基础设施防御

Fragment <accent>反制策略</accent>

检测、破坏和防御基于 Fragment 的 Telegram 攻击的技术策略。

Fragment 已成为大规模 Telegram 冒充的主要推动者。其去中心化特性使得传统的缓解方法(账户举报、SIM 关联)无效。以下是 ZeroState 开发的五项技术反制策略,用于在基础设施层面清除基于 Fragment 的威胁。

#1Fragment 账户指纹识别

在 Fragment 上购买的账户显示出独特的元数据签名:缺少注册位置、Telegram 元数据中无关联电话号码以及异常的创建时间戳。通过自动化元数据抓取并与已知的 Fragment 发行模式进行交叉对比,我们可以在这些账户参与恶意活动之前预先将其标记为高风险。

监控:账户创建日期与首次加入频道的接近程度、UserFull API 响应中位置元数据的缺失,以及与已知 Fragment 号码批次关联的电话前缀模式。相关性分数 > 0.75 触发自动标记。

#2频道加入速度分析

基于 Fragment 的攻击通常涉及跨多个账户的快速频道创建。通过监控账户加入和创建频道的速度,异常模式变得可检测。单个 IP 范围在 24 小时内创建 5 个以上带有 Fragment 关联元数据的频道,是协调冒充基础设施的有力指标。

阈值:同一 IP 范围在 12 小时内创建超过 3 个频道,结合 Fragment 元数据指标。存储 IP 指纹和账户创建时间戳以进行模式关联。

#3管理员跨链分析

Fragment 账户通常跨多个克隆频道重复使用。通过构建疑似克隆之间的管理员交叉成员关系图,我们可以识别集群所有权。该技术在 DeFi 协议克隆网络清除中发挥了关键作用,发现 5 个 Fragment 账户控制了全部 27 个克隆频道。

图分析:跨频道管理员 UUID 邻接矩阵。社区检测(Louvain 算法)以识别 Fragment 账户集群。管理员重叠 > 80% 的集群 = 协调操作。

#4托管门控响应验证

在与潜在受害者社区互动时,通过要求微托管存款来验证合法性。基于 Fragment 的冒充者无法在数百个目标上绑定托管资本,从而创建了一个自然的经济屏障,将合法实体与大规模攻击者区分开来。

对所有支持互动实施 Bitrated 微托管(0.1 TON)作为预验证步骤。大规模操作的攻击者将放弃需要托管验证的委托。

#5主动 Fragment 号码黑名单

维护已知 Fragment 号码前缀和账户指纹的内部数据库。与 Telegram 举报滥用 API 集成,以标记表现出 Fragment 特征并从事垃圾信息或冒充活动的账户。随着时间的推移,这将创建一个反馈循环,使基于 Fragment 的操作越来越昂贵和容易被检测。

数据库模式:phone_prefix(国家代码 + 区块)、creation_timestamp_range、account_age_at_first_activity、known_bot_association_score。每日与新克隆频道进行交叉对比。


查看清除服务