08.08.2024
1 хв
1217
Детальний розбір нової хвилі фішингових атак у Telegram, де мережі автоматизованих ботів під виглядом привабливих дівчат масово засмічують чати, коментарі та приватні повідомлення. Розповідаємо, як працюють так звані «шлюхоботи», які схеми обману та фішингу вони використовують, хто стоїть за цими мережами, як з їхньою допомогою виманюють гроші та дані, і як ефективно захистити свій акаунт та аудиторію від подібних атак.
Останнім часом ми все частіше почали помічати під нашими публікаціями в Telegram-каналі dev.ua однаковий тип коментаторів — акаунти з еротичними аватарками, які миттєво реагують на будь-який пост. Незалежно від теми — Ілон Маск, зарплати в IT чи будні рекрутерів — у коментарях зʼявлялися відносно змістовні репліки від «дівчат», які виглядали занадто швидкими й тематично підігнаними, щоб бути справжніми. Усе це вказувало на автоматизацію. Водночас подібні боти вже давно наводнили популярні політичні й новинні канали — особливо ті, де велика кількість підписників. Схоже, саме розмір аудиторії робить такі канали основною мішенню для масованих бот-атак.
Зрештою, ми вирішили докопатися до суті: що ж насправді криється за цим феноменом? Це просто дешевий скам у стилі «OnlyFans для бідних» чи повноцінна цифрова індустрія, яка працює як онлайн-вітрина для секс-послуг? Це поодинокі «підробітки» чи добре організовані схеми з офісами, керівниками й техпідтримкою? Нас цікавило, хто за цим стоїть, скільки на цьому заробляють і якими інструментами користуються — а головне, чи може звичайний користувач втратити через таку «розвагу» особисті дані, доступ до акаунта або навіть гроші. Щоб відповісти на ці питання, ми занурились у середовище цих акаунтів, протестували кілька ботів і залучили до розмови експертів: білого хакера Микиту Книша, фахівця з кібербезпеки В’ячеслава Давиденка та спеціалістів з компанії Netpeak.
Почнемо з головного — акаунти з сексуальними аватарками в Telegram можуть мати різне походження. Та переважна більшість із тих, які ми проаналізували, одразу спрямовують користувача на приватний канал із обмеженим доступом. Усе просто: хочеш контент — заплати. Зазвичай це одноразова оплата на кшталт 500 гривень. Далі обіцяють: будуть тобі нюдси, еротичні відео, ексклюзивно лише для підписників. Чим не аналог OnlyFans?
Таку «пропозицію» журналіст отримав від одного з акаунтів, які регулярно «патрулюють» коментарі у телеграм-каналі народного депутата Олексія Гончаренка. Потенційна «модель» почала з демонстрації кількох зникаючих зображень — своєрідних «тизерів», а далі одразу надіслала номер картки українського банку Globus для оплати доступу до контенту. Імовірно, що за цим акаунтом стоїть не дівчина, а адміністратор або ціла команда, яка вміло використовує принади цифрової сексуальності задля прибутку.
На мій погляд, вибір банку теж був невипадковим: замість звичних Привату чи Монобанку, через які легко «пробити» власника картки за допомогою мобільного застосунку, використовувався менш помітний Globus. І все ж — варто визнати: адміністраторка цього порноканалу зуміла створити доволі переконливий образ реальної дівчини. Вона не просто надсилала відверті світлини, а ще й ділилася особистими історіями, відповідала з живим емоційним фоном і навіть вела комунікацію гарною українською. Ба більше — знижка на інтим-контент для військових ЗСУ виглядала як ще один «штрих» до довіри.
Особливі деталі, як-от однакове тло на її фото, також створювали ілюзію реальності. В якийсь момент навіть здалося: якби вже й віддав ті 500 гривень — то лише їй. Але одразу поруч у коментарях до того ж депутата з’являється інша персона — «Васіліса», яка замість живого спілкування пропонує підписку на еротичний канал уже за російські рублі. Усе чітко автоматизовано: бот відразу викладає ціни, умови, послуги — жодного контакту з «людиною». Це вже не флірт, а конвеєр.
Паралельно в мережі зʼявляються й інші типи акаунтів — менш агресивні, але не менш підозрілі. Вони теж прикрашені еротичними фото, хоч і менш відвертими, ніж у «прямих продавчинь». Проте тут усе виглядає більш «ручним»: немає жодних посилань на платні канали чи ботів, які одразу випрошують гроші. Замість цього створюється ілюзія «живої» дівчини, відкритої до діалогу — флірт, онлайн-спілкування, натяки на продовження вже офлайн. Це своєрідна романтизація схеми, де ініціатива начебто передається користувачеві.
Але суть від цього не змінюється: у більшості випадків кінцева мета — не побачення і не «полуничка», а банальне виманювання грошей. Причому нерідко для цього навіть не потрібно знімати нічого нового — інтернет давно переповнений порноконтентом, який можна легко «перепакувати» під виглядом ексклюзиву. До того ж сьогодні вже не проблема згенерувати неймовірно реалістичні еротичні фото чи відео за допомогою ШІ — і багато хто цим активно користується. Як саме це працює і наскільки реальною є загроза — ми розпитали в експертів.
Експерти, з якими ми поспілкувалися, одностайно вказують на одну річ: механіка подібних схем апелює до базових людських інстинктів — зокрема, сексуального потягу. Саме він стає зручною приманкою, якою спамери вміло маніпулюють.
Як каже білий хакер Микита Книш, тут немає нічого нового: «Спамери просто підлаштувались під середовище Telegram. Формула “хліба і видовищ” працює й досі. А яке видовище найпростіше продається? Даруйте — груди, статеві органи, відверті пози. Це працює тисячоліттями. Саме тому й використовуються так звані “шлюхоботи” — у нашому розумінні це боти, які через еротичний контент затягують користувача в певні Telegram-канали. Далі починається процес обману, монетизації або навіть фішингу».
В’ячеслав Давиденко, консультант з кібербезпеки та нових технологій, підкреслює: подібні Telegram-активності — це класичний приклад соціальної інженерії, де зловмисники експлуатують базові людські бажання, передусім — сексуальні. Через це штучно створюється фейковий трафік, а користувач потрапляє у пастку маніпуляцій.
За словами експерта, більшість таких схем базуються на принципі «воронки обману»: обіцяють унікальний контент — приватні фото, «злиті» архіви, нібито подарункові матеріали — лише за умови підписки на десятки каналів або введення платіжних реквізитів. У результаті людина або нескінченно переходить із каналу на канал, так і не отримавши обіцяного, або ж взагалі втрачає гроші й особисту інформацію.
«Telegram став зручним інструментом для аферистів через відсутність централізованої модерації та ілюзію повної анонімності, якою користувачі часто зловживають», — додає Давиденко.
Цю думку підтримує і білий хакер Микита Книш. Він погоджується, що велика частина подібних каналів — це фактично дешевий аналог OnlyFans. «Не кожен хоче проходити реєстрацію на OnlyFans, писати комусь повідомлення, пояснювати свої бажання. У Telegram усе швидше: зайшов, перекинув пару “зірочок” і отримав те, що вважаєш інтимним контентом», — пояснює він.
Книш також наголошує, що подібне спамлення — не обов’язково про еротику. Часто таким самим чином поширюються й фейкові вакансії чи інші “гарячі пропозиції”. «Нічого нового тут немає. Раніше ці схеми процвітали на форумах і в IRC-чатах. Тепер — у Telegram. Міняється тільки майданчик, а не суть», — додає фахівець.
У компанії Netpeak Group, фахівці якої допомогли глибше зануритися в цю тему, пояснюють технічну сторону: коментарі, які масово з’являються під постами у популярних каналах, — це не звичайний спам. Це нейрокоментарі, згенеровані штучним інтелектом. Їх пишуть не люди, а алгоритми, натреновані спеціально для того, щоб виглядати «живими» та вписуватися в контекст публікації, збільшуючи ймовірність взаємодії з потенційною жертвою.
Цей феномен називають нейрокомментингом, і він почав набувати популярності навесні 2023 року, коли під постами стали з’являтися боти, що коментують миттєво й на тему поста.
Як вказують спеціалісти Netpeak, це є дуже дешевим способом просування в соцмережах з відсутньою або дуже низькою модерацією.
«Це масова реклама, яка намагається отримати кліки або підписки, використовуючи провокаційні образи й коментарі. Працює по принципу: увага → клік → монетизація/виманювання даних», — пояснюють у Netpeak Group.
Їхня мета — привернути увагу й направити трафік до інших каналів чи сервісів, наприклад:
Скам — під виглядом «дівчини поруч» можуть пропонувати заповнити фейкову анкету, яка зливає дані або підписує на платні сервіси;
Реклама дорослого контенту — просувають OnlyFans, порносайти, ведуть на реальні акаунти, але часто з фейковими медіа;
Онлайн-проституція / вебкам — деякі з таких акаунтів можуть належати до вебкам-агентств;
Приватна ініціатива — іноді це дійсно люди, які самостійно просувають себе. Але 90% — це сітки ботів.
Спеціалісти Netpeak додають, що нейрокоментарі дуже швидко реагують на нові пости, тому їх не важко помітити: вони з’являються майже одразу після публікації, частіше всього в перші 60 секунд. І хоч вони часто пишуть «по темі», щоб маскуватися під реальних людей, однак виявити їх можна за кількома спільними ознаками:
однотипність;
нерелевантний чи «механічний» текст;
посилання в біо (в описі акаунта-бота завжди є посилання з закликом приєднатися чи замовити послугу, адже основна мета таких коментарів — вести трафік за цим посиланням).
Фахівець із кібербезпеки В’ячеслав Давиденко виокремив у своєму коментарі нашому виданню такі найпоширеніші сценарії.
Це один із найбільш звичних сценаріїв — акаунт із жіночим ім’ям та еротичною аватаркою пропонує «гарячий» контент. Єдина умова — підписка на кілька Telegram-каналів. У цих каналах може бути що завгодно: низькопробний спам, порно без авторства або просто безглуздий вміст, створений виключно для штучного приросту підписників. Сам контент користувач так і не отримує — головна мета аферистів полягає в тому, щоб передати йому список партнерських каналів, за підписку на які замовники платять справжні гроші. А коли «жертва» проходить перше коло, її зустрічає новий список — ще більш «пікантний», але з тим самим змістом: порожні обіцянки замість обіцяного відео.
Ще один популярний трюк — створити ілюзію виграшу. Користувачеві кажуть, що десь на одному з каналів, куди він уже підписався, відбувається унікальний розіграш грошей або безкоштовного доступу до контенту. Щоб «підтвердити участь», просять залишити дані банківської картки. Наслідки типові: або пряме списання коштів, або передача даних шахрайським сервісам для майбутніх крадіжок.
Деякі схеми побудовані більш витончено. Користувача запрошують у канал, де все виглядає правдоподібно — нібито звичайна пара ділиться власним інтимним досвідом, або дівчина розповідає про своє життя з елементами еротики. Такі сторінки ведуться «від руки», створюючи відчуття справжності, побуту, домашнього фону. Але у фіналі користувачеві пропонують перейти на приватне листування або оформити платну підписку — начебто на унікальний контент, який, швидше за все, не має жодного стосунку до авторства чи реальності.
Ще один спосіб обману — використання гучних тем на кшталт компромату на відомих людей. Людині пропонують дізнатися пікантні подробиці з життя політика, блогера чи зірки, але замість обіцяного компромату — банальна реклама: казино, сіра аналітика, партнерські посилання. Контенту, заради якого все почалося, там немає — натомість користувач просто крутиться в нескінченній каруселі фейкових каналів, з яких випадає лише одне: трафік і гроші для шахраїв.
Як підсумовує В’ячеслав Давиденко, така взаємодія — це не гра й не легковажна спокуса. Це — прямий шлях до фінансових втрат, крадіжки даних і навіть зараження пристрою шкідливим софтом.
Він переконує, що не варто недооцінювати небезпеку цього явища, адже взаємодія з такими ботами або перехід за їхніми посиланнями — це прямий шлях до серйозних проблем із кібербезпекою.
«Кожен необережний клік може призвести до фінансових втрат через фальшиві „донати“ чи шахрайські підписки, передачі даних банківської картки фішерам, встановлення шкідливого програмного забезпечення на ваш пристрій, або навіть втрати доступу до вашого Telegram-акаунту», — стверджує експерт.
Білий хакер Микита Книш вкотре наголошує: користувачам варто не забувати про цифрову обережність і звичайну логіку. За його словами, ситуація, коли хтось пише в приватні повідомлення еротичному Telegram-акаунту, а у відповідь отримує пропозицію перейти до закритого каналу з кількома «гарячими» фото й фразою на кшталт «хочеш, зроблю для тебе щось особливе?» — досить типова. Усе виглядає «безкоштовно» лише спочатку. Далі — плата за наступне відео або продовження спілкування.
Але є сценарії й небезпечніші. Як пояснює Книш, іноді боти можуть надсилати підозрілі файли з розширенням .exe і переконувати встановити їх або авторизуватися через Telegram. Тут, за його словами, діє просте правило: ніколи не натискати на підозріле — байдуже, чи то «шлюхобот», чи сторонній сайт. Головна проблема — у бездумності дій самих користувачів. «Інколи найбільшу загрозу для персональних даних становить не бот, а людська наївність», — підсумовує він, закликаючи розвивати критичне мислення.
У Netpeak Group із цим згодні: Telegram став одним із найзручніших інструментів для спаму, тому з будь-якими ботами подібного типу слід поводитися вкрай обережно. А ще краще — взагалі не взаємодіяти з ними.
У Netpeak виокремили декілька рівнів ризику:
Персональні дані — фейкові анкети, «верифікація», «18+ перевірка» → витік телефону, email, банківських даних.
Telegram-акаунт — якщо користувач перейде за лінком і введе код підтвердження на фейковому сайті, акаунт можуть викрасти.
Фінансові втрати — списання коштів із картки при спробі отримати «доступ до відео» чи «спілкування».
Шантаж — рідко, але буває на основі переписки або фейкових скрінів.
Механіка заробітку шахраїв, зі слів Cybersecurity & Emerging Tech Consultant Вʼячеслава Давиденка досить проста: вони або отримують гроші від власників каналів за накрутку підписників, або ж напряму крадуть гроші й дані через фішингові сторінки.
«Telegram, з його мінімальною модерацією, швидкістю розгортання шахрайських схем та аудиторією, що легко реагує на пропозиції „безкоштовного“, став для них ідеальним середовищем. Важливо розуміти, що це вже не поодинокі випадки, а діяльність організованих команд, які працюють за відпрацьованими шаблонами», — каже він.
Зі слів Давиденка, ця ситуація є частиною глобального тренду: боти все активніше витісняють реальних користувачів в онлайн-просторі, і Telegram тут не виняток. Тим часом, на думку експерта, з кожним роком частка автоматизованої активності, що лише імітує «живу взаємодію», але насправді має маніпулятивну природу, лише зростає.
У Netpeak Group зазначають: автоматизовані скрипти чи боти моніторять публікації в популярних каналах/чатах або ж конкретні ключові слова (наприклад, «вечір», «Київ»).
Після появи нового посту відбувається наступний алгоритм:
Скрипт одразу фіксує ID повідомлення.
Обирає шаблон коментаря. Часто з AI-твістом — коротко, по темі, щоб не фільтрували.
Лишає коментар від акаунта з привабливою аватаркою та ім’ям.
Може додавати емодзі, тегати автора або прикріплювати посилання.
Іноді використовують AI-генерацію контекстних коментарів, щоб вбудовуватися в дискусію і виглядати «живими». Спеціалісти Netpeak, аналізуючи питання видатків, зазначають, що з точки зору масовості — це дуже дешевий і швидкий спосіб отримати кліки.
Створення акаунтів, за їхніми даними, вартує <$0.05 за один або ж взагалі відбувається безплатно через Telegram API, Хостинг і скрипти також коштують копійки. AI/чат-боти вартують 5–20$/міс для всієї сітки, а людський час залучених до цього осіб також є мінімальним.
У Netpeak Group зазначають: такий підхід значно вигідніший за легальну рекламу і прекрасно підходить для шахрайських схем.
Своїм баченням процесу ділиться й білий хакер Микита Книш. Він згадує сервіси автоматизації на кшталт N8N і Knight.
«Все просто: задаєш послідовність дій, бот слідкує за низкою каналів. У нього є сценарій — умовно, якщо зʼявляється новий пост, запускається автоматична реакція. У Knight це налаштовується елементарно. Є й китайська нейромережа Manus, яка все це робить у ще зручнішому вигляді», — пояснює він.
Коли в підписаному каналі з’являється нова публікація, бот автоматично читає її, розуміє тему й пише відповідний коментар. «Наприклад: “О, у вас пост про синхрофазотрон? Справді цікаво. Але мої груди ще цікавіші!” — це, звісно, жарт», — додає Книш.
Усе це, з його слів, генерується нейронкою в певній послідовності, і налаштовується буквально у два-три кліки. «Можна свій акаунт підв’язати, можна підв’язати цілу купу акаунтів, щоб воно їх чергувало», — додає він. Микита Книш також стверджує, що автоматизувати таку схему коштує копійки.
«Витрати на акаунти — то на росії їх продають за 3–5 рублів. Якщо в центах, то це 10 центів буде коштувати. Зі зламаного акаунта підгружаєш з авторега які-небудь дані й нейронками розсилаєш. Отак це працює технічно», — каже він.
При цьому, за словами Микити Книша, подібна технічна інформація давно не є секретом. Якщо є інтерес — в інтернеті без проблем можна знайти відеоінструкції, хоч на YouTube, хоч у TikTok.
«Введеш запит — і отримаєш купу гайдів, як усе це працює на базі нейромереж. А якщо нейронки не підходять, є старі перевірені інструменти, як-от ZennoPoster — програма для автоматизації дій, яку легко адаптувати під масовий спам. До неї можна приєднати ChatGPT, щоб генерувати тексти — і вперед, сидиш і спамиш», — підсумовує він.
Експерт із кібербезпеки Вʼячеслав Давиденко застерігає: ніякого «ексклюзивного контенту» в подібних схемах зазвичай не існує. Замість обіцяного користувач потрапляє в ланцюг спаму, реклами сумнівних сервісів, фейкових розіграшів і фішингових посилань, які розраховані на довірливість і цікавість жертви.
Єдиний надійний спосіб захисту, за його словами, — це максимальна обережність у поєднанні з критичним мисленням. «Не відкривайте підозрілі посилання, уникайте взаємодії з анонімними або надто “ідеальними” акаунтами. І найважливіше — не забувайте думати. Все, що виглядає надто щедрим, найімовірніше, приховує небезпеку. Бережіть себе та свої персональні дані», — підкреслює Давиденко.
Білий хакер Микита Книш зауважує, що багато людей досі не усвідомлюють, наскільки масово інтернет наповнений саме ботами, а не реальними користувачами. На його думку, саме подібні «шлюхоботи» часто відкривають людям очі на цю реальність. «Так, ці боти зазвичай зроблені доволі кострубато й легко впізнаються — особливо, якщо мислити критично. Але в якийсь момент користувач починає помічати, що відповіді з’являються буквально за секунду після публікації. Якщо текст великий, скажімо, на цілу сторінку, а коментар з’являється миттєво, стає очевидно: це не могла бути людина. І тоді доходить — ага, мабуть, це бот», — пояснює Книш.
У Netpeak Group сформували кілька елементарних рекомендацій для користувачів, аби не втратити аккаунт чи іншим чином собі не нашкодити:
не переходити за посиланнями, що пропонують ці боти;
взагалі не переходити за посиланнями, у яких ви не впевнені;
не вводити ніякі свої особисті коди, паролі, якщо за цими посиланнями це пропонується;
встановити двофакторну аутентифікацію, а також встановити email пошту для захисту акаунту, адже це допоможе зберегти можливість доступу до акаунту.
Однак, як кажуть у компанії, після березневого оновлення у Telegram зрозуміти, хто вам пише, стало значно легше.
Зокрема, можна побачити країну за номером, дату реєстрації, спільні групи, чи є це офіційним акаунтом, а також чи були у користувача нещодавно змінені ім’я та аватарка. «Тому з цією інформацією значно простіше зрозуміти, спам це чи ні», — уточнюють у Netpeak.
Адміністраторам Telegram-каналів, які хочуть підтримувати базовий рівень цифрової чистоти, у Netpeak Group радять регулярно перевіряти список підписників, зокрема в групах для коментарів, і вручну видаляти підозрілі акаунти. Часто саме ці боти вже підписані на канал і залишають спамні повідомлення.
Крім того, фахівці рекомендують активувати вбудовану систему захисту від спаму. Це можна зробити через меню: «Керування групою» → «Адміністратори» → «Агресивний антиспам». Це базовий, але ефективний крок у боротьбі з ботами.
У Netpeak також радять скористатися сервісом Telemetrio, щоб зробити чистку каналу. Водночас закриття на декілька днів можливості коментувати дасть шанс, що ваш канал/групу видалять зі списку потенційного спаму.
Також, як зазначають спеціалісти, за допомогою спеціальних ботів можна встановити обов’язкову умову підписки на групу для коментування. «Це зупинить частину атак, інших ботів можна буде швидко виявити й заблокувати», — додають у Netpeak Group.
Ще один лайфхак у цій боротьбі — додати до групи й налаштувати на автоматичне блокування бот @LyAdminBot. «Розробник з України створив модерацію на основі LLM. Випадкові бани можливі, але можна налаштувати спеціальні правила», — пояснили у Netpeak.
Також існують інші боти для модерації груп, такі як:
Також експерти звертають увагу: при додаванні будь-якого бота до групи або каналу важливо уважно стежити за тим, які саме права ви йому надаєте. У Netpeak Group наголошують, що нейрокоментарі — це нова форма спаму, з якою потрібно боротися не точково, а системно. Регулярний моніторинг, поєднання технічних інструментів і організаційних заходів здатні суттєво зменшити їхній вплив. У комплексі ці дії дозволяють ефективно захистити канал від нейромережевих атак і зберегти адекватність у коментарях.
Масове проникнення «шлюхоботів» у Telegram — це не курйоз і не інтернет-мем, а добре збудована, автоматизована система маніпуляції, яка експлуатує базові людські інстинкти. За яскравими аватарками й провокаційними коментарями ховаються сітки ботів, що женуть фейковий трафік, заманюють у шахрайські схеми, крадуть гроші, акаунти й персональні дані. Вони використовують штучний інтелект, старі спам-движки, автогенерацію акаунтів і масштабуються майже без витрат.
Найкраща оборона — це критичне мислення, цифрова гігієна та знання механіки обману. А для адміністраторів каналів — постійний моніторинг, ручне чищення, увімкнений антиспам, обмеження доступу до коментарів і використання перевірених модераційних ботів.
Telegram уже давно перестав бути просто месенджером — це поле для інформаційної війни, маркетингу й злочинної вигоди. І якщо ми не хочемо стати її жертвами — час діяти усвідомлено.
