные:

Нельзя использовать все возможные платёжные системы. Поэтому выбор невелик, в основном для оплаты товаров через бота автопродаж Телеграм используют qiwi кошелёк.

Бот продавец может тормозить работу из-за проблем с сайтом, с которого загружается каталог товаров или другие файлы и документы.

Не стоит забывать, что робот – это машина, которая работает по заданному алгоритму и его можно нарушить. Поэтому бесплатные боты автопродаж – сродни сыра в мышеловке.

При скачивании бесплатных, можно бесплатно передать мошенникам пароли, реквизиты и прочие данные, которые утекут через программы-вирусы, тем самым омрачив радость выгодного приобретения бота-торговца.

Вывод

Работать с такими продавцами в Telegram удобно как для торговца, так и для покупателя. Они могут заменить оператора приёма заказов или посредника сделки, что исключит лишние финансовые затраты и ускорит совершение покупки. С помощью нашего сайта вы сможете знать как взломать бота в телеграмме, как их обмануть. Криптографический протокол mtproto сохраняет конфиденциальность диалога и сохранность личных данных и платёжных реквизитов.

Как обмануть бота в телеграмм с оплатой

Уже давно весь мир волнует такая тема как криптовалюты, действительно пространство расширяется, интернет приобретает все больше прав, соответственно многие считают что осталось немного времени до того момента, как все реальные деньги станут никому не нужны, ведь уже сейчас практически каждый пользуется картой. Самой популярной такой цифровой валютой сейчас служит биткоин.

Телеграмм же, как самая анонимная у нас социальная сеть, стала отличным пространством для обмена биткоинов. Тут очень важно сохранять анонимность и не быть обманутым. Очень трудно среди обилия сервисов найти те, которые будут действительно полезны. Чтобы информация не стала для вас белым шумом, стоит искать проверенные источники. Зато обратившись именно к проверенному боту сервису, вы поразитесь, насколько удобным могут быть подобные источники, ведь одна такая программа готова предоставить вам всю информацию. Телеграмм действительно наиболее безопасная площадка для обмена и работы с цифровыми валютами. Боты наиболее простой вариант, они сейчас считаются авторитетными продавцами, так людям намного проще взаимодействовать.

Боты предоставляют выгодные условия, да и вам будет просто обменивать так валюту. То, что касается заработка на ботах, деятельность популярная, нужно просто знать хорошие источники, которые действительно приведут вас к заработку и не обманут. Ботов для обмена вы найдете много, есть боты с информационной базой, где вы подробно можете изучить всю литературу о цифровой валюте. Информационные боты очень полезны, они имеет важные ссылки, и помогут вам найти именно ту литературу по тематике, которая вам необходима. Есть не менее интересные боты, которые расскажут вам о курсе существующих главных криптовалют. Обмануть бота в телеграмм очень просто, нужно лишь терпение и немного знаний.

Самыми полезными, конечно, считаются боты с расчетом затрат и окупаемости на обмене, ведь человек который не был в этой сфере определенное количество времени и не имеет опыт, вряд ли сможет просто влиться и понять как заработать, но бот будет рад ему помочь. Боты очень удобно устроены, вы можете узнать их команды, запрашивать информацию, топ криптовалют, и даже найти прямой обменщик. Единственное, вам нужно знать проверенных ботов, которые не будут переправлять вас на мошенников. Ведь в таком дел просто ошибиться, не подкупайтесь даже на хорошую рекламу и большие цифры выводов, лучше идти маленькими, но уверенными шагами. Аккуратно стоит поступать и в момент, когда вас просят привязать свой кошелек, учтите, что никто просто так вас большую сумму не скинет.

БАЗА ЗНАНИЙ

СЛУЧАЙНАЯ СТАТЬЯ

СЛУЧАЙНЫЙ БЛОГ

СЛУЧАЙНЫЙ МОД

СЛУЧАЙНЫЙ СКИН

НОВЫЕ МОДЫ

НОВЫЕ СКИНЫ

НАКОПЛЕННЫЙ ОПЫТ

⭐️ Взлом Телеграм бота — как это сделать

Коротко ответить на вопрос, как взломать бота Телеграм, не получится. Мессенджер считается самым защищенным из всех существующих на сегодня. Поэтому не стоит сгоряча применять найденный на просторах сети мануал по взлому бота и рассчитывать на быстрый результат.

Сначала разберемся, возможно ли в принципе взломать Телеграм бота и для чего это может пригодиться.

Специально для жителей РФ: рекомендуем бота TeleBot, который раздает надежные, быстрые и бесплатные MTProxy для обхода блокировки Telegram.

Содержание:

Разобрались в том, как взломать бота в Телеграм и о чем важно помнить

Взлом бота в Телеграм: что это дает

Ботов создают специально для автоматизации каких-то действий. Такая программа умеет общаться с пользователями, принимать заказы, собирать информацию и в принципе делать все, что укладывается в рамки алгоритмов.

Подробнее о том, как работают боты в Телеграм, читайте в нашем подробном материале.

Телеграм очень быстро развивается, поэтому и создание ботов тоже стало популярным. Их используют в основном как способ заработать или сэкономить трудозатраты. Соответственно, актуализировался вопрос взлома. 

Только представьте, насколько бот может упростить жизнь владельца новостного канала: стоит только один раз настроить программу, и она сама будет подтягивать в канал актуальные новости.

Взломать чужого бота — значит, сэкономить собственные силы, время и деньги на его создание. Крутые функциональные роботы пишутся программистами, а это недешево и затратно по времени.

Рекомендуем ознакомиться с подборкой лучших Телеграм-ботов:

Лучшие боты для Телеграм

Как взломать бота в Телеграм

Те, кто хоть раз пробовал создать робота в мессенджере, знают, что каждый бот имеет уникальный API ключ. Это длинная строчка со случайным набором цифр и букв.

Она нужна для управления ботом, и выдает ее BotFather на заключительном этапе создания программы.

Кстати, каждый пользователь обладает уникальным Telegram user ID.

Итак, главное о взломе:

• Взлом бота по сути сводится к тому, чтобы узнать API.

Методом генерации ключа дело не решится: на перебор сочетаний может уйти очень много времени.

Обычно такой метод перебора называют «брутфорсом». Термин относится ко всем вариациям взлома — будь то программа, приложение или тот же Телеграм-бот.

Помните, что если искомое значение слишком сложное (состоит из множества букв, цифр или специальных символов), брутфорс может длиться годами и даже столетиями.

• Можно попробовать взломать переписку с ботом, который выдает токен.

Но, как утверждает создатель Телеграм, сделать это не под силу никому.

Интересно: Павел Дуров пообещал выплатить 300 000 долларов тому, кто сумеет расшифровать переписку в Телеграм. До сих пор эту круглую сумму так никто и не получил.

• Остается единственный вариант: взломать учетную запись пользователя, которому принадлежит бот.

Но и здесь все не так просто: для этого придется получить доступ к телефону владельца.

В общем, взломать Телеграм бота обычному пользователю невозможно.

И если где-то вам предлагают купить крутой софт для угона ботов, не верьте, такую программу еще не придумали.

Как обмануть бота Телеграм, если взломать не получается

Предупреждаем сразу: такие действия считаются уголовно наказуемыми, поэтому хорошенько подумайте, прежде чем делать что-то подобное.

Действия по взлому и обману являются незаконными!

Обмануть Телеграм бота можно. Для этого уже написаны хитрые скрипты, которые при желании можно найти в сети. Их основная задача — запутать торгового бота, заставить работать по другому сценарию и завести в тупик.

Со своей стороны мы не будем давать таких рекомендаций, однако вы должны знать, что в интернете есть подобные статьи.

Основные правила предосторожности: хитрости обещающих взлом бота

Важно помнить:

• Вам могут наобещать взломать или обмануть Телеграм бота за определенную сумму.

Оплата таких услуг сильно варьируется от предложения к предложению. Но пока что доподлинно не известно ни об этом одном успешном случае взлома.

• То же самое можем сказать о программах для брутфорса.

Владелец такого приложения может пойти на хитрость, чтобы вы поверили в возможность взлома — например, подделать скриншоты в фотошопе.

Это очень слабое подтверждение взлома, как минимум потому, что можно просто с нуля создать своего бота с таким же названием и никнеймом, как у настоящего. И управляя им, имитировать взлом оригинального робота.

Именно поэтому настоятельно не рекомендуем отправлять кому-либо свои деньги с целью взломать Телеграм бота! Будьте осторожны.

Как обмануть бота в телеграмме

В наше время слова «Майнинг», «Блокчейн», «Биткоины» раздаются буквально отовсюду: от пассажиров трамвая до серьёзных бизнесменов и депутатов Госдумы. Разобраться во всех тонкостях и подводных камнях этих и смежных понятий сложно, однако в базе данных на нашем сайте Вы быстро найдёте исчерпывающую информацию, касающуюся всех аспектов.

Ищем дополнительную информацию в базах данных:

Как обмануть бота в телеграмме

]]>

Базы онлайн-проектов:

Данные с выставок и семинаров:

Данные из реестров:

Дождитесь окончания поиска во всех базах.
По завершению появится ссылка для доступа к найденным материалам.

Вкратце же все необходимые знания будут изложены в этой статье.
Итак, начать стоит с блокчейна. Суть его в том, что компьютеры объединяются в единую сеть через совокупность блоков, содержащую автоматически зашифрованную информацию, попавшую туда. Вместе эти блоки образуют базу данных. Допустим, Вы хотите продать дом. Оформив документы, необходимо идти к нотариусу, затем в присутствии его, заверив передачу своей подписью, Вам отдадут деньги. Это долго, да и к тому же нужно платить пошлину.

Благодаря технологии блокчейна достаточно:

1. Договориться.
2. Узнать счёт получателя.
3. Перевести деньги на счёт получателя.

…и не только деньги. Можно оформить электронную подпись и отправлять документы, любую другую информацию, в том числе и конфиденциальную. Опять же, не нужны нотариусы и другие чиновники: достаточно идентифицироваться Вам и получателю (будь то частное лицо или госучреждение) в своём компьютере.

Транзакция проходит по защищённому каналу связи, никто не видит (в том числе банки и государство), кто, что и кому перевёл.

Возможность взломать исключена из-за огромного количества блоков, описанных выше. Для хакера нужно подобрать шифр для каждого блока, что физически нереально.

Другие возможности использования блокчейна:

• Страхование;
• Логистика;
• Оплата штрафов
• Регистрация браков и многое другое.

С блокчейном тесно связано понятие криптовалюта. Криптовалюта — это новое поколение децентрализованной цифровой валюты, созданной и работающей только в сети интернет. Никто не контролирует ее, эмиссия валюты происходит посредством работы миллионов компьютеров по всему миру, используя программу для вычисления математических алгоритмов.

Вкратце это выглядит так:
1. Вы намереваетесь перевести кому-то деньги.
2. Генерируется математический код, проходящий через уже известные Вам блоки.

3. Множество компьютеров (часто представляющих собой совокупность их, с мощными процессорами и как следствие большей пропускной способностью) обрабатывают цифровую информацию, передавая их на следующие блоки, получая за это вознаграждение (некоторые транзакции можно совершать бесплатно)
4. Математический код доходит до электронного кошелька получателя, на его балансе появляются деньги.

Опять же, как это в случае с блокчейном, переводы криптовалют никем не контролируются.

Хотя база данных открыта, со всеми адресами переводящих и получающих деньги, но владельца того или иного адреса, с которого осуществляется перевод, никто не знает, если только хозяин сам не захочет рассказать.

Как обмануть бота в телеграмме

Работающих по подобному принципу валют много. Самой знаменитой является, конечно, биткоин. Также популярны эфириум, ритл, лайткоины, нумитсы, неймкоины и многие другие. Разница у них в разном типе шифрования, обработки и некоторых других параметрах.

Зарабатывают на технологии передачи денег майнеры.

Это люди, создавшие упомянутую выше совокупность компьютерных видеокарт, которая генерирует новые блоки, передающие цифровую информацию — биткоины (или ритлы, или любую другую криптовалюту). За это они получают вознаграждение в виде той же самой криптовалюты.

Существует конкуренция между майнерами, т.к. технология с каждой транзакции запрограммировано усложняется. Сначала можно было майнить с одного компьютера (2008 год), сейчас же такую валюту как биткоин физическим лицам уже просто невыгодно: нужно очень много видеокарт (их все вместе называют фермами), с огромными вычислительными мощностями. Для этого снимаются отдельные помещения, затраты электроэнергии для работы сравнимы с затратами промышленных предприятий.

Зато можно заработать на других, менее популярных, но развивающихся криптовалютах. Также различают соло майнинг и пул майнинг. Соло — это создание своей собственной фермы, прибыль забирается себе. Пул же объединяет других людей с такими же целями. Заработать можно гораздо больше, но придётся уже делиться со всеми.

Перспективами использования технологии блокчейна вообще и криптовалют в частности заинтересовались как и физические лица, так и целые государства.

В Японии криптовалюта узаконена. В России в следующем году собираются принять нормативно-правовые акты о легализации блокчейна, переводов криптовалюты и майнинга. Планируется перевод некоторых операций в рамки блокчейна. Имеет смысл изучить это подробнее, и, при желании, начать зарабатывать. Очевидно, что сейчас информационные технологии будут развиваться и входить в нашу жизнь всё больше и больше.

Интернет-мошенники стали использовать боты в Telegram для шантажа

Интернет-мошенники начали собирать информацию для шантажа россиян из ботов в мессенджере Telegram. Они вымогают деньги, угрожая взломом или раскрытием данных о действиях своей жертвы родственникам и коллегам, сообщили «Коммерсанту» эксперты по информбезопасности. Они предупреждают, что объектами вымогательства в скором времени станут не только люди, но и компании.

Как рассказал газете начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд, одним из источников информации для сетевых вымогателей выступил MailSearchBot компании LeakCheck. Этот бот создавался для проверки паролей: сервис за плату предлагает пользователю найти по номеру телефона свои логины и пароли, которые оказались в открытом доступе, то есть уже скомпрометированы. Хотя в бесплатной версии бота часть пароля скрыта, мошенники используют эти данные для вымогательства. «Жертвам предлагается заплатить, чтобы их данные не раскрыли друзьям, родственникам или коллегам», — рассказал Дрозд.

Позволяющий использовать чужие телефонные номера и менять голос бот появился в Telegram

Реклама на Forbes

В самой компании LeakCheck располагают данными о случаях такого мошенничества. «Чаще всего мошенники пишут жертвам, что на их компьютер попал вирус и все действия в сети записаны, а для подтверждения прикладывают последний использованный пароль», — уточнили в LeakCheck.  По данным компании, MailSearchBot не хранит историю запросов, поэтому установить связь с ним мошенников невозможно. В LeakCheck не планируют вводить ограничения для запросов, потому что их легко обойти, сменив аккаунт. По словам основателя компании «Интернет Розыск» Игоря Бедерова, мошенники могут представляться и службой безопасности сервиса и предлагать сменить скомпрометированный пароль, а в итоге получают полный доступ к аккаунту пользователя. «Обычно люди переживают за сохранность своих фотографий и переписки, поэтому открывают подобные мошеннические письма и верят им», — добавил эксперт.

Немного прозрачности не повредит: зачем компании раскрывают количество запросов от властей

Специальные боты относятся к инструментам разведки по открытым источникам, их популярность растет как среди обычных пользователей, так и среди мошенников, рассказал Дрозд из «СерчИнформа». Создание ботов, которые позволяют собирать информацию о пользователях сети, активизировалось в Telegram в 2020 году.  В числе старейших и самых крупных сервисов такого рода — «Глаз Бога», «Архангел», Smart_SearchBot и AVinfoBot. Они используют данные, которые уже находятся в открытом доступе, поэтому принцип их работы можно сравнить с поисковой системой, отметил директор по стратегическим коммуникациям Infosecurity a Softline Company Александр Дворянский. Если человек многие годы использует один и тот же пароль, рано или поздно он станет жертвой злоумышленников, предупреждает Дворянский. Руководитель департамента защиты от цифровых рисков Group-IB Антон Долгалев добавил, что в случае шантажа раскрытием личных данных, не стоит верить, что после перевода мошенникам запрошенных денег они прекратят шантаж.

Хакеры стали рассылать «коммерческие предложения» в Telegram для кражи каналов

Игорь Бедеров прогнозирует, что в 2021 году количество поводов для шантажа со стороны вымогателей вырастет из-за принятого в конце 2020 года закона о регулировании общедоступных персональных данных. По этому закону бизнесу запрещено собирать информацию о людях из социальных сетей без их прямого согласия, даже когда профиль человека являлся открытым. Это требование, предположил Бедеров, может вызвать волну вымогательских сообщений от лица якобы субъектов персональных данных в адрес бизнеса. Эксперт ожидает, что злоумышленники будут рассылать фейковые письма со штрафами за нарушение новых требований законодательства. Таким образом объектами вымогательства станут уже не пользователи-физические лица, а компании.

Мимо кассы: как делать платежи с помощью Telegram и мобильных денег

22 Января, 2018,
14:00

11536

Сфера финансовых услуг меняется во всем мире. Деньги становятся все более виртуальными, а пластиковые банковские карты уже начинают устаревать. Украинцы чувствуют эти изменения и все чаще пользуются технологией бесконтактных платежей NFC, изучают преимущества mobile-only банкинга, интересуются криптовалютами и создают общественные организации вроде Bitcoin Foundation Ukraine.

Отечественный разработчик Hubbot также старается сделать украинский бизнес более современным. На данный момент командой создано 16 ботов, в которых можно расплачиваться за услуги за пару кликов. Теперь оплачивать покупки через Telegram стало еще проще — с помощью мобильных денег Киевстар.

Прежде, чем приступить к обзору новшества — мобильных денег «Киевстар» в ботах Hubbot, я поинтересовался, как осуществляются денежные транзакции и списание средств со счета. Оказалось, что мобильные деньги работают на основе платежной системы EasyPay. Правила ее использования зарегистрированы в НБУ, потому в надежности операций можно не сомневаться. Ранее я использовал боты Hubbot для покупки билетов на киносеансы. Платежные операции с банковской картой всегда осуществлялись быстро — в ботах этот процесс автоматизирован и нет необходимости многократно вводить реквизиты. Зачем же тогда нужны мобильные деньги «Киевстар» и в чем преимущества такой платежной технологии? Узнаем прямо сейчас.

Бот кинотеатра «Жовтень»

Оплата мобильными деньгами «Киевстар» доступна в ботах для заказа билетов на киносеансы: «Киноафиша», Кинотеатр «Жовтень», «Кінопалац» и «Оскар». Разработчики обещают в скором времени добавить такую опцию и в другие боты, что особенно актуально для бота для доставки воды по Украине Delivery of water.

Воспользоваться опцией можно, если вы абонент предоплаченной связи «Киевстар». В других случаях приобрести билеты можно с использованием банковской карты.

Для тестирования мобильных денег я выбрал свой любимый киевский кинотеатр «Жовтень». Открываю бот «Жовтня» в Telegram, задаю команду /start, бот приветствует меня и предлагает выбрать дату и сеанс. Навигацию можно осуществлять как по дате сеанса, так и по репертуару.

Определившись с датой и интересующей меня картиной, выбираю удобное время нажатием на соответствующую кнопку. После этого бот предлагает выбрать места в зале — вручную или автоматически. При ручном выборе на экране появляется схема зала с доступными местами.

После выбора мест, бот бронирует билеты на 15 минут, чтобы никто не мог выкупить их раньше вас. После этого самое интересное — оплата.

Раньше я оплачивал покупки в ботах банковской картой. Мои реквизиты были сохранены, и платеж производился автоматически в течение нескольких секунд. Теперь в интерфейсе бота появилась кнопка «Мобильные деньги Киевстар». Выбираю именно этот способ оплаты и бот просит указать, свой номер телефона. «Киевстар», разумеется. Затем на номер отправляется SMS-подтверждение с кодом, который нужно набрать и отправить боту. Через несколько секунд бот отправляет билет со штрих-кодом и информацией о сеансе.

До осуществления платежа на моем мобильном счету было 140 грн. После оплаты билета стоимостью 98 грн. баланс составил 42 грн., а значит никакой дополнительной комиссии по транзакции не взимается. При повторной оплате вводить номер телефона не нужно. Так же мобильные деньги работают и в других ботах для покупки билетов от Hubbot: «Киноафиша», Кинотеатр «Жовтень», «Кінопалац» и «Оскар». Разработчики обещают вскоре добавить эту опцию во все остальные свои боты.

Для меня такой способ оплаты по скорости транзакции равносилен оплате картой, ведь в ботах Hubbot платежи автоматизированы и повторно вводить реквизиты не нужно. Но если обычный способ оплаты недоступен, а вам необходимо быстро осуществить платеж, то мобильные деньги «Киевстар» — очень удобная опция. А если банк при оплате взимает комиссию, то использовать мобильные деньги еще и выгоднее.

посмотреть всех ботов Hubbot

Боты атакуют. Тестируем телеграм-боты для поиска персональных данных — «Хакер»

Не­дав­ние разоб­лачитель­ные пуб­ликации извес­тно­го оппо­зици­оне­ра Алек­сея Наваль­ного вско­лых­нули вол­ну небыва­лого инте­реса общес­твен­ности к тенево­му биз­несу, свя­зан­ному с услу­гами про­бива. То, что поч­ти любые дан­ные у нас про­дают­ся и покупа­ются, — не сек­рет, но, говорят, кое‑что мож­но разуз­нать и вов­се бес­плат­но у ботов в «Телег­раме». Так ли это и о каких ботах речь, мы сей­час выяс­ним.

warning

Не­закон­ный сбор пер­сональ­ной информа­ции — это наруше­ние закона «О пер­сональ­ных дан­ных» и дру­гих законов РФ. Так­же подоб­ные дей­ствия могут обра­зовать сос­тав прес­тупле­ния по статье 137 УК РФ «Наруше­ние неп­рикос­новен­ности час­тной жиз­ни». Ни автор, ни редак­ция не несут ответс­твен­ности за любые пос­ледс­твия исполь­зования при­веден­ных в этой пуб­ликации све­дений, которые пред­став­лены здесь исклю­читель­но ради информи­рова­ния читате­ля.

Боль­шинс­тво ботов Telegram, выпол­няющих по зап­росу поль­зовате­ля поиск и выдачу пер­сональ­ных дан­ных, работа­ют по схе­ме OSINT, то есть опи­рают­ся на откры­тые источни­ки, для чего экс­плу­ати­руют API раз­личных служб и интернет‑ресур­сов. Дру­гие исполь­зуют сли­тые базы дан­ных, но такие сер­висы, во‑пер­вых, не всег­да фун­кци­они­руют ста­биль­но, а во‑вто­рых, испы­тыва­ют проб­лемы с акту­али­заци­ей информа­ции: любая утек­шая в паб­лик база со вре­менем уста­рева­ет и, разуме­ется, не обновля­ется. Монети­зиру­ются подоб­ные боты либо за счет донатов, либо за счет рек­ламы, или же адми­ны огра­ничи­вают количес­тво бес­плат­ных зап­росов, пос­ле чего бот начина­ет про­сить денег за каж­дую сле­дующую выдачу. Иног­да — если адми­ны ну очень жад­ные — исполь­зуют­ся все методы сра­зу.

Не все боты оди­нако­во удоб­ны в исполь­зовании

Лю­ди ищут пер­сональ­ную информа­цию по раз­ным при­чинам. Кто‑то пыта­ется таким обра­зом отыс­кать сво­их от­равите­лей дол­жни­ков или сим­патич­ную сосед­ку по подъ­езду с боль­шими и кра­сивы­ми си… ними гла­зами. Кто‑то разыс­кива­ет пря­мые кон­такты бло­геров или вла­дель­цев паб­ликов либо пыта­ется из чис­того любопытс­тва пос­мотреть пос­ты в зак­рытых про­филях соц­сетей сво­ей быв­шей.

Еще мож­но по номеру машины отыс­кать мобиль­ный телефон под­резав­шего тебя на дороге водят­ла, поз­вонить ему, наз­вать по име­ни‑отчес­тву и веж­ливо поп­росить объ­ясне­ний. Некото­рые «гон­щики» в такие момен­ты почему‑то нем­ного сму­щают­ся. В общем, при­чины могут быть раз­ными, а средс­тво одно: условно‑бес­плат­ные Telegram-боты или услу­ги про­бива, до сих пор широко рек­ламиру­емые в дар­кне­те.

Оче­вид­но, что не все боты оди­нако­во полез­ны. Некото­рые про­сят денег, но в ответ либо не находят акту­аль­ную информа­цию, либо отда­ют откро­вен­ную туф­ту. Дру­гие вро­де бы работа­ют, но нас­толь­ко стран­но, что дос­товер­ность пред­лага­емых ботом дан­ных оста­ется сом­нитель­ной. Что­бы ты не тра­тил дра­гоцен­ное вре­мя и день­ги на поиск жем­чужин в куче орга­ничес­ких удоб­рений, твой любимый жур­нал про­тес­тировал наибо­лее популяр­ные боты в Telegram и пря­мо сей­час поделит­ся с тобой получен­ными резуль­татами. Пог­нали!

Get Contact

Тот самый леген­дарный бот, сыг­равший немало­важ­ную роль в нашумев­шем рас­сле­дова­нии. Бот показы­вает, как имен­но записан номер мобиль­ного телефо­на в адресной кни­ге дру­гих або­нен­тов. Информа­цию железя­ка чер­пает с мобиль­ных устрой­ств або­нен­тов, уста­новив­ших при­ложе­ние Get Contact, поэто­му, если на телефо­нах тво­их дру­зей эта прог­рамма не уста­нов­лена, никаких дан­ных ты не получишь. В день бот поз­воля­ет отпра­вить не боль­ше трех телефон­ных номеров.

В моем слу­чае на все без исклю­чения зап­росы бот выдавал один и тот же ответ: Result: Nothing found. При этом поиск по име­ни бота в «Телег­раме» выда­ет пару десят­ков резуль­татов, отли­чающих­ся друг от дру­га одной или парой букв (get_kontact_bott, get_kontakts_bot и так далее) — видимо, на вол­не воз­росшей популяр­ности про­екта чис­ло жела­ющих поиметь с это­го про­фит тоже рез­ко уве­личи­лось. Некото­рые служ­бы, вро­де @Getcontact_official_bot, с ходу тре­буют зап­латить 200 руб­лей за под­клю­чение к сер­вису. При­том ни один из этих ботов, в общем‑то, не работа­ет.

Не знаю, с чем имен­но свя­зано это досад­ное явле­ние — с наруше­нием в логике сер­виса или с вне­зап­ным нап­лывом кли­ентов, но поль­зовать­ся сей­час Telegram-ботом Get Contact — бес­полез­ная тра­та вре­мени.

«Глаз Бога»

Еще один популяр­ный бот, упо­минав­ший­ся в ряде недав­них жур­налист­ских пуб­ликаций. Бот обла­дает доволь­но‑таки обширным набором фун­кций: поиск по име­ни в прос­том тек­сто­вом фор­мате, по номеру авто­моби­ля, по номеру телефо­на, по адре­су элек­трон­ной поч­ты, по наз­ванию юри­дичес­кого лица или ИНН.

Telegram-бот «Глаз Бога»

Для отправ­ки команд бот тре­бует под­писать­ся на собс­твен­ный канал, но даже это не гаран­тиру­ет резуль­тата. По телефо­ну «Глаз Бога» выда­ет наз­вание опе­рато­ра и его реги­он (видимо, для тех, кто не уме­ет опре­делять эти дан­ные на глаз), воз­можное имя (я ввел нес­коль­ко телефон­ных номеров — име­на сов­пали). Еще он может най­ти поч­товые адре­са (веро­ятнее все­го, по базе адми­нис­тра­торов доменов), стра­ницу «ВКон­такте», акка­унт «Телег­рам», WhatsApp, чис­ло инте­ресо­вав­шихся пер­сонажем до тебя. Но эту информа­цию бот пре­дос­тавит за 30 руб­лей. То же самое каса­ется поис­ка по номеру авто­моби­ля: бес­плат­но бот показы­вает толь­ко реги­он (который мож­но опре­делить и так), а за трид­цатку пред­лага­ет ска­чать отчет «Авто­кода». При этом дан­ные об авто­моби­ле по его номеру при желании нет­рудно отыс­кать в этих ваших интерне­тах бес­плат­но.

Ес­ли ты вве­дешь адрес элек­трон­ной поч­ты, бот любез­но покажет тебе логин (до сим­вола @) и домен (пос­ле @) — это осо­бо цен­ная информа­ция! Так­же тебе пред­ложат купить адрес при­вязан­ной к это­му мылу стра­нич­ки «ВКон­такте» и свя­зан­ные с email пароли из какой‑то сли­той базы. По име­ни бот ищет толь­ко номер телефо­на в задан­ном реги­оне, находит неп­равиль­ный и для его прос­мотра пред­лага­ет купить под­писку.

В общем и целом поль­за от это­го бота показа­лась мне весь­ма сом­нитель­ной: инфу, которую «Глаз Бога» отда­ет бес­плат­но, мож­но при желании нагуг­лить и без него, а плат­ная информа­ция скуд­на и не всег­да дос­товер­на.

Робот

Robocall в Telegram может обманом заставить вас отказаться от пароля

Исследователи CyberNews обнаружили новый тип автоматизированного инструмента социальной инженерии, который может извлекать одноразовые пароли (OTP) от пользователей в США, Великобритании и Канаде. Так называемый OTP Bot может обманом заставить жертв отправлять злоумышленникам пароли к своим банковским счетам, электронной почте и другим онлайн-сервисам — и все это без какого-либо прямого взаимодействия с жертвой.

Получить звонок от мошенника, выдающего себя за сотрудника службы технической поддержки, — это не весело.Потенциальной жертве, безусловно, утомительно слушать, как кто-то пытается ограбить ее вслепую, используя ее добрую волю. Это, вероятно, даже утомительно для мошенника — звонки сотням людей каждый день могут сделать мошенничество реальной работой.

Ну, больше нет. Теперь мошенники, похоже, могут пользоваться преимуществами автоматизации, поскольку новый тип наемных ботов захватывает мир социальной инженерии штурмом.

Meet OTP Bot: новый тип вредоносного бота Telegram, предназначенный для роботизированного обзвона ничего не подозревающих жертв и заставляет их отказаться от одноразовых паролей, которые мошенники затем используют для доступа к их банковским счетам и их опустошения.Что еще хуже, растущая база пользователей новомодного бота за последние недели выросла на тысячи человек.

Основные выводы

• Бот умеет извлекать одноразовые пароли от жертв за считанные минуты.
• OTP Bot может украсть OTP для криптобирж, банков и других онлайн-сервисов, таких как Gmail, Coinbase, Bank of America, Alliant, Chase и других.
• CyberNews приобрела запись разговора с роботом, которая раскрывает один из методов социальной инженерии OTP Bot.
• Telegram-канал OTP Bot быстро растет, и каждый день к нему присоединяются сотни новых потенциальных мошенников.

1. Как работает OTP Bot
2. Подарочные карты способствуют распространению мошенничества
3. Прямо изо рта бота
4. Растущий улей мошенничества и подлости
5. Протоколы защиты от роботов: шаг в правильном направлении?
6. Не обманывайтесь: как обнаружить атаки социальной инженерии

Щелкните, чтобы перейти вперед:

Как работает OTP Bot

По словам исследователя CyberNews Мартинаса Варейкиса, OTP Bot является последним примером растущей модели Crimeware-as-a-Service, когда киберпреступники сдают в аренду вредоносные инструменты и услуги всем, кто готов заплатить .

После покупки OTP Bot позволяет своему пользователю собирать одноразовые пароли от ничего не подозревающих жертв, вводя номер телефона цели, а также любую дополнительную информацию, которую злоумышленник мог получить в результате утечки данных или черного рынка, непосредственно в бота. Окно чата Telegram. «В зависимости от службы, которую желает использовать злоумышленник, эта дополнительная информация может включать всего лишь адрес электронной почты жертвы», — говорит Варейкис.

Сам бот продается в чате Telegram, который в настоящее время насчитывает более 6000 участников, принося своим создателям огромную прибыль от продажи ежемесячных подписок преступникам.Между тем, его пользователи открыто выставляют напоказ свою пятизначную прибыль от ограбления банковских счетов своих целей.

Джейсон Кент, хакер из компании Cequence Security, утверждает, что услуги по найму ботов уже превратили рынок автоматизированных угроз в товар, сделав для преступников невероятно легким проникновение в социальную инженерию.

«Раньше злоумышленник должен был знать, где найти ресурсы бота, как объединить их в скрипты, IP-адреса и учетные данные. Теперь, несколько поисковых запросов в Интернете откроют полные предложения Bot-as-a-Service, где мне нужно только заплатить за использование бота.Сейчас это боты для всех и для служб безопасности », — сказал Кент CyberNews.

«Потребителям вдвойне сложно узнать, кто звонит, или иметь возможность с уверенностью купить своим детям новую игровую консоль».

Подарочные карты способствуют распространению мошенничества

Самая популярная методика обмана, используемая подписчиками OTP Bot, называется «привязка карт». Он включает в себя подключение кредитной карты жертвы к учетной записи мобильного платежного приложения, а затем ее использование для покупки подарочных карт в обычных магазинах.

«Привязка кредитных карт является фаворитом мошенников, потому что украденные номера телефонов и информацию о кредитных картах относительно легко найти на черном рынке», — считает Варейкис.

«Имея эти данные под рукой, злоумышленник может выбрать доступный сценарий социальной инженерии из меню чата и просто передать информацию о жертве в OTP Bot».

Мартинас Варейкис

Используя поддельный идентификатор вызывающего абонента, бот автоматически позвонит на номер жертвы, выдавая себя за агента службы поддержки, и попытается обманом заставить ее отправить одноразовый пароль, который требуется для входа в учетную запись Apple Pay или Google Pay жертвы. .

После входа в систему с украденным одноразовым паролем злоумышленник может связать кредитную карту жертвы с платежным приложением и отправиться в магазин подарочных карт в ближайшем физическом магазине.

Мошенники обычно используют привязанные кредитные карты для покупки подарочных карт с предоплатой по одной простой причине: они не оставляют финансовых отпечатков. Это особенно удобно во время пандемии, поскольку требования к маскам соблюдаются в большинстве внутренних помещений, что позволяет преступникам еще проще скрывать свою личность на протяжении всего процесса.

В следующем примере, взятом из канала Telegram бота, пользователь OTP Bot хвастается покупкой предоплаченных подарочных карт на тысячи долларов с помощью связанных кредитных карт своих жертв в течение трех дней:

Вот еще один пример, опубликованный злоумышленником в Telegram-канале бота OTP, показывающий, как быстро бот может извлечь пароль из цели:

Всего за две минуты OTP Bot удалось успешно перехватить код и связать кредитную карту Alliant жертвы с приложением Apple Pay злоумышленника.Можно только представить, сколько жертв бот может обмануть за 24 часа.

Однако привязка кредитной карты — не единственная функция, поддерживаемая OTP Bot. Создатели автоматизированного инструмента социальной инженерии могут похвастаться возможностью извлекать одноразовые пароли для Gmail, Coinbase, Bank of America, Chase и других.

Прямо из уст бота

Хотя может быть трудно поверить, что приложение для звонков с помощью роботов может заставить вас отказаться от конфиденциальной информации за считанные минуты, но OTP Bot разработан так, чтобы звучать максимально убедительно.

CyberNews удалось получить запись разговора робота OTP Bot, в которой бот выдает себя за агента службы поддержки, предупреждая потенциальную жертву о неавторизованной стороне, запрашивающей доступ к их банковскому счету. Чтобы заблокировать запрос и защитить учетную запись, жертву просят набрать свой банковский PIN-код. Получив PIN-код, бот поздравляет жертву с хорошо выполненной работой:

«Отлично! Мы заблокировали этот запрос, и теперь ваш аккаунт в безопасности! »

OTP Бот

OTP Bot затем заверяет жертву, что любая несанкционированная транзакция будет автоматически возвращена в течение 24-48 часов, и дерзко перенаправляет ее на несуществующий веб-сайт Action Fraud для «статей сообщества о том, как обеспечить безопасность вашей учетной записи».”

Полную запись можно послушать здесь:

При изолированном прослушивании записанного вызова становится относительно ясно, что голос OTP-бота был сгенерирован с помощью программы преобразования текста в речь. При этом мы не можем обвинять кого-то в том, что он перехватил звонок, находясь в загруженном офисе, и принял бота за действительного агента службы поддержки.

Опять же, для некоторых людей раскрытие личной информации боту может даже не стать проблемой.Согласно исследованию Zingle, проведенному в 2019 году, 20% пользователей доверяют ботам службы поддержки клиентов больше, чем реальным людям, в то время как колоссальные 42% доверяют как роботам, так и сотрудникам службы поддержки в равной степени.

Растущий улей мошенничества и злодеяний

С момента запуска в Telegram в апреле популярность этой услуги, похоже, быстро растет, особенно в последние несколько недель. На момент написания в Telegram-канале OTP Bot насчитывается 6098 участников — это колоссальное увеличение на 20% всего за семь дней.

Некоторые из причин быстрого роста, по-видимому, заключаются в простоте использования и модели бота по найму, которая позволяет неопытным мошенникам или даже начинающим мошенникам успешно обманывать своих жертв с минимальными усилиями и нулевым социальным взаимодействием.

Фактически, некоторые пользователи OTP Bot нагло делятся своими историями успеха в чате Telegram, хвастаясь своими неправедными успехами перед другими участниками канала:

Основываясь на успехе OTP Bot, становится ясно, что популярность этого нового типа автоматизированного инструмента социальной инженерии будет только расти.

Действительно, появление на рынке бесчисленных новых сервисов-подражателей — лишь вопрос времени, которые привлекут еще больше мошенников, надеющихся быстро заработать на ничего не подозревающих целях.Кэтрин Браун, основательница Spyic, предупреждает, что с увеличением количества ботов на рынке возможности социальной инженерии и злоупотребления ею безграничны. «В этом году мы уже стали свидетелями появления ботов, которые автоматизируют атаки на политические цели, чтобы влиять на общественное мнение», — говорит Браун.

По словам доктора Алексиоса Милонаса, старшего преподавателя кибербезопасности в Университете Хартфордшира, рост числа наемных ботов социальной инженерии вызывает еще большее беспокойство из-за более строгих ограничений на наше социальное взаимодействие, наложенных пандемией.«Это особенно верно для тех, кто не разбирается в вопросах безопасности. Известно, что злоумышленники используют автоматизацию и онлайн-атаки социальной инженерии, что позволяет им оптимизировать свои операции для достижения своих целей, и команда CyberNews обнаружила еще один такой случай », — сказал Милонас CyberNews.

«Что еще более беспокоит, так это то, что это ноу-хау предлагается в аренду на основе облачных вычислений (криминальное ПО как услуга), обеспечивая более легкую точку входа для мошенников, играющих« скрипт-кидди ».”

Милонас считает, что пользователи должны быть более склонны «самообразовываться и быть начеку для подобных угроз, что позволит им стать более сложной мишенью для киберпреступников».

Микаил Тунч, главный инженер по безопасности в Mettle, однако, считает, что компаниям следует делать больше, чтобы обучать пользователей цифровой безопасности. «Безопасность — это постоянно движущаяся цель, и старые способы обеспечения безопасности, такие как Башня из слоновой кости, невероятно далеки от того, чтобы приблизиться к ним», — говорит Тунч.

«Банкам необходимо лучше постоянно обучать своих клиентов правильным образом. Стены текста, отправленные клиентам по электронной почте, могут пометить поле внутри, но они просто не работают. Ключевыми факторами являются непрерывное образование и правильная осведомленность ».

Микаил Тунч

В то же время Тунч утверждает, что группы безопасности должны разрабатывать приложения с учетом особенностей своих клиентов. «Даже элементы дизайна и текст невероятно важны, так как они могут быть разницей между пенсионером, теряющим свои сбережения, или нет.”

Протоколы защиты от роботов: шаг в правильном направлении?

К счастью, когда дело доходит до борьбы с мошенническими вызовами и вишингом (голосовым фишингом), есть и некоторые положительные новости. Крупные операторы мобильной связи, такие как Verizon и AT&T, начинают внедрять протоколы защиты от роботов, такие как STIR / SHAKEN, из-за чего социальным инженерам становится сложнее подделать идентификаторы вызывающих абонентов и выступить в качестве службы технической поддержки.

При этом некоторые эксперты утверждают, что эти меры не помешают мошенникам звонить своим потенциальным жертвам, поэтому может пройти некоторое время, прежде чем проблема роботизированного звонка будет решена или даже значительно смягчена.

Трэвис Рассел, директор по кибербезопасности Oracle Communications, утверждает, что небольшие телекоммуникационные компании не имеют ресурсов для внедрения протоколов защиты от роботов, что может подвергнуть риску некоторых пользователей. По словам Рассела, облачный сервис, поддерживающий STIR / SHAKEN, будет наиболее элегантным решением для небольших операторов, поскольку он устранит дорогостоящие технические требования для внедрения.

«Если бы это предлагалось как« программное обеспечение как услуга », это значительно снизило бы затраты для всех операторов и могло бы ускорить внедрение STIR / SHAKEN.Добавьте к этому облачную аналитическую платформу, и мы сможем успешно справиться с проблемой нежелательных звонков, поступающих на наши телефоны », — говорит Рассел.

Доктор Стивен Бойс, генеральный директор и президент The Cyber ​​Doctor, считает, что протоколы защиты от роботов, такие как STIR / SHAKEN, являются шагом в правильном направлении. «Тем не менее, большое количество роботизированных вызовов все еще проходит сквозь щели. Непрерывное обучение пользователей по обнаружению мошеннических звонков роботов — лучшая защита в сочетании с протоколом STIR / SHAKEN », — сказал Бойс CyberNews.

Напротив, Джейсон Кент утверждает, что протоколы анти-роботов — не более чем капля в море. «STIR / SHAKEN — это проверочные проверки, которые должны быть реализованы до 30 июня этого года. Вы заметите, что роботы-звонки все еще в ходу, — говорит Кент.

«Буквально вчера кто-то позвонил мне и спросил, знаю ли я, почему они позвонили по моему номеру и сказали, что их номер социального страхования аннулирован. Я сообщил им, что это была афера, и мошенники подделали мой номер телефона.»

Джейсон Кент

«Прошло 30 июня, а по-прежнему ничего не произошло. Люди, стоящие за этими службами, годами обходили закон и будут продолжать делать это », — сказал Кент CyberNews.

Не обманывайтесь: как обнаруживать атаки социальной инженерии

Учитывая все это, знание того, как обнаружить попытки социальной инженерии, по-прежнему жизненно важно для сохранения ваших денег и личной информации. Вот как:

• Не отвечать на звонки с неизвестных номеров. Если вы это сделаете, и кто-то, кого вы не знаете, начнет спрашивать у вас личную информацию, немедленно положите трубку.
• Никогда не разглашайте личные данные. Это включает такие данные, как имена, имена пользователей, адреса электронной почты, пароли, PIN-коды или любую информацию, которая может быть использована для вашей идентификации.
• Не торопитесь. Мошенники часто пытаются создать ложное ощущение срочности, чтобы вынудить вас предоставить свою информацию. Если кто-то пытается заставить вас принять решение, положите трубку или скажите, что перезвоните позже.Затем позвоните по официальному номеру компании, которую они якобы представляют.
• Не доверяю идентификатору вызывающего абонента. Мошенники могут отображаться как компания или кто-то из вашего списка контактов, подделывая имена и номера телефонов. Фактически, поставщики финансовых услуг никогда не звонят своим клиентам, чтобы подтвердить свою личную информацию. В случае подозрительной активности они просто заблокируют вашу учетную запись и будут ожидать, что вы свяжетесь с компанией по официальным каналам для решения проблемы. Таким образом, всегда будьте начеку, даже если идентификатор вызывающего абонента на экране телефона выглядит подлинным.

Больше от CyberNews:

Эта пара потеряла 15 000 фунтов стерлингов из-за мошенников. Мы проследили за деньгами — и нашли миллионы в украденной криптовалюте

.

Покупайте с осторожностью: мошенники рыщут среди интернет-покупателей

Анализ: онлайн-мошенничество стоило жертвам более 9 миллионов долларов в 2020 году

Когда мошеннические звонки достигают новых высот, вот как их остановить

Ваш роман в сети — это афера? Может еще не

Подпишитесь на нашу рассылку новостей

Как создать бота Telegram

Чат-ботов часто рекламируют как революцию в способах взаимодействия пользователей с технологиями и предприятиями.У них довольно простой интерфейс по сравнению с традиционными приложениями, поскольку они требуют от пользователей только общения в чате, а чат-боты должны понимать и делать все, что от них требует пользователь, по крайней мере теоретически.

Многие отрасли переводят обслуживание клиентов на системы чат-ботов. Это связано с огромным падением стоимости по сравнению с реальными людьми, а также из-за надежности и постоянной доступности. Чат-боты обеспечивают определенную поддержку пользователей без существенных дополнительных затрат.

Сегодня чат-боты используются во многих сценариях, начиная от черных задач, таких как отображение времени и данных о погоде, до более сложных операций, таких как элементарная медицинская диагностика и общение с клиентами / поддержка. Вы можете разработать чат-бота, который поможет вашим клиентам, когда они задают определенные вопросы о вашем продукте, или вы можете создать чат-бота личного помощника, который сможет выполнять основные задачи и напоминать вам, когда пора идти на встречу или в тренажерный зал.

Когда дело доходит до развертывания чат-бота, существует множество вариантов, и одним из наиболее распространенных вариантов использования являются платформы социальных сетей, поскольку большинство людей используют их на регулярной основе.То же самое можно сказать и о приложениях для обмена мгновенными сообщениями, хотя и с некоторыми оговорками.

Telegram — одна из наиболее популярных сегодня платформ обмена мгновенными сообщениями, поскольку она позволяет хранить сообщения в облаке, а не только на вашем устройстве, и может похвастаться хорошей многоплатформенной поддержкой, так как Telegram можно использовать на Android, iOS, Windows и просто о любой другой платформе, которая может поддерживать веб-версию. Создать чат-бота в Telegram довольно просто и требуется несколько шагов, которые займут очень мало времени. Чат-бот может быть интегрирован в группы и каналы Telegram, а также работает сам по себе.

В этом уроке мы создадим бота Telegram, который предоставит вам изображение аватара из Adorable Avatars. Наш пример будет включать создание бота с использованием Flask и его развертывание на бесплатном сервере Heroku.

Для выполнения этого руководства вам понадобится Python 3, установленный в вашей системе, а также навыки программирования на Python. Кроме того, хорошее понимание того, как работают приложения, было бы хорошим дополнением, но не обязательным, так как мы подробно рассмотрим большую часть того, что мы представляем. Вам также необходимо установить Git в вашей системе.

Конечно, для этого учебника также требуется учетная запись Telegram, которая бесплатна. Вы можете зарегистрироваться здесь. Также требуется учетная запись Heroku, и вы можете получить ее бесплатно здесь.

Оживление вашего Telegram-бота

Чтобы создать чат-бота в Telegram, вам необходимо связаться с BotFather, который по сути является ботом, используемым для создания других ботов.

Вам нужна команда / newbot , которая ведет к следующим шагам для создания вашего бота:

У вашего бота должно быть два атрибута: имя и имя пользователя.Имя будет отображаться для вашего бота, а имя пользователя будет использоваться для упоминаний и обмена.

После выбора имени бота и имени пользователя, которое должно заканчиваться на «бот», вы получите сообщение, содержащее ваш токен доступа, и вам, очевидно, потребуется сохранить свой токен доступа и имя пользователя на будущее, так как они вам понадобятся.

Код логики чат-бота

В этом руководстве мы будем использовать Ubuntu. Для пользователей Windows большинство команд здесь будет работать без каких-либо проблем, но если у вас возникнут какие-либо проблемы с настройкой виртуальной среды, обратитесь по этой ссылке.Что касается пользователей Mac, это руководство должно работать нормально.

Во-первых, давайте создадим виртуальную среду. Это помогает изолировать требования вашего проекта от глобальной среды Python.

  $ python -m venv botenv /
  

Теперь у нас будет каталог botenv / , который будет содержать все библиотеки Python, которые мы будем использовать. Идите вперед и активируйте virtualenv , используя следующую команду:

  $ источник botenv / bin / activate
  

Библиотеки, которые нам нужны для нашего бота:

Вы можете установить их в виртуальной среде с помощью следующей команды pip:

  (телебот) $ pip install flask
(Telebot) $ pip установить python-telegram-bot
(Telebot) запросы на установку $ pip
  

Теперь давайте просмотрим каталог нашего проекта.

 .
├── app.py
├── телебот
│ ├── credentials.py
│ | .
│ | вы можете построить свой двигатель здесь
│ | .
│ └── __init__.py
└── ботенв
  

В файле credentials.py нам понадобятся три переменные:

  bot_token = "вот ваш токен доступа от BotFather"
bot_user_name = "введенное вами имя пользователя"
URL = "ссылка на приложение heroku, которую мы создадим позже"
  

Теперь вернемся к нашему app.py и пошагово пройдемся по коду:

  # импортировать все
из фляги импорт фляги, запрос
импортная телеграмма
от телебота.импорт учетных данных bot_token, bot_user_name, URL
  

  глобальный бот
глобальный ТОКЕН
TOKEN = bot_token
bot = telegram.Bot (токен = ТОКЕН)
  

Теперь у нас есть объект бота, который будет использоваться для любого действия, которое мы требуем от бота.

  # запустить приложение flask
app = Flask (__ имя__)
  

Нам также нужно привязать функции к определенным маршрутам. Другими словами, нам нужно указать Flask, что делать при вызове определенного адреса. Более подробную информацию о Flask и маршрутах можно найти здесь.

В нашем примере функция маршрута отвечает на URL-адрес, который в основном представляет собой / {token} , и это URL-адрес, который Telegram будет вызывать для получения ответов на сообщения, отправленные боту.

  @ app.route ('/ {}'. Format (TOKEN), methods = ['POST'])
def response ():
   # получить сообщение в JSON и затем преобразовать его в объект Telegram
   update = telegram.Update.de_json (request.get_json (force = True), бот)

   chat_id = update.message.chat.id
   msg_id = update.message.message_id

   # Telegram понимает UTF-8, поэтому кодируйте текст для совместимости с Unicode
   текст = обновление.message.text.encode ('utf-8'). decode ()
   # только для отладки
   print ("получил текстовое сообщение:", текст)
   # при первом общении с ботом AKA приветственное сообщение
   если text == "/ start":
       # распечатать приветственное сообщение
       bot_welcome = "" "
       Добро пожаловать в бот coolAvatar, бот использует службу http://avatars.adorable.io/ для создания крутых аватаров на основе введенного имени, поэтому введите имя, и бот ответит аватаром на ваше имя.
       "" "
       # отправить приветственное сообщение
       бот.sendMessage (chat_id = chat_id, text = bot_welcome, reply_to_message_id = msg_id)


   еще:
       пытаться:
           # очистить полученное сообщение от всех не алфавитов
           text = re.sub (r "\ W", "_", текст)
           # создать ссылку api для аватара на основе http://avatars.adorable.io/
           url = "https://api.adorable.io/avatars/285/{}.png" .format (text.strip ())
           # ответьте фотографией на имя, отправленное пользователем,
           # обратите внимание, что вы можете отправлять фотографии по URL-адресу, и Telegram получит их за вас
           бот.sendPhoto (chat_id = chat_id, photo = url, reply_to_message_id = msg_id)
       кроме исключения:
           # если что-то пошло не так
           bot.sendMessage (chat_id = chat_id, text = "Возникла проблема с именем, которое вы использовали, введите другое имя", reply_to_message_id = msg_id)

   верни "ок"
  

Интуитивно понятный способ заставить эту функцию работать — это то, что мы будем вызывать ее каждую секунду, чтобы она проверяла, пришло ли новое сообщение, но мы не будем этого делать. Вместо этого мы будем использовать Webhook, который позволяет боту вызывать наш сервер всякий раз, когда вызывается сообщение, так что нам не нужно заставлять наш сервер страдать во время цикла ожидания сообщения.

Итак, мы создадим функцию, которую нам самим нужно вызывать для активации Webhook Telegram, по сути говоря, что Telegram должен вызывать определенную ссылку при поступлении нового сообщения. Мы вызовем эту функцию только один раз при первом создании бота. Если вы измените ссылку на приложение, вам нужно будет снова запустить эту функцию с новой ссылкой, которая у вас есть.

Маршрут здесь может быть любым; вы тот, кто назовет его:

  @ app.route ('/ setwebhook', methods = ['GET', 'POST'])
def set_webhook ():
    # мы используем объект бота, чтобы связать бота с нашим приложением, которое
    # в ссылке, предоставленной URL
    s = бот.setWebhook ('{URL} {HOOK}'. format (URL = URL, HOOK = TOKEN))
    # что-нибудь, чтобы сообщить нам, что все работает
    если s:
        верните "webhook setup ok"
    еще:
        вернуть "сбой настройки веб-перехватчика"
  

Теперь, когда все настроено, давайте просто создадим красивую домашнюю страницу, чтобы мы знали, что движок запущен.

  @ app.route ('/')
def index ():
    возвращение '.'
если __name__ == '__main__':
    # обратите внимание на резьбовой аргумент, который позволяет
    # ваше приложение должно иметь более одного потока
    app.run (thread = True)
  

Давайте посмотрим на полную версию приложения.py:

  импорт ре
из фляги импорт фляги, запрос
импортная телеграмма
from telebot.credentials import bot_token, bot_user_name, URL


глобальный бот
глобальный ТОКЕН
TOKEN = bot_token
bot = telegram.Bot (токен = ТОКЕН)

app = Flask (__ имя__)

@ app.route ('/ {}'. format (TOKEN), methods = ['POST'])
def response ():
   # получить сообщение в JSON и затем преобразовать его в объект Telegram
   update = telegram.Update.de_json (request.get_json (force = True), бот)

   chat_id = update.message.chat.id
   msg_id = обновить.message.message_id

   # Telegram понимает UTF-8, поэтому кодируйте текст для совместимости с Unicode
   текст = update.message.text.encode ('utf-8'). decode ()
   # только для отладки
   print ("получил текстовое сообщение:", текст)
   # при первом общении с ботом AKA приветственное сообщение
   если text == "/ start":
       # распечатать приветственное сообщение
       bot_welcome = "" "
       Добро пожаловать в бот coolAvatar, бот использует службу http://avatars.adorable.io/ для создания крутых аватаров на основе введенного имени, поэтому введите имя, и бот ответит аватаром на ваше имя."" "
       # отправить приветственное сообщение
       bot.sendMessage (chat_id = chat_id, text = bot_welcome, reply_to_message_id = msg_id)


   еще:
       пытаться:
           # очистить полученное сообщение от всех не алфавитов
           text = re.sub (r "\ W", "_", текст)
           # создать ссылку api для аватара на основе http://avatars.adorable.io/
           url = "https://api.adorable.io/avatars/285/{}.png" .format (text.strip ())
           # ответьте фотографией на имя, отправленное пользователем,
           # обратите внимание, что вы можете отправлять фотографии по URL-адресу, и Telegram получит их за вас
           бот.sendPhoto (chat_id = chat_id, photo = url, reply_to_message_id = msg_id)
       кроме исключения:
           # если что-то пошло не так
           bot.sendMessage (chat_id = chat_id, text = "Возникла проблема с именем, которое вы использовали, введите другое имя", reply_to_message_id = msg_id)

   верни "ок"

@ app.route ('/ set_webhook', methods = ['GET', 'POST'])
def set_webhook ():
   s = bot.setWebhook ('{URL} {HOOK}'. format (URL = URL, HOOK = TOKEN))
   если s:
       верните "webhook setup ok"
   еще:
       вернуть "сбой настройки веб-перехватчика"

@приложение.маршрут('/')
def index ():
   возвращение '.'


если __name__ == '__main__':
   app.run (thread = True)
  

Это последний фрагмент кода, который вы напишете в нашем руководстве. Теперь мы можем перейти к последнему шагу, запустив наше приложение на Heroku.

Запустите наше приложение на Heroku

Нам нужно кое-что, прежде чем мы создадим наше приложение.

Heroku не может знать, какие библиотеки использует ваш проект, поэтому мы должны сообщить ему об этом с помощью файла requirements.txt — распространенной проблемой является неправильное написание требований, поэтому будьте осторожны — чтобы сгенерировать файл требований с помощью pip:

  pip freeze> требования.текст
  

Теперь у вас есть готовый файл требований.

Теперь вам нужен Procfile , который сообщает Heroku, где запускается наше приложение, поэтому создайте файл Procfile и добавьте следующее:

  Интернет: Gunicorn app: app
  

Шаг возврата: вы можете добавить файл .gitignore в свой проект, чтобы неиспользуемые файлы не загружались в репозиторий.

На панели управления Heroku создайте новое приложение. Как только вы это сделаете, он направит вас на страницу Deploy .Затем откройте вкладку Settings в новом окне и скопируйте домен приложения, который будет выглядеть примерно так: https://appname.herokuapp.com/ , и вставьте его в переменную URL внутри credentials.py .

Теперь вернитесь на вкладку Deploy и выполните шаги:

Примечание. Пользователи Windows и macOS могут выполнить шаги, описанные здесь.

Войти в Heroku:

  $ heroku войти
  

Обратите внимание, что этот метод иногда застревает в в ожидании входа в систему , если это произойдет с вами, попробуйте войти, используя:

  $ heroku логин -i
  

Инициализировать репозиторий Git в нашем каталоге:

  $ git init
$ heroku git: remote -a {имя-проекта-героя}
  

Развернуть приложение:

  $ git add.$ git commit -m "первая фиксация"
$ git push герой мастер
  

На этом этапе вы увидите прогресс строительства в вашем терминале. Если все прошло нормально, вы увидите что-то вроде этого:

  пульт: -----> Запуск ...
удаленный: выпущена v6
удаленный: https://project-name.herokuapp.com/ развернут на Heroku
удаленный:
удаленный: проверка развертывания ... выполнено.
  

Теперь перейдите на страницу приложения (ссылка на домен, который вы скопировали ранее) и добавьте в конец ссылки / setwebhook , чтобы адрес был примерно таким, как https: // имя приложения.herokuapp.com/setwebhook . Если вы видите webhook setup ok , это означает, что вы готовы к работе!

Теперь поговорите со своим ботом

Живая версия бота

Последние штрихи, советы и хитрости

Теперь у вас есть бот Telegram, работающий круглосуточно и без выходных. Вы можете добавить к боту любую логику, которую хотите, так, например, вы можете сделать своего бота более реалистичным, добавив статус «печатает» и отправив статус фотографии следующим образом:

Следующий фрагмент кода из функции response () :

  если text == "/ start":
       # распечатать приветственное сообщение
       bot_welcome = "" "
       Добро пожаловать в бот coolAvatar, бот использует сервис из http: // avatars.adorable.io/, чтобы создавать крутые аватары на основе введенного вами имени, поэтому введите имя, и бот ответит аватаром для вашего имени.
       "" "
       # отправить приветственное сообщение
       bot.sendChatAction (chat_id = chat_id, action = "typing")
       сон (1.5)
       bot.sendMessage (chat_id = chat_id, text = bot_welcome, reply_to_message_id = msg_id)


   еще:
       пытаться:
           # очистить полученное сообщение от всех не алфавитов
           text = re.sub (r "\ W", "_", текст)
           # создать ссылку api для аватара на основе http: // avatars.adorable.io/
           url = "https://api.adorable.io/avatars/285/{}.png" .format (text.strip ())
           # ответьте фотографией на имя, отправленное пользователем,
           # обратите внимание, что вы можете отправлять фотографии по URL-адресу, и Telegram получит их за вас
           bot.sendChatAction (chat_id = chat_id, action = "upload_photo")
           сон (2)
           bot.sendPhoto (chat_id = chat_id, photo = url, reply_to_message_id = msg_id)
       кроме исключения:
           # если что-то пошло не так
           bot.sendMessage (chat_id = chat_id, text = "Возникла проблема с именем, которое вы использовали, введите другое имя", reply_to_message_id = msg_id)
  

Как вы можете видеть во фрагменте, мы добавили действие ввода, когда мы собираемся отправить информацию о боте в текстовом формате, и добавили действие загрузки фотографии, когда мы собираемся отправить фотографию, чтобы сделать бота больше реалистично.Больше действий можно найти здесь.

Вы также можете изменить изображение и описание бота из канала BotFather, чтобы сделать его более удобным.

Еще много простых примеров телеграмм-ботов можно найти на странице python-telegram-bot на GitHub.

Вы можете развить нашего бота и сделать его следующим супер-ИИ-ботом — все, что вам нужно сделать, это интегрировать свою логику в функцию response () . Например, ваша логика может быть в отдельном модуле и может вызываться внутри функции response () следующим образом:

 .├── app.py
├── телебот
│ ├── credentials.py
│ ├──ai.py
│ | .
│ | вы можете построить свой двигатель здесь
│ | .
│ └── __init__.py
└── ботенв
  

И внутри ai .py:

  def generate_smart_reply (текст):
    # здесь мы можем делать всю нашу работу
    верните "это умный ответ от ai!"
  

Импортируйте его сейчас в приложение .py:

  импорт ре
от времени импортный сон
из фляги импорт фляги, запрос
импортная телеграмма
С телебота.AI импорт generate_smart_reply
from telebot.credentials import bot_token, bot_user_name, URL
  

Затем просто вызовите его внутри кода response () .

  def response ():
   # получить сообщение в JSON и затем преобразовать его в объект Telegram
   update = telegram.Update.de_json (request.get_json (force = True), бот)

   chat_id = update.message.chat.id
   msg_id = update.message.message_id

   # Telegram понимает UTF-8, поэтому кодируйте текст для совместимости с Unicode
   текст = обновление.message.text.encode ('utf-8'). decode ()
   # только для отладки
   print ("получил текстовое сообщение:", текст)
   # здесь позвони своему умному ответному сообщению
   reply = generate_smart_reply (текст)
   bot.sendMessage (chat_id = chat_id, text = reply, reply_to_message_id = msg_id)
  

Теперь ваш бот может работать так, как вы хотите — вперед и создайте следующую большую вещь!

Надеюсь, вам понравилось создавать своего первого бота для Telegram.

Дополнительные ресурсы

Telegram-бот рассказал иранским хакерам, когда они получили ударОднако, если кто-то попался на эту уловку или установил ее на другой платформе, где она все еще доступна, шпионское ПО может украсть журналы вызовов, текстовые сообщения, данные о местоположении и контакты.

Откровенно говоря, APT35 не совсем на высоте. Хотя они убедительно выдавали себя за представителей Мюнхенской конференции по безопасности и Think-20 Italy в последние годы, это тоже прямо из Phishing 101. «Это очень плодовитая группа с широким набором целей, но этот широкий набор целей не является репрезентативным. об уровне успеха этого актера », — говорит Аякс Баш, инженер по безопасности Google TAG.«Их процент успеха на самом деле очень низкий».

Это новое использование Telegram, однако, заслуживает упоминания. APT35 встраивает javascript в свои фишинговые страницы, чтобы уведомлять их каждый раз при загрузке страницы; он управляет этими уведомлениями через бота, созданного с помощью функции sendMessage Telegram API. Эта настройка дает злоумышленникам мгновенную информацию не только о том, успешно ли они убедили кого-то щелкнуть неправильную ссылку, но и о том, где этот человек, на каком устройстве он находится, а также массу другой полезной информации.«В контексте фишинга они могут видеть, щелкнул ли целевой пользователь по ссылке или страница анализировалась с помощью безопасного просмотра Google», — говорит Баш. «Это помогает им лучше взаимодействовать с целью с помощью последующих писем, потому что они будут знать, что письмо достигло цели, было открыто, прочитано и нажата ссылка».

Публичный канал Telegram, используемый для уведомлений злоумышленников.

Любезно предоставлено Google TAG

Charming Kitten не ограничился классными страницами конференций, по данным охранной фирмы Mandiant, которая также наблюдала за использованием Telegram в июле.«Злоумышленники создали вредоносные веб-страницы, маскирующиеся под веб-сайт с контентом для взрослых и бесплатное программное обеспечение для аудио / видеозвонков и обмена мгновенными сообщениями», — написали в комментарии по электронной почте младший аналитик Mandiant Эмиэль Хегебаерт и старший главный аналитик Сара Джонс. «Целевые страницы профилировали посетителей страницы и отправляли информацию о посетителях обратно в канал Telegram, который, как мы подозреваем, отслеживали злоумышленники».

Уловка, чтобы сделать вашего бота Telegram приватным

Недавно я узнал, как сделать моего бота Telegram приватным для определенных пользователей.

Я попытался не создавать для членства всю CRUD, и после поиска в Google я узнал об одном из предоставленных API.

https://core.telegram.org/bots/api#getchatmember

Это позволит нам получить информацию о пользователе с данным chat_id . Это может быть канал или группа.

В основном ваше членство для вашего бота будет основано на группе вашего бота и разрешенных пользователях. Таким образом, они оба должны быть в одной группе / канале.

Код будет выглядеть как на скриншоте.

Следует отметить несколько моментов:

Нам нужно получить канал и id группы

Для группы:

Пригласить https://t.me/RawDataBot, и при первой записи он выведет некоторый JSON. Вы можете получить идентификатор группы из message.chat.id .

Он должен выглядеть так: -10012345678 . После этого удалите бота. Но если вы не доверяете боту, вам, вероятно, нужно придумать новый код для получения идентификатора группы.

Для канала:

Канал немного отличается, вы можете использовать один из методов, упомянутых здесь:

https://stackoverflow.com/questions/33858927/how-to-obtain-the-chat-id-of-a-private-telegram-channel/56546442#56546442

Выход

Итак, какой результат мы можем ожидать? Что ж, для Ruby мы ожидаем хеширования от вывода, а var ["result"] ["status"] даст вам статус пользователя.

Может быть много чего, но если осталось , значит, пользователь не является членом группы, и это то, что мы хотим знать.

Добавить бота в группу / канал

Это также означает, что вам нужно добавить бота, выполняющего код, чтобы он находился в той же группе, что и те пользователи, которым вы хотите предоставить доступ.

Таким образом, любые пользователи, которые находятся в одной группе / канале, смогут общаться с ботом в чате на основе предыдущего вывода.

Опять же, канал немного отличается, вам нужно добавить своего бота в качестве администратора, по сравнению с группой, которую можно добавить как обычный пользователь.

Исключение

Еще одно примечание: код вызовет исключение, если заданный chat_id не существует.

Таким образом, с помощью этого трюка вам не нужно создавать весь CRUD и можно повторно использовать группу / канал, который у вас уже есть (при условии, что он у вас есть).

Вот и все, ребята, спасибо, что прочитали

Telegram-ботов, крадущих одноразовые пароли

На данный момент были обнаружены два бота Telegram под названием SMSRanger и BloodOTPbot, участвовавшие в этой вредоносной кампании.

Исследователи Intel 471 сообщают, что боты на базе Telegram являются самыми популярными злоумышленниками, поскольку это помогает им украсть одноразовые пароли (OTP) Telegram, необходимые для процесса безопасности 2FA (двухфакторной аутентификации).

SEE: Хакеры, продающие конфиденциальные данные от фирмы, генерирующей OTP

Исследователи отметили, что за последние несколько месяцев произошел внезапный «всплеск» количества таких сервисов, поскольку количество решений для обхода двухфакторной аутентификации увеличивается.

Хотя двухфакторная аутентификация стала мощным решением для защиты наших учетных записей, злоумышленники стремятся разработать методы использования одноразовых паролей и получения доступа к учетным записям пользователей с помощью социальной инженерии или вредоносных программ.

«Хотя OTP-услуги на основе SMS и телефонных звонков лучше, чем ничего, преступники нашли способы социальной инженерии, обходя меры безопасности», — отмечают исследователи.

Как работает 2FA?

К вашему сведению, цель безопасности 2FA — аутентифицировать личность пользователя, прежде чем разрешить ему доступ к какой-либо услуге. Эта проверка может происходить в форме одноразового пароля или токенов OTP, ссылок, кодов, биометрических маркеров или просто требовать нажатия на физический ключ.

Обычно токены 2FA отправляются на адрес электронной почты или мобильное устройство в виде текстового сообщения.

Как Telegram используют боты

Intel 471 показал, что с июня они наблюдали резкое увеличение использования службы обмена сообщениями Telegram решениями для обхода 2FA. Платформа Telegram либо используется для создания / управления ботами, либо служит каналом поддержки клиентов для киберпреступников.

По словам исследователей, боты Telegram автоматически звонят потенциальным жертвам попыток фишинга и отправляют им сообщения, которые кажутся отправленными банком.Эти боты пытаются обманом заставить жертв передать коды OTP. Некоторые боты нацелены на пользователей социальных сетей с помощью фишинга и атак с заменой SIM-карты.

Актеры показывают свои доходы от бота SMSRanger в канале Telegram (слева) — Командный модуль для бота SMSRanger (в центре) — SMSBuster маскирует звонок, чтобы он отображался как законный контакт из определенного банка (справа) — Скриншоты через Intel 471

Обнаружены два ключевых бота

Исследователи идентифицировали двух ботов, участвующих в этой вредоносной кампании.Один называется SMSRanger, а другой — BloodOTPbot. Настройка и интерфейс команд SMSRanger очень похожи на платформу совместной работы Slack и потенциально могут быть нацелены на такие сервисы, как Apple Pay, PayPal и Google Play.

SEE: ToxicEye RAT атакует приложение Telegram, чтобы шпионить и украсть пользовательские данные

И наоборот, BloodOTPbot — это бот на основе SMS, который может генерировать автоматические звонки, выдавая себя за службу поддержки клиентов. С другой стороны, Брайан Кребс из KrebsOnSecurity предупредил о новой службе киберпреступности, позволяющей злоумышленникам перехватывать одноразовые пароли, которые большинству веб-сайтов требуются в качестве дополнительной меры безопасности для проверки пользователей.

«Эти услуги появляются, потому что они работают и приносят прибыль. И они прибыльны, потому что слишком много веб-сайтов и сервисов направляют пользователей к методам многофакторной аутентификации, которые могут быть перехвачены, подделаны или перенаправлены по ошибке — например, одноразовые коды на основе SMS или даже токены OTP, генерируемые приложением », — Брайан Кребс написал в блоге.

Вам понравилась эта статья? Ставьте лайк на нашей странице в Facebook и подписывайтесь на нас в Twitter.

Создание приватного чат-бота Telegram

В этом посте я хочу объяснить, как создать приватного бота в Telegram.Под private я имею в виду ботов, которые не могут быть обнаружены другими или не взаимодействуют с другими. Такие боты обычно предназначены для некоторой персональной автоматизации, когда бот действует как объект доставки для вас или вашей семьи.

Не совсем приватный бот

В Telegram боты не приватные. Их может найти каждый. Отличие в том, что определенный канал связи с ботом можно сделать приватным. Это группа с ботом, в которой состоите вы и бот.Такие частные каналы обычно полезны для домашней автоматизации, когда бот должен разговаривать только с одним человеком.

Обновление 11.07.2021

Некоторые очень хорошие люди, которые недавно прочитали мой пост, указали, что создание группы для сохранения конфиденциальности не является необходимым, и достаточно просто использовать chat_id . Спасибо @ Jerry, @ Terry и @J за их отзывы и пояснения из раздела комментариев. Я не изменял остальную часть сообщения и, пожалуйста, ознакомьтесь с их комментариями ниже, если вы не хотите создавать группу.Спасибо ребята.

Создание бота

Создать бота, как правило, легко, следуя инструкциям по ботам: Введение для разработчиков, использующих BotFather.

1. Откройте сеанс с BotFather.
2. Введите / newbot .
3. Введите имя бота. Пример бота для блога
4. Введите имя пользователя для бота. он должен заканчиваться ботом . example_blog_bot

Я, [25.03.20 16:02]
/ newbot

BotFather, [25.03.20 16:02]
Хорошо, новый бот. Как мы это назовем? Выберите имя для> своего бота.

Я, [25.03.20 16:03]
Пример бота для блога

BotFather, [25.03.20 16:03]
Хороший. Теперь давайте выберем имя пользователя для вашего бота. Он должен заканчиваться ботом . Как> это, например: TetrisBot или tetris_bot.

Я, [25.03.20 16:03]
example_blog_bot

BotFather, [25.03.20 16:03]
Выполнено! Поздравляю с приобретением нового бота.Вы найдете его на t.me/> example_blog_bot. Теперь вы можете добавить описание, раздел и профиль> изображение для вашего бота, см. / Help для получения списка команд. Между прочим, когда> вы закончите создавать своего крутого бота, свяжитесь с нашей службой поддержки ботов, если вам нужно> лучшее имя пользователя для него. Просто убедитесь, что бот полностью работает, прежде чем> вы это сделаете.

Используйте этот токен для доступа к HTTP API:
1101361374: AAHS_DYrAUohT-HQXVKKz-M1howAxvXdRLA
Держите свой токен в безопасности и храните его в надежном месте, он может быть использован кем угодно для> управления вашим ботом.

Описание Bot API см. На этой странице: https://core.telegram.org/> bots / api

Вот и все. Новый бот доступен, и любой может найти его в качестве примера бота для блога.

Бот был удален, поэтому вся конфиденциальная информация не имеет значения.

Создайте группу со своим ботом

Это простой шаг. Нам нужно сделать это сейчас, потому что после этого мы отключим возможность добавления бота в разговоры.

Эта группа, которую мы создали, также будет нашим приватным чатом с ботом.

Отключить объединение групп

По умолчанию бот может быть добавлен в групповой чат всем, кто может его найти. Чтобы этого не произошло, нам нужно отключить это.

1. Откройте сеанс с BotFather.
2. Введите / setjoingroups .
3. Введите имя бота. @example_blog_bot .
4. Ввести Отключить

Я, [25.03.20 16:13]
/ setjoingroups

BotFather, [25.03.20 16:13]
Выберите бота, чтобы изменить настройки членства в группе.

Я, [25.03.20 16:13]
@example_blog_bot

BotFather, [25.03.20 16:13]
«Включить» — бота можно добавлять в группы.
«Отключить» — запретить групповые приглашения, бота нельзя добавлять в группы.
Текущий статус: ВКЛЮЧЕНО

Я, [25.03.20 16:13]
Отключить

BotFather, [25.03.20 16:13]
Успех! Новый статус: ОТКЛЮЧЕН. / help

Если вы попытаетесь добавить своего бота в группу, у вас ничего не получится.Так что лучше всего, чтобы вы уже начали с ним группу, прежде чем делать этот шаг. Вы всегда можете включить функцию присоединения к группе, создать группу с ней и самим собой, а затем снова отключить ее.

Взаимодействие с ботом

В Telegram Bot API описан API Telegram. Для взаимодействия с этим ботом нам понадобится API-токен 1101361374: AAHS_DYrAUohT-HQXVKKz-M1howAxvXdRLA , который нам предоставил BotFather. Общий шаблон uri — https: //api.telegram.org / bot <токен> / METHOD_NAME . Обратите внимание на , что токен следует за словом bot в URL-адресе.

Например, метод getMe предоставит информацию о боте. Просто выполните GET с этим URL https://api.telegram.org/bot1101361374:AAHS_DYrAUohT-HQXVKKz-M1howAxvXdRLA/getMe .

  {
   "ок": правда,
   "результат":{
      "id": 1101361374,
      "is_bot": правда,
      "first_name": "Пример бота для блога",
      "username": "example_blog_bot",
      "can_join_groups": ложь,
      "can_read_all_group_messages": ложь,
      "supports_inline_queries": false
   }
}
  

Чтобы отправлять сообщения в эту частную группу , которую мы создали с помощью бота, нам нужно настроить таргетинг на нее, указав параметр chat_id , который представляет эту группу. chat_id также необходим для всех интеграций с другими инструментами, такими как Zapier или Integromat, и вот почему это важно.

Для его извлечения используйте метод getUpdates . Выполните GET с этим URL-адресом https://api.telegram.org/bot1101361374:AAHS_DYrAUohT-HQXVKKz-M1howAxvXdRLA/getUpdates . Если результат пустой, просто напишите что-нибудь боту в этой группе.

Обратите внимание, что этот метод возвращает результаты только в том случае, если бот не включен для обеспечения конфиденциальности .Если вы хотите включить конфиденциальность, убедитесь, что вы сделали это после извлечения chat_id , как описано ниже.

  {
   "ок": правда,
   "результат":[
      {
         update_id: 726362299,
         "сообщение":{
            "message_id": 3,
            "из":{
               "id": 877419474,
               "is_bot": ложь,
               "first_name": "Алекс",
               "last_name": "Сарафский"
            },
            "чат":{
               "id": - 475387861,
               "title": "Пример блогового бота",
               "тип": "группа",
               "all_members_are_administrators": истина
            },
            «дата»: 1585150611,
            "текст": "Привет"
         }
      }
   ]
}
  

Привет, — это сообщение, которое я отправил боту, чтобы убедиться, что я могу получить результаты с помощью getUpdates .

Из JSON chat_id равен -475387861 . Мы можем использовать это для отправки сообщения с помощью метода sendMessage .

SendMethod намного сложнее, но для целей этой демонстрации будет достаточно простого GET с простым сообщением, например, этого URL-адреса https://api.telegram.org/bot1101361374:AAHS_DYrAUohT-HQXVKKz-M1RLhowAx/ sendMessage? chat_id = -475387861 & text = Привет, .

  {
   "ок": правда,
   "результат":{
      "message_id": 4,
      "из":{
         "id": 1101361374,
         "is_bot": правда,
         "first_name": "Пример бота для блога",
         "имя пользователя": "example_blog_bot"
      },
      "чат":{
         "id": - 475387861,
         "title": "Пример блогового бота",
         "тип": "группа",
         "all_members_are_administrators": истина
      },
      «дата»: 1585151160,
      "текст": "Привет"
   }
}
  

А это произошло в группе с ботом

Я, [25.03.20 16:36]
Привет

Пример бота для блога, [25.03.20 16:46]
Привет

Настройка приватности

Чтобы включить шифрование связи с ботом, необходимо включить функцию конфиденциальности.

1. Откройте сеанс с BotFather.
2. Введите / setprivacy .
3. Введите имя бота. @example_blog_bot . Обратите внимание на , что требуется @ .
4. Введите Включить

Я, [25.03.20 16:09]
/ setprivacy

BotFather, [25.03.20 16:09]
Выберите бота, чтобы изменить настройки групповых сообщений.

Я, [25.03.20 16:09]
@example_blog_bot

BotFather, [25.03.20 16:09]
«Включить» - ваш бот будет получать только сообщения, которые начинаются с символа «/»> или упоминают бота по имени пользователя.
«Отключить» - ваш бот будет получать все сообщения, которые люди отправляют группам.
Текущий статус: ВКЛЮЧЕНО

Я, [25.03.20 16:09]
Включить

BotFather, [25.03.20 16:09]
Успех! Новый статус: ВКЛЮЧЕН. / help

Помните , что после этого метод getUpdates из API вернет пустые результаты или последнее зашифрованное сообщение.

мошенников автоматизируют социальную инженерию с помощью этого нового робота Robocall в Telegram

Был обнаружен новый тип вредоносного ПО для социальной инженерии, которое может тайно извлекать одноразовые пароли (OTP) от пользователей по всему миру.

Исследователи CyberNews заметили нового чат-бота Telegram, который обманом заставляет жертв отправлять им одноразовые пароли на их онлайн-счета, включая банковские счета и счета Coinbase.

Мошеннику также очень утомительно звонить каждой жертве и притворяться агентом технической поддержки. Теперь мошенникам не нужно этого делать, поскольку новый тип ботов по найму захватывает мир социальной инженерии штурмом.

Вызывается OTP Bot, новый тип вредоносного чат-бота, запущенный в Telegram в апреле. Он использует платформу Telegram для автоматизации обмана жертв, заставляющих их выдавать свои пароли.

OTP Bot является частью так называемой модели Crimeware-as-a-Service (CaaS), согласно которой любой может сдавать в аренду вредоносные инструменты и услуги.

С апреля количество людей, пользующихся OTP Bot Telegram, значительно увеличилось. В чате, где продается бот, в настоящее время насчитывается более 6000 участников. Его создатели, вероятно, зарабатывают миллионы на продаже подписок преступникам, а мошенники могут похвастаться пятизначными цифрами.

Одним из факторов, которые привели к быстрому росту бота, является простота использования и модель бота по найму, которая упростила для преступников участие в атаках социальной инженерии.

Раньше злоумышленник должен был научиться находить и использовать ресурсы ботов. Сегодня ему нужно только найти бота и заплатить за его использование.

При обмане жертв мошенники с OTP-ботами чаще всего используют метод, называемый привязкой карт. Он включает привязку кредитной карты жертвы к ее мобильному платежному приложению. Кража средств таким способом легко, потому что необходимая информация, имена и номера карт легко доступны на черном рынке.

Имея эти данные на руках, злоумышленник может затем выбрать сценарий социальной инженерии в боте, который обманом заставит жертву предоставить ей свою личную информацию.

Затем бот позвонит на номер жертвы и представится агентом службы поддержки. Как только жертва поддается уловке, бот попросит ее ввести одноразовый пароль.

После кражи пароля жертвы злоумышленник может легко войти в систему и связать карту жертвы с платежным приложением, а затем пойти в ближайший магазин, чтобы купить подарочные карты. Это еще один фаворит, так как мошенники не оставляют финансовых отпечатков.

К счастью, есть некоторые положительные сдвиги в борьбе со спамом и вишингом (голосовым фишингом).