<accent>Контртактики</accent> Fragment
Технические стратегии обнаружения, срыва и защиты от атак Telegram на основе Fragment.
Fragment стал основным катализатором массовой имитации в Telegram. Его децентрализованная природа делает традиционные подходы к нейтрализации (репортинг аккаунтов, привязка SIM) неэффективными. Ниже представлены пять технических контртактик, разработанных ZeroState для нейтрализации угроз на основе Fragment на уровне инфраструктуры.
#1Снятие цифровых отпечатков аккаунтов Fragment
Аккаунты, купленные на Fragment, демонстрируют характерные сигнатуры метаданных: отсутствие местоположения регистрации, отсутствие привязанного номера телефона в метаданных Telegram и аномальные временные метки создания. Автоматизируя сбор метаданных и сверяя их с известными паттернами выпуска Fragment, мы можем превентивно помечать аккаунты как высокорисковые до того, как они начнут вредоносную деятельность.
Мониторинг: близость даты создания аккаунта к первому вступлению в канал, отсутствие метаданных местоположения в ответе API UserFull и паттерны телефонных префиксов, связанные с известными партиями номеров Fragment. Оценка корреляции > 0,75 запускает автоматическую пометку.
#2Анализ скорости вступления в каналы
Атаки на основе Fragment обычно включают быструю серию создания каналов через несколько аккаунтов. Отслеживая скорость, с которой аккаунты вступают и создают каналы, аномальные паттерны становятся обнаруживаемыми. Один IP-диапазон, создающий 5+ каналов в течение 24 часов с метаданными, связанными с Fragment, является сильным индикатором скоординированной инфраструктуры имитации.
Порог: > 3 каналов создано с одного IP-диапазона в течение 12 часов в сочетании с индикаторами метаданных Fragment. Сохранять IP-отпечатки и временные метки создания аккаунта для корреляции паттернов.
#3Перекрёстный анализ администраторов
Аккаунты Fragment часто повторно используются на нескольких каналах-клонах. Построив граф перекрёстного членства администраторов среди подозрительных клонов, мы можем определить принадлежность кластера. Этот метод сыграл ключевую роль в нейтрализации сети клонов протокола DeFi, где 5 аккаунтов Fragment контролировали все 27 каналов-клонов.
Анализ графов: матрица смежности UUID администраторов между каналами. Обнаружение сообществ (алгоритм Лувена) для идентификации кластеров аккаунтов Fragment. Кластер с > 80% пересечением администраторов = скоординированная операция.
#4Верификация ответа через эскроу
При взаимодействии с потенциальными сообществами жертв проверяйте легитимность, требуя микро-эскроу-депозит перед любыми действиями. Имитаторы на основе Fragment не могут позволить себе связывать капитал в эскроу по сотням целей, создавая естественный экономический барьер, фильтрующий легитимные сущности от массовых атакующих.
Внедрить микро-эскроу Bitrated (0,1 TON) в качестве шага предварительной верификации для всех взаимодействий поддержки. Атакующие, действующие в масштабе, откажутся от поручений, требующих эскроу-верификации.
#5Упреждающая блокировка номеров Fragment
Ведите внутреннюю базу данных известных префиксов номеров Fragment и отпечатков аккаунтов. Интегрируйтесь с API репортинга злоупотреблений Telegram для пометки аккаунтов, проявляющих характеристики Fragment и занимающихся спамом или имитацией. Со временем это создаёт петлю обратной связи, делающую операции на основе Fragment всё более затратными и обнаруживаемыми.
Схема БД: phone_prefix (код страны + блок), creation_timestamp_range, account_age_at_first_activity, known_bot_association_score. Ежедневная сверка с новыми каналами-клонами.
Посмотреть услугу нейтрализации