как сражаются с мошенниками в мессенджере Дурова — Соцсети на vc.ru
Вот уже 5 месяцев, как в Телеграме появилась метка SCAM, а точных правил, по которым она выдается, до сих пор нет. В этой статье собрано все (и даже больше), что известно про борьбу с мошенниками на данный момент. И совет: что ни в коем случае нельзя делать, чтобы не накликать на себя гнев команды Дурова.
Краткое содержание статьи:
1) Что такое метка SCAM?
2) За что можно получить метку SCAM?
3) За что не дают метку SCAM?
4) Как реагируют сами мошенники на поставленную им метку?
5) Как можно пожаловаться на мошенников в Телеграме?
6) Как НЕЛЬЗЯ сообщать про мошенников? Кейс с «Халявой!!!»
7) Вместо эпилога
Что такое метка SCAM?
Начнем с того, что SCAM в переводе означает «Мошенничество». Такую метку в Телеграме могут получить пользователи, каналы и боты. Вместе с меткой в описании «провинившегося» идет уточнение на английском языке:
⚠️ Warning: Many users reported this account as a scam. Please be careful, especially if it asks you for money.
Что в переводе значит:
⚠️ Предупреждение: многие пользователи сообщили об этом аккаунте, как о мошеннике. Пожалуйста, будьте осторожны, особенно если у вас попросят денег.
Аккаунты, которым присваивается знак SCAM, не отображаются в глобальном поиске внутри самого мессенджера. Перейти в помеченный канал/бот или переписку с таким пользователем можно лишь по прямой ссылке на него.
Сообщать про мошенников может любой пользователь Телеграма. Для этого стоит просто написать на официальный аккаунт @notoscam. Он, кстати, раньше использовался только для того, чтобы сообщать о продаже фейковых грамов – криптовалюты Дурова.
Про аккаунт поддержки по борьбе со скамом Antiscam команда мессенджера написала в Твиттере 5 месяцев назад, в середине мая. С уточнением, что на том конце прово
Кидалы | Телеграмм каналы, и пользователи.
Страница 2 из 2
< Назад
1
2
kokoko321321
Новорег (НЕ ПРОВЕРЕН)
Открыть профиль
- Статус:
- Вне сети
- Регистрация:
- 23.04.2019
- Сообщения:
- 1
- Симпатии:
- 0
Кидало в телеграмм @AgminDA имеет фейк канал
Он затер всю переписку ! Но все кто погуглит — хоть тут прочитают о нем ))Primvova
Новорег (НЕ ПРОВЕРЕН)
Открыть профиль
- Статус:
- Вне сети
- Регистрация:
- 18.05.2018
- Сообщения:
- 62
- Симпатии:
- 2
как действуют мошенники в Telegram, распространенные скам-проекты, что значит пометка scam
Появление мошенников, активное распространение обманных действий в «Телеграм» привело к необходимости борьбы с ними. В качестве контрмеры Павел Дуров предложил специальный механизм, присутствующий на сайте stelegram.ru. В мае текущего года в твиттере прошла информация о запуске Antiscam.
Результатом работы данной команды стало появление метки Scam. Она сигна-лизирует о начале борьбы с мошенническими действиями пользователей и разводом в популярном мессенджере «Телеграме». Пока принцип ее фильтрации не афиши-руется. В связи с этим вопрос, как избежать попадания в черный список, открыт.
Что такое скам в Telegram
Скам в Telegram.
В блокировку попадают пользователи, боты и каналы. В случае присвоения им данной метки они потеряют видимость внутри площадки.
Для продолжения общения с заблокиро-ванными аккаунтами необходимо будет перейти по прямой ссылке на них.
За распространение скам в Телеграм теперь следует справедливое наказание. Проинформировать разработчиков об обнаружении мошенника может любой человек, написав @notoscam. Ранее данный аккаунт использовался для сбора информации о фейковой продаже криптовалюты Дурова.
Доступен также e-mail [email protected], на который принимаются заявки на рассмотрение кандидата в блокировку. Сюда же направляются письма от компаний и сервисов для подтверждения правомерности своих действий.
Широко известные скам-проекты
За время существования Telegram разработчики накопили статистику каналов, деятельность которых направлена на обогащение за счет обмана пользователе.
Криптовалюта
Продажа фейковых денег, различные мейнинги – не что иное, как «развод» людей. Модифицированная финансовая пирамида выкачивает у пользователей средства и «скамится».
Букмекеры
Азартные игроки, знатоки спорта, желающие сделать ставку не выходя из дома, становятся клиентами таких каналов. Получая информацию о выгодном предложении, пользователи не могут удержаться и оказываются жертвами обманщиков.
Казино
Даже в жизни шанс заработать выпадает одному на миллион. Онлайн-площадки – это еще одно средство обогащения за счет доверчивых пользователей.
Продажа рекламы
Зафиксированы случаи появления бирж, которые предлагают разместить информацию о товарах или услугах по очень выгодной цене. Попадаясь на такие уловки, реклама заказчиков оказывается на непрофильном канале, либо их вовсе обманывают.
Скам-боты
Сервис актуален в мире криптовалюты. Продажа воздуха захлестнула интернет-сообщество. Последний факт мошенничества был выявлен с BitMEX. Предназначение бота – выполнение торговых операций. Покупают подобные сервисы люди, слабо разбирающиеся в правилах трейдинга. Отсутствие знаний экономических процессов и погоня за прибылью приводят к потере времени и денег пользователей.
Что означает метка SCAM
Присваивается участникам, подозреваемым в мошенничестве. Согласно статистике, с момента начала работы сервиса уже 510 каналов попали в бан. Блокируются и их административные аккаунты.
Метка в Telegram.
Ввиду отсутствия официальной информации о том, как не попасть в черный список, пользователи стали проводить анализ поведения SCAM-участников и составления перечня действия, которые могут послужить причиной для блокировки:
- Сокрытие реальных контактных сведений о себе и компании. Зачастую в канале появляются рекламные объявления, содержащие фейковую информацию о товаре. Это приводит к обману пользователей. Борьба с подобными аккаунтами ранее велась собственными силами администраторов.
- Еще один способ получить метку scam в Телеграме – это быть администратором дублирующих каналов или использовать боты для накрутки рейтинга. В данную категорию попадут те аккаунты, задачей которых является раскручивание каналов посредством мотивированного трафика. Подобные действия указывают на двойное мошенничество. Рекламодатель не получает просмотры потенциальных покупателей, выплата денег исполнителям ботами не всегда корректна.
- Каналы с казино «Вулкан», ставки на скачки и спорт, мошеннические раскрутки с фейковой раздачей денежных средств, а также боты с бесплатным выпуском криптовалюты и т. д. Честные аккаунты не окажутся в поле зрения Antiscam-команды.
- Каналы с сомнительными темами: кардинг (обманные действия с платежными картами пользователей), рефанды (получение заработка на возврате денег покупателю торговой точкой), всевозможные взломы, даркнет, а также шантаж и прочее. В отношении подобных каналов применяется жесткая политика. Метка сниматься не будет.
- Сообщества с обманными розыгрышами среди подписчиков. Надежда на получение приза или денег манит людей вне зависимости от возраста. На практике никаких выигрышей нет или шансы обретения сведены к нулю.
- Каналы, продающие монету GRAM, также приравниваются к обману пользователей в телеграме. Команда Дурова предупреждает людей, что подобной криптовалюты нет. Данный проект запущен с целью наживы, используя имя Павла.
Указанные действия свидетельствуют о разводе в Telegram и подлежат блокировке. Команда Дурова борется за честное ведение бизнеса в Сети.
За размещение информации о детском насилии, терроризме, призывах к самоубийству, распространении наркотических и психотропных средств и т. д. пользователи автоматически будут попадать в бан без присвоения метки.
Правильные действия участников
Метку SCAM пользователь или канал никогда не получит, если будет придерживаться следующих правил:
- Вопросы плагиата, копирование информации или воровства контента не интересуют разработчиков. Antiscam не будет рассматривать подобные действия аккаунтов для их блокировки. Если вы обладаете авторским правом на материал, подтвердите это, выслав информацию, на e-mail: [email protected]. ее рассмотрят в короткие сроки. После чего плагиатор от имени @dmcatelegram получит сообщение о необходимости удаления информации с канала. В случае отказа, ему присвоят соответствующую Scam-метку.
- «Телеграм» помечает меткой проекты, занимающиеся торговлей криптовалюты, но не блокирует каналы, рекламирующие услуги мошенников по продаже фейковой монеты GRAMS.
В процессе работы команда Antiscam выявит огрехи и исправит недочеты. Обманные действия пользователей в «Телеграм» будут обнаружены и помечены.
Реакция мошенников на получение метки
Предупреждение о мошенниках в Телеграм.
Чаще всего происходит перебрасывание аудитории в приватные каналы под различными предлогами:
- Пользователям объясняется, что блокировка произошла из-за проделок конкурентов.
- Информирование по ужесточению политики и заработку в Telegram.
- Размещение сведений о несправедливо помеченном канале по продаже криптовалюты. Якобы действия направлены для привлечения внимания к собственной разработке «Телеграм». Встречались случаи, когда администраторы меняли название канала для завуалирования метки.
К сожалению, пользователи продолжают верить сервису, подписчиком которого являются. Задача Telegram – предупредить о нечестных действиях.
Как пожаловаться на скам
Информацию следует направить на @notoscam с указанием ссылки на ресурс или пользователя, а также с приложением подтверждения описываемого факта. Получить метку можно за одно обращение в службу технической поддержки.
Владельца не спасет, если он администрирует приватный канал. Не защитит от проверки ресурса и добавление @notoscam в черный список.
К рассмотрению не принимаются заявки, преследующие цель устранение конкурентов. Antiscam ведет работу с владельцами каналов и пользователями, направившими сообщение.
Выводы
Antiscam может присвоить метку ошибочно. В этом случае администратор ресурса направляет заявление и предоставляет оправдательную информацию в защиту канала.
Поиск лазеек для обхода ограничений продолжается. Подобная политика «Телеграм» породила и новый вид мошенничества. Владельцам поступают сообщения, предлагающие заплатить определенную сумму для защиты от метки Scam.
Детальная инструкция видна на видео:
【Реальный договорняк】: отзывы, Телеграмм канал информатора
Реальный договорняк
Перейти на сайт
Общая оценка:
1.47
Оценка редакции:
Бесплатные прогнозы:
Коэффициенты:
Оценка пользователей:
Информация о каппере
Реальный договорняк – Телеграм канал с прогнозами на выдуманные матчи в 3-ем дивизионе Китая. По состоянию на июль 2020 года на канал проекта подписано более 35 тысяч человек. Однако судя по отзывам, это число достигнуто вследствие накрутки, записи редко набирают более 200 просмотров.
«Фишкой» проекта является то, каким образом они зарабатывают на доверчивых подписчиках. Предлагаем и нашим читателям ознакомиться с подробной схемой, по которой действуют мошенники.
В Телеграмм канале, уже заполненном фейковыми отзывами, публикуется прогноз на матч.
- Всегда это ставка на чемпионат Китая 3-ий дивизион.
- Причем, судя по отзывам, ни в одной букмекерской конторе, кроме той, что продвигают аферисты, этого матча нет. Это и понятно, команды, как и сам матч вымышленные.
- Доверчивых пользователей призывают регистрироваться и вносить депозит в фейковой букмекерской конторе. Причем название букмекера регулярно меняется.
- После того, как деньги внесены, с деньгами уже можно прощаться, что подтверждают отзывы пострадавших от работы Телеграмм канала Реальный договорняк.
- Вымышленный матч действительно закончится с указанным счетом, сделано это для того, чтоб те, кто не рискнул в первый раз, обязательно сделали это во второй, ведь прогноз оказался верен.
Прогнозы на сайте
В качестве бесплатных прогнозов и публикуются такие псевдо-договорняки. Не смущает мошенников даже отсутствие в реальном мире этих команд, что легко отслеживается, если вбить их названия в Гугле.
Статистика проходимости прогнозов сайта
Развернутой информации о статистике в канале с договорняками на Китай нет, вместо этого – недостоверные отзывы и «пустые» сообщения об отсутствии поражений.
Стоимость платных услуг
Бесплатные прогозы
Привычных платных прогнозов, вроде ВИП-экспрессов или раскруток в Телеграме проекта не публикуется. Аферисты зарабатывают за счет пополнений в фейковой букмекерской конторе. Причем доверчивых игроков не смущает даже отсутствие на сайте БК соответствующих лицензий платежных систем и вообще регистрации букмекера.
Отзывы о группе Реальный Договорняк в Телеграмме исключительно негативные. Ведь клиентов призывают зарегистрироваться в букмекерской конторе-однодневке, которая будет удалена уже через пару дней, естественно, никаких выплат клиентам не сделав. Прежде чем приобретать платные подписки – трижды подумайте, а лучше ознакомьтесь с обзором и отзывами на нашем сайте.
Не рекомендуем сотрудничать с проектом ввиду следующих причин:
- Отзывы о Телеграмме Реальный договорняк в сети только критические.
- Предлагает ставки на несуществующие матчи.
- Призыв к регистрации в фейковой букмекерской конторе.
- Публикация купленных отзывов на своем ресурсе.
- Нет достоверной верифицированной статистики.
- Продажа договорных матчей — услуга мошенников.
Вместо того чтоб вестись на вымышленные договорняки и раскрутки – вложите собственные деньги в услуги профессионального каппера. На нашем сайте доступен список проверенных прогнозистов, которые в отличие от канала Реальный Договорняк, не публикуют фейковые отзывы и не обманывают клиентов.
Итоговая оценка
Ознакомившись с работой канала, а также отзывами пострадавших клиентов – категорически не советуем сотрудничать с мошенническим проектом. Если Вы ставили с группой Реальный договорняк в Телеграмме – делитесь отзывами в комментариях на нашем сайте!
Напишите отзыв о работе каппера:
No apps configured. Please contact your administrator.
Поставьте оценку:
Ваша оценка будет влиять
на общий рейтинг каппера
Отзывы пользователей
Подписываюсь под каждым написанным словом, тоже пополнил на 3 тысячи счет в этой букмекерке, меня просто заблочили, не выплатив ни копейки! Реальный догвоорняк и подобные каналы со ставками на всякие лиги китая и им подобным это развод!
Ответить
Топ каперов
Общая оценка:
Оценка пользователей:
Оценка редакции:
Общая оценка:
Оценка пользователей:
Оценка редакции:
Общая оценка:
Оценка пользователей:
Оценка редакции:
Общая оценка:
Оценка пользователей:
Оценка редакции:
Что будет за попытку взлома инстаграм и можно ли вернуть деньги, отданные мошенникам в телеграмм?
ВЗЛОМ СОЦИАЛЬНЫЕ СЕТИ:
Взлом В контакте (vkontakte)
Взлом Одноклассники (odnoklassniki)
Взлом Фейсбук (Facebook)
Взлом Twitter
Взлом Instagram
ВЗЛОМ МЕССЕНДЖЕРОВ:
Взлом Вайбер (Viber)
Взлом Ватсап (WhatsApp)
Взлом Телеграм (Telegram)
Взлом Друг вокруг
И ДРУГИЕ
ВЗЛОМ КАНАЛА ЮТУБ
ВЗЛОМ ПОЧТЫ:
Взлом gmail
Взлом mail
Взлом yandex
Взлом yahoo
и другие
ВЗЛОМ САЙТОВ
УДАЛЕНИЕ ОТЗЫВОВ
Пробив информации по физическим лицам так же юридическим, установление место положения
И МНОГОЕ ДРУГОЕ
ПО УСЛУГАМ:
— Крайне высокая вероятность взлома — 93%
— Пароли не меняем
— «жертва» будет продолжать пользоваться анкетой, ничего не подозревая
— Кратчайшие сроки выполнения заказа
— Анонимность и конфиденциальность полностью соблюдается
— Простейшая и удобная система оплаты
ОБРАЩАТЬСЯ:
ПОЧТА: [email protected]
ВКОНТАКТЕ: vk.com/hackerinaid
ТЕЛЕГРАММ: @hackerinaid55
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
ВЗЛОМ СОЦИАЛЬНЫЕ СЕТИ:
Взлом В контакте (vkontakte)
Взлом Одноклассники (odnoklassniki)
Взлом Фейсбук (Facebook)
Взлом Twitter
Взлом Instagram
ВЗЛОМ МЕССЕНДЖЕРОВ:
Взлом Вайбер (Viber)
Взлом Ватсап (WhatsApp)
Взлом Телеграм (Telegram)
Взлом Друг вокруг
И ДРУГИЕ
ВЗЛОМ КАНАЛА ЮТУБ
ВЗЛОМ ПОЧТЫ:
Взлом gmail
Взлом mail
Взлом yandex
Взлом yahoo
и другие
ВЗЛОМ САЙТОВ
УДАЛЕНИЕ ОТЗЫВОВ
Пробив информации по физическим лицам так же юридическим, установление место положения
И МНОГОЕ ДРУГОЕ
ПО УСЛУГАМ:
— Крайне высокая вероятность взлома — 93%
— Пароли не меняем
— «жертва» будет продолжать пользоваться анкетой, ничего не подозревая
— Кратчайшие сроки выполнения заказа
— Анонимность и конфиденциальность полностью соблюдается
— Простейшая и удобная система оплаты
ОБРАЩАТЬСЯ:
ПОЧТА: [email protected]
ВКОНТАКТЕ: vk.com/hackerinaid
ТЕЛЕГРАММ: @hackerinaid55
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
ВЗЛОМ СОЦИАЛЬНЫЕ СЕТИ:
Взлом В контакте (vkontakte)
Взлом Одноклассники (odnoklassniki)
Взлом Фейсбук (Facebook)
Взлом Twitter
Взлом Instagram
ВЗЛОМ МЕССЕНДЖЕРОВ:
Взлом Вайбер (Viber)
Взлом Ватсап (WhatsApp)
Взлом Телеграм (Telegram)
Взлом Друг вокруг
И ДРУГИЕ
ВЗЛОМ КАНАЛА ЮТУБ
ВЗЛОМ ПОЧТЫ:
Взлом gmail
Взлом mail
Взлом yandex
Взлом yahoo
и другие
ВЗЛОМ САЙТОВ
УДАЛЕНИЕ ОТЗЫВОВ
Пробив информации по физическим лицам так же юридическим, установление место положения
И МНОГОЕ ДРУГОЕ
ПО УСЛУГАМ:
— Крайне высокая вероятность взлома — 93%
— Пароли не меняем
— «жертва» будет продолжать пользоваться анкетой, ничего не подозревая
— Кратчайшие сроки выполнения заказа
— Анонимность и конфиденциальность полностью соблюдается
— Простейшая и удобная система оплаты
ОБРАЩАТЬСЯ:
ПОЧТА: [email protected]
ВКОНТАКТЕ: vk.com/hackerinaid
ТЕЛЕГРАММ: @hackerinaid55
Часто задаваемые вопросы по технически наклонному
Этот FAQ по MTProto предназначен для опытных пользователей. Вы также можете ознакомиться с нашим Basic FAQ .
Обратите внимание, что разработчики клиентов должны соблюдать Руководство по безопасности.
Общие вопросы
Q: Почему вы выбрали специальный протокол?
Для достижения надежности при слабых мобильных соединениях, а также скорости работы с большими файлами (такими как фотографии, большие видео и файлы размером до 2 ГБ каждый), MTProto использует оригинальный подход.Этот документ призван прояснить некоторые детали нашей установки, а также рассмотреть некоторые моменты, которые трудно понять с первого взгляда.
Q: Где я могу узнать больше о протоколе?
Подробная документация по протоколу доступна здесь. Обратите внимание, что MTProto поддерживает два уровня: шифрование клиент-сервер, которое используется в облачных чатах Telegram, и сквозное шифрование, которое используется в секретных чатах Telegram. Смотрите ниже для получения дополнительной информации.
Если у вас есть какие-либо комментарии, напишите нам в Twitter.
Q: Как работает шифрование сервер-клиент в MTProto?
В облачных чатах Telegram используется шифрование сервер-клиент. Вот краткий обзор настройки:
Примечание 1
Каждое текстовое сообщение, которое должно быть зашифровано в MTProto, всегда содержит следующие данные, которые необходимо проверить при расшифровке, чтобы сделать систему устойчивой к известным проблемам с компонентами:
- серверная соль (64-битная)
- идентификатор сеанса
- порядковый номер сообщения
- длина сообщения
- время
Примечание 2
См. Дополнительные комментарии по использованию IGE и аутентификации сообщений.
Примечание 3
Telegram Сквозные зашифрованные секретные чаты используют дополнительный уровень шифрования поверх описанного выше.
Q: Как работает сквозное шифрование в MTProto?
В секретных чатах Telegram используется сквозное шифрование. Вы можете прочитать об этом здесь: Секретные чаты, Сквозное шифрование. Вот краткий обзор настройки:
Подробнее см. В этих статьях:
Q: Почему вы не используете X? (вставить решение)
Хотя, несомненно, существуют и другие способы достижения тех же криптографических целей, мы считаем, что настоящее решение является одновременно надежным и успешным в нашей второстепенной задаче — победить незашифрованные мессенджеры с точки зрения времени доставки и стабильности.
Q: Почему вы в основном полагаетесь на классические криптоалгоритмы?
Мы предпочитаем использовать хорошо известные алгоритмы, созданные в те дни, когда пропускная способность и вычислительная мощность были гораздо более редким товаром. Это имеет важные побочные эффекты для современной мобильной разработки и отправки больших файлов при условии, что устранены известные недостатки.
Слабые места таких алгоритмов также хорошо известны и используются десятилетиями. Мы используем эти алгоритмы в такой комбинации, которая, насколько нам известно, предотвращает возможный успех любой известной атаки.Хотя мы были бы благодарны за любые свидетельства обратного (пока они отсутствуют) и соответствующим образом обновим нашу систему.
Q: Я эксперт по безопасности и думаю, что ваш протокол небезопасен.
Если у вас есть какие-либо комментарии, мы будем рады выслушать их по адресу [email protected]. Мы награждаем тех, кто помогает нам обнаруживать и устранять уязвимости в наших клиентах и протоколах.
Приглашаем вас принять участие в нашем конкурсе — мы предлагаем 300 000 долларов тому, кто первым взломает шифрование Telegram.Ознакомьтесь с объявлением конкурса.
Шифрование
Q: Как аутентифицируются сообщения MTProto?
Все приложения Telegram гарантируют, что msg_key равно SHA-256 фрагмента auth_key , объединенного с расшифрованным сообщением (включая 12… 1024 байтов случайного заполнения). Важно, чтобы открытый текст всегда содержал длину сообщения, соль сервера, session_id и другие данные, неизвестные злоумышленнику.
Очень важно, чтобы ключи дешифрования AES зависели как от msg_key , так и от auth_key , известных только сторонам, участвующим в обмене.
Вопрос: Вы выполняете «Шифрование, затем MAC», «MAC-затем-шифрование» или «MAC-and-Encrypt»?
Строго говоря, мы не делаем ничего из вышеперечисленного. Для аутентификации сообщения мы вычисляем SHA-256 (auth_key_fragment + AES_decrypt (…, encrypted_message)) при получении сообщения и сравниваем это значение с msg_key , полученным с зашифрованным сообщением.
См. Также: Почему бы не зашифровать MAC?
Q: Почему бы вам не использовать стандартный подход «шифрование, затем MAC»?
Использование encrypt-then-MAC, e.грамм. с использованием GCM (режим счетчика Галуа), позволит принимающей стороне обнаруживать неавторизованные или модифицированные зашифрованные тексты, тем самым устраняя необходимость их дешифрования в случае взлома.
В MTProto клиенты и сервер аутентифицируют сообщения, гарантируя, что SHA-256 (auth_key_fragment + plaintext + padding) = msg_key и что открытый текст всегда содержит длину сообщения, соль сервера, session_id и другие данные, не известные потенциальному злоумышленнику, прежде чем принять любое сообщение. Эти проверки безопасности, выполняемые на клиенте перед тем, как какое-либо сообщение будет принято, гарантируют, что недопустимые или измененные сообщения всегда будут безопасно (и незаметно) отброшены.
Таким образом, мы приходим к тому же результату. Разница в том, что проверка безопасности выполняется перед расшифровкой в Encrypt-then-MAC и после дешифрования в MTProto, но в любом случае до того, как сообщение будет принято. Шифрование / дешифрование AES на используемых в настоящее время устройствах сопоставимо по скорости с дополнительными вычислениями HMAC, необходимыми для подхода «шифрование, затем MAC».
Q: Вы все еще используете SHA-1?
Текущая версия протокола использует SHA-256 .MTProto 1.0 использовал SHA-1 (подробности см. В этом FAQ).
В MTProto 2.0 SHA-1 используется только там, где выбор хеш-функции не имеет значения для безопасности, например:
Q: Вы используете IGE? ИГЭ сломан!
Да, мы используем IGE, но в нашей реализации он не нарушен. Тот факт, что мы не используем IGE как MAC вместе с другими свойствами нашей системы, делает известные атаки на IGE несущественными.
IGE, как и вездесущий CBC, уязвим для блочно-адаптивного CPA.Но адаптивные атаки представляют собой угрозу только до тех пор, пока один и тот же ключ может использоваться в нескольких сообщениях (не так в MTProto).
Адаптивные атаки в MTProto даже теоретически невозможны, потому что для шифрования сообщение должно быть сначала полностью сформировано, поскольку ключ зависит от содержимого сообщения. Что касается неадаптивного CPA, IGE защищен от них, как и CBC.
Аутентификация
Q: Как сервер аутентифицируется во время обмена ключами DH?
Обмен DH аутентифицируется открытым ключом RSA сервера, встроенным в клиент (тот же ключ RSA также используется для защиты от атак MitM).
Q: Как аутентифицируются клиенты?
Различные секреты (nonce, server_nonce, new_nonce), которыми обмениваются во время генерации ключа, гарантируют, что DH-ключ может быть получен только тем экземпляром, который инициировал обмен.
Обратите внимание, что new_nonce передается явно только один раз в зашифрованном RSA сообщении от клиента к серверу.
Q: Как аутентифицируются секретные чаты?
Ключи для сквозных зашифрованных секретных чатов генерируются новым экземпляром обмена ключами DH, поэтому они известны только участвующим сторонам, а не серверу.Чтобы установить личности этих сторон и убедиться, что MitM отсутствует, рекомендуется сравнивать идентификаторы, сгенерированные из хэшей секретных ключей чата DH (визуализации ключей).
Q: Как аутентифицируются голосовые вызовы?
Ключи для вызовов с сквозным шифрованием генерируются с использованием обмена ключами Диффи-Хеллмана. Пользователи, которые разговаривают по телефону, могут убедиться, что MitM отсутствует, сравнив ключевые визуализации.
Чтобы сделать проверку ключа практичной в контексте голосового вызова, Telegram использует модификацию стандартного обмена ключами DH для вызовов с тремя сообщениями:
- A-> B: (генерирует и) отправляет g_a_hash: = hash (g ^ a)
- B-> A: (сохраняет g_a_hash, генерирует b и) отправляет g_b: = g ^ b
- A-> B: (вычисляет ключ (g_b) a, затем) отправляет g_a: = g a
- B: проверяет хэш (g_a) == g_a_hash, затем вычисляет ключ (g_a) ^ b
Идея состоит в том, что Алиса фиксирует определенное значение a (и g_a ), но не раскрывает g_a Бобу (или Еве) до самого последнего шага.Боб должен выбрать свое значение b и g_b , не зная истинного значения g_a . Если Ева выполняет атаку «Человек посередине», она не может изменить на в зависимости от значения g_b , полученного от Боба, и она также не может настроить свое значение b в зависимости от g_a . В результате Ева получает только один выстрел при введении своих параметров — и она должна сделать этот выстрел с закрытыми глазами.
Благодаря этой модификации становится возможным предотвращение подслушивания (MitM-атак на DH) с вероятностью более 0.9999999999, используя в визуализации чуть более 33 бит энтропии. Эти биты представлены пользователям в виде четырех смайлов. Мы отобрали пул из 333 смайликов, которые очень отличаются друг от друга и могут быть легко описаны простыми словами на любом языке.
Подробнее о проверке ключей для звонков в Telegram можно прочитать здесь.
Q: Есть ли у вас прямая секретность?
Секретные чаты
Telegram поддерживают Perfect Forward Secrecy, вы можете прочитать об этом здесь.
Защита от известных атак
Атаки с использованием известного открытого текста
По определению, атака с известным открытым текстом (KPA) — это модель атаки для криптоанализа, в которой злоумышленник имеет образцы как открытого текста, так и его зашифрованной версии (зашифрованного текста).
AES IGE, который используется в MTProto, устойчив к атакам KPA (см. Это, если вам интересно, как можно безопасно использовать IGE). Кроме того, открытый текст в MTProto всегда содержит server_salt и идентификатор сеанса.
Атаки с выбранным открытым текстом
По определению, атака с выбранным открытым текстом (CPA) — это модель атаки для криптоанализа, которая предполагает, что злоумышленник имеет возможность выбирать произвольные открытые тексты для шифрования и получать соответствующие зашифрованные тексты.
MTProto использует AES в режиме IGE (посмотрите это, если вам интересно, как можно безопасно использовать IGE), который защищен от неадаптивных CPA. IGE, как известно, не защищен от поблочно-адаптивного CPA, но MTProto исправляет это следующим образом:
Каждое текстовое сообщение, подлежащее шифрованию, всегда содержит следующее, которое необходимо проверить при расшифровке:
- серверная соль (64-битная)
- порядковый номер сообщения
- время
Вдобавок к этому, чтобы заменить открытый текст, вам также потребуется использовать правильный ключ AES и iv, оба зависят от auth_key.Это делает MTProto устойчивым к CPA.
Атаки по выбранному зашифрованному тексту
По определению, атака с выбранным зашифрованным текстом (CCA) — это модель атаки для криптоанализа, в которой криптоаналитик собирает информацию, по крайней мере частично, путем выбора зашифрованного текста и получения его дешифрования под неизвестным ключом. При атаке злоумышленник имеет шанс ввести в систему один или несколько известных зашифрованных текстов и получить результирующие открытые тексты. На основе этой информации злоумышленник может попытаться восстановить скрытый секретный ключ, использованный для дешифрования.
Каждый раз, когда сообщение дешифруется в MTProto, выполняется проверка, чтобы увидеть, равно ли msg_key SHA-256 фрагмента auth_key , соединенного с расшифрованным сообщением (включая 12… 1024 байтов случайного заполнения) , Открытый текст (дешифрованные данные) также всегда содержит длину сообщения, соль сервера и порядковый номер. Это сводит на нет известные CCA.
А как насчет IND-CCA?
MTProto 2.0 удовлетворяет условиям неразличимости при атаке с выбранным зашифрованным текстом (IND-CCA).
Подробнее о IND-CCA в MTProto 1.0
Повтор атаки
Атаки с воспроизведением запрещены, поскольку каждый открытый текст, который должен быть зашифрован, содержит соль сервера, уникальный идентификатор сообщения и порядковый номер.
Это означает, что каждое сообщение может быть отправлено только один раз.
Атаки типа Man-in-the-middle
Telegram имеет два режима связи — обычные чаты с использованием шифрования клиент-сервер и секретные чаты с использованием сквозного шифрования.
Связь между клиентом и сервером
защищена от MiTM-атак во время генерации ключа DH с помощью открытого ключа RSA сервера, встроенного в клиентское ПО. После этого, если оба клиента доверяют программному обеспечению сервера, секретные чаты между ними защищены сервером от атак MiTM.
Интерфейс предлагает способ сравнения ключей секретного чата для пользователей, которые доверяют серверу , а не . Визуализации ключа представлены в виде идентификаторов (пример здесь).Сравнивая ключевые визуализации, пользователи могут убедиться, что атаки MITM не было.
Хеш-коллизии для ключей Диффи-Хеллмана
В настоящее время отпечаток пальца использует 128-битный SHA-1, соединенный со 160 битами из SHA-256 ключа, что дает в общей сложности 288 бит отпечатка пальца, что исключает возможность атак хеш-коллизии.
Подробнее об отпечатках пальцев в более ранних версиях Telegram
Удары по удлинению
По определению, атаки с расширением длины — это тип атаки, когда определенные типы хэшей неправильно используются в качестве кодов аутентификации сообщений, что позволяет включать дополнительную информацию.
Сообщение в MTProto состоит из msg_key , равного SHA-256 фрагмента auth_key , соединенного с открытым текстом (включая некоторые дополнительные параметры и 12… 1024 байта случайного заполнения), за которым следует зашифрованный текст. Злоумышленник не может добавить дополнительные байты в конец и пересчитать SHA-256, так как SHA-256 вычисляется из открытого текста, а не из зашифрованного текста, и злоумышленник не может получить зашифрованный текст, соответствующий дополнительным байтам открытого текста, которые он может пожелать. добавить.
Кроме того, изменение msg_key также изменит ключ дешифрования AES для сообщения непредсказуемым для злоумышленника образом, поэтому даже исходный префикс будет расшифрован в мусор, что будет немедленно обнаружено, поскольку приложение выполняет проверку безопасности. чтобы гарантировать, что SHA-256 открытого текста (в сочетании с фрагментом auth_key ) соответствует полученному msg_key .
Зашифрованные сети CDN
По состоянию на Telegram 4.2, мы поддерживаем зашифрованные сети CDN для кэширования мультимедиа из общедоступных каналов с более чем 100 000 участников. Узлы кэширования CDN расположены в регионах со значительным трафиком Telegram, где мы не хотели бы размещать серверы Telegram по разным причинам.
Технические подробности реализации, шифрования и проверки данных см. В руководстве по CDN.
См. Этот документ для персидской версии этого FAQ.
بخش ارسی
Q: Почему вы решили использовать CDN?
Мы используем наши собственные распределенные серверы для ускорения загрузки в регионах, где гарантирована свобода слова — и даже там мы не принимаем это как должное.Но когда Telegram становится чрезвычайно популярным в других областях, мы можем полагаться только на сети CDN, которые с технической точки зрения воспринимаем скорее как интернет-провайдеры, поскольку они получают только зашифрованные данные, которые не могут расшифровать.
Благодаря этой технологии скорость загрузки общедоступных фотографий и видео может быть значительно выше в таких регионах, как Турция, Индонезия, Южная Америка, Индия, Иран или Ирак, без малейшего ущерба для безопасности.
Q: Может ли CDN расшифровать файлы?
№Каждый файл, который должен быть отправлен в CDN, зашифрован уникальным ключом с использованием шифрования AES-256-CTR. CDN не может получить доступ к данным, которые он хранит, потому что эти ключи доступны только главному серверу MTProto и авторизованному клиенту.
Q: Может ли CDN заменить данные собственной версией?
Нет. Данные, загруженные с узлов кэширования CDN, всегда проверяются получающим приложением Telegram с помощью хэша: злоумышленники не смогут заменить какие-либо файлы их собственными версиями.
Q: Может ли CDN удалить какие-либо файлы?
Нет. Узлы CDN кэшируют только зашифрованные копий файлов, оригиналы хранятся на серверах Telegram. Пользователь получает уведомление о получении файла сервером Telegram. Если узел кэширования CDN не передает файл пользователю, пользователь получит файл напрямую с сервера Telegram.
Q: Можно ли использовать CDN для цензуры?
Нет. Все исходные файлы хранятся на серверах Telegram.Сети CDN получают только зашифрованные данные — и не могут их расшифровать. Они не могут заменить никакие данные. А в случае возникновения проблем с CDN файл будет просто доставлен пользователям прямо с серверов Telegram. Пользователи всегда будут получать свои данные, никто не сможет это остановить.
Q: Могу я это проверить?
Да. Кто угодно может проверить нашу реализацию CDN, проверив исходный код приложений Telegram и изучив трафик.
В: Влияет ли это на личные данные?
№Узлы кэширования CDN не являются частью облака Telegram. Узлы кэширования CDN используются только для кеширования популярных общедоступных медиа из массивных каналов. Личные данные туда никогда не попадают.
Q: Связано ли это с правительственными запросами на перенос частных данных на их территорию?
Нет. Мы не заключали никаких соглашений с каким-либо правительством относительно CDN, и CDN не являются частью какой-либо сделки. Единственная цель CDN — безопасно улучшить подключение в регионах с высоким спросом, где Telegram не может разместить свои серверы.
Q: Оказывает ли это влияние некоторым странам на Telegram?
Нет. Мы приняли особые меры предосторожности, чтобы убедиться, что ни одна страна не получит никакого влияния на Telegram посредством узлов кэширования CDN:
- Сети CDN не принадлежат Telegram — все риски ложатся на стороннюю компанию, которая поставляет нам узлы CDN по всему миру.
- Мы ничего не инвестировали в эти CDN и будем платить только за трафик, который используется для передачи кэшированных элементов от наших основных кластеров конечным пользователям.
В результате, если какая-либо страна решит вмешаться в CDN в своем регионе, она ничего не получит, кроме уменьшения возможности подключения для своих собственных граждан — и Telegram не потеряет ничего ценного.
,
Видеосообщения и телескоп
Мы знаем, что вам нравится скорость и простота голосовых сообщений в Telegram. С сегодняшнего дня вы также можете отправлять видеосообщений — так же быстро:
Чтобы отправить видеосообщение, войдите в любой чат Telegram и коснитесь значка микрофона, чтобы переключиться в режим камеры . Теперь все, что вам нужно сделать, это нажать и удерживать значок камеры и записать видеосообщение. Когда вы закончите, просто отпустите кнопку записи, чтобы отправить свое сообщение — и оно появится в мгновение ока.
Видеосообщения такие быстрые, потому что Telegram сжимает их и отправляет, даже когда вы их записываете. Кстати, если удерживание кнопки кажется слишком большим трудом, вы можете заблокировать камеру в режиме записи, проведя , проведя вверх . Теперь это также работает с голосовыми сообщениями (вот одно для вас, водители такси).
Видеосообщения автоматически загружаются и воспроизводятся по умолчанию (вы можете изменить это в настройках, если вы придерживаетесь информационной диеты) и обычно воспринимаются и действуют как голосовые сообщения — на визуальных стероидах.
Картинка в картинке
Во время просмотра видеосообщения вы можете свободно просматривать другие чаты — видео появится в углу и продолжит воспроизведение. Вы можете перемещать его по экрану и приостанавливать его из любого места в Telegram. Круто, а? Что ж, это еще не все:
Знакомьтесь: телескоп
Многие популярные люди обращаются к своим поклонникам через публичные каналы Telegram. Видеосообщения сделают их связь с поклонниками более прямой и интимной, чем когда-либо.Но мы хотим поднять это еще на одну ступеньку.
Сегодня мы запускаем Telescope , специализированную платформу видеохостинга для тех, кто использует видео для общения со своей аудиторией (вот вам, блоггеры!)
С Telescope общедоступные видеосообщения могут стать вирусными за пределы экосистемы Telegram . Telescope размещает автоматически воспроизводимые круглые видеоролики продолжительностью до 1 минуты — тот же формат, который мы используем для видеосообщений Telegram. И да, вы правильно поняли, вам не нужна учетная запись Telegram для их просмотра.
Каждый общедоступный канал в Telegram теперь имеет URL-адрес telesco.pe , например telesco.pe/channel_name
, где все его видеосообщения доступны во всемирной паутине и во всем мире.
A Telescope Channel
Каждый раз, когда вы публикуете видео-сообщение на общедоступном канале, оно также загружается на Telesco.pe и имеет там общедоступный URL-адрес.
Поделиться видео с телескопа
С Telescope даже те пользователи, у которых не установлен Telegram, смогут просматривать ваши общедоступные видеосообщения и делиться ими в Twitter или Facebook.В результате этот контент будет генерировать больше просмотров. А кто в наши дни откажется от большего количества просмотров, хм?
Это всего лишь 1/3 Telegram 4.0 . Продолжайте читать, чтобы узнать больше о Payments for Bots и новой платформе мгновенного просмотра .
18 мая 2017 г.,
Команда Telegram
П.С. У нашего основателя есть это странное желание продолжать запускать платформы, которые начинаются с «Tele-». Обязательно ознакомьтесь с издательской платформой Telegraph , которую мы запустили в прошлом году.
,
Telegram.me, Изменение номеров и PFS
Сегодня наши приложения для iOS и Android обновлены тремя новыми функциями.
Открытие ссылки telegram.me/YourUsernameHere на вашем телефоне теперь автоматически запустит ваше приложение Telegram и откроет чат с этим пользователем. Вы можете поделиться ссылками на имена пользователей с друзьями, написать их на визитных карточках или разместить на своем сайте.
Вот что увидят люди, если у них еще нет Telegram
Изменение номера телефона
Переключиться на Telegram и сохранить свой социальный граф легко, так как он основан на телефонных номерах.Но что делать, если вам нужно изменить сам номер телефона? На сегодняшний день вы можете изменить свой номер в Telegram — и сохранить , все , включая , все ваших контактов, сообщений и медиафайлов из облака Telegram, а также все ваши секретные чаты.
Ваши общие контакты (люди из ваших контактов, у которых также есть ваш номер) получат ваш новый номер, добавленный к вашему контакту в их адресной книге, если вы не заблокировали их в Telegram. Это делает изменение чисел еще проще.
Perfect Forward Secrecy
И последнее, но не менее важное: секретные чаты Telegram теперь поддерживают Perfect Forward Secrecy. Это означает, что ваши секретные чаты теперь будут автоматически менять ключи шифрования через определенный период времени, чтобы обеспечить безопасность прошлых коммуникаций. Таким образом, вам больше не нужно вручную повторно создавать секретные чаты для достижения такого уровня безопасности.
И на сегодня все. Следите за обновлениями на всех платформах!
1 декабря 2014 г.
Команда Telegram
,
Telegram X: Прогресс через конкуренцию
UPD: По состоянию на октябрь 2018 года Telegram X для iOS заменил старый клиент на основе Objective-C. Если вы ищете лучший опыт работы с iOS, переключитесь на основное приложение Telegram .
Наша миссия — делать Telegram быстрее , slicker и проще в использовании с каждым месяцем. Соревнование — это душа прогресса, поэтому поначалу мы черпали вдохновение из других посланников, которые подстегивали нас.Но по прошествии лет мы видели все меньше и меньше инноваций, исходящих от конкурентов, которые теперь кажутся довольными тем, что просто адаптируют функции Telegram к своим платформам со средней задержкой в два года.
В этой среде мы начали полагаться на внутреннюю конкуренцию , чтобы накормить наше пламя. Вот почему последние два года мы разрабатываем новое поколение клиентов Telegram параллельно с основными версиями.
Проект Telegram X включает приложений, написанных с нуля , с полностью новой кодовой базой и без всех унаследованных компонентов, которые наши старые приложения накопили за годы.
Telegram X
Цель Telegram X — заново изобрести Telegram и исследовать новые горизонты в скорости , простоте использования , качестве анимации и во всех других аспектах. Сегодня мы рады представить вам два новых официальных приложения — Telegram X для Android и iOS .
Оба эти приложения являются экспериментальными и могут в конечном итоге заменить существующие официальные приложения, а могут и не заменить их. Но даже если они этого не сделают, они ускорят развитие Telegram, позволив нам быстро протестировать новые подходы и технологии.
X для Android
Telegram X для Android родился в результате конкурса для разработчиков Android, который наш основатель объявил два года назад. Затем победитель использовал возможности TDLib для создания потрясающего приложения с особым акцентом на плавных анимациях .
X для Android работает быстрее и экономнее, чем исходное приложение, и отличается элегантным новым дизайном :
Telegram X также поддерживает чистый режим без пузырьков для чатов, где сообщения и фотографии получают больше свободы, а фотографии в каналах занимают всю ширину экрана:
Фотография без пузырей в канале
В Telegram X вы можете нажать и удерживать любой чат, чтобы просмотреть его содержимое, не открывая его.Это работает везде, в том числе в меню переадресации и обмена, а также на вкладке «Вызовы» и «Общие группы».
Приложение также предлагает множество полезных действий смахивания . Например, вы можете переключаться между «Чатами» и «Звонками», проводя пальцем влево и вправо по главному экрану. Вы также можете провести вправо по любому сообщению, чтобы мгновенно открыть меню пересылки:
Проведите вправо, чтобы поделиться
Приложение включает в себя обновленный музыкальный проигрыватель и меню вложений , а также оптимизированных страниц профиля с быстрым доступом к общим медиа .Вы можете легко переключаться между различными типами общих медиафайлов, проводя пальцем по экрану.
Новая страница профиля с общим медиа
Это далеко не исчерпывающий список возможностей, Telegram X для Android полон маленьких сюрпризов на каждом углу.
Приложение теперь готово начать экспериментальное путешествие с новыми функциями, которые должны появиться уже на следующей неделе.
X для iOS
UPD: По состоянию на октябрь 2018 года Telegram X для iOS заменил старый клиент на основе Objective-C.Если вы ищете лучший опыт работы с iOS, переключитесь на основное приложение Telegram .
Telegram X для iOS полностью написан на Swift и на легче , на быстрее и на экономичнее по сравнению с исходным приложением, созданным с помощью Objective C.
Дизайн и набор функций ближе к тому, что пользователи iOS научились ожидать от Telegram, но вы обязательно заметите плавную анимацию , а также более высокую скорость и время загрузки на большинстве iPhone.
Внутренняя структура Telegram X для iOS также намного лучше оптимизирована для того, что ожидается от приложения Telegram в 2018 году и позже. Как и в случае с X для Android, сегодняшний выпуск X для iOS — это начало долгого пути.
Следите за нашими следующими обновлениями, как экспериментальных версий, так и их классических аналогов.
31 января 2018 г.,
Команда Telegram
П.С. Сегодня мы также выпускаем TDLib — инструмент для создания пользовательских приложений Telegram.Смотрите анонс здесь »
,