Фишинг «фичи» Телеграма
Телеграмм старается быть безопасным, но как написано в их BugBounty программе, социальная инженерия - вне скоупа. В этом я с ними абсолютно согласен. Но они считают, что под это попадают и все небезопасно реализованные функции, которые могут использоваться только для социальной инженерии. В этом...
Капитан ФСБ, шпионы и подставной гендиректор: разбираем атаку на нашего топ-менеджера
Привет! Пока мы разрабатывали продукты по кибербезопасности, на нас самих напали мошенники. Стандартный телефонный скам уже всем известен и с каждым годом работает все хуже, поэтому мошенники придумали новую схему с предварительной атакой на жертву через мессенджер. Именно под такую схему попали...
Пора делать нормальных телеграм-ботов #3
Очень неочевидные вещи, о которых никогда не приходится задумываться, пока не сталкиваешься с реальными проблемами использования ботов (иногда очень злонамеренного и неправильного). Узнать, о чём речь...
Офис Павла Дурова в Дубае
Здравствуйте. Сейчас я применив GEOINT (геопространственная разведка) попытаюсь найти офис Павла Дурова в Объединённых Арабских Эмиратах. Читать далее...
Стилер из торрентов: как скачивание пиратской программы привело к заражению сотен тысяч пользователей
В конце лета 2023 года наш SOC с помощью системы мониторинга событий ИБ MaxPatrol SIEM зафиксировал аномальную сетевую активность. После этого привлекли нас, команду по расследованию инцидентов (PT CSIRT). Как выяснилось, пользователь одной из российских компаний был скомпрометирован достаточно...
Странная функция Telegram
Пару лет назад я начал исследовать приложения телеграм, протокол MTProto. Я использовал некоторые методы API не по назначению, в общем, был типичным пользователем телеграм, пока не заметил некоторую особенность, о которой мало кто упоминает, возможность изучить которую отсутствует в большинстве...
Telegram Premium отправляет голосовые сообщения клиентов в сервисы Google
Буду краток. На днях Телеграм выкатил премиум-подписку и Дуров высказался за все хорошее, мол цитата: "This will herald a new, user-centric era in the history of social media services". Сейчас я случайно натолкнулся на пункт 7.4 Terms of Service Телеграма, согласно которому ваши голосовые сообщения...
Безопасность Web Apps в Telegram ботах
16 апреля 2022 Telegram презентовал новую фичу - Web apps, с помощью которой можно открывать веб страницы в боте без перехода в браузер. Подробнее можно почитать в источнике https://core.telegram.org/bots/webapps. Однозначно это удобная функция для пользователей и для разработчиков. Но, так как это...
Вы — часть руководства? Отключите прием вызовов в телеграм! Баг-хантер? Уважайте других людей
Всем привет. Сегодня речь пойдет не совсем о разработке. Я даже не знаю с чего начать. Это просто крик души. Вы когда-нибудь пользовались звонками в телеграм? Это в целом удобно, особенно если не знаешь номера телефона. Но три месяца назад началась очень неприятная история, которая в конечном счете...
Перехват чужих сообщений в Telegram «без регистрации и 2FA»
По своей сути 2FA должен защищать учетную запись от несанкционированного доступа при критически-важных действиях с ней. Но почему-то он не используется при копировании папки с телеграм с устройства пользователя на новое устройство. Скорее всего большинство пользователей не в курсе, что папку с...
Телеграм.пёс, или как не нужно делать зеркала
Под катом — история о том, как официальное зеркало Telegram может привести вашего друга на верифицированный канал, который принадлежит мошенникам. Читать дальше →...
Кажется, у вас телеграм потёк
Это может показаться конспирологией, хотя теория очень стройная. На хабре не раз выходили новости с разгромными публикациями по поводу дыр в телеграме, телеграм демонстративно взламывали. Читать дальше →...
Как потерять всех пользователей вашего телеграм-бота. Краткая инструкция
Эта поучительная история произошла в прекрасный день 8 декабря 2019 года. В этот день я вспомнил, что телефон, на который заведен наш бот, оформлен на участливую продавщицу из Евросети и, в случае чего, в одночасье исчезнет за невозможностью его восстановить и утащит с собой в небытие бот. Нужно...
[Из песочницы] Раскрытие номера телеграм v.2 — Социальная инженерия
Предисловие Сам способ раскрытия номера — есть совокупность одной технической возможности самого клиента и применения социальной инженерии (СИ). Вообще, эту функцию уже описывали ранее на Хабре, аж в 2016 году — ссылочка. Автор уже было уловил «месседж» и хотел рассказать зевавшим пользователям,...
Телеграм, кто там?
Прошло несколько месяцев со дня запуска нашего сервиса безопасного вызова владельца . Сейчас на сервисе зарегистрировано 325 человек. Всего зарегистрировано 332 объекта владения, из них 274 — автомобили. Остальное — всякая недвижимость: двери, квартиры, ворота, проходные и т.д. Прямо скажем — не...