Вечером 10 мая после 22:00 в телеграм-канале наших коллег из «Фонтанки» появился странный пост. В нём авторы обещали 170 тысячам подписчиков баснословный заработок и призывали для этого переходить в отдельный канал. «Не знаем, что происходит, но, кажется, началось», — подумали получившие это же сообщение корреспонденты и редакторы, в одночасье изгнанные из админов канала скамерами.
«Фонтанка» рассказала, как их развели по многолетней мошеннической схеме и что нужно делать, чтобы обезопасить себя от этого.
Как мы облажались
В рекламный отдел «Фонтанки» пришел запрос от некоего рекламодателя. Безликий аккаунт в «Телеграме» утверждал, что нацелен на долгосрочное сотрудничество, но для начала хотел бы взглянуть на статистику канала, оценить данные и принять решение. На этом этапе менеджера ничего не смутило. Сотрудники отдела за день обрабатывают много запросов и полную информацию о клиенте обычно получают в процессе оформления документов и счетов. Множество запросов до этого этапа не доходит.
Сам «Телеграм» предоставляет довольно скудный объем информации о движении и составе аудитории каналов. Анализировать эти данные помогают специализированные сервисы, такие как TGStat и Telemetr. Информация, извлеченная из первого, представительницу рекламодателя «Екатерину» не устроила.
«Нужна полная с "Телеметра", — настаивала она. — Сама ее посмотреть не могу, так как выгрузить полную статистику с "Телеметра" может только владелец канала. Если у вас нет премиума в "Телеметре", воспользуйтесь ссылкой ниже». Казалось бы, здесь появились сразу два красных флажка — необходимость задействовать владельца канала и перейти по «особой» ссылке, но и они не привлекли к себе достаточного внимания.
Владелец канала сейчас не так активно вовлечен в его деятельность, как ранее. Ему пришла просьба перейти по ссылке не от скамера, а от доверенного лица, и в URL-адресе на первый взгляд не было ничего подозрительного.
Что было дальше, догадаться несложно. Чтобы получить расширенную статистику, надо было зарегистрироваться, как оказалось позже, на фишинговом сайте, и все введенные данные утекли к мошенникам.
«Двухфакторной идентификации не было. Она не всегда спасает, но могла бы затруднить работу злоумышленникам»
Как нам повезло
Во-первых, нам повезло с подписчиками, которые сразу же догадались, что здесь что-то не так. Сообщение скамеров в нашем канале хоть и напоминало вначале наш стиль общения с аудиторией, но в целом выглядело подозрительно. «Фонтанка» не называет себя «Фонтанка SPB» и никогда не рекламирует сомнительные проекты по достижению «успешного успеха» или раздаче денег просто так (увы).
Во-вторых, нам повезло, что целью неизвестных был заработок, но вели переговоры с владельцем канала о возвращении они весьма лениво. Это позволило выиграть время.
В-третьих, спасибо нашим коллегам за создание резонанса и помощь с решением проблемы. Крупнейшие телеграм-каналы оперативно отреагировали, проинформировали свою и нашу общую аудиторию о взломе.
«За критику мы тоже благодарны. Она абсолютно справедлива»
Благодаря коллегам, которые помогли оперативно установить контакт с техподдержкой Telegram, нам удалось быстро вернуть доступ к каналу. Это потрясающая удача. Чаще всего владельцам приходится прощаться со своими каналами навсегда.
Как защититься
Ситуация очень распространенная. С такими схемами угона сталкивалось множество телеграм-каналов.
Как сообщил «Фонтанке» основатель и автор телеграм-канала для digital-специалистов «Русский маркетинг» Семен Ефимов, в последнее время мошенники часто притворялись совершенно разными рекламодателями:
— Но чаще всего суть их сводилась к одному — попросить зарегистрироваться в личном кабинете для выплат либо открыть winrar-архив с якобы брифом и текстом для рекламы. Делать этого, разумеется, нельзя, и вы вообще рискуете свой канал в таком случае потерять.
Он выделяет два основных варианта защиты: включить двухфакторную аутентификацию и никогда не переходить по сторонним ссылкам.
— В идеале канал должен быть зарегистрирован на стороннюю сим-карту и аккаунт должен быть скрытым, проще говоря — нигде не светиться. Владелец канала — на одной симке, аккаунт-менеджер, контент-менеджер и другие — на других, — объясняет он.
Также нельзя открывать подозрительные файлы, а уж тем более архивы.
— Файл в большинстве случаев [пересылают] в открытом виде. Если это какой-то doc-файл, pdf, jpeg, — советует специалист по кибербезопасности, руководитель аналитического центра Zecurion Владимир Ульянов.
«Если информацию запихнули в архив, а архив еще и запароленный — это тревожный звоночек, на который следует обратить внимание»
По его словам, в большинстве случаев архив не требуется для передачи обычных файлов, но помогает спрятать какой-то вредоносный софт. Похожий пример с использованием doc-файла был описан здесь.
Если уж приходится открывать файлы, хорошей привычкой будет проверять их на вирусы и вредоносные программы через онлайн-сервисы. В зависимости от ситуации может помочь антивирус. Но ни один из них не дает стопроцентной гарантии, отмечает специалист, плюс антивируса может не оказаться на мобильном устройстве.
Двухфакторную аутентификацию эксперт тоже не считает панацеей. Она может не сработать, если есть подозрение, что злоумышленник получил доступ к устройству, на которое приходит защитный код.
«Поэтому наиболее эффективным способом защиты он называет "нулевой уровень доверия к подобным предложениям"»
«По собственным субъективным ощущениям, процент возврата [угнанных телеграм-каналов] относительно невысок, и это история небыстрая, — говорит Ульянов. — В любом случае нужно жаловаться. Есть специальные боты [службы поддержки "Телеграма"], куда можно жаловаться на угон аккаунта и другие противоправные действия. Но не стоит ожидать, что ты сегодня пожаловался, а вечером тебе аккаунт уже вернули. Опять же, важно, чтобы как можно большее количество людей пожаловалось. По моим ощущениям, это повышает вероятность того, что администрация заметит и оперативно отреагирует».
Эксперту известны случаи, когда вернуть доступ к каналу не удалось или люди так и не дождались ответа от поддержки. В таких условиях иногда легче завести канал заново. Чтобы иметь возможность перегнать туда аудиторию, не лишним будет иметь запасной канал связи с ней — электронная почта, другие каналы, собственный сайт.
Самую оперативную информацию о жизни столицы можно узнать из Telegram-канала MSK1.RU и нашей группы во «ВКонтакте».