Телеграм-боты достаточно быстро стали популярными. В основном благодаря тому, что их легко делать: не нужны особые навыки программирования. Боты умеют рассылать информацию, скачивать видео с сайтов, генерировать картинки и так далее.
Как и любую полезную программу, мошенники быстро освоили боты в мессенджерах. Расскажу, какие могут быть опасными, как их распознать и не попасться на уловки злоумышленников.
, либо в облаке. Это популярная схема для конструкторов ботов.
Простые боты действуют по заранее заданному сценарию. Разработчики закладывают схему работы — пользователь нажимает кнопки или пишет только определенные команды, а бот выполняет их.
Например, Пользователь загружает файл, указывает желаемый формат, а система автоматически преобразует его в другой. Никаких других опций бот не предлагает, а если отправлять ему сообщения, не связанные с его командами, то он не отреагирует.
Более сложные боты умеют распознавать текст, голос, изображение и обрабатывать их определенным образом. Как правило, к ним подключают технологии искусственного интеллекта. Это опция, которая позволяет существенно расширить функциональность.
Например, — он создает картинки и видео по текстовому запросу, позволяет редактировать изображения, генерирует аватарки и стикеры.
Задача бота на скриншоте — напомнить о разминке во время работы. Можно настроить время уведомлений, а бот сам подберет упражнения и пришлет видео
Создать бота можно либо с помощью навыков программирования, , либо на одном из десятка сайтов-конструкторов. Функции разбиты на блоки, а задача пользователя — указать последовательность действий и дать им названия.
Когда пользователь открывает диалог с ботом, у последнего еще нет никакой информации. Но как только бота активируют командой /start, он получает доступ к ID
, указанным в профиле пользователя имени, фамилии и никнейму, а также к информации из раздела «О себе».
Бот также может получить номер телефона и фото профиля, но только если они открыты для всех в настройках конфиденциальности. Если эта информация скрыта ото всех или тех, кто не входит в список контактов, бот ее не получит.
Вся информация хранится у разработчиков, даже если человек удаляет весь диалог или конкретные сообщения либо останавливает бота. Кроме того, у администраторов сохраняются отправленные боту изображения, видео- и аудиофайлы. Сколько информация хранится, зависит от настроек. Повлиять на это нельзя.
После того как пользователь запустит бота кнопкой /start, он сможет отправлять сообщения даже без команды. Чтобы прекратить получать сообщения, нужно остановить бота в настройках. Для этого нужно открыть диалог с ботом, кликнуть на аватарку → «Еще» → «Заблокировать бота».
Опасность представляют боты, созданные мошенниками для получения выгоды. Вот какие схемы мошенники применяют чаще всего.
Фишинг. Мошенники создают новостной канал, копируя дизайн и посты другого популярного источника. Затем под видом рекламы размещают ссылку на бот, который обещает бонусы или доступ к закрытому контенту.
Иногда злоумышленники сразу создают фальшивый бот популярного сервиса. Поиск в мессенджерах не всегда работает правильно, и наверху может оказаться мошеннический инструмент.
Пользователь начинает общение с ботом, который просит поделиться контактом и номером телефона. Украденные данные могут использовать для рассылки спама или рекламных звонков.
Помимо кражи данных бот может потребовать оплатить какую-либо услугу и не предоставить ее. Попытки связаться с администратором или техподдержкой заканчиваются неудачей — пользователя блокируют.
Мошенники могут сделать бот для сервиса, у которого никакого официального бота нет. На скрине пример с сервисом «Номерограм», который работает через сайт и приложения в сторах
Фальшивые подарки. В конце 2024 года распространился обман, связанный с дарением Пользователь получает уведомление от мошеннического бота, замаскированного под официальный Premium Bot, о том, что ему якобы подарили подписку. Чаще всего пользователь когда-то давно запускал этого бота и успел забыть, а за это время программу переделали для обмана.
Для получения подарка надо авторизоваться на сайте и дождаться активации подписки в течение пары часов. Злоумышленники маскируют адрес мошеннического сайта под официальный t.me/premium. Пользователь переходит на фишинговый сайт и авторизуется с помощью QR-кода или по номеру телефона, добровольно указывая пароль.
С этого момента мошенники контролируют аккаунт. Как правило, они прекращают все сессии пользователя и начинают вымогать деньги у людей из списка контактов украденного профиля. В таком случае вернуть доступ к аккаунту сложно, но возможно.
Интерфейс авторизации полностью повторяет оригинальный, но есть отличие в адресе. Источник:
Подписка на сомнительные каналы. Для бесплатной работы некоторых ботов надо подписаться на два-три канала-спонсора. Это могут разработчики бота или их партнеры. Иногда такой легальный способ продвижения используют мошенники.
Фальшивые боты вынуждают подписаться на сомнительные каналы, например об инвестировании или криптовалюте. Там пользователей вовлекают в мошеннические схемы или обманывают на значительные суммы, используя репутацию владельца полезного бота.
Более хитрая схема: у администраторов официального бота крадут доступ и меняют полезные каналы на мошеннические. Пользователи подписываются на них, будучи уверенными, что все безопасно. Если владельцы бота какое-то время не видят подмены информации, то помимо пользователей пострадает и их репутация.
Рассылка вредоносных программ. Сложная схема, к которой прибегают опытные злоумышленники. Работает так: пользователь обращается к боту, чтобы скачать приложение на Android. Вместо полезной программы — зловредная, которая может украсть личные данные, включить смартфон в ботнет для рассылки спама или начинает всюду показывать рекламу.
Удалить полностью подобную программу может быть сложно, поскольку изначальный файл может быть лишь первым в цепочке для заражения устройства. А поскольку пользователь сам скачал и разрешил установку файла, защитные механизмы системы не отреагируют на угрозу.
Мошенничество с подписками. В этом случае бот перенаправляет на сайт или телеграм-канал. Бот обещает низкую цену за подписку — например, один рубль вместо нескольких сотен или тысяч. На деле такой платеж взимается один раз, а затем стоимость подписки вырастает до десятков тысяч рублей в месяц.
Также бот может перенаправлять пользователя к другому боту, который оформляет легальную подписку на закрытый канал знаменитости или блогера. Первый бот обещает скидку до 99% при подписке на него, но на деле бот не делает ничего. Пользователь переходит в обычный бот и оформляет подписку по обычной стоимости. Отменить такой платеж крайне сложно.
Вот на что стоит обратить внимание.
Переходите в боты только из проверенных источников. Это может быть ссылка с сайта, из группы в соцсети или телеграм-канала. Искать через поиск небезопасно, поскольку «Телеграм» случайным образом показывает боты в выдаче и не ранжирует их. В мессенджере нет «галочки» или другого знака для официальных ботов компаний или сервисов.
Полезный бот в списке — первый, он умеет проверять вредоносные файлы. Рядом с названием показывается статистика по пользователям, что тоже дополнительный маркер подлинности. Все остальные — как минимум неофициальные, а как максимум — мошеннические
Проверяйте название бота и канала. Владельцы стараются придумывать запоминающиеся названия с наименованием компании или продукта. Например, companynamebot или companyinfobot. Конечно, у компании может и не быть своего представительства в «Телеграме», но многие все же стараются занять идентичные названию имена ботов и каналов как можно быстрее.
Оценивайте оформление профиля, включая фото. Обычно владельцы выбирают фирменный логотип и стилизуют его для бота. Если картинка сомнительная, некачественная или не похожа на логотип компании — это повод не пользоваться ботом.
Также в официальных ботах обычно ссылки на официальные сайты и контакты для связи. Мошенники могут скопировать все, включая контакты техподдержки, но так выше вероятность, что пользователь раскроет обман. В чате поддержка первым делом дает прямую ссылку на правильный бот.
Сверяйте функции бота с назначением. Программа для мониторинга погоды не должна запрашивать никакие персональные данные. Даже если в боте можно формировать списки, то должно хватить только ID.
Внимательно читайте условия оплаты. Доступ к боту может стоить от нескольких рублей в месяц до нескольких тысяч. Цену определяет разработчик. В большинстве случаев для платных ботов есть бесплатные аналоги, поэтому важно оценить полезность для каждого конкретного случая.
Популярная тема доступа к ChatGPT — в поиске десятки ботов. Часть из них бесплатная, а за некоторые надо заплатить сотни рублей в день. При этом официального бота для ChatGPT в «Телеграме» вообще нет
Оценивайте необходимость подписок на каналы для работы бота. В некоторых ботах можно отписаться от каналов сразу после начала работы. Другие боты всегда проверяют подписки. Если бот полезен, то ненужные каналы можно перенести в архив и отключить уведомления.
Делитесь номером телефона только при необходимости. Контактные данные могут понадобиться для отслеживания статуса доставки или покупок. В некоторых случаях боты запрашивают номер телефона, чтобы точно идентифицировать клиента. Номер телефона — информация для ограниченного круга лиц, поэтому лучше не делиться им без лишней необходимости.
Пожалуйтесь на бота, если заподозрили обман. Делается это так: тап или клик по названию бота → «Пожаловаться» → указать причину → написать комментарий → «Отправить жалобу». Жалоба не гарантирует быструю блокировку мошенников, но чем больше пользователей сообщит о потенциальном обмане, тем больше вероятность блокировки злоумышленников.
Бот может собирать персональные данные, но их объем можно ограничить. До старта работы бота он ничего не знает о пользователе. После команды /start информация уходит администраторам.
Удалить информацию после отправки не получится. Даже если удалить чат и заблокировать бот, то информация останется на сервере владельца.
Опасны те боты, которые мошенники создают с целью получить выгоду. Их важно проверять до начала использования.
Отказывайтесь от взаимодействия с подозрительным ботом, если что-то настораживает — название, ссылка, требования подписаться на каналы и так далее.
Как и любую полезную программу, мошенники быстро освоили боты в мессенджерах. Расскажу, какие могут быть опасными, как их распознать и не попасться на уловки злоумышленников.
Как работают телеграм-боты
Бот — это небольшая программа с конкретной функцией. Мессенджер обычно выступает как интерфейс, а сам бот работает либо на отдельном сервере, либо в облаке. Это популярная схема для конструкторов ботов.
Простые боты действуют по заранее заданному сценарию. Разработчики закладывают схему работы — пользователь нажимает кнопки или пишет только определенные команды, а бот выполняет их.
Например, Пользователь загружает файл, указывает желаемый формат, а система автоматически преобразует его в другой. Никаких других опций бот не предлагает, а если отправлять ему сообщения, не связанные с его командами, то он не отреагирует.
Более сложные боты умеют распознавать текст, голос, изображение и обрабатывать их определенным образом. Как правило, к ним подключают технологии искусственного интеллекта. Это опция, которая позволяет существенно расширить функциональность.
Например, — он создает картинки и видео по текстовому запросу, позволяет редактировать изображения, генерирует аватарки и стикеры.
Задача бота на скриншоте — напомнить о разминке во время работы. Можно настроить время уведомлений, а бот сам подберет упражнения и пришлет видео
Создать бота можно либо с помощью навыков программирования, , либо на одном из десятка сайтов-конструкторов. Функции разбиты на блоки, а задача пользователя — указать последовательность действий и дать им названия.
Когда пользователь открывает диалог с ботом, у последнего еще нет никакой информации. Но как только бота активируют командой /start, он получает доступ к ID
, указанным в профиле пользователя имени, фамилии и никнейму, а также к информации из раздела «О себе».
Бот также может получить номер телефона и фото профиля, но только если они открыты для всех в настройках конфиденциальности. Если эта информация скрыта ото всех или тех, кто не входит в список контактов, бот ее не получит.
Вся информация хранится у разработчиков, даже если человек удаляет весь диалог или конкретные сообщения либо останавливает бота. Кроме того, у администраторов сохраняются отправленные боту изображения, видео- и аудиофайлы. Сколько информация хранится, зависит от настроек. Повлиять на это нельзя.
После того как пользователь запустит бота кнопкой /start, он сможет отправлять сообщения даже без команды. Чтобы прекратить получать сообщения, нужно остановить бота в настройках. Для этого нужно открыть диалог с ботом, кликнуть на аватарку → «Еще» → «Заблокировать бота».
Чем могут быть опасны боты
Боты по умолчанию не несут серьезных угроз. Утечки данных случаются из-за ошибок в разработке или пренебрежения нормами информационной безопасности, но такие проблемы обычно быстро исправляют.Опасность представляют боты, созданные мошенниками для получения выгоды. Вот какие схемы мошенники применяют чаще всего.
Фишинг. Мошенники создают новостной канал, копируя дизайн и посты другого популярного источника. Затем под видом рекламы размещают ссылку на бот, который обещает бонусы или доступ к закрытому контенту.
Иногда злоумышленники сразу создают фальшивый бот популярного сервиса. Поиск в мессенджерах не всегда работает правильно, и наверху может оказаться мошеннический инструмент.
Пользователь начинает общение с ботом, который просит поделиться контактом и номером телефона. Украденные данные могут использовать для рассылки спама или рекламных звонков.
Помимо кражи данных бот может потребовать оплатить какую-либо услугу и не предоставить ее. Попытки связаться с администратором или техподдержкой заканчиваются неудачей — пользователя блокируют.
Мошенники могут сделать бот для сервиса, у которого никакого официального бота нет. На скрине пример с сервисом «Номерограм», который работает через сайт и приложения в сторах
Фальшивые подарки. В конце 2024 года распространился обман, связанный с дарением Пользователь получает уведомление от мошеннического бота, замаскированного под официальный Premium Bot, о том, что ему якобы подарили подписку. Чаще всего пользователь когда-то давно запускал этого бота и успел забыть, а за это время программу переделали для обмана.
Для получения подарка надо авторизоваться на сайте и дождаться активации подписки в течение пары часов. Злоумышленники маскируют адрес мошеннического сайта под официальный t.me/premium. Пользователь переходит на фишинговый сайт и авторизуется с помощью QR-кода или по номеру телефона, добровольно указывая пароль.
С этого момента мошенники контролируют аккаунт. Как правило, они прекращают все сессии пользователя и начинают вымогать деньги у людей из списка контактов украденного профиля. В таком случае вернуть доступ к аккаунту сложно, но возможно.
Интерфейс авторизации полностью повторяет оригинальный, но есть отличие в адресе. Источник:
Подписка на сомнительные каналы. Для бесплатной работы некоторых ботов надо подписаться на два-три канала-спонсора. Это могут разработчики бота или их партнеры. Иногда такой легальный способ продвижения используют мошенники.
Фальшивые боты вынуждают подписаться на сомнительные каналы, например об инвестировании или криптовалюте. Там пользователей вовлекают в мошеннические схемы или обманывают на значительные суммы, используя репутацию владельца полезного бота.
Более хитрая схема: у администраторов официального бота крадут доступ и меняют полезные каналы на мошеннические. Пользователи подписываются на них, будучи уверенными, что все безопасно. Если владельцы бота какое-то время не видят подмены информации, то помимо пользователей пострадает и их репутация.
Рассылка вредоносных программ. Сложная схема, к которой прибегают опытные злоумышленники. Работает так: пользователь обращается к боту, чтобы скачать приложение на Android. Вместо полезной программы — зловредная, которая может украсть личные данные, включить смартфон в ботнет для рассылки спама или начинает всюду показывать рекламу.
Удалить полностью подобную программу может быть сложно, поскольку изначальный файл может быть лишь первым в цепочке для заражения устройства. А поскольку пользователь сам скачал и разрешил установку файла, защитные механизмы системы не отреагируют на угрозу.
Мошенничество с подписками. В этом случае бот перенаправляет на сайт или телеграм-канал. Бот обещает низкую цену за подписку — например, один рубль вместо нескольких сотен или тысяч. На деле такой платеж взимается один раз, а затем стоимость подписки вырастает до десятков тысяч рублей в месяц.
Также бот может перенаправлять пользователя к другому боту, который оформляет легальную подписку на закрытый канал знаменитости или блогера. Первый бот обещает скидку до 99% при подписке на него, но на деле бот не делает ничего. Пользователь переходит в обычный бот и оформляет подписку по обычной стоимости. Отменить такой платеж крайне сложно.
Как распознать мошеннический бот
Иногда выявить вредоносный бот очень просто, а порой — почти невозможно. Как правило, злоумышленники тратят достаточно времени на подготовку. Они могут выкупить какой-то канал с тысячами подписчиков, чтобы позже переделать его и выдать за что-то полезное. В остальном может быть много ошибок.Вот на что стоит обратить внимание.
Переходите в боты только из проверенных источников. Это может быть ссылка с сайта, из группы в соцсети или телеграм-канала. Искать через поиск небезопасно, поскольку «Телеграм» случайным образом показывает боты в выдаче и не ранжирует их. В мессенджере нет «галочки» или другого знака для официальных ботов компаний или сервисов.
Полезный бот в списке — первый, он умеет проверять вредоносные файлы. Рядом с названием показывается статистика по пользователям, что тоже дополнительный маркер подлинности. Все остальные — как минимум неофициальные, а как максимум — мошеннические
Проверяйте название бота и канала. Владельцы стараются придумывать запоминающиеся названия с наименованием компании или продукта. Например, companynamebot или companyinfobot. Конечно, у компании может и не быть своего представительства в «Телеграме», но многие все же стараются занять идентичные названию имена ботов и каналов как можно быстрее.
Оценивайте оформление профиля, включая фото. Обычно владельцы выбирают фирменный логотип и стилизуют его для бота. Если картинка сомнительная, некачественная или не похожа на логотип компании — это повод не пользоваться ботом.
Также в официальных ботах обычно ссылки на официальные сайты и контакты для связи. Мошенники могут скопировать все, включая контакты техподдержки, но так выше вероятность, что пользователь раскроет обман. В чате поддержка первым делом дает прямую ссылку на правильный бот.
Сверяйте функции бота с назначением. Программа для мониторинга погоды не должна запрашивать никакие персональные данные. Даже если в боте можно формировать списки, то должно хватить только ID.
Внимательно читайте условия оплаты. Доступ к боту может стоить от нескольких рублей в месяц до нескольких тысяч. Цену определяет разработчик. В большинстве случаев для платных ботов есть бесплатные аналоги, поэтому важно оценить полезность для каждого конкретного случая.
Популярная тема доступа к ChatGPT — в поиске десятки ботов. Часть из них бесплатная, а за некоторые надо заплатить сотни рублей в день. При этом официального бота для ChatGPT в «Телеграме» вообще нет
Оценивайте необходимость подписок на каналы для работы бота. В некоторых ботах можно отписаться от каналов сразу после начала работы. Другие боты всегда проверяют подписки. Если бот полезен, то ненужные каналы можно перенести в архив и отключить уведомления.
Делитесь номером телефона только при необходимости. Контактные данные могут понадобиться для отслеживания статуса доставки или покупок. В некоторых случаях боты запрашивают номер телефона, чтобы точно идентифицировать клиента. Номер телефона — информация для ограниченного круга лиц, поэтому лучше не делиться им без лишней необходимости.
Пожалуйтесь на бота, если заподозрили обман. Делается это так: тап или клик по названию бота → «Пожаловаться» → указать причину → написать комментарий → «Отправить жалобу». Жалоба не гарантирует быструю блокировку мошенников, но чем больше пользователей сообщит о потенциальном обмане, тем больше вероятность блокировки злоумышленников.
Что в итоге
Создать телеграм-бота можно за пару часов и без специальных навыков программирования.Бот может собирать персональные данные, но их объем можно ограничить. До старта работы бота он ничего не знает о пользователе. После команды /start информация уходит администраторам.
Удалить информацию после отправки не получится. Даже если удалить чат и заблокировать бот, то информация останется на сервере владельца.
Опасны те боты, которые мошенники создают с целью получить выгоду. Их важно проверять до начала использования.
Отказывайтесь от взаимодействия с подозрительным ботом, если что-то настораживает — название, ссылка, требования подписаться на каналы и так далее.
