Telegram-боты основы и лайфхаки

Безопасно ли использовать Telegram-бот?

markadmin 5 min read

Как Telegram-боты работают технически

Боты в Telegram используются повсеместно: для проведения розыгрышей, оформления заказов и покупок, автоматизации приёма заявок от клиентов и работы службы поддержки. При этом вопрос безопасности их использования волнует многих пользователей. Чтобы понять, есть ли риск при работе с чат-ботами, важно разобраться, как они устроены.

Первое, что нужно обозначить: бот — это не часть Telegram, а внешний сервис. Он взаимодействует с мессенджером через API — специальный интерфейс, который задаёт правила обмена информацией между мессенджером и сторонним сервером.

При этом бот не имеет доступа к личным чатам и данным пользователя и не может самостоятельно «воровать» информацию. Он видит и обрабатывает только те данные, которые человек осознанно отправляет ему сам. Именно человеческий фактор создает основные угрозы для безопасности.

Какие данные видит Telegram-бот

Разберем детальнее, какие данные видит или не видит Telegram-бот.

Какие данные доступны по умолчанию

По умолчанию бот видит:

  1. ID пользователя и его username
  2. Сообщения, которые пользователь отправляет боту
  3. Файлы, фото и голосовые сообщения, которые человек отправляет боту сам

В группах бот по умолчанию устанавливается в «Privacy Mode» — он видит только сообщения, начинающиеся с команды (например, /start) или ответы на его собственные сообщения. 

«Privacy Mode» — он видит только сообщения, начинающиеся с команды (например, /start) или ответы на его собственные сообщения

Однако администратор может выдать ему расширенные права, и тогда бот сможет видеть все сообщения в чате. 

Узнать, есть ли у бота такие права, можно в списке участников группы — напротив его имени будет надпись «has access to messages».

Часть современных ботов работают через встроенные веб-приложения. При его открытии владелец сервиса дополнительно получает:

  • IP-адрес пользователя
  • Технические данные, такие как модель телефона, версия ОС и браузера
  • Данные об источнике перехода: по какой ссылке пользователь попал в приложение

Какие данные бот НЕ может получить:

Внешний сервис не может автоматически увидеть:

  • Номер телефона: Бот не узнает ваш номер, пока вы сами не нажмете на специальную кнопку «Поделиться контактом»
  • Статус пользователя: Боты не видят, когда вы заходили в приложение или находитесь ли вы в нем сейчас (в отличие от обычных пользователей)
  • Список контактов: робот не имеет доступа к телефонной книге
  • Другие чаты пользователя: Бот полностью изолирован от личных переписок с друзьями, коллегами или другими роботами

Что зависит от действий пользователя

Чат-боты могут увидеть все, которую пользователь отправляет им сам. Это могут быть тексты, файлы, номера телефонов или любая другая информация. Тут действует простое правило: «Чем больше пользователь передаёт — тем больше бот знает.» Для обеспечения своей безопасности нужно понимать, с каким роботом пользователь общается, какую информацию ему отравляет, и для чего она ему нужна. 

Основные риски при использовании Telegram-ботов

При использовании чат-ботов нужно учитывать следующие потенциальные риски:

  • Сбор и хранение данных: боты способны сохранять переписки и данные пользователя на внешних серверах. Человек не всегда знает, где и как информация хранится, для каких целей используется. Так, с ее помощью могут таргетировать рекламу.
  • Ненадежные или заброшенные боты: если робот давно не обновлялся, то в его коде скорее всего присутствуют бреши в безопасности. Через них злоумышленники способны получить доступ к личным данным
  • Мошеннические боты: некоторые роботы изначально разрабатываются для обмана. Их задача — выманить у пользователя как можно больше личной информации методами социальной инженерии.
  • Использование сторонних API: Боты часто передают данные другим сервисам. Пользователь не всегда знает, куда именно они транслируются, и с какой целью. Так, частой проблемой является продажа данных маркетинговым и рекламным агентствам.
  • Отсутствие прозрачной политики: Если в описании робота нет информации об их создателе и политике конфиденциальности — это усложняет взвешенную оценку рисков.
  • Подмена контента через «Обновления»: даже изначально полезный бот может стать вредоносным, если владелец его продаст или соответствующим образом обновит.
  • Утечка метаданных через Web Apps: Если бот представляет собой мини-приложение — он откроется в браузере. В этот момент есть риск утечки IP-адреса, Cookies, других технических данных. 

Какие боты обычно безопаснее

Чат-робот может считаться безопасным, если он:

  • Не требует от пользователя авторизоваться или зарегистрироваться за пределами Telegram
  • Не просит вводить логины и пароли и другую личную информацию
  • Не запрашивает оплату сразу, проводит ее через официальный сервис Telegram Payments
  • Имеет детальное описание, где указано кто является владельцем, есть информация о политике конфиденциальности, о том, какие данные сохраняются, и кому передаются 
  • Работает давно и стабильно
  • Имеет галочку верификации: она помогает отличить реальный чат от поддельного
  • Отправляет системные запросы корректно, через уведомления Telegram
  • Использует официальные домены для мини-приложений

Если человек знает, кто разработал бота, с какой целью тот собирает ту или иную информацию, то пользоваться им скорее всего будет безопасно.

С какими ботами стоит быть осторожным

Понять, что бот потенциально опасен можно, если он:

  • Запрашивает код подтверждения, двухфакторной аутентификации или пароль: это практически гарантированно мошенничество, направленное на кражу аккаунта
  • Обещает полную анонимность: маркетинговая уловка, задача которой — внушить ложное чувство защищенности и спровоцировать пользователя предоставить свои личные данные
  • Использует агрессивные методы монетизации, просит ввести данные банковской карты: это часто скрывает за собой скам-проекты или попытки получить данные банковской карты пользователя
  • Не имеет полноценного описания и контактов службы поддержки: если пользователь не знает, кто и зачем написал чат-бота — он не может гарантировать, что его личные данные не подвергаются опасности
  • Обещает «показать, кто заходил на вашу страницу», «прочитать чужую переписку» или «пробить местоположение по номеру»: чаще всего от пользователя потребуют денег за фальшивый отчет или попросят скачать файл, зараженный вирусом
  • Предлагает легкий заработок за простые действия: это 100% мошенничество, цель которого — выманить у пользователя данные карты или криптокошелька.

Если человек видит, что бот создан неизвестно кем, агрессивно требует денег, предлагает что-то бесплатно или дает нереалистичные обещания — это повод немедленно прекратить его использование, заблокировать и послать жалобу администрации мессенджера.

Как Telegram ограничивает и контролирует ботов

Администрация Telegram предпринимает ряд мер для защиты пользователей и обеспечения безопасности при работе с чат-ботами. За счет ограничений API сторонний сервис не может получить доступ к личным данным пользователя, например — читать переписки человека. Также им выставляются ограничения на количество сообщений и подписчиков, чтобы избежать распространения спама.

К сожалению, модераторы не могут контролировать каждый бот по отдельности, но они дали возможность жаловаться на подозрительные и мошеннические сервисы с помощью кнопки «Report»

Если на один бот поступает много жалоб, Telegram:

  • Ставит возле его названия яркую красную плашку «SCAM», предупреждающую об опасности
  • Полностью блокирует доступ по API для конкретного сервера-злоумышленника

Кроме того, каждая жалоба помогает автоматическим системам мессенджера лучше определять мошенничество еще на этапе регистрации скам-роботов.

Как безопасно пользоваться Telegram-ботами

Чтобы уменьшить риск при работе с Telegram-ботами: 

  1. Предварительно убедитесь, что это официальный сервис, а не подделка
  2. Прочитайте описание, узнайте, кто разработчик, и какая политика конфиденциальности им заявлена
  3. Не вводите свои пароли, коды подтверждения, другую личную информацию (исключение могут составлять номер телефона и адрес для сервисов доставки)
  4. Проводите оплату только через официальный интерфейс мессенджера
  5. Не вводите данные банковских карт или криптокошельков
  6. Не верьте нереалистичным обещаниям абсолютной анонимности или быстрого заработка
  7. Не используйте чат-боты для критичных задач: финансовых операций, юридически значимых действий
  8. Никогда не скачивайте и не запускайте исполняемые файлы (.exe, .apk, .bat), если на 100% не уверены в источнике
  9. Если есть сомнения — используйте отдельный аккаунт для взаимодействия с роботами.

Вывод

Telegram-боты сами по себе не опасны. Их функционал ограничен протоколами API, так что робот не сможет самостоятельно получить доступ к личным данным, перепискам. Главный риск в том, что человек сам выдаст важную информацию, например — в результате фишинговой атаки. Поэтому пользоваться ботами нужно осознанно, понимая, кем они разработаны, с какой целью, и какую информацию собирают.