Ночью канал на 12 000 подписчиков получил 340 новых. Охват следующего поста — минус 9%. Рекламодатель написал: «Почему у вас такой ERR?» Ни одного следа взлома, ни одного подозрительного поста. Просто чья-то инвайт-ссылка стала инструментом атаки.
Как работает атака через публичную ссылку
У каждого публичного Telegram-канала есть постоянная ссылка для вступления. Именно она позволяет людям присоединяться без одобрения администратора. Спамеры это знают и давно построили на этом сервис.
Схема простая: оператор бот-фермы берёт вашу публичную ссылку, загружает её в систему рассылки и прогоняет через неё сотни аккаунтов. Большинство из них — это «состаренные» профили с именем, аватаркой и несколькими постами в истории. Они не приходят к вам по интересу. Их задача — быть там.
Заказчик — чаще всего конкурент или рекламная площадка, которая хочет снизить ваши метрики. Упавший ERR — прямой аргумент в переговорах о цене рекламы или повод отказаться от закупки.
Почему капча не закрывает эту дыру полностью
Капча — правильная мера, и против дешёвых ботов она работает хорошо. Но состаренный аккаунт с реальной историей нажимает кнопку ничем не хуже человека. Если бот-ферма прогоняет аккаунты через капчу вручную или использует решатели — она проходит.
Даже если капча блокирует 70% потока, тысяча заходов даёт 300 осевших ботов. Достаточно, чтобы статистика изменилась заметно.
Коллективная база нарушителей
TGuard ведёт общую базу подозрительных аккаунтов — её пополняют все каналы сети. Когда аккаунт оказывается забанен в пяти и более TGuard-каналах, он помечается как известный нарушитель. Одиночный бан — ещё не сигнал, пять — уже паттерн.
При каждом новом вступлении TGuard проверяет пришедший аккаунт по этой базе. Если аккаунт прошёл капчу — он исключается из проверки, даже если попал в базу раньше. Это страховка от ложных срабатываний.
Как антивирус обнаруживает источник
Telegram передаёт в событии вступления название инвайт-ссылки, по которой пришёл пользователь. По умолчанию это данные просто пролетают мимо. Антивирус TGuard их фиксирует.
Когда три или более известных нарушителя приходят через одни и те же ссылки в течение часа — срабатывает уведомление. Владелец канала получает сообщение с точным числом таких аккаунтов и перечнем конкретных ссылок, которые были использованы.
Если вы видите в уведомлении название ссылки — её стоит немедленно отозвать в настройках канала и создать новую.
Что делать после уведомления
Уведомление приходит с кнопками действий. Первое — отзовите скомпрометированную ссылку вручную в настройках Telegram (TGuard покажет, какая именно). Второе — удалите аккаунты, которые зашли по ней.
Самый точный способ — выборочная очистка по дате вступления. Если атака прошла ночью с 2 до 4, а в это время у вас не было никаких активных продвижений — вступившие в этот промежуток почти наверняка не ваша аудитория. TGuard позволяет выделить и удалить их по диапазону дат.
Если включена опция автоматического бана — известные нарушители блокируются сразу при вступлении, не ожидая накопления порога.
Как включить антивирус
- Откройте @channel_guardian_bot и выберите канал.
- Перейдите в раздел «Безопасность».
- Найдите пункт «Антивирус» и включите его.
- Опционально — включите «Автоматический бан» в тех же настройках.