Стратегии противостояния ботам: как обезопасить свой канал в telegram

Стратегии противостояния ботам: как обезопасить свой канал в telegram

Для начала определим мотивы — зачем нужно накручивать подписчиков?

Это рабочий метод борьбы с конкуренцией. Если ботовод имеет голову на плечах, он грамотно накрутит канал. Да так, что никто не заподозрит, что его канал — пустышка. Стоимость содержания одного бота значительно меньше стоимости привлечения живого подписчика, поэтому у ботоводов есть огромная фора перед добросовестными админами.

Ботоводство — это отдельная сфера заработка. Новички не умеют отличать хорошие каналы от накрученных. Этим пользуются ботоводы  —  они продают им дорогую рекламу и не стесняются имитировать хорошую отдачу. Дальше немного математики:

Покупатель размещает у ботовода рекламный пост за 5000 рублей. Ботовод накручивает ему 250 подписчиков, и это ему стоит 250 рублей. Остаток в 4750 рублей он кладёт себе в карман. Рекламодатель доволен, отдача от рекламы есть, и он ничего не заподозрил. Ботовод тоже доволен собой — не на каждого жулика ежедневно падают с неба 100 баксов.

Теперь посмотрим ту же картинку, но рекламу купим у честного админа. За 5000 рублей на канал рекламодателя подписывается 150 человек. Рекламодатель не доволен, так как подписчик вышел дороже. А честный админ получит 5000 рублей, 80% которых уйдёт в реинвест. То есть заработок с одного рекламного поста 1000 рублей.

Сравните 1000 и 4750 рублей. Как видите, жизнь ботовода побогаче. Вот поэтому они накручивают подписчиков и себе, и остальным.

Ботоводы любят участвовать в конкурсах в Телеграм. Когда вы один участвуете в конкурсе против 1000 человек, у вас значительно меньше шансов, чем у ботовода, который натравил на конкурс армию из 5000 ботов. Ваши шансы на победу 1:10000, против 1:2 у ботовода.

Связанные вопросы и ответы:

Какие типы ботов чаще всего нежелательно посещают каналы в telegram

Открываем данный раздел, смотрим подписчиков и удаляем недавно подписавшиеся или подозрительные аккаунты. Сверху списка будут самые новые подписчики. Пример на скринах ниже.

Просто чистить ботов, если их нагнали немного и единоразово. Например, недовольный рекламодатель решил отомстить админу (пример на скрине ниже) и накрутил ему 300 подписчиков-арабов. Накрутка прошла быстро. Сразу в течение часа на канал пришли все боты. В этом случае очистить ботов вручную несложно.

Значительно сложнее, если ботов крутят в больших объемах, постоянно и в ночные периоды.

Например, с 2 часов ночи, каждый час на канал приходит по 300 ботов. Вручную тут ничего не сделать. Просто физически не успеть все вычистить, да и спать когда-то нужно. Поэтому важна автоматизация.

Автоматическая чистка ботов

Я использую Crosser Bot. А именно его режим Guard.

В режиме Guard возможно удаление подписчиков, вступивших в канал в определенный период времени. Это помогает очистить канал от уже налитых ботов.

Возможно удаление подписчиков, в именах которых содержатся RTL-символы (символы арабского, иврита и ряда других языков).

И самое главное - возможна почасовая настройка удаления. Когда бот сам будет удалять подписавшихся на канал сверх заданного параметра.

Например, ставим триггер активации на 15 подписчиков. Если за час на канал подписалось более 15 человек, бот начинает вычищать их из канала.

Это крутая штука. У меня были моменты, когда за пару минут на канал подписывалось по 10-15 ботов. И вот тут Crosser Bot и его режим Guard меня сильно выручал.

Сразу нужно уточнить что Crosser Bot не понимает где живые люди, а где нет. Он просто работает по алгоритму. И под раздачу попадают иногда и обычные люди, подписывающиеся вместе с ботами. Это нормально, потери тут неизбежны и ничего с этим не сделать.

Crosser Bot, конечно, не идеален. За время его работы я часто сталкивался со сбоями и недоступностью его функции Guard.

Меры предосторожности

Накрутки делают с разными целями. Недовольный рекламодатель вымещает обиду, конкурент хочет выкинуть канал из поиска, недоброжелатели "убивают" канал.

Если накрутка большая (пришло много ботов) и длительная (боты идут не первые сутки), то лучше сразу написать в поддержку Тгстат и Телеметр.

Пишем в поддержку сервисов и сообщаем о накрутке. В этом случае риск что канал получит красные метки снижается. Пример ниже.

Защита канала

Если накрутка долгая и канал реально "валят", а сил и нервов чистить ботов уже нет, то принимаем меры защиты.

Если ваш канал публичный , то закрываем канал, переведя его из публичного в частный (приватный). Для старого публичного имени сделайте прокладку.

Прокладка -- это отдельный публичный канал с нужным именем и линком.

Пример. Вы создали публичный канал с именем @test. Теперь переводим его в частный канал, (вместо имени @test Телеграм автоматически создает ссылку-приглашение). Но имя @test важно для нас. Создаем новый канал и даем ему старое имя @test. Теперь этот линк сохранится за вами и никто его не займет.

После того как сменили тип канала, сбрасываем ссылку.

Если ваш канал частный - просто смените пригласительную ссылку на новую. Сменить ссылку можно в настройках канала, кнопка «Сбросить».

Важно сменить все ссылки и от всех администраторов (от каждого админа создается своя ссылка и все они независимы - при сбросе одной, другие не сбрасываются).

Зачем вообще сбрасывать ссылки на канал? Если недоброжелатель знает ссылку на канал, то он может указать ее в сервисах накруток и по ней в канал пойдут боты.

Если ссылку сбросить, то боты в канал по старой ссылке просто не смогут зайти, а мошенник, не зная новой ссылки, не сможет навредить.

Компенсация потерь

Большая и длительная накрутка всегда наносит материальный урон. Снижается число проданных мест, пропадает часть купленного в канал трафика.

Если закупили много рекламы для канала и вдруг началась серьезная накрутка, как раз во время закупов, что делать? Договариваться с админами о переносе мест, в крайнем случае перепродавать купленное место другим людям. Чтобы хоть как-то снизить денежные потери.

Например, закупили для своего канала трафика на неделю вперед, 20 рекламных мест. Только пошла реклама и недоброжелатели льют под трафик в канал ботов. Прошел день-два, накрутка не утихает.

Значит надо писать и договариваться о переносе оставшихся мест, или отдать место, например, знакомому админу своей тематики.

Естественно, длительная накрутка и борьба с ботами сказывается на статистике. Рекламодателя будет удивлять странный прирост и отписки аудитории. И спрос на рекламу упадет гарантированно.

В этом случае возможно перейти на другие способы монетизации, например партнерские программы.

Заключение

Каждый отдельный случай накрутки и борьба с ним - это индивидуальный процесс. Конечно, в этом посте я описал не все секреты и методы защиты, но для понимания материала, думаю, достаточно.

Как боты могут негативно отразиться на активности и безопасности канала

Каждый бот предназначен для определенных целей. Некоторые работают как парсеры, они воруют чужие статьи и приносят их своему владельцу. Есть такие, которые имитируют поведение пользователя, заходят на страницы, щелкают по ссылкам или по рекламе.

Более продвинутые боты способны делать дополнительные действия полностью соответствующие человеческим, а именно проводить больше времени на сайте и просматривать страницы вглубь.

Этих ботов в основном используют при сером продвижении. Но следует понимать, что если сайт коммерческого содержания, то накрутка поведенческих факторов не увеличит покупательскую способность.

Даже, наоборот, при активном действии накрутки можно перестараться и вместо увеличения посещаемости, угодить под фильтр поисковика, из которого выйти будет невозможно и придется менять домен.

Ранее боты могли с легкостью обмануть поисковую машину, но после 2020 года алгоритмы поисковиков улучшились, и пришлось менять подход к накрутке поведенческих факторов.

Прежде чем использовать робота для основных целей разработчики стали нагуливать ботов на других ресурсах, чтобы те обзавелись историей в браузере, возрастом и другими вещами.

Разумеется, нагуливание происходит по интересам, т.е. например если планируется запускать автоматические сессии для сайта автолюбителей, то и посещать страницы робот должен на похожих веб-сайтах.

Есть также боты, которые делают для борьбы с конкурентами, они могут оставлять заявки на сайте, делать так называемое «скликивание конверсий», что актуально для рекламы в Директе .

Какие средства обеспечения безопасности telegram предлагаются для борьбы с ботами

Защитить свои данные от Telegram-ботов — роботов, которые могут выполнять последовательность действий и имеют встроенный поисковый механизм, практически невозможно, рассказал «Известиям» управляющий партнер коммуникационного агентства B&C Agency Марк Шерман 19 февраля.

Ранее в этот день газета «Коммерсант» написала, что в 2020 году в Telegram активизировалось создание ботов, позволяющих пользователю мессенджера получить информацию практически о любом человека. Сообщается, что впервые такие сервисы появились еще несколько лет назад, но если раньше их были единицы, то сейчас можно найти уже пару десятков. В числе старейших и самых крупных — «Глаз Бога», «Архангел», Smart_SearchBot и AVinfoBot.

Побойся бота: как Telegram-деанонимайзер вычисляет преступников

Российская разработка способна найти личные данные злоумышленников, действующих через мессенджер

По словам Марка Шермана, защитить свои данные от ботов практически невозможно, поскольку мы живем в век цифровизации, предъявлять свои паспортные данные нужно практически везде, вместо паспорта люди часто дают права, а базы данных имеют свойство утекать.

«Бороться здесь нужно скорее не с утечкой информации, а с ее последствиями, и нужно задумываться о цифровой гигиене. У многих людей есть правило ставить на все свои коммуникации один и тот же пароль, чтобы не путаться, но это порочная практика, которая приводит к взлому почтовых ящиков и доступу к сенситивной переписке», — сказал эксперт.

В свою очередь, директор по коммуникациям Евразийского банка развития Артур Борцов заявил, что проблема связана не с сетью Telegram как таковой, а с наличием рынка торговли данными пользователей и клиентов.

«Telegram-боты — просто удобный анонимный канал обмена информацией. Не существует отдельных методов защиты от Telegram-ботов. В этом случае действуют те же правила предосторожности, что и в любом другом случае: не оставлять свой номер телефона, персональные данные и данные банковских карт на сомнительных сайтах», — отметил Борцов.

Он подчеркнул, что база данных владельцев каналов формируется не из одного конкретного источника, а из десятков или даже сотен мест. Например, утечек из банков, мессенджеров, организаций, где работают сотрудники, интернет-магазинов и ряда других электронных сервисов.

«Важно регулярно менять пароли, делать их криптостойкими, соблюдать цифровую гигиену, не оставлять геометки, не сообщать широкому кругу лиц о своем местонахождении, не брать кредиты в непроверенных организациях, и, безусловно, не публиковать фотографии документов, особенно паспорта», — заключил эксперт.

Ранее, 18 февраля, сообщалось, что компания Telegram Group Inc. планирует привлечь минимум $1 млрд посредством размещения облигаций среди ограниченного круга инвесторов.

Отмечалось, что инвесторы из России, Европы, Азии и Ближнего Востока уже начали получать такие предложения. Собеседники издания также утверждают, что минимальный чек для участия на данным момент составляет $50 млн, однако его могут снизить до $10 млн. Также подчеркивалось, что организатором размещения выступает сам Telegram, а средства нужны компании, чтобы улучшить инфраструктуру и привлечь новых пользователей.

Как можно определить, что на канале присутствуют боты

Если вкратце воспроизвести нашу исследовательскую гипотезу, то взаимодействие комментаторов проявляется в устойчивых и воспроизводимых формах. Мы называем их паттернами.Различие и многообразие паттернов проще всего продемонстрировать на пространственно-геометрическом расположении комментариев относительно друг друга. Для этого воспользуемся визуализацией комментариев к:На визуализации отчетливо выделяются по крайней мере две категории паттернов — внутренние и внешние.Внутренние паттерны относятся к комментариям, которые связаны с большинством других комментариев. Наличие внутренних паттернов говорит о формировании постоянной аудитории комментаторов. Подробнее о типах внутренних паттернов мы поговорим в следующий раз, так как эта тема требует детального исследования. А сейчас обратимся к исследованию внешних паттернов.Внешние комментарии слабо связаны с большинством других комментариев. В то же время некоторые внешние паттерны могут демонстрировать сильное взаимодействие локализованной группы комментариев (кластеризацию), но оно проявляется только к определенной малой общности, а с большинством комментариев эта группа связана слабо. Поэтому мы вводим дополнительные понятия внешних паттернов со слабыми и сильными связями.В качественном исследовании внешние комментаторы представлены аудиторией, которая демонстрирует узкую специализацию действий. Эти действия принято ассоциировать с поведением ботов и других представителей «искусственной аудитории» (призоловов и так далее). Их отличие от «естественных» комментаторов — в направленных на определенную цель коллективных действиях.А теперь рассмотрим некоторые типы внешних комментариев на примере комментаторов ютуб-каналов.

Какие шаги стоит предпринять, чтобы уберечь канал от влияния ботов

Чем активнее используется интернет для продвижения бизнеса, тем больше сил тратят компании на преодоление препятствий в конкурентной борьбе. Это особенно заметно в таких высококонкурентных нишах, как: продажа недвижимости, установка окон ПВХ, строительство, медицинские услуги и т.п. В этом соперничестве приветствуются любые методы, главное выделится на общем фоне.

БОТ – это программа, которая имитирует поведение живого человека на сайте. Свою задачу она выполняет четко по прописанному алгоритму с определенной скоростью, выверенной точностью. Ботов условно делят на «безопасные» и «опасные» в зависимости от их задач.

Безопасный («хороший») бот – не может причинить вред сайту или мессенджеру. К таким относятся поисковые роботы Яндекса и Google. Они подчиняются директиве robots.txt, используются для сканирования веб-страниц, их индексации.

Опасные боты могут оказывать воздействие на веб-браузер (например, Chrome, Internet Explorer), на трафик льющийся с сайта. Они искажают данные аналитики Гугл и Яндекс. Их уровень защиты достаточно высок, что затрудняет обнаружение. Сегодня разработана масса программ, которые облегчают жизнь, однако существуют и «некорректные». Они вредят ресурсам, доставляют массу проблем, например:

• распространяют вредоносное программное обеспечение;
• выполняют парсинг страниц;
• искусственно завышают трафика ресурса;
• клик-боты имитируют поведение посетителей;
• приводят к искажению статистики;
• собирают контакты, адресов электронной почты (e-mail) и пр.

Специалисты выделяют еще условно безопасную категорию, к которой относятся:

• Боты оценки качества сайта. Они тестируют работоспособность страниц, выявляют битые ссылки, тяжелые изображения, низкую скорость загрузки.
• SEO-боты – инструменты аналитики сайтов (например роботы платформ Ahrefs, Semrush, Serpstat и др.). Они нужны для сбора аналитической информации, формирования рейтинговых графиков, выстраивания стратегий продвижения.

Безвредность этих программ многими воспринимается скептически, так как они увеличивают нагрузку на сервер. Владельцев сайтов это не радует, они пытаются выстраивать систему защиты от таких бесцеремонных вторжений.

Каким образом можно настроить фильтры и проверки для предотвращения появления ботов

Некоторые боты себя не идентифицируют или даже маскируются под краулеры. Их отсекать можно по IP- адресам, но это практически бесполезно, так как у вредоносных роботов IP- адреса постоянно меняются.

Также можно настроить фильтрацию посредством обратных DNS- запросов, но это задача непростая, так что в этой статье ограничимся разбором блокировки идентифицируемых ботов, а также наиболее «наглых» IP- адресов.

Конечно же, я опубликовал список . Чтобы было ясно, что и почему я блокирую. Периодически списки буду пополнять, а также редактировать данную статью. Но та статья касается только тех ботов, которых можно идентифицировать.

Начнём с варианта блокировки через файл . htaccess, ибо он самый эффективный.

Блокировка ботов через .htaccess

Этот вариант самый лучший, так как боты и краулеры частенько игнорируют директивы из robots.txt. Есть вариант блокировать с помощью команды SetEnvIfNoCase User-Agent или через ReveriteCond. Первый способ получше. Ну, лично для меня.

В данном списке я собрал именно тех ботов, которых выловил на своём сайте. И блокировка сработала. В логах вы увидите, что ботам выдаётся ответ сервера 403, соответственно, нагрузка на ваш сайт снизится.

Учтите, на многих сайтах есть аналогичные списки для блокировки ботов и краулеров. Рекомендую их бездумно не копировать, подобные директивы часто сделаны людьми из-за рубежа, соответственно, там бездумно блокируют краулеры Яндекс и Mail.ru, что плохо скажется на позициях сайта в Яндекс.

Банальный пример кода:

И многие контент-мейкеры из СНГ бездумно копируют такие коды себе на сайты. Так что смотрите внимательно и анализируйте.

В своих вариантах я опубликовал только тех ботов, которые атакуют мой сайт. В ваших логах могут быть иные роботы и краулеры.

Итак, вариант блокировки через . htaccess. Всем ботам будет выдаваться ответ сервера 403, то бишь «доступ запрещён». Это серьёзно сократит нагрузку на ваш сайт.

У себя использую такой код, он оказался вполне работоспособным:

#MJ12bot блокировать только в том случае, если не работаете с Majestic. Например, если работаете на биржах ссылок (Gogetlinks, Miralinks), то там данные Majestic очень важны и тогда лучше его не блокировать. #Slurp - поисковой краулер Yahoo!, если ваш сайт ориентирован на зарубежную аудиторию и есть трафик с Яхуу, лучше не блокировать. #FlipboardRSS и FlipboardProxy блокировать только в том случае, если не ориентированы на Flipboard SetEnvIfNoCase User-Agent "Amazonbot|BlackWidow|AhrefsBot|BLEXBot|MBCrawler|YaK|niraiya\.com|megaindex\.ru|megaindex\.com|Megaindex|MJ12bot|SemrushBot|cloudfind|CriteoBot|GetIntent Crawler|SafeDNSBot|SeopultContentAnalyzer|serpstatbot|LinkpadBot|Slurp|DataForSeoBot|Rome Client|Scrapy|FlipboardRSS|FlipboardProxy|ZoominfoBot|SeznamBot|Seekport Crawler" blocked_bot Order Allow,Deny Allow from all Deny from env=blocked_bot

Потом в логах можете увидеть, что заблокированным ботам выдаётся ответ сервера 403:

Соответственно, бот не сможет парсить контент, а также скачивать данные сайта, например, rss- ленты или другие фиды.

Существуют ли специальные приложения или инструменты для защиты от ботов в telegram

Существует несколько популярных библиотек и инструментов, которые значительно упрощают процесс разработки ботов для телеги. Рассмотрим рассмотрим две из них: `python-telegram-bot` и `pyTelegramBotAPI`.

Эта библиотека является одним из наиболее популярных инструментов для разработки телеграм-ботов на Python. Она предоставляет высокоуровневый интерфейс для работы с Telegram API и включает в себя множество функций и возможностей для создания ботов.

Пример использования python-telegram-bot для создания простого бота:

from telegram.ext import Updater, CommandHandler # Функция-обработчик команды /start def start(update, context): update.message.reply_text("Привет! Я ваш телеграм-бот.") # Создание и настройка бота updater = Updater(token='ваш токен взятый из botFather', use_context=True) dispatcher = updater.dispatcher # Регистрация обработчика команды /start start_handler = CommandHandler('start', start) dispatcher.add_handler(start_handler) # Запуск бота updater.start_polling()

`pyTelegramBotAPI` предоставляет удобные средства для создания и управления ботами.

Пример использования pyTelegramBotAPI для отправки сообщения:

import telebot # Создание бота bot = telebot.TeleBot('YOUR_BOT_TOKEN') # Обработчик команды /start @bot.message_handler(commands=) def start_message(message): bot.send_message(message.chat.id, 'Привет! Я ваш телеграм-бот.') # Запуск бота bot.polling()

Обе библиотеки, `python-telegram-bot` и `pyTelegramBotAPI`, имеют свои достоинства и особенности. Выбор между ними зависит от ваших потребностей и предпочтений. Однако, важно учесть, что при разработке бота безопасность должна быть на первом месте. Обе библиотеки позволяют взаимодействовать с Telegram API, но безопасное использование API и обеспечение безопасности бота полностью зависит от вашего кода и практик разработки.

Какие регулярные действия следует осуществлять для мониторинга и защиты от ботов

«Плохие» боты представляют на сегодняшний день одну из серьезнейших угроз для бизнеса. Вредоносный трафик ботов может привести к снижению производительности веб-сайта, искажению информацию о наличии товаров и услуг онлайн-площадок, нарушению конфиденциальности персональных данных и, как результат, к оттоку клиентов и потери прибыли.

Боты атакуют веб-сайты, мобильные приложения и API, вызывая целый ряд проблем для бизнеса, таких как захват учетных записей, DDoS-атаки на приложения, неправомерное использование API, веб-скрапинг, создание спама, искажение аналитики и фрод (мошенничество) с объявлениями.

В то же время хорошие боты способствуют росту трафика и аудитории веб-ресурсов. Они обходят страницы сайтов для определения ранжирование в поисковых системах и индексации обновлений в реальном времени, а также позволяют пользователям найти лучшую цену на товар или выявить украденный контент. Способность различать хороших и плохих ботов – приоритетная задача для современных компаний. Однако, согласно отчёту Radware по безопасности приложений – Web Application Security Report – 79% организаций не могут точно разграничить трафик полезных и вредоносных ботов.

Трафик ботов и угроза их разрушительного воздействия на бизнес стремительно увеличиваются. Это означает, что специализированные решения для защиты от бот-атак принципиально важны для непрерывности и успешности бизнеса. Ситуация еще больше осложнилась с появлением нового поколения вредоносных ботов (т.н. человекоподобные боты), которые могут имитировать поведение человека/реального пользователя и с легкостью обходить традиционные штатные системы информационной безопасности и защиты от ботов.

Разработка и поддержание штатного решения для противодействия ботам требует огромных ресурсов, включая постоянную настройку, корректировку политик безопасности и управление исключениями для снижения процента ложных срабатываний – усилия и расходы, которые могут себе позволить только очень крупные компании. Аналитические организации, такие как Forrester Research и Gartner, все больше акцентируют внимание на важности решений для защиты от ботов для бизнесов любого размера. Какими критериями стоит руководствоваться при выборе и сравнении решений для противодействия ботам? Такая информация и тем более единое мнение на этот счёт практически отсутствуют. В данном материале представлен обзор ключевых свойств, которыми должно обладать эффективное решение для защиты веб-сайтов, мобильных приложений и API от атак ботов.