Утром канал работал нормально. К вечеру он публикует крипто-рекламу от вашего имени, а среди администраторов — незнакомый аккаунт с именем что-то вроде «Support Team». Попытка зайти в настройки — и вас уже нет в списке.
Так выглядит угон изнутри. Происходит за минуты, обнаруживается через несколько часов.
Как крадут каналы
Не через уязвимости в Telegram — серверы не взламывают. Взламывают владельцев.
Самый распространённый способ: фишинговый бот. Приходит сообщение — «Аккаунт будет заблокирован через 24 часа, подтвердите личность». Ссылка ведёт на страницу, копирующую дизайн Telegram Web. Вы вводите номер, SMS-код приходит — вы вводите его там же. Всё. У злоумышленника теперь активная сессия вашего аккаунта.
Второй способ — чужой человек в администраторах. Подключили сервис отложенного постинга, наняли помощника, добавили «партнёра по рекламе» — и дали права администратора. Через месяц или через год этот аккаунт, или взломанный ранее сервис, удаляет вас и забирает канал. Уязвимость не в сервисе — в правах, которые вы выдали при подключении.
Третий — QR-авторизация. Telegram позволяет открыть новую сессию через сканирование QR-кода — это легитимная функция для входа с нового устройства. Но если кто-то убедил вас отсканировать «код для верификации партнёрства» или «авторизации бота» — он получил не доступ к боту. Он получил полный доступ к аккаунту.
Первые несколько часов после захвата
Канал не сносят. Его монетизируют — быстро, пока аудитория не успела ничего заметить.
Рынок перепродажи угнанных каналов давно устоялся. Канал с живой аудиторией в финансовой нише уходит за 20 000–60 000 рублей в течение нескольких часов: есть биржи, есть постоянные покупатели, есть прайс-листы. Задача злоумышленника — успеть закрыть сделку до того, как вы смените доступ.
Если не продают — сдают в аренду. Ваши подписчики получают несколько постов с рекламой казино, форекса, сомнительных схем. Для них это выглядит как ваш личный выбор рекламодателей, а не как потеря доступа.
Третий вариант, самый незаметный: вас оставляют в администраторах. Публикуют через API, когда хотят, — а вы числитесь владельцем. Подписчики видят ваше имя. Вы не видите ничего, пока кто-то из читателей не напишет в личку.
Что настроить до того, как это случится
Начать стоит с облачного пароля — в Telegram это называется двухфакторной аутентификацией: Settings → Privacy and Security → Two-Step Verification. Без него перехваченный SMS-код — это полный вход. С ним даже правильный код ничего не даёт без второго пароля. Одна настройка, которая закрывает большинство фишинговых схем.
Активные сессии — Settings → Devices. Любое устройство, которое не узнаёте, завершайте немедленно. Смотрите не только на название, но и на дату последней активности: сессия трёхлетней давности на телефоне, которого у вас давно нет, стоит завершить.
Список администраторов. Минимально необходимые права — и ни одним больше. Особенно опасно право «Добавить администраторов»: оно позволяет создать такого же полноправного владельца, как вы, без вашего дальнейшего участия.
Авторизованные боты. В настройках канала есть список ботов с доступом. Сервис, которым не пользовались год, мог быть продан или взломан с тех пор — отзовите.
То, что обычно упускают администраторы
Каждый соадмин — отдельная поверхность атаки. Ваша защита может быть идеальной, но если коллега-администратор кликнет на фишинговую ссылку — результат тот же. Это не повод работать в одиночку, но повод держать список коротким: ровно те, кто активно работает с каналом прямо сейчас.
Инвайт-ссылки с ролями администратора живут бесконечно, пока вы их не отзовёте. Если когда-то генерировали такую ссылку — она до сих пор работает. Проверьте.
QR-коды из чужих рук. Никогда не сканируйте QR, который вы сами не инициировали. Telegram не просит сканировать коды для «подтверждения», «верификации» или «партнёрства» — это маркер фишинга независимо от того, насколько убедительно оформлено сообщение.
Третий бот с правами администратора, которым вы «почти не пользуетесь», — это не мелочь. Это незакрытая дверь с ключом, который вы давно забыли, у кого оставили.
Как TGuard видит следы компрометации
Прямой взлом учётных данных — это вопрос настроек аккаунта, не мониторинговых инструментов. Но после того как канал угоняют, поведение меняется: злоумышленники нередко начинают использовать его для накрутки подписчиков перед перепродажей, рейдов на каналы конкурентов или массовых добавлений из бот-баз.
TGuard фиксирует именно эти паттерны. Резкий приток аккаунтов из известных бот-баз, нетипичные волны вступлений, массовые добавления за короткое время — аномалия появляется в статистике раньше, чем вы успеете заметить вручную. Если канал начинают использовать в мусорных схемах — это видно.
Антирейд закрывает отдельный вектор: организованный рейд — сотни аккаунтов, синхронно вступающих и выходящих с целью уронить охваты или навредить репутации — это атака на канал без доступа к вашему аккаунту. Работает параллельно с угрозой компрометации, иногда используется как отвлекающий манёвр.
Часто задаваемые вопросы
Не вводите код. Telegram никогда не запрашивает коды авторизации через ботов или личные сообщения — только на экране самого приложения при входе с нового устройства, который вы инициировали сами. Любой бот с такой просьбой — фишинг, независимо от того, как выглядит аватар или имя отправителя.
Иногда — через поддержку Telegram, но без гарантий и не быстро. Шансы выше, если вы владелец (creator), а не просто администратор, и если обращаетесь в первые 24–48 часов после потери доступа. Двухфакторная аутентификация значительно снижает вероятность самого угона.
Зависит от схемы авторизации. Сервис на бот-токене имеет доступ только к конкретному каналу — он не может трогать ваш аккаунт или другие каналы. Сервис, который авторизуется через QR-код или просит логин-данные, получает полный доступ к аккаунту. Разница принципиальная.