Difesa dell'Infrastruttura

<accent>Contromisure</accent> Fragment

Strategie tecniche per rilevare, interrompere e difendersi dagli attacchi Telegram abilitati da Fragment.

Fragment è diventato il principale facilitatore dell'impersonificazione Telegram su larga scala. La sua natura decentralizzata rende inefficaci gli approcci di mitigazione tradizionali (segnalazione account, collegamento SIM). Di seguito sono elencate cinque contromisure tecniche sviluppate da ZeroState per neutralizzare le minacce abilitate da Fragment a livello di infrastruttura.

#1Impronta Digitale dell'Account Fragment

Gli account acquistati su Fragment mostrano firme di metadati distintive: assenza di posizione di registrazione, nessun numero di telefono collegato nei metadati Telegram e timestamp di creazione anomali. Automatizzando lo scraping dei metadati e incrociandoli con i modelli di emissione Fragment noti, possiamo contrassegnare preventivamente gli account come ad alto rischio prima che intraprendano attività malevole.

Monitorare: prossimità della data di creazione dell'account al primo ingresso nel canale, assenza di metadati di posizione nella risposta API UserFull e modelli di prefisso telefonico associati a lotti di numeri Fragment noti. Un punteggio di correlazione > 0,75 attiva la marcatura automatica.

#2Analisi della Velocità di Ingresso nei Canali

Gli attacchi abilitati da Fragment tipicamente coinvolgono la creazione rapida di canali attraverso più account. Monitorando la velocità con cui gli account si uniscono e creano canali, i modelli anomali diventano rilevabili. Un singolo intervallo IP che crea 5+ canali entro 24 ore con metadati collegati a Fragment è un forte indicatore di infrastruttura di impersonificazione coordinata.

Soglia: > 3 canali creati dallo stesso intervallo IP entro 12 ore, combinato con indicatori di metadati Fragment. Memorizzare impronte IP e timestamp di creazione dell'account per la correlazione dei modelli.

#3Analisi Incrociata degli Amministratori

Gli account Fragment sono spesso riutilizzati su più canali clone. Costruendo un grafo di appartenenza incrociata degli amministratori tra i clone sospetti, possiamo identificare la proprietà del cluster. Questa tecnica è stata determinante nella rimozione della rete di clone del protocollo DeFi, dove 5 account Fragment controllavano tutti i 27 canali clone.

Analisi del grafo: matrice di adiacenza incrociata degli UUID degli amministratori tra canali. Rilevamento delle comunità (algoritmo di Louvain) per identificare i cluster di account Fragment. Cluster con > 80% di sovrapposizione admin = operazione coordinata.

#4Verifica della Risposta Mediata da Escrow

Quando si interagisce con potenziali comunità di vittime, verificare la legittimità richiedendo un micro-deposito escrow prima di qualsiasi azione. Gli impostori basati su Fragment non possono permettersi di immobilizzare capitale in escrow su centinaia di target, creando una barriera economica naturale che filtra le entità legittime dagli attaccanti di massa.

Implementare micro-escrow Bitrated (0.1 TON) come passaggio di pre-verifica per tutte le interazioni di supporto. Gli attaccanti che operano su larga scala abbandoneranno gli incarichi che richiedono verifica tramite escrow.

#5Blocco Proattivo dei Numeri Fragment

Mantenere un database interno di prefissi di numeri Fragment noti e impronte digitali degli account. Integrare con l'API di segnalazione abusi di Telegram per contrassegnare account che mostrano caratteristiche Fragment e si impegnano in spam o impersonificazione. Col tempo, ciò crea un ciclo di feedback che rende le operazioni basate su Fragment sempre più costose e rilevabili.

Schema del database: phone_prefix (codice paese + blocco), creation_timestamp_range, account_age_at_first_activity, known_bot_association_score. Incrocio giornaliero con i nuovi canali clone.


Vedi Servizio di Rimozione