Чем опасны боты-администраторы в Telegram-каналах и группах для участников и владельцев

Telegram-боты — это удобный инструмент для групповых чатов и каналов. С его помощью администраторы могут блокировать спам, автоматически отвечать на повторяющиеся вопросы участников, устраивать розыгрыши, публиковать новости по расписанию и многое другое. Однако под видом таких помощников нередко действуют мошенники — это большой риск и для владельцев сообщества, и для участников. Рассказываем, чем опасны для вас боты и какую информацию они могут узнать.

Что дают права администратора боту

Когда владелец канала или группы добавляет бота, он наделяет его определёнными правами. Их всего восемь, и при их передаче администратор может выбрать только те, которые посчитает нужными и безопасными.

Боты могут получить права почти на любые действия с каналом и его контентом.

Тем не менее каждый пункт содержит возможности, которые позволяют злоумышленникам делать свои грязные дела в отношении доверчивых пользователей. К тому же даже «бесправный» бот сможет получить немало информации об участниках. Разберём подробно каждый пункт.

Изменение описания

Если вы зайдёте в групповой чат или канал и нажмёте на его название сверху, то увидите графу «Информация». Там администраторы могут указать любые данные: например, правила поведения в сообществе, контакт для связи с владельцем или что-то другое.

Бот с правами администратора получит возможность менять эту информацию втайне от других участников: это позволит ему, например, вставить в описание канала рекламу, ссылку на фейковый сбор денег, скачивание троянов или вирусов — если владелец канала нечасто проверяет этот раздел, то некорректная информация может оставаться там долгое время. Хуже всего, если такая ситуация произойдёт с каналом или группой, которым вы полностью доверяете. Перейдя на мошеннический сайт, вы рискуете отдать деньги злоумышленникам, сами того не подозревая.

Удаление сообщений

Бот с такими правами сможет удалять любые сообщения в чате. Это полезно для фильтрации спама: например, владелец может настроить бота, чтобы он моментально реагировал на определённые фразы или слова.

Но такие возможности развязывают руки злоумышленникам: при желании они могут удалять сразу все или какие-то конкретные ваши сообщения, чтобы они не доходили до других администраторов. Получается, бот способен скрывать нежелательную информацию, манипулировать обсуждением или подменять контекст переписки. Фактически у мошенников появляются инструменты для полного управления беседой в сообществе.

Блокировка пользователей

Блокировка может быть временная или бессрочная — зависит от того, какие настройки поставили создатели бота. Эту функцию полезно использовать, чтобы защитить чат от спамеров и других нарушителей порядка, которые не пройдут проверку по каким-либо критериям. Под защитой остаются только остальные администраторы, которым невозможно дать бан с помощью бота.

Но для простых участников сообщества ситуация будет плачевнее, если у руля окажется бот злоумышленников. Мошенники смогут устроить ещё более жёсткую цензуру, чем в случае с сообщениями: за любой неугодный пост система моментально вас заблокирует.

Конечно, вы сможете потом написать лично владельцу или администратору сообщества, чтобы вас разбанили. Но в большой группе разбирательства наверняка займут много времени, особенно если бот заблокирует большое количество участников.

Пригласительные ссылки

С такой возможностью бот сможет самостоятельно создавать ссылки для вступления в вашу группу или канал, а заодно настраивать их: устанавливать срок действия приглашения и ставить лимит приглашённых пользователей. Это удобные фишки, если у админа закрытое сообщество или он хочет детально отслеживать всех вступающих, например после закупки рекламы в других каналах.

Но в такой возможности кроются и опасности: бот может рассылать приглашения на спам-ресурсах и приводить спамеров или фейковых пользователей. Поэтому в лучшем случае вы будете видеть в чате много бесполезной информации и мошеннических постов, а в худшем — канал или группу заблокируют за подозрительную активность, и все посты и переписки сообщества будут вам недоступны. По крайней мере до тех пор, пока администратор не подаст апелляцию и не вернёт группу или канал.

Управление видеочатами

Функция позволяет боту самому запускать голосовые или видеочаты — удобно, если такие стримы проходят часто и вы хотите включать их по расписанию. Вместе с тем бот может управлять происходящим: заглушать микрофон у спикеров, отключать видео у некоторых пользователей или включать и выключать запись происходящего.

Минусы такого набора привилегий очевидны. Злоумышленники получат возможность «захватывать эфир»: устраивать фальшивые розыгрыши или отключать ваш микрофон, когда вы захотите на что-нибудь пожаловаться во время разговора. Но хотя бы заглушить голоса других администраторов и создателя канала или группы бот не сможет.

Закрепление сообщений

Эта возможность позволяет боту закреплять сообщения: они всегда будут «висеть» в верхней части интерфейса чата или канала, поэтому вы сможете перейти к ним по нажатию, даже если после их публикации прошло много времени. Это помогает фиксировать важные объявления или правила, чтобы они всегда оставались на виду у пользователей.

Для участников здесь кроются те же риски, что и с изменением информации о канале. Злоумышленникам это право даст откреплять сообщения реальных администраторов и ставить сверху вместо них свои, например с фейковыми ссылками или ложной информацией. Как итог — мошенники могут ввести вас в заблуждение или украсть у вас деньги.

Анонимность

Если бот получит это право, он сможет скрывать своё присутствие от других пользователей. Все его сообщения и действия, включая удаление постов и блокировку участников, будут отображаться от имени группы или канала.

Такая возможность может сыграть с пользователями злую шутку: злоумышленники будут публиковать любой контент от лица администраторов. И вы даже не поймёте, что канал захватили: действия бота невозможно отследить никому, кроме владельца сообщества. Участники будут думать, что с ними общается официальная администрация, поэтому с большей вероятностью перейдут по мошенническим ссылкам.

Выбор администратора

Это самый опасный пункт из всех, потому что он даёт владельцу бота полный контроль над чатом или каналом. Так, бот сможет выдать доступ к ресурсу кому угодно: причём не только пригласить человека в сообщество, но и сделать его администратором со всеми привилегиями. Поэтому любой человек сможет удалять сообщения, закреплять и откреплять посты, блокировать участников, менять описание и даже удалять других администраторов.

Единственный, кто сможет этому противостоять, — создатель группы или канала. Но представьте, что захват произойдёт ночью, когда владелец сообщества будет спать, — новые администраторы успеют выгнать всех предыдущих и полностью переделать под себя группу/канал. То есть для обычных пользователей станут актуальны сразу все риски, о которых мы говорили выше.

Что знает бот без прав

Даже если бота не наделили никакими правами, его создатели всё равно смогут видеть все сообщения в группе, а заодно и собирать данные обо всех людях, которые в ней общаются. Бот видит имена и фамилии пользователей, указанные в профиле, юзернеймы, уникальные идентификаторы (ID) и аватарки.

Зачем им эта информация? Например, чтобы шантажировать вас, если мошенники увидят какое-то компрометирующее сообщение. Или чтобы использовать собранные данные для таргетированной рассылки, фишинга или социальной инженерии. Так, иногда злоумышленники создают фейковые аккаунты (например, других участников группы или администрации Telegram) и пытаются выманить личную информацию.

Можно ли защититься от ботов

Полной защиты от них нет, особенно если боты уже есть в сообществе и действуют анонимно. Но стандартные правила цифровой гигиены всегда актуальны: никогда не переходите по сомнительным ссылкам и следите за тем, что пишете в интернете. Всегда держите в уме, что кто-то может увидеть ваши сообщения даже в закрытых сообществах и использовать их против вас.

Кроме того, внимательно относитесь к информации, которая размещена в каналах и группах, даже в тех, которым вы доверяете. Нельзя исключать вероятность того, что она добавлена без ведома владельцев ботом от недобросовестных разработчиков. Если есть хоть малейшие сомнения, не переходите по ссылкам, не переводите деньги и старайтесь перепроверить информацию у представителей администрации канала.