Как взломать телеграмм — Часть 2. Обман гарантов сделок.

Далеко не каждый «удаленный аккаунт» в Telegram действительно удален. Часто их используют, чтобы обмануть либо покупателя канала, либо продавца. Но иногда жертвами становятся и сами гаранты сделок. Это и произошло в начале октября с гарантом Василием Сусовым, который занимается проведением сделок более пяти лет. Как это случилось? Об этом я и расскажу.

Картинки по запросу telegram hack

 

Как обычно проходят сделки

Продажа канала, чата или бота в Telegram — не самый прозрачный процесс. Пока не появилась возможность передавать права создателя канала, приходилось вместе с каналом предоставлять покупателю и аккаунт создателя.

Кнопка передачи прав на канал
Кнопка передачи прав на канал

Для таких сделок привлекают зарекомендовавших себя гарантов. Они контролируют весь процесс и отвечают за то, чтобы продавец получил деньги, а покупатель — канал. За сделку гаранту полагается вознаграждение.

 

Но где деньги, там всегда появляются мошенники. Гаранты регулярно сталкиваются с разными схемами обмана со стороны как покупателей, так и продавцов. Поэтому порядок совершения сделки строго определен и не меняется.

Иногда мошенники предлагают продавцу провести сделку через стороннего гаранта или вовсе без него, чтобы не оплачивать его услуги. Ради экономии некоторые админы соглашаются, но в итоге остаются и без денег, и без канала. Если вовремя не опомнятся.

 

Что произошло?

4 октября в админских чатах стала появляться информация, что Сусов при проведении сделки кинул админа Media на 550 тысяч рублей за канал «Адамово яблоко». Пострадавший админ создал отдельный канал, где показал переписку с гарантом и описал своими словами, что случилось.

Пост покупателя о произошедшем
Пост покупателя о произошедшем

Админ потребовал у гаранта вернуть деньги. При этом администраторы из комьюнити стали серьезно сомневаться в порядочности гаранта. Стоило начать разбираться, и всплыли интересные детали.

Например, всех удивило, что предложение о продаже канала было найдено на Avito. Это весьма редкое явление в Telegram, и мало кто с этим сталкивался. Предложения о покупке и продаже каналов размещаются на соответствующих каналах или через ботов в самом Telegram — на так называемых биржах.

Сам канал оказался сомнительной тематики. Он рекламировался в постах с упоминанием порно, проституции, измен. Для 60 тысяч подписчиков стоимость канала в 550 тысяч рублей явно завышена.

Типичный рекламный пост канала «Адамово яблоко»
Типичный рекламный пост канала «Адамово яблоко»

Продавца и покупателя админское комьюнити толком не знало. Media заявлял, что он новичок в Telegram, — но уже проворачивает сделку на полмиллиона рублей через непопулярную в этой среде платежную систему Payeer.

Media утверждает, что впервые покупает канал
Media утверждает, что впервые покупает канал

Подозрения вызвал и покупатель, когда слишком быстро согласился на компенсацию только части «утерянных» денег. Из-за всего этого админы начали искать дополнительную информацию и нашли немало интересного.

 

Псевдопокупатель

Покупатель заявлял, что он новичок в Telegram, но при этом он указан как администратор на криптовалютном канале Crypto post | ICO с количеством подписчиков более 115 тысяч.

Покупатель указан в качестве контакта на крупном канале
Покупатель указан в качестве контакта на крупном канале

Выяснилось, что Media когда-то предлагал нескольким админам купить их каналы. При этом сделку хотел провести через гаранта Сергея Новикова с явно накрученной биржи @tradeteleg (сейчас @telegtrade). Админы обратили внимание на резкое увеличение числа подписчиков этой биржи, за которым последовало такое же резкое снижение их активности.

Так как админы не слышали про Сергея Новикова, они предлагали проверенных гарантов. В результате Media отказывался от сделки.

Media предлагает админу провести сделку через накрученную биржу
Media предлагает админу провести сделку через накрученную биржу

На той же бирже админы нашли страницу с фейковыми отзывами. Некоторые даже обнаружили свои отзывы, которые оставляли другим биржам.

Админ указывает, что отзыв этой бирже не оставлял
Админ указывает, что отзыв этой бирже не оставлял

Стало ясно, что покупатель и продавец — это один и тот же человек, который хотел обмануть непосредственно гаранта, а когда не получилось, начал угрожать, что испортит репутацию.

 

Схема мошенничества

Сделки с удаленными аккаунтами гаранты проводят регулярно. Тут главное — убедиться, что аккаунт действительно удален, и особых проблем не будет.

В связи с технической особенностью Telegram перейти в аккаунт создателя из панели администратора канала невозможно. Отображается только название, аватарка и время последней активности. Поэтому проверить, есть ли там поле отправки сообщения, нельзя.

Отображается время последней активности у поддельного аккаунта
Отображается время последней активности у поддельного аккаунта

Чтобы исключить проверку на время активности, мошенник добавил в черный список гаранта Василия Сусова. Сделал он это, чтобы отображалась пометка «был(а) давно» (last seen a long time ago) вместо «был(а) недавно» (last seen recently). И для подстраховки он добавил в черный список и его коллегу Ярослава Муромцева.

Отображение последней активности, когда вас добавили в черный список
Отображение последней активности, когда вас добавили в черный список

Выглядит как обычный удаленный аккаунт. Как только Сусов получил админку к каналу, подтвердил это и собрался проверить канал по остальным пунктам, мошенник стал действовать по своему алгоритму.

Гарант просит подождать с оплатой, пока проверяет удаленный аккаунт
Гарант просит подождать с оплатой, пока проверяет удаленный аккаунт

Мошенник переводит оплату продавцу — то есть самому себе — и скидывает скрин об этом в общий чат сделки. Затем происходит следующее.

  1. Мошенник удаляет гаранта из администраторов канала, который продается. В администраторах канала остаются только поддельный «удаленный аккаунт создателя» и аккаунт продавца.

  2. Мошенник удаляет сообщения в чате с аккаунта продавца.

  3. Мошенник удаляет сам аккаунт продавца.

  4. После этого в админке остается поддельный «удаленный аккаунт создателя».

В этой схеме продавец, покупатель и удаленный аккаунт создателя — один человек — мошенник. И тут мы вернулись к началу истории: покупатель обвиняет гаранта в том, что потерял деньги и не получил права на канал, и требует с него компенсацию.

В нормальной сделке, где покупатель и продавец — реальные люди, а не мошенники, гарант, проверив удаленный аккаунт, обнаружил бы обман (о том, что и как проверять, — дальше).

У поддельного удаленного аккаунта не меняется перевод названия при изменении языка на английский
У поддельного удаленного аккаунта не меняется перевод названия при изменении языка на английский

Эта история закончилась хорошо: схему разоблачили, и мошенник остался ни с чем. Админы добавили мошенника, поддельную биржу и его канал в черные списки, сервисы аналитики выдали метки мошенника.

Метка мошенника
Метка мошенника

Как видишь, работа гаранта нужна, чтобы обезопасить две стороны от возможного обмана. При этом нет полной уверенности, что жертвой обмана не станет сам гарант.

 

Как проверить, что аккаунт действительно удален?

Самые очевидные моменты: отсутствие логина, фотографии, описания и номера телефона. Название канала должно быть именно «Удалённый аккаунт». Иногда мошенники глупят и пишут е вместо ё или «аккаунт» с заглавной буквы.

Есть и другие, менее очевидные критерии.

  1. У аккаунта вместо последнего времени активности отображается «был(а) давно».

    Время активности у удаленного аккаунта
    Время активности у удаленного аккаунта
  2. Если открыть диалог с удаленным аккаунтом, должно отсутствовать поле для отправки сообщения.

    Отсутствует поле отправки сообщения
    Отсутствует поле отправки сообщения
  3. На десктопных клиентах в качестве аватарки отображается аббревиатура УА, а на телефонах привидение.

    Привидение на аватарке
    Привидение на аватарке
  4. При изменении языка интерфейса меняется название аккаунта. Например, на английском языке удаленный аккаунт будет подписан как Deleted Account.

    Название удаленного аккаунта на английском языке
    Название удаленного аккаунта на английском языке

Таким образом, отличить поддельный удаленный аккаунт от реально удаленного вполне возможно.

 

Комментарий Василия Сусова

История поучительная. Теперь еще более тщательно слежу за тем, что и как пишу в чат, чтобы у участников сделки не оставалось возможности интерпретировать мои слова по-своему.

Но нужно понимать, что описанный способ обмана лишь один из многих, которыми пользуются мошенники. Дам еще три простых совета, которые в большинстве случаев оберегут вас от кражи:

  • Чаще всего мошенники выступают в роли покупателя. Если собираешься продавать канал, никогда не соглашайся на демонстрацию своего экрана покупателю через скайп, это просят сделать только мошенники.
  • Когда дело доходит до выбора гаранта, мошенники либо предлагают никому не известного гаранта с фейковыми отзывами или подставной гарант-сайт, либо делают фейковый аккаунт существующего гаранта с хорошей репутацией. Всегда проверяй, есть ли реальные гарантии и причины доверять, договаривайся о сделке самостоятельно и внимательно сверяй контакты.
  • Если ты все же решишься провести сделку без гаранта, хорошенько ознакомься с тонкостями работы системы безопасности Telegram.
Click to rate this post!
[Total: 2 Average: 5]

Специалист в области кибер-безопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз. Цель данного блога - простым языком рассказать о сложных моментах защиты IT инфраструктур и сетей.

Leave a reply:

Your email address will not be published.