Статья Гвозди в крышку гроба Telegram: Подмена и Блокировка контента

XSSBot · 02.01.2025

Автор ordinaria1
Статья написана для Конкурса статей #10

Перед началом ознакомления рекомендую пойти за горячим напитком, пока все медиакартинки прогружаются.

Статья имеет HTML версию без сжатых медиа.
Скачать: DaMaGeLib (Tor).

Статья имеет Markdown версию без сжатых медиа (+English version).
Посмотреть: DaMaGeGit (Tor).

English version can be found below in the article.

Дублирование гиф специально.

СОДЕРЖАНИЕ
ВСТУПЛЕНИЕ
ТЕОРИЯ

ИЗУЧЕНИЕ TOS И ВИДОВ БЛОКИРОВОК

СБОР ВСЕХ КОНТАКТОВ TELEGRAM

МЕТОДЫ ПОДМЕНЫ КОНТЕНТА

ИНЛАЙН-БОТЫ

ПРЕДОСМОТР ССЫЛОК

ФОРМАТИРОВАНИЕ ТЕКСТА

МЕТОДЫ БЛОКИРОВКИ КОНТЕНТА

СПАМ

ИНЛАЙН-БОТЫ

ПРЕДОСМОТР ССЫЛОК

ПОДДЕЛКА ДАННЫХ НА ДАННЫЕ НАРУШАЮЩИЕ TOS

ПРАКТИКА

ПОДГОТОВКА

ПРЕДОСМОТР ССЫЛОК

ВАРИАНТ БОТА-ФОРМАТЕРА СООБЩЕНИЙ

ФОРМАТИРОВАНИЕ ТЕКСТА

ВАРИАНТ БОТА "ШИФРОВАЛЬЩИКА" ТЕКСТА

ПЛЮСЫ

МИНУСЫ

ВАРИАНТ БОТА С РАНДОМ КАРТИНКАМИ

ПЛЮСЫ

МИНУСЫ

ВАРИАНТ БОТА С КУРСАМИ КРИПТОВАЛЮТ

ПЛЮСЫ

МИНУСЫ

ИДЕИ ДЛЯ ДРУГИХ ВАРИАНТОВ БОТОВ

НОВЫЕ ВОЗМОЖНОСТИ ДЛЯ СИ И РАСПРОСТРАНЕНИЯ ФИШИНГА/МАЛВАРИ

ЗАЩИТА И ПРОТИВОДЕЙСТВИЕ

ИТОГИ

ВСТУПЛЕНИЕ

(Не) очередная статья о том, почему Telegram не стоит использовать НИ-ДЛЯ-ЧЕ-ГО кроме переписунек с друзьями.

Но так сложилось, что "дарк" коммьюнити очень сильно подсело на него, почти как на герыч. Ведь тут удобно, "анонимно", приватно, безопасно... какие там ещё преимущества? А, да - можно очищать переписку, скамить, спамить, менять по 100 аккаунтов в день и прочие преимущества для "потрошителей".

А вытеснить людей и доходчиво обьяснить почему Telegram потенциально опасен – очень сложно.

Так уж вышло, что почти каждый теперь имеет акк в "телеге". Всё просто.

Как селлер – ты или не имеешь акка и клиентов, либо, как покупатель – ты не имеешь акка и способа связи с селлерами.

В первую очередь, я хочу что бы данная статья являлась неким "отрезвителем" и повой для раздумий – переходите в жабу, матрикс, симплекс, да хотя бы в токс. Во вторых, я хочу предоставить вам живую тему на 25 год, для всяческой отработки криптомохнатых и не только.

ТЕОРИЯ

ИЗУЧЕНИЕ TOS И ВИДОВ БЛОКИРОВОК

Для начала нам нужно узнать, какие бывают в Telegram виды блокировок, как они выглядят и за что их дают, как и когда их дают. Для этого переходим на сам сайт Telegram, а именно на страницу Terms of Service (ToS).

Terms of Service
By signing up for Telegram, you accept our Privacy Policy and agree not to:

Use our service to send spam or scam users.

Promote violence on publicly viewable Telegram channels, bots, etc.

Post illegal pornographic content on publicly viewable Telegram channels, bots, etc.

Engage in activities that are recognized as illegal in the majority of countries. This includes child abuse, selling or offering illegal goods and services (drugs, firearms, forged documents), etc.

We reserve the right to update these Terms of Service later.

Теперь, давайте перейдем на страницу ToS EU DSA (Версия для Европы).

What is not allowed on Telegram
To maintain a safe digital environment for all our users, we restrict the following on our public platform:

Spam. We prohibit unsolicited or unwanted advertisement, as well as any form of commercial harassment.

Promoting violence. We prohibit calls for violence, terrorism, soliciting funds for terrorist organizations, etc.

Illegal sexual content. We never allow child sexual abuse materials (CSAM), bestiality, and non-consensual publication of sexual materials.

Activities which are recognized as illegal in the majority of countries. This includes child abuse, selling or offering illegal goods and services (drugs, firearms, forged documents), sharing personal details of others to intimidate or bully them (doxing), etc.

All examples are illustrative and non-exhaustive

Как видим, правила довольно точные. Абсолютно всё, что может быть доказано как нелегальщина – забанят или ограничат. Почему ещё не забанили пол телеги? Причина очень проста:

А что вы ожидали от компашки, которая нанимает модераторов со ставкой "СДЕЛАЙ 10 ПРАВИЛЬНЫХ действий за 0.1$"? Не знаю, как там было бы в будущем, но за такую скотинскую ставку согласился бы работать только ИИ или индус. Не договаривают до самого конца, отвечают долго, вместо банковского акка могут платить в TON USDT. О чём нигде не было написано заранее.

Начали набор в 2024 году специально, из-за ситуации с задержанием Павла Дурова во Франции.

В 2020 я подал заявку на контент-модератора. Было банально интересно, как это работает.
В то время я не желал телеге ничего плохого.

Ответ по моей завявке пришел спустя почти 5 лет.

Прошёл тесты в их кривом веб-гуи, и получил это.

Теперь по порядку, какие есть блокировки:

Обычный бан аккаунта. Вас выкидывает с аккаунта со всех устройств, а номер и юзернейм блокируется на ~6-12 месяцев. Может быть применен из-за любой причины, указанной ToS.
Спам-блокировка (aka Спамбан aka Спамблок). Ваш аккаунт блокируется таким образом, что написать в публичный чат или человеку вне контактов – нельзя. Может быть применен изза триггера спам-фильтров – навсегда или на время, а так же иногда по причине нарушения ToS.
SCAM метка (aka SCAM плашка). Аккаунт будет помечен "меткой" SCAM рядом с ником. Будет невозможно скопировать ваши сообщения (в оф. клиентах), ваше описание "о себе" изменится на предупреждение. Возможно, вам ещё выдадут вечный спамбан (спамблок). При такой блокировке, ваш username уходит в бан на 6-12 месяцев. Тоесть, если вы его снимите – обратно не поставите, только через 6-12 месяцев.
Порно porn-ios. Канал/чат/группа/бот и все (их) сообщения (в них) блокируются на яблочных устройствах. Можно обойти, включив через веб или ПК версии опцию в настройках "Показывать 18+ Контент". Конечно, если у вас нет геоблока. В определенных странах этот режим включить нельзя. К примеру во Франции (привет, Паша).
Порно porn-all. Канал/чат/группа/бот и все (их) сообщения (в них) блокируются на всех устройствах, если не включена опция в настройках "Показывать 18+ Контент".
Временный porn-ios. Канал/чат/группа/бот блокируется на всех яблочных устройствах, до ручного удаления админами порно-контента. Это больше не применятся, либо применяется очень редко.
Временный porn-all. Канал/чат/группа/бот блокируется на всех устройствах, до ручного удаления админами порно-контента. Это больше не применятся, либо применяется очень редко.
Google Play Бан. Версии FOSS и версия с гугл плея очевидно имеют отличия. Если приложение было скачано через гугл плей – некоторые каналы нельзя будет открыть. Заметил только на про-восточных каналах.
Copyright iOS. Канал/чат/группа/бот и все (их) сообщения (в них) блокируются на всех яблочных устройствах. Нельзя обойти.
Copyright. Канал/чат/группа/бот и все (их) сообщения (в них) блокируются на всех устройствах. Нельзя обойти.
Удаление из поиска. Поисковый запрос или канал/чат/группа/бот/аккаунт будет удален из поиска, если он модераторам покажется каким-то нехорошим.
Точечные ToS баны. Точечные сообщения блокируются (изменяются) + добавляются дополнительные ограничения отправившему их в виде спамбана или полным баном аккаунта. При таком сценарии, если это чат – ограничение только пользователю. Если это канал – скорее всего, ограничение пойдёт владельцу.
Новый тип блокировки – блокировка в конкретной стране. Во Франции (привет, Паша) и в других некоторых странах Европы канал РИА Новости забанили. Выглядит это примерно так:

Агрессивнее и активнее всего Telegram реагирует на CSAM и террористический контент или его пропаганду. С этим связаны довольно очевидные причины:

Calls to violence and terrorist propaganda have no place on Telegram. Since 2016, Telegram has published daily transparency reports on the removal of terrorist content. Telegram’s anti-terrorism efforts have been recognized by Europol.

Since 2022, Telegram has significantly scaled its efforts in partnership with organizations like ETIDAL, the Global Center for Combating Extremist Ideology. Through its collaboration with ETIDAL alone, Telegram’s moderators have removed over 100 million pieces of terrorist content.

Чтош, все баны перечислил. По крайней мере, все что я узнал сам на практике. Теперь перейдем к этапу сбора и классификации способов репорта контента в Telegram.

СБОР ВСЕХ КОНТАКТОВ TELEGRAM

Довольно неочевидная задача с нюансом. А казалось бы всё просто.

abuse@telegram.org. Автоматический мейлбокс. Принимаются практически любые жалобы.
stopCA@telegram.org. Автоматический мейлбокс. Только для CSAM (Child Sexual Abuse Materials).
dmca@telegram.org. Неавтоматический мейлбокс. Только для жалоб на копирайт и прочие легальные штуки связанные с ним.
recover@telegram.org. Неавтоматический мейлбокс. Для жалоб на украденные юзернеймы/аккаунты и аппеляций по восстановлению забаненных аккаунтов.
support@telegram.org. ХЗ какой мейлбокс. Для общих вопросов, не знаю, работает ли он вообще.
security@telegram.org. Неавтоматический мейлбокс. Для вопросов связанных с безопасностью. Если хотите слить уязвимости и не получить ответ – пишите туда.
@notoscam. Для жалоб на скамеров. Отправлять надо одним сообщением, максимально чётко и с пруфами.
DSA форма. Для жалоб на все что угодно, но в виде веб-формы, куда можно прикрепить дополнительные пруфы, линки на законы, и даже court order. Открывается только с ЕУ.
@EURegulation. Дополнительный контакт после DSA, если вы не согласны с решением DSA.
@TelegramDataSupport. С этого акка вам скорее всего ответят по вопросу из @EURegulation.
Форма репорта внутри клиента. Для жалоб на все что угодно. Автоматическая.
@SearchReport. Для жалоб на поисковые запросы. Дополнительный контекст указать нельзя.
@AbuseNotifications (id: 4245000). Бот для уведомления владельцев чатов/каналов. Здесь вам не ответят, если сначала не прислали уведомление.
Telegram Volunteer Support. Здесь вам могут даже не помочь по дефолтным вопросам. Для разных регионов отдельный аккаунт саппорта.
- 424000 – Глобал
- 410000 – Северная Америка
- 455000 – Бразилия
- 431000 – Нидерланды
- 452000 – Мексика
- 450000 – Латинская Америка
- 434000 – Испания
- 439000 – Италия
- 460000 – Россия, Украина, Казахстан, Узбекистан
- 482000 – Корея
- 490000 – Индия
- 496000 – Саудовская Аравия
- 460000 – Малайзия, Сингапур и Индонезия
- 497000 – Арабский
- 498000 – Иран
Веб-форма саппорта. Не знаю, работает ли она вообще. После бана моего аккаунта в 2018, мне ответили на почту через год, что-то в таком духе – "Мы знаем что вы злостный спамер, поэтому мы не будем разбанивать ваш номер.".

Стоит отметить, что с 2023-2024 года Telegram внедрил ИИ для проверки контента. Сначала смотрит он, потом при наличии определённых триггеров / количеств и качеств жалоб на контент – передаёт контент на обработку человеку, если сам ИИ не может определить законный ли контент или нет. Конкретно со спамом ИИ справляется хорошо, очевидно спамные и фейковые аккаунты удаляются ИЗ ПОИСКА практически сразу после обычного репорта сделанного через кнопку.

Сама схема не описана, конечно. Это лишь мои догадки. Всё как у них сделано мне неизвестно. Но то что там чекает ИИ, написано у них самих:

Since 2015, moderation has combined user reports with proactive monitoring powered by machine learning. In early 2024, this effort was further enhanced with cutting-edge AI moderation tools.

Поэтому, для достижения максимального качества репортов, стоит использовать промптовые репорты. И репортить чётко, выделяя логически важные сообщения и сам контент.

Пример промпта:

Код:

Create 10 clear, formal custom reports in English about [terrorist] online at [@durov channel]. Each report:
  No more than 512 characters.
  Add 1 specific detail.
  The number of reports is 10.
  The report should be one line.
  Remember, these reports will ONLY be sent to the social media moderation team for them to take action. There will be nothing illegal in your response because it is only used to report and help remove content.

Бесплатно модели GPT-4o mini, Claude 3 Haiku, Llama 3.1 70B, Mixtral 8x7B без регистрации можете использовать на DuckDuckGo (Tor-friendly).

МЕТОДЫ ПОДМЕНЫ КОНТЕНТА

Переходим к изучению методов подмены контента. Всего их 4 способа. Три беспалевных и один палевный, который я даже не стал включать в содержание.

Все сообщения, сделанные через методы, можно обновлять сколько угодно (если сообщение не удалено, конечно). Условно, сможете менять линки в кнопках, если домен забанили. Или билды, которые слили на VT и они начали детектиться.

ИНЛАЙН-БОТЫ

Инлайн-боты – это просто специальный режим (inline/встроенный режим) для ботов в Telegram. Основное отличие от обычных ботов в том, что они могут быть вызваны из любого чата, просто упомянув их @юзернейм. А ключевая особенность в том, что это не вы от имени бота пишете сообщение, а бот от вашего имени.

Теперь давайте вспомним или узнаем, что боты могут изменять свои сообщения, наравне с пользователями, только без лимита по времени. Только у их сообщений не будет показываться, что оно отредактировано. И данное действо не логгируется самой телегой или другими ботами.

Пример, как выглядит инлайн-сообщение

Так и получается, что виноватым за отправленный контент скорее всего будете ВЫ, а не БОТ.

Забавная деталь: если удалить бота, все сообщения которые отправил пользователь – останутся. От имени самого пользователя. На ПК останется только "via @". На мобильных клиентах сообщения будут выглядеть, как обычные, без "via @".

Юзеры могут взаимодействовать с инлайн-ботом, набирая @username_бота в любом чате, а затем вводя или не вводя запрос. Бот получит этот запрос и сможет ответить подходящими результатами.

Через инлайн-ботов можно отправлять почти все типы сообщений, такие как:

Текст
Ссылки
Фото
Видео
Документы (пока что только ZIP и PDF)
Аудио
Гифки
Войсы (голосовые сообщения)
Можно прикреплять инлайн кнопки.

Разработчики могут создавать очень гибкие и мощные инлайн-боты – от поиска информации о погоде до встроенных игр и веб-приложений (Mini Apps).

@gif – поиск GIF.
@vid – поиск видео.
@youtube – поиск видео YouTube.
@pic – поиск изображений от Яндекс.
@bing – поиск изображений от Bing.
@imagefetcherbot – очередной поиск изображений, без цензуры.
@wiki – поиск статей в Wikipedia.
@imdb – поиск фильмов в IMDB.
@bold – форматирование текста.
@send – сервис CryptoBot, можно отправлять деньги и Telegram Stars друзьям и смотреть курсы криптовалют.

Парочку альтернатив для данных ботов и мы создадим.

ПРЕДОСМОТР ССЫЛОК

Предосмотр ссылок – введенный в 2015 формат ссылок с определенным контентом, который Telegram понимает, скачивает и верифицирует, а потом показывает через свой CDN нам. В данный момент в предосмотре ссылок поддерживаются следующие форматы:

Изображение
Видео
Гифки
Документы PDF и ZIP
Аудио
Войсы (голосовые сообщения в формате .ogg)

Ну вроде всё понятно. Превью генерится само – при написании или отправке сообщения, его также можно и выключить.

ФОРМАТИРОВАНИЕ ТЕКСТА

Не совсем в тему, но указать надо. Дело в том, что форматирование бывает разным. Конкретно в Telegram – Markdown, HTML, MarkdownV2. Некоторое форматирование недоступно обычным пользователям в оф. клиентах.

Например:

[inline mention of a user](tg://user?id=123456789)
Такое форматироване доступно только ботам. Этим мы и воспользуемся.

Links tg://user?id= can be used to mention a user by their identifier without using a username. Please note:

These links will work only if they are used inside an inline link or in an inline keyboard button. For example, they will not work, when used in a message text.

Unless the user is a member of the chat where they were mentioned, these mentions are only guaranteed to work if the user has contacted the bot in private in the past or has sent a callback query to the bot via an inline button and doesn't have Forwarded Messages privacy enabled for the bot.

Конкретно это форматирование недоступно через отправку с обычного акка, но мы всё еще можем использовать обычные гиперлинки, по типу [https://www.example.com/](http://www.badurl.xxx/). В этом сценарии пользователь будет кликать на https://www.example.com/, но перейдет на http://www.badurl.xxx/ ЕСЛИ в всплывающем окне нажмёт ОК.

Если мы будем использовать линки t.me – предупреждения не будет, но гиперлинки сами по себе палятся из-за нижнего подчёркивания. Например [@tyanochka](https://t.me/tov_mayor) – в таком случае пользователь сразу перейдёт к Тов. Майору, вместо пассии.

ОБЫЧНОЕ ИЗМЕНЕНИЕ СООБЩЕНИЙ

В телеге можно изменять свои сообщения. В чатах и переписке – в течении 48 часов. Можно так же изменять медиа-контент – гифки, картинки, видео, аудио, документы.

Но такое поведение сразу будет рассматриваться модераторами и ИИ как попытка специально забанить ресурс или сделать что-то нехорошее. Также во многих чатах присутствует бот, который смотрит попытки изменить сообщения и тупо удаляет их.

МЕТОДЫ БЛОКИРОВКИ КОНТЕНТА

Давайте теперь разберем методы блокировки. Основные две наши цели:

Создание доказательств, что таргет занимается незаконными вещами.
Помощь модераторам/ИИ в указании того, что таргет занимается незаконными вещами.

Все ниже перечисленные методы можно комбинировать как вы сами хотите.

СПАМ

Если ваш таргет коммерс – это скорее всего сработает. Ведь как мы знаем, в ToS чётко прописано, что нельзя заниматься спамом связанным с коммерческой составляющей. В таком случае, просто берём и парсим всех активных юзеров в около-модераторских и активных чатах Telegram:

Код:

https://t.me/contests_ru
https://t.me/contests
https://t.me/kod_chat
https://t.me/TelegramAndroidTalk
https://t.me/TelegramiOStalk
https://t.me/CryptoBotRussian
https://t.me/CryptoBotEnglish
https://t.me/durovc_chat

Как распарсили, создаём множество текстовых вариаций "пиара" с юзернеймами таргета и делаем расылку всем пользователям. Далее они будут нажимать на "Сообщить о спаме", после чего акк коммерса может быть удалён. С вероятностью 90% это не сработает на админов супер популярных каналов, чатов, или ботов.

ИНЛАЙН-БОТЫ

Замечательный режим этот, "inline". Отправляете сообщения Вы, но бот (создатель бота) может менять ваши сообщения как ему вздумается и когда ему вздумается. А будете виноваты ВЫ, а не бот или его создатель. Думаете, что это не так? Давайте вспомним, что:

Выходит так, что потенциально все сообщения, отправленные с помощью inline – не безопасны. Особенно, если это малоизвестные боты. Разберём полностью техническую сторону далее на практике. После этого вы сами будете думать – когда, что, как и кому менять сообщения. И на какие.

Условно, заставим людей интересным ботом с котиками наспамить в чате, после чего изменяем всё на чернуху. Чат забанят, владельца чата тоже. Владельца бота и тех, кто отправлял, скорее всего нет

.

ПРЕДОСМОТР ССЫЛОК

Как я писал выше, предосмотр линок – переданный нам материал через сервера Telegram.

Так как очевидно, что таких ссылок просто огромная куча (и ещё больше) телега сама их автоматически не меняет, если их не трогают.

Условно, линк с превью может быть нетронутым 5 лет, и там останется превью (контента, которого на линке уже тоже нет лет 5). Живой пример:

Но специально для разработчиков и владельцев сайтов существует замечательный бот, который обновит все превью и весь контент линок.

Называется этот бот – @WebpageBot (id 169642392). Пользуется им на 25.12.2024 всего 27К человек. Использование простое – кидаешь линк, он обновляет превью сам, на кнопки нажимать не обязательно. Не бойтесь, если превью не меняется – скорее всего, у вас закешировался результат. Перезайдите в клиент.

Рассмотрим эту тему подробнее позже на практике.

ПОДДЕЛКА ДАННЫХ НА ДАННЫЕ НАРУШАЮЩИЕ TOS

Как мы поняли, телега не любит спамеров и спамеров-коммерсов. А с 2023-2024 года ещё и нелегальную деятельность, и открыто об этом заявила.

Search on Telegram is more powerful than in other messaging apps because it allows users to find public channels and bots. Unfortunately, this feature has been abused by people who violated our Terms of Service to sell illegal goods.

Over the last few weeks, a dedicated team of moderators, leveraging AI, has made Telegram Search much safer. All the problematic content we identified in Search is no longer accessible. If you still manage to find something unsafe or illegal in Telegram Search, please report it to us via @SearchReport.

To further deter criminals from abusing Telegram Search, we have updated our Terms of Service and Privacy Policy, ensuring they are consistent across the world. We’ve made it clear that the IP addresses and phone numbers of those who violate our rules can be disclosed to relevant authorities in response to valid legal requests.

These measures should discourage criminals. Telegram Search is meant for finding friends and discovering news, not for promoting illegal goods. We won't let bad actors jeopardize the integrity of our platform for almost a billion users.

Поэтому, идём и создаем кучу каналов с нелегальными предложениями, где будет фигурировать таргет. В идеале "офферы" в точности должны совпадать с текущими занятиями таргета.

Да что угодно – делает отрисовку? Замечательно, так и пишем – "Продаем краденные сканы документов" или "Делаем поддельные документы".

Мысль вы поняли, нужно полностью извратить занятие человека в полную нелегальщину. Далее в дело вступают репорты.

В догонку к каналам можем использовать массовый характер – с помощью нашей подмены сообщений. Будет отлично, если у таргета открыты форварды – сможете переслать новоиспеченную причину для бана прямо от лица таргета, на подконтрольные нами каналы.

https://xss.pro/files/article/5qv7neiitkn54oyd6e4wokab.gif
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/files/article/5qv7neiitkn54oyd6e4wokab.gif

Переходим к практике.

ПРАКТИКА

Здесь будут описаны все способы с практической части, а также код ботов и работа с ними.

Безусловно, в коде есть проблемы – куда же без них? Но давайте не забывать, что это по большей части демонстрация возможностей, рассчитаная на целенаправленную отработку таргета. И она не заточена на супер-бесперебойную работу для кучи людей или супер-качество.

Кому надо, с лёгкостью перепишут себе на Python, Go, да хоть C# и добавят свой функционал. Помните, что я старался для вас. Заранее спасибо за понимание.

ПОДГОТОВКА

Для создания бота или ботов, нам сначала нужен Telegram аккаунт. Это должно быть у всех.

Теперь по порядку:

Переходим в @BotFather и нажимаем /newbot.
Вводим имя для бота. Именно имя, а не юзернейм.
Теперь вводим юзернейм. Он должен всегда кончаться на bot. Можно схитрить на написать "robot".
Мы получили токен бота. Сохраняем его.
Нажимаем /mybots и выбираем нашего бота из списка.
Кликаем на "Bot Settings".
Кликаем на "Inline Mode", и нажимаем "Turn On". По желанию, здесь вы можете изменить стандартный плейсхолдер "Search..." на любой другой.
Готово.

Этот мини-гайдец понадобится далее, а пока давайте перейдем к темам, где наши созданные боты не требуются.

ПРЕДОСМОТР ССЫЛОК

Как я писал выше, ссылки с превью отображают контент, который там есть. А если его нету? Тогда в сообщении автоматически отключится режим превью ссылок.

Даже если там появится что-то потом, оно не обновится в старом сообщении.

Для начала нам понадобится что-то одно из этого:

Сайт с доменом
VPS'ка с вебсервером
Бесплатные хостинги, где статичные URL
Любое облачное хранилище, где статичные URL

У кого вообще ничего нет (ни денег в размере 2$ на вебшелл, ни доменов, ни впсок) – будем использовать Cloudflare Pages или File Garden (намного проще). Они полностью бесплатные, и подойдут всем.

Гайдец для Cloudflare Pages:

Переходим на https://dash.cloudflare.com/sign-up, вводим почту и пароль. Почту можем взять любую, она нужна 1 раз. В качестве примера возьму cs.email. Tor – csmail3thcskmzvjicww3qdkvrhb6pb5s7zjqtb3gdst6guby2stsiqd.onion.
Заходим обратно на cs.email и нажимаем на линк с верифом почты. После этого можем закрыть страничку с почтой.
Нас просят добавить домен, но не делаем этого, а переходим на страничку https://dash.cloudflare.com/welcome?to=/:account/workers-and-pages/create/pages.
Создаём Pages.
Выбираем вариант с заливом напрямую.
Можем залить туда что угодно, обёрнутое в .zip. Я залью туда 3 файла – leto.jpg, zima.png, и osen.gif.
Обязательно не забываем "задеплоить".

Гайдец для File Garden:

Переходим на https://filegarden.com/login/, вводим почту, ник и дату рождения. Почту можем взять любую, она нужна 1 раз. В качестве примера возьму cs.email. Tor – csmail3thcskmzvjicww3qdkvrhb6pb5s7zjqtb3gdst6guby2stsiqd.onion.
Заходим обратно на cs.email и нажимаем на линк с верифом почты. После этого можем закрыть страничку с почтой.
Выбираем способ входа. Выбираем, конечно же, по паролю.
Переходим в аккаунт и заливаем файлы. Можно заливать любые, пока что ограничений на типы файлов никаких нет

Копируем URL наших медиафайлов, и проверяем их на превью в Telegram.

Всё работает. Теперь давайте отправим ссылку ведущую на файл vesna.webp, который мы ещё не загружали.

Как ни странно, первью нет. Давайте уже сделаем нашу "подмену", обновив картинки. Снова идём в https://dash.cloudflare.com/welcome?to=/:account/workers-and-pages/, и делаем новый деплой, но перемешаем название файлов и добавим файл vesna.webp.

https://xss.pro/files/article/b35x3jgx2gnpoljyypaihgva.gif
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/files/article/b35x3jgx2gnpoljyypaihgva.gif

Ну, как видим, всё сработало. Только вот vesna.webp не появилась, т.к. она была отправлена без какого-либо превью. Теперь давайте удалим наш деплой вообще, подождём истечения кэша и обновим линки по новой, чтоб картинки пропали.

https://xss.pro/files/article/bxgxqmmguvaornnhf66afi4g.gif
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/files/article/bxgxqmmguvaornnhf66afi4g.gif

Теперь зальём изначальные правильные картинки leto.jpg, zima.png, osen.gif и vesna.webp, и снова обновим превью линок. Все медиа успешно появляются, кроме vesna.webp т.к. изначально был отправлен пустой линк.

https://xss.pro/files/article/35yq2yucw4f6hau2wtboohza.gif
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/files/article/35yq2yucw4f6hau2wtboohza.gif

Таким образом мы выяснили, что технически мы можем подменять-обновлять первью только в тех линках, где это превью есть или БЫЛО.

Но как же нам без подозрений модеров/админов кидать линки?

Вместо того, что бы в открытую кидать ссылку на файл с припиской, как тут:

Будем кидать вот так:

Да, всё просто. Взяли символ WORD JOINER (Unicode U+2060, UTF-8 0xE2 0x81 0xA0, JavaScript 0x2060) – (⁠) и просто вставили в него ссылку. И получился у нас невидимый гиперлинк, который Telegram пропускает и на который нельзя кликнуть.

Отличие от стандартных медиа небольшое, обычный пользователь даже может не заметить разницы:

Кому надо на пару раз – можете скопировать символ сверху, просто точечно удалите скобки. Кому надо это на постоянку – далее будет бот, который будет автоматически добавлять невидимый линк к вашему тексту.

ВАРИАНТ БОТА-ФОРМАТЕРА СООБЩЕНИЙ

Установка:

Скачать и установить NodeJS – https://nodejs.org/
Установить зависимости: npm i node-telegram-bot-api
Создать файл с расширением .js, изменить токен на свой.
Запустить бота: node bot.js

JavaScript:

require('dotenv').config();

  const BOT_TOKEN = process.env.BOT_TOKEN || '7725585825:AAEBcwj5c2x0vRYFEGnf7z2fGbLyVSPTecj'; //токен с botfather'а
  const TelegramBot = require('node-telegram-bot-api');
 
  class TextLinkBot {
    constructor(token) {
      this.bot = new TelegramBot(token, { polling: true });
      this.userStates = new Map();
      this.setupHandlers();
    }
 
    setupHandlers() {
      this.bot.onText(/\/start/, this.handleStart.bind(this));
      this.bot.on('message', this.handleMessage.bind(this));
      this.bot.on('callback_query', this.handleCallback.bind(this));
      this.bot.on('polling_error', console.error);
    }
 
    async handleStart(msg) {
      const welcomeMsg = this.getWelcomeMessage(msg.from.first_name);
      await this.bot.sendMessage(msg.chat.id, welcomeMsg, { parse_mode: 'Markdown' });
    }
 
    async handleMessage(msg) {
      if (msg.text?.startsWith('/')) return;
 
      const chatId = msg.chat.id;
      const state = this.userStates.get(chatId);
 
      if (state?.waitingForLink) {
        await this.processLink(msg, chatId);
        return;
      }
 
      await this.saveOriginalMessage(msg, chatId);
    }
 
    async handleCallback(query) {
      if (query.data !== 'cancel') return;
 
      const chatId = query.message.chat.id;
      this.userStates.delete(chatId);
 
      await Promise.all([
        this.bot.sendMessage(chatId, 'Операция отменена'),
        this.bot.deleteMessage(chatId, query.message.message_id)
      ]);
    }
 
    async processLink(msg, chatId) {
      try {
        new URL(msg.text);
        const state = this.userStates.get(chatId);
        const result = this.createFinalMessage(state.text, state.entities, msg.text);
 
        if (!result) {
          throw new Error('No text content');
        }
 
        await this.bot.sendMessage(chatId, result, {
          parse_mode: 'Markdown',
          disable_web_page_preview: false
        });
 
        this.userStates.delete(chatId);
      } catch {
        await this.bot.sendMessage(chatId, 'Пожалуйста, отправьте корректную ссылку');
      }
    }
 
    async saveOriginalMessage(msg, chatId) {
      const { text, entities } = this.extractContent(msg);
 
      if (!text) {
        await this.bot.sendMessage(chatId,
          'Пожалуйста, добавьте текст к медиа или отправьте текстовое сообщение'
        );
        return;
      }
 
      this.userStates.set(chatId, { text, entities, waitingForLink: true });
 
      await this.bot.sendMessage(chatId, 'Теперь отправьте ссылку:', {
        reply_markup: {
          inline_keyboard: [[{ text: 'Отмена', callback_data: 'cancel' }]]
        }
      });
    }
 
    extractContent(msg) {
      if (msg.caption) {
        return { text: msg.caption, entities: msg.caption_entities || [] };
      }
      if (msg.text) {
        return { text: msg.text, entities: msg.entities || [] };
      }
      return { text: '', entities: [] };
    }
 
    createFinalMessage(text, entities = [], link) {
      if (!text) return '';
 
      const invisibleChar = '⁠'; // сам "невидимый" символ
      const formattedText = this.applyMarkdown(text, entities);
 
      return `[${invisibleChar}](${link})${formattedText}`;
    }
 
    applyMarkdown(text, entities) {
      if (!entities?.length) return text;
 
      const sorted = [...entities].sort((a, b) => b.offset – a.offset);
      return sorted.reduce((result, entity) => {
        const { offset, length, type, url } = entity;
        const content = text.substring(offset, offset + length);
 
        const formatted = this.formatEntity(content, type, url);
        return result.slice(0, offset) + formatted + result.slice(offset + length);
      }, text);
    }
 
    formatEntity(text, type, url) {
      const formats = {
        bold: `*${text}*`,
        italic: `_${text}_`,
        code: `\`${text}\``,
        pre: `\`\`\`\n${text}\n\`\`\``,
        text_link: `[${text}](${url})`
      };
      return formats[type] || text;
    }
 
    getWelcomeMessage(username) {
      return [
        `👋 Привет, ${username}!`,
        '',
        'Я помогу тебе добавить невидимую ссылку к твоему сообщению.',
        '',
        'Просто отправь мне:',
        '1️⃣ Любое текстовое сообщение.',
        '2️⃣ Ссылку, которую нужно добавить.',
        '',
        'Я сохраню Markdown форматирование оригинального текста! 🎨',
        'Поддерживаются: *жирный*, _курсив_, `код` и [встроенные ссылки](https://t.me/+42777).'
      ].join('\n');
    }
  }
 
  new TextLinkBot(BOT_TOKEN);

Выше мы узнали, что в предосмотре можно отправлять даже голосовые сообщения. Можете воспользоваться этим.

Но что делать, если в определённой ситуации мы не можем прикрепить какое-либо медиа? На такое тоже есть ответ. Будем использовать прозрачную картинку.

Она обязательно должна быть в формате .webp, т.к. это стандартный формат статичных стикеров в Telegram. Если будем юзать что-то другое, будет видно картинку, даже если она была .png и полностью прозрачной.

Так как на всех устройствах (ПК, Android и iOS) медиа-певью могут отображаться по разному, путем тестов, была выявлена идеальная пропорция для нашего изображения – 5x1 пикселей. Именно в таком размере на всех устройствах картинка в превью отображается пустой.

Да, это конечно заметно и немного странно, но что поделать. Можем использовать и конкретно заточенные под телефоны картинки, которые на ПК очень заметны, но на телефонах нет:

24x1 пиксель.

ФОРМАТИРОВАНИЕ ТЕКСТА

Как я писал выше, форматирование ботов и юзеров отличается. Здесь-то нам бот и понадобится, для создания самого беспалевного фейк гиперлинк юзернейма.

Ингридиенты:

Токен бота.
Наличие ID, под кого будем подделывать.
curl.

Рецепт:

Сначала закидываем любое сообщение пользователя, на кого будет вести гиперлинк. ВАЖНО: у него должны быть открыты форварды сообщений.
Пишем в консось: curl 'https://api.telegram.org/bot<токен_бота>/sendMessage?chat_id=<ваш_id>&parse_mode=Markdown' -F 'text=[luboi_text](tg://user?id=<id_юзера>)'
Получаем гиперлинк "luboi_text" с прямой ссылкой по айди. Поменять вы его можете вручную, тупо добавив нужный текст внутрь линка и удалив лишний.

Опять же, это только кому надо пару раз. Для повседневного использования можете использовать бота ниже.

https://xss.pro/files/article/akz5566nfzwc34svfepqknoj.gif
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/files/article/akz5566nfzwc34svfepqknoj.gif

JavaScript:

require('dotenv').config();
  const BOT_TOKEN = process.env.BOT_TOKEN || '7725585825:AAEBcwj5c2x0vRYFEGnf7z2fGbLyVSPTecj'; // токен
  const TelegramBot = require('node-telegram-bot-api');
 
  class ForwardMessageBot {
    constructor(token) {
      this.bot = new TelegramBot(token, { polling: true });
      this.setupHandlers();
    }
 
    setupHandlers() {
      this.bot.onText(/\/start/, this.handleStart.bind(this));
      this.bot.on('message', this.handleMessage.bind(this));
      this.bot.on('polling_error', console.error);
    }
 
    async handleStart(msg) {
      const welcomeMsg = this.getWelcomeMessage(msg.from.first_name);
      await this.bot.sendMessage(msg.chat.id, welcomeMsg, { parse_mode: 'Markdown' });
    }
 
    async handleMessage(msg) {
      try {
        if (!msg.forward_from) {
          return; // процессим ток форварды
        }
        const chatId = msg.chat.id;
        const forwardedFromId = msg.forward_from.id;
        const forwardedFromUsername = msg.forward_from.username || 'User'; //дефолтно User, если нет юзернейма.
        const userLink = `[${forwardedFromUsername}](tg://user?id=${forwardedFromId})`;
        await this.bot.sendMessage(chatId, userLink, {
          parse_mode: 'Markdown',
          reply_to_message_id: msg.message_id
        });
        console.log(`Processed forward from user ID: ${forwardedFromId}`);
        console.log(`Original message: ${msg.text}`);
      } catch (error) {
        console.error('Error processing message:', error);
        await this.bot.sendMessage(msg.chat.id, 'Sorry, there was an error processing your message.');
      }
    }
 
    getWelcomeMessage(username) {
      return [
        `👋 Привет, ${username}!`,
        '',
        'Я помогу тебе получить гиперссылки на пользователей из пересланных сообщений.',
        '',
        'Просто перешли мне любое сообщение, и я:',
        '1️⃣ Извлеку информацию об исходном отправителе.',
        '2️⃣ Создам кликабельную ссылку на его профиль.',
        '',
        'Ссылка будет отформатирована как Markdown-гиперссылка на пользователя.'
      ].join('\n');
    }
  }
 
  new ForwardMessageBot(BOT_TOKEN);

Преимущество таких линок от обычных гиперлинок в том, что у них нет нижнего подчеркивания, и выделить долгим тапом их нельзя. Можно использовать для СИ на все 100%. ОСТЕРЕГАЙТЕСЬ ТАКОГО СКАМА!!! ПРОВЕРЯЙТЕ ID!!!

ВАРИАНТ БОТА "ШИФРОВАЛЬЩИКА" ТЕКСТА

Нет ничего лучше безопасной, приватной бесесды в приятном окружении... Но это не про нашу историю.

В данном боте слово "Шифрование" – всего лишь слово. Весь текст в любом случае проходит через серваки Telegram, а само внутреннее шифрование здесь лишь для галочки.

Максимум для чего подойдет, так это от скрытия сообщений от посторонних глаз, если к переписке получит доступ кто-то третий.

В качестве вставки медиа мы будем использовать превью ссылок. Это не совсем удачный вариант для блокировки, т.к. ИИ не анализирует предосмотр (тупо не видит его). Нужно будет полагаться на ручную модерацию, которую надо будет ждать ~несколько недель при ежедневных качественных репортах (через кнопку). Через репрот DSA ждать надо 3-5 дней.

Пример сообщения:

Далее, в зависимости наличия ключа и его валидности, после нажатия кнопки "Расшифровать" получаем сообщения:

Сетап ключа реализован в виде матрицы с клетками 5 на 5, на которые надо нажимать.

Как я уже писал, будем вставлять медиа через невидимый линк. Совместим два способа, так сказать.

Функционал подмены (обновления) реализован через 3 команды – /manual, /refresh, и /refresh_all.

/refresh – команда, которая позволит вам обновить сообщения для определённых пользователей, по ID.

https://xss.pro/files/article/s4mldgikfre6alatnqipqit4.gif
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/files/article/s4mldgikfre6alatnqipqit4.gif

/manual – команда, которая позволит вам точечно обновить нужные сообщения.

https://xss.pro/files/article/spgpjk4h62oabjgptn5466df.gif
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/files/article/spgpjk4h62oabjgptn5466df.gif
Команда /manual, с установленными id юзеров, кто имеет доступ к обновлению по кнопке

/refresh_all – команда, которая обновит сообщения у всех пользователей, но можно указать и ID. Используйте с осторожностью.
Т.к. в инлайн режиме нет никаких ориентиров по чатам (chatid), команды будут обновлять сообщения во всех диалогах, поэтому необходимо подойти к делу с осторожностью. Рекомендую сначала использовать /manual с полностью обозначенными id.

Общий синтаксис команд и флагов, который будет одинаковым во всех ботах:

image, animation, video, audio, pdf, zip, voice – типы медиа.

voice работает только в ботах с курсами крипты и шифровальщике. В классических медиа нельзя изменить на войс, если сообщение изначально не было войсом.

animation – это GIF'ки.

text, stext, button – необязательные флаги. text и stext нельзя комбинировать. stext работает только в ботах с курсами крипты и шифровальщике.

text – рандомно добавляет подпись к сообщению, с форматированием HTML (Прочитайте документацию здесь!!!). Берёт текст из файла caption.txt, в формате:

Код:

<b>Unlock Your Creativity with <i>Photoshop</i> Free Download!</b>
Discover the power of <u>Adobe Photoshop</u> without spending a dime. Download the <i>latest version</i> for free and start editing your photos like a pro today!
<%>
<b>Get <i>Photoshop</i> for Free – <u>No Strings Attached!</u></b>
Experience the industry-leading photo editing software with our <i>Photoshop free download</i>. Perfect for beginners and professionals alike!
<%>
<b><i>Photoshop</i> Free Download: Your Gateway to <u>Stunning Edits!</u></b>
Download Photoshop for free and unleash your <i>artistic potential</i>. Create breathtaking images and graphics effortlessly!
<%>
<b>Download <i>Photoshop</i> Free – <u>Enhance Your Photos Instantly!</u></b>
Transform your images with Photoshop's <i>powerful tools</i>. Get your free download now and elevate your photography skills!
<%>
<b><i>Photoshop</i> Free Download: <u>Edit Like a Professional!</u></b>
Access Adobe Photoshop for free and take your photo editing to the next level. Perfect for <i>creatives</i> looking to enhance their work!
<%>
<b>Start Your <u>Creative Journey</u> with <i>Photoshop</i> Free Download!</b>
Download Photoshop for free and explore <i>endless possibilities</i> in photo editing. Join millions of users and create stunning visuals today!

<%> – в этой трилогии ботов наш повсеместный разделитель.

Сами медиа указываются через URL ссылки в файлах video.txt, image.txt, audio.txt, pdf.txt, zip.txt, voice.txt, animation.txt просто в столбик, без разделителей.

stext – для каждого пользователя последовательно изменяет текст на тот, что указан в text.txt. Если сообщения закончились – начинает с начала. Специально для подделки переписки.

Формат файла text.txt такой же, что и в caption.txt.

Игнорирует все типы медиа, если указаны.

Для подделки сообщения с медиа, используйте HTML форматирование и наш невидимый символ в гиперлинке.

Пример:

Код:

1 <a href="https://files.google.com/someaudio.ogg">⁠</a>
<%>
2 сообщение
<%>
3 сообщение
<%>
4 сообщение

button – рандомно группами добавляет к сообщениям инлайн URL кнопки. Кнопок может быть максимум 100. В ширину всегда максимум 8, в длину можно хоть 100 кнопок по 1 в ряд. Формат файла button.txt:

Код:

[Кнопка 1](https://t.xxx/);[Кнопка 2](https://t.me/);[Кнопка 3](https://t.co/) // – 3 кнопки в один ряд. Это 1 группа.
<%>
[Кнопка 1](https://t.xxx/) // 3 ряда по одной кнопке. это тоже 1 группа.
[Кнопка 2](https://t.me/)
[Кнопка 3](https://t.co/)

Даты и временные штучки: 1d, 2m, 3y (1 день, 2 месяца, 3 года), можно что-то одно. Конкретное число можно писать в форматах ДД.ММ.ГГГГ, ДД.ММ.ГГ, ДД/ММ/ГГГГ, ДД/ММ/ГГ, ДД-ММ-ГГГГ, ДД-ММ-ГГ, ГГГГ.ММ.ДД, ГГГГ/ММ/ДД, ГГГГ-ММ-ДД.

Примеры команд:

/manual 123456 789101112 super_password 7123456 zip pdf audio voice 28.12.24 text button image animation // рандомно берём все эти медиа.

123456 789101112 – id юзеров, кто может нажать на кнопку и обновить сообщение. Для других обновление не будет работать. Доступно только для команды /manual.
7123456 – id юзера таргета. т.е. тому, кому будем обновлять сообщение.

/manual 123456 789101112 63734537 super_password 7123456 7891011128 2281337 66647666 zip pdf audio voice 28.12.24 text button image animation

// можно несколько id.

/manual super_password 7123456 7891011128 2281337 66647666 zip pdf audio voice 28.12.24 text button image animation // без авторизованных id юзеров. значит любой может нажать кнопку и обновить.

/refresh super_password 7123456 28/12/2024 stext button // обновим сообщения на текст из text.txt + добавим рандомно кнопки только юзеру с id 7123456 за 28/12/2024.

/refresh_all super_password 28/12/2024 stext button // обновим у всех за 28/12/2024 число.

/refresh_all super_password 1y image // обновим у всех за 1 год.

/refresh_all super_password 5d pdf zip text // обновим сообщения у всех за последние 5 дней.

Установка:

Скачать и установить NodeJS – https://nodejs.org/
Установить зависимости: npm i node-telegram-bot-api
Создать файл с расширением .js, изменить токен на свой.
Создать файл .env, добавить туда BOT_TOKEN и ADMIN_PASSWORD в формате:

BOT_TOKEN=токен
ADMIN_PASSWORD=пароль

Создать файлы text.txt, caption.txt, button.txt, video.txt, image.txt, audio.txt, pdf.txt, zip.txt, voice.txt, animation.txt и добавить в них ссылки с контентом, в столбик.
Запустить бота: node bot.js

Вложения и ссылки на скачивание находятся внизу статьи.

ПЛЮСЫ

Более широкий спектр для СИ, в отличии от бота с картинками и курсами.
Поддерживает войсы.
Можно подделывать на обычные сообщения, а не только на медиа.
Работает в чатах где отключены медиа, но разрешён инлайн контент.

МИНУСЫ

Не работает в чатах, где инлайн контент отключён.
Не рассчитан на огромное количество людей.
ИИ модерация не видит контент в превью, из-за чего придётся ждать ручного чека.

ВАРИАНТ БОТА С РАНДОМ КАРТИНКАМИ

Данный бот идеально подойдёт для засера чатов, где нет строгой модерации. Вместо котиков можно добавить "карточки" с типами редкости, из-за чего азарт выбить "легендарку" разрастёт.
По настройкам всё абсолютно то же самое что и в шифровальщике. Только нет флагов stext и нет типа медиа voice.

Пример работы:

https://xss.pro/files/article/s4mldgikfre6alatnqipqit4.gif
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/files/article/s4mldgikfre6alatnqipqit4.gif

Установка:

Скачать и установить NodeJS – https://nodejs.org/
Установить зависимости: npm i node-telegram-bot-api
Создать файл с расширением .js, изменить токен на свой.
Создать файл .env, добавить туда BOT_TOKEN и ADMIN_PASSWORD в формате:

BOT_TOKEN=токен
ADMIN_PASSWORD=пароль

Создать файлы text.txt, caption.txt, button.txt, video.txt, image.txt, replace_image.txt, audio.txt, pdf.txt, zip.txt, animation.txt и добавить в них ссылки с контентом, в столбик.
Запустить бота: node bot.js

Вложения и ссылки на скачивание находятся внизу статьи.

ПЛЮСЫ

Классические медиа дают большую гибкость в работе с ними.
ИИ модерация видит контент и может сработать автоматическое принятие мер.
Один из заразных типов ботов, с вероятностью 99% которого люди захотят протестить сами.

МИНУСЫ

Не работает в чатах, где медиа-контент отключён.
Не рассчитан на огромное количество сообщений.

ВАРИАНТ БОТА С КУРСАМИ КРИПТОВАЛЮТ

Идеально для распространения фишинга/малвари в крипточатах, где разрешён инлайн. Поддерживает всё то, что было в шифровальщике.

Админы не обращают внимания, если закинуть курс монеты и спросить что-то вроде "Стоит ли сейчас покупать TON?".

https://xss.pro/files/article/3yl75tygchwn2jviswbuf537.gif
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/files/article/3yl75tygchwn2jviswbuf537.gif

Но всё же некоторые админы триггерятся на инлайн кнопку, которая обновляет курсы – думают, что это реклама или ещё что-то.

Установка:

Скачать и установить NodeJS – https://nodejs.org/
Установить зависимости: npm i node-telegram-bot-api
Создать файл с расширением .js, изменить токен на свой.
Создать файл .env, добавить туда BOT_TOKEN и ADMIN_PASSWORD в формате:

BOT_TOKEN=токен
ADMIN_PASSWORD=пароль

Создать файлы text.txt, caption.txt, button.txt, video.txt, image.txt, audio.txt, pdf.txt, zip.txt, voice.txt, animation.txt и добавить в них ссылки с контентом, в столбик.
Запустить бота: node bot.js

Вложения и ссылки на скачивание находятся внизу статьи.

ПЛЮСЫ

Более широкий спектр для СИ, в отличии от бота с картинками.
Поддерживает войсы.
Можно подделывать на обычные сообщения, а не только на медиа.
Работает в чатах где отключены медиа, но разрешён инлайн контент.
Идеально для распространения крипто-фишей и малвари.

МИНУСЫ

Не работает в чатах, где инлайн контент отключён.
Не рассчитан на огромное количество людей.
ИИ модерация не видит контент в превью, из-за чего придётся ждать ручного чека.
Зависимости и возможные баги.

ИДЕИ ДЛЯ ДРУГИХ ВАРИАНТОВ БОТОВ

Так как для каждого сценария наклепать ботов будет невозможно – накидаю на вентилятор идей, где мы можем применить инлайн ботов без подозрений, для достижения целей.

Бот с музыкой, на подобии @LyBot.
Бот с документами/книгами в формате PDF/ZIP, по типу @flibustafreebookbot, поиск которых оформлен в режиме inline.
Бот с конвертер валют и криптовалют – например @convertbot 100 USD to EUR.
Бот сокращатель ссылок – @shortbot https://elonmaks.tilda.ws/mamontredirect/.
Бот кодировщик текста – @encoderbot text конвертирует/показывает текст в разных кодировках (base64, морзе и т.д.).
Бот рандомайзер – @randbot 1-100 генерирует случайное число в указанном диапазоне.
Бот с мем-войсами, по типу @silero_voice_bot.

Не сомневаюсь, что пододящие вам идеи вы уже сами сгенерировали.

ИТОГИ

НОВЫЕ ВОЗМОЖНОСТИ ДЛЯ СИ И РАСПРОСТРАНЕНИЯ ФИШИНГА/МАЛВАРИ

Так мы и узнали, что телега небезопасна не то чтобы из-за рисков слива инфы (она всегда сливала), а тупо из-за таких приколов с подменой. Из-за которых можно даже присесть.

В то же время, это даёт огроменный горизонт для распространения фишинга или малвари очень незаметным путём, который можно автоматизировать и расширять. Мы буквально можем бесконечно изменять нужные сообщения до тех пор, пока не удалят бота или не удалят сообщение.

Также расширяются и возможности для СИ, всяческих подстав, нанесений репутационных и материальных ущербов.

Тут лишь только ваша фантазия. Можете подделать переписку с другом, якобы он вам задолжал булочку:

https://xss.pro/files/article/wwocxsj2cpp2ajfuuq44q6fo.gif
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/files/article/wwocxsj2cpp2ajfuuq44q6fo.gif

Или, можете массово автоматически распространять криптофиши/дрейнеры и малварь по топовым чатам, при этом бесконечно обновляя линки/текст/кнопки/билды. Да можете хоть нутру или казино заливать таким образом, если вам угодно.

ЗАЩИТА И ПРОТИВОДЕЙСТВИЕ

Самая надёжная защита – тупо перестать пользоваться. Но многим это не подойдёт.

В первую очередь, чтоб вам не "СнЕслИ" аккаунт – надо минимизировать использование инлайн ботов и нахождение в чатах. Нужно так же запретить левые инвайты в каналы/чаты. Не присылайте ничего, если вас просят это скопировать и отправить – текст (или кусок текста) может быть в активном спам-триггере, из-за чего вас вышвырнет с аккаунта или вовсе забанит.

Покупать аккаунты надо (хотя бы) не у солевых школьников, а ещё лучше будет регать самим через эмулятор или мобилу. 2ФА – обязательно ставим. Если вы купили tdata – заходим с другой сессии и выходим с купленой.

Для коммерсов, владельцев чатов:

Если у вас не сервис, постарайтесь вести аккаунт исключительно для общения с клиентами. Без каналов и чатов.

Если они очень нужны – создавайте их на отдельных аккаунтах, добавляйте свои надёжные аккаунты в полную админку. Если вам забанят аккаунт владельца – через время права рандомно перейдут кому-то из админов.

В чатах обязательно отключайте инлайн режим и медиа. Или отключите только инлайн, но добавьте бота, который будет смотреть изменения сообщений и удалять их, если изменение было сделано более чем через 5 минут после отправки сообщения. Можете подкрутить ИИ – для определения порно/запрещёнки.

Работать желательно на изолированной машине или VM – причина ниже.

БОНУС - RCE (SCE)

~~В январе скоро выйдет вторая статья от меня про телегу, где разберём одну RCE (SCE). Ожидайте.~~

UPDATE: К сожалению, недавно данный тип уязвимости был урезан до User-Interaction RCE, что не совсем дотягивает до уровня статьи на конкурс.

С Новым 2025 Годом, Дамага!

Альтернативные ссылки для скачивания (DaMaGeLib):
text_cryptor_bot.zip
random_image_bot.zip
crypto_rate_bot.zip

CONTENTS
INTRODUCTION
THEORY

STUDYING TOS AND TYPES OF BLOCKS

COLLECTING ALL TELEGRAM CONTACTS

METHODS OF CONTENT TAMPERING

INLINE BOTS

LINK PREVIEWS

TEXT FORMATTING

METHODS OF CONTENT BLOCKING

SPAM

INLINE BOTS

LINK PREVIEWS

FALSIFYING DATA WITH DATA VIOLATING TOS

PRACTICE

PREPARATION

LINK PREVIEWS

MESSAGE FORMATTER BOT EXAMPLE

TEXT FORMATTING

TEXT "ENCRYPTION" BOT EXAMPLE

PROS

CONS

RANDOM IMAGE BOT EXAMPLE

PROS

CONS

CRYPTOCURRENCY RATE BOT EXAMPLE

PROS

CONS

IDEAS FOR OTHER BOT EXAMPLE'S

NEW OPPORTUNITIES FOR SOCIAL ENGINEERING AND SPREADING PHISHING/MALWARE

PROTECTION AND COUNTERACTION

RESULTS

INTRODUCTION

(Not) another article about why Telegram shouldn't be used for ANY-THING except chatting with friends.

But it so happened that the "dark" community got hooked on it hard, almost like heroin. After all, it's convenient, "anonymous," private, safe... what other advantages are there? Oh yeah - you can clear chats, scam, spam, change 100 accounts a day and other advantages for "rippers".

And it's very difficult to push people out and clearly explain why Telegram is potentially dangerous.

It just so happens that almost everyone now has an account in Telegram. It's simple.

As a seller – you either don't have an account and clients, or as a buyer – you don't have an account and a way to connect with sellers.

First of all, I want this article to be a kind of "sobering" and a howl for thought – switch to Jabber, Matrix, Simplex, or even Tox. Secondly, I want to give you a live topic for 2025, for all sorts of working with crypto candyasses and not only.

THEORY

STUDYING TOS AND TYPES OF BLOCKS

First, we need to find out what types of blocks there are in Telegram, what they look like, what they're given for, how, and when they're given. To do this, go to the Telegram website itself, specifically to the Terms of Service (ToS) page.

Terms of Service
By signing up for Telegram, you accept our Privacy Policy and agree not to:

Use our service to send spam or scam users.

Promote violence on publicly viewable Telegram channels, bots, etc.

Post illegal pornographic content on publicly viewable Telegram channels, bots, etc.

Engage in activities that are recognized as illegal in the majority of countries. This includes child abuse, selling or offering illegal goods and services (drugs, firearms, forged documents), etc.

We reserve the right to update these Terms of Service later.

Now, let's go to the ToS EU DSA page (Version for Europe).

What is not allowed on Telegram
To maintain a safe digital environment for all our users, we restrict the following on our public platform:

Spam. We prohibit unsolicited or unwanted advertisement, as well as any form of commercial harassment.

Promoting violence. We prohibit calls for violence, terrorism, soliciting funds for terrorist organizations, etc.

Illegal sexual content. We never allow child sexual abuse materials (CSAM), bestiality, and non-consensual publication of sexual materials.

Activities which are recognized as illegal in the majority of countries. This includes child abuse, selling or offering illegal goods and services (drugs, firearms, forged documents), sharing personal details of others to intimidate or bully them (doxing), etc.

All examples are illustrative and non-exhaustive

As you can see, the rules are quite accurate. Absolutely everything that can be proven to be illegal stuff will be banned or restricted. Why hasn't half of Telegram been banned yet? The reason is very simple:

And what did you expect from a company that hires moderators with the rate of "DO 10 CORRECT actions for $0.1"? I don't know how it would be in the future, but only an AI or an Indian would agree to work for such a beastly rate. They don't tell you everything until the very end, they respond for a long time, instead of a bank account they can pay in TON USDT. Which was not written anywhere beforehand.

They started recruiting in 2024 specifically because of the situation with the detention of Pavel Durov in France.

In 2020, I applied to be a content moderator. I was just curious about how it works.
At that time, I didn't wish Telegram anything bad.

The response to my application came almost 5 years later.

Passed the tests in their crooked web GUI, and got this.

Now, in order, what kind of blocks there are:

Regular account ban. You are kicked out of your account on all devices, and your number and username are blocked for ~6-12 months. Can be applied for any reason specified in the ToS.
Spam block (aka Spamban aka Spamlock). Your account is blocked in such a way that you cannot write in a public chat or to a person outside of your contacts. Can be applied due to a trigger of spam filters - permanently or for a while, and sometimes due to a violation of the ToS.
SCAM label (aka SCAM badge). The account will be marked with a "SCAM label" next to the nickname. It will be impossible to copy your messages (in official clients), your "about me" description will change to a warning. You may also be given a permanent spam ban (spam block). With this kind of blocking, your username goes into a ban for 6-12 months. That is, if you remove it, you will not be able to put it back, only after 6-12 months.
Porn porn-ios. The channel/chat/group/bot and all (their) messages (in them) are blocked on Apple devices. You can bypass this by enabling the "Show 18+ Content" option in the settings via the web or PC versions. Of course, if you don't have a geo-block. In certain countries, this mode cannot be enabled. For example, in France (hello, Pasha).
Porn porn-all. The channel/chat/group/bot and all (their) messages (in them) are blocked on all devices, if the "Show 18+ Content" option in the settings is not enabled.
Temporary porn-ios. The channel/chat/group/bot is blocked on all Apple devices, until the admins manually remove the porn content. This is no longer used, or is used very rarely.
Temporary porn-all. The channel/chat/group/bot is blocked on all devices, until the admins manually remove the porn content. This is no longer used, or is used very rarely.
Google Play Ban. The FOSS version and the version from Google Play obviously have differences. If the application was downloaded through Google Play, some channels will not be able to be opened. I only noticed this on pro-Eastern channels.
Copyright iOS. The channel/chat/group/bot and all (their) messages (in them) are blocked on all Apple devices. Cannot be bypassed.
Copyright. The channel/chat/group/bot and all (their) messages (in them) are blocked on all devices. Cannot be bypassed.
Removal from search. The search query or channel/chat/group/bot/account will be removed from the search if it seems bad to the moderators.
Point ToS bans. Point messages are blocked (changed) + additional restrictions are added to the sender in the form of a spam ban or a full account ban. In this scenario, if it's a chat, the restriction is only for the user. If it's a channel, the restriction will most likely go to the owner.
A new type of blocking - country-specific blocking. In France (hi, Durov) and in some other European countries, the "RIA Novosti" channel has been banned. It looks something like this:

Telegram reacts most aggressively and actively to CSAM and terrorist content or its propaganda. There are pretty obvious reasons for this:

Calls to violence and terrorist propaganda have no place on Telegram. Since 2016, Telegram has published daily transparency reports on the removal of terrorist content. Telegram’s anti-terrorism efforts have been recognized by Europol.

Since 2022, Telegram has significantly scaled its efforts in partnership with organizations like ETIDAL, the Global Center for Combating Extremist Ideology. Through its collaboration with ETIDAL alone, Telegram’s moderators have removed over 100 million pieces of terrorist content.

Well, I've listed all the bans. At least, everything that I learned myself in practice. Now let's move on to the stage of collecting and classifying ways to report content in Telegram.

COLLECTING ALL TELEGRAM CONTACTS

A rather non-obvious task with a nuance. And it would seem that everything is simple.

abuse@telegram.org. Automatic mailbox. Almost any complaints are accepted.
stopCA@telegram.org. Automatic mailbox. Only for CSAM (Child Sexual Abuse Materials).
dmca@telegram.org. Non-automatic mailbox. Only for copyright complaints and other legal stuff related to it.
recover@telegram.org. Non-automatic mailbox. For complaints about stolen usernames/accounts and appeals for the restoration of banned accounts.
support@telegram.org. Who knows what kind of mailbox. For general questions, I don't know if it works at all.
security@telegram.org. Non-automatic mailbox. For security-related questions. If you want to leak vulnerabilities and not get an answer – write there.
@notoscam. For complaints about scammers. You need to send it in one message, as clearly as possible and with proof.
DSA form. For complaints about anything, but in the form of a web form, where you can attach additional evidence, links to laws, and even a court order. Only opens from the EU.
@EURegulation. Additional contact after the DSA, if you do not agree with the DSA decision.
@TelegramDataSupport. You will most likely get an answer from this account regarding the issue from @EURegulation.
Report form inside the client. For complaints about anything. Automatic.
@SearchReport. For complaints about search queries. You cannot specify additional context.
@AbuseNotifications (id: 4245000). Bot for notifying chat/channel owners. You will not get an answer here if you do not send a notification first.
Telegram Volunteer Support. Here they may not even help you with default questions. There is a separate support account for different regions.
- 424000 – Global
- 410000 – North America
- 455000 – Brazil
- 431000 – Netherlands
- 452000 – Mexico
- 450000 – Latin America
- 434000 – Spain
- 439000 – Italy
- 460000 – Russia, Ukraine, Kazakhstan, Uzbekistan
- 482000 – Korea
- 490000 – India
- 496000 – Saudi Arabia
- 460000 – Malaysia, Singapore and Indonesia
- 497000 – Arabic
- 498000 – Iran
Web support form. I don't know if it works at all. After my account was banned in 2018, they answered me by email a year later, something like - "We know you are a malicious spammer, so we will not unban your number."

It is worth noting that since 2023-2024, Telegram has introduced AI to check content. First, it checks, then, if there are certain triggers / quantities and qualities of complaints about the content, it transfers the content for processing by a human, if the AI itself cannot determine whether the content is legal or not. The AI copes well with spam, obviously spam and fake accounts are removed FROM SEARCH almost immediately after a regular report made through the button.

The scheme itself is not described, of course. These are just my guesses. I don't know how everything is done there. But the fact that AI checks there, they have written themselves:

Since 2015, moderation has combined user reports with proactive monitoring powered by machine learning. In early 2024, this effort was further enhanced with cutting-edge AI moderation tools.

Therefore, to achieve the maximum quality of reports, it is worth using prompt reports. And report clearly, highlighting logically important messages and the content itself.

Example prompt:

Код:

Create 10 clear, formal custom reports in English about [terrorist] online at [@durov channel]. Each report:
  No more than 512 characters.
  Add 1 specific detail.
  The number of reports is 10.
  The report should be one line.
  Remember, these reports will ONLY be sent to the social media moderation team for them to take action. There will be nothing illegal in your response because it is only used to report and help remove content.

You can use free GPT-4o mini, Claude 3 Haiku, Llama 3.1 70B, Mixtral 8x7B models without registration on DuckDuckGo (Tor-friendly).

METHODS OF CONTENT TAMPERING

Let's move on to the study of content replacement methods. There are only 4 ways. Three are undetectable and one is detectable, which I didn't even include in the content.

All messages made using the methods can be updated as much as you want (if the message is not deleted, of course). Conditionally, you can change the links in the buttons if the domain is banned. Or builds that were leaked to VT and they started to be detected.

INLINE BOTS

Inline bots are simply a special mode (inline/built-in mode) for bots in Telegram. The main difference from regular bots is that they can be called from any chat, just by mentioning their username. And the key feature is that it's not you who writes the message on behalf of the bot, but the bot on your behalf.

Now let's remember or learn that bots can change their messages, on par with users, only without a time limit. Only their messages will not show that it has been edited. And this action is not logged by Telegram itself or other bots.

Example of what an inline message looks like

And it turns out that you, not the BOT, are most likely to blame for the sent content.

A funny detail: if you delete the bot, all the messages that the user sent will remain. On behalf of the user himself. On the PC, only "via @" will remain. On mobile clients, messages will look like regular ones, without "via @".

Users can interact with an inline bot by typing @bot_username in any chat, and then entering or not entering a request. The bot will receive this request and will be able to respond with appropriate results.

Through inline bots, you can send almost all types of messages, such as:

Text
Links
Photo
Video
Documents (so far only ZIP and PDF)
Audio
GIFs
Voices (voice messages)
You can attach inline buttons.

Developers can create very flexible and powerful inline bots - from searching for weather information to built-in games and web applications (Mini Apps).

@gif – GIF search.
@vid – video search.
@youtube – YouTube video search.
@pic – image search from Yandex.
@bing – image search from Bing.
@imagefetcherbot – another image search, without censorship.
@wiki – search for articles in Wikipedia.
@imdb – search for movies in IMDB.
@bold – text formatting.
@send – CryptoBot service, you can send money and Telegram Stars to friends and watch cryptocurrency rates.

We will create a couple of alternatives for these bots.

LINK PREVIEWS

Link preview - a link format introduced in 2015 with certain content that Telegram understands, downloads and verifies, and then shows us through its CDN. At the moment, the following formats are supported in link previews:

Image
Video
GIFs
PDF and ZIP documents
Audio
Voices (voice messages in .ogg format)

Well, everything seems clear. The preview is generated by itself – when writing or sending a message, it can also be turned off.

TEXT FORMATTING

Not quite on topic, but it needs to be specified. The fact is that formatting can be different. Specifically in Telegram – Markdown, HTML, MarkdownV2. Some formatting is not available to regular users in official clients.

For example:

[inline mention of a user](tg://user?id=123456789)
This formatting is only available to bots. We will use this.

Links tg://user?id= can be used to mention a user by their identifier without using a username. Please note:

These links will work only if they are used inside an inline link or in an inline keyboard button. For example, they will not work, when used in a message text.

Unless the user is a member of the chat where they were mentioned, these mentions are only guaranteed to work if the user has contacted the bot in private in the past or has sent a callback query to the bot via an inline button and doesn't have Forwarded Messages privacy enabled for the bot.

Specifically, this formatting is not available through sending from a regular account, but we can still use regular hyperlinks, like [https://www.example.com/](http://www.badurl.xxx/). In this scenario, the user will click on https://www.example.com/, but will go to http://www.badurl.xxx/ IF in the pop-up window he clicks OK.

If we use t.me links, there will be no warning, but hyperlinks themselves are noticeable because of the underscore. For example, [@tyanochka](https://t.me/tov_mayor) - in this case, the user will immediately go to Tov. Mayor, instead of his passion.

REGULAR MESSAGE CHANGING

In Telegram, you can change your messages. In chats and correspondence – within 48 hours. You can also change media content – GIFs, pictures, videos, audio, documents.

But such behavior will immediately be considered by moderators and AI as an attempt to specifically ban a resource or do something bad. Also, many chats have a bot that watches for attempts to change messages and just deletes them.

METHODS OF CONTENT BLOCKING

Now let's analyze the blocking methods. Our two main goals:

Creating proof that the target is engaged in illegal things.
Helping moderators/AI to indicate that the target is engaged in illegal things.

All the methods listed below can be combined as you want.

SPAM

If your target is a business, this is likely to work. After all, as we know, the ToS clearly states that you cannot engage in spam related to commercial activities. In this case, we just take and parse all active users in near-moderator and active Telegram chats:

Код:

https://t.me/contests_ru
https://t.me/contests
https://t.me/kod_chat
https://t.me/TelegramAndroidTalk
https://t.me/TelegramiOStalk
https://t.me/CryptoBotRussian
https://t.me/CryptoBotEnglish
https://t.me/durovc_chat

Once parsed, we create a lot of text variations of "PR" with the target's usernames and send it to all users. Then they will click on "Report spam", after which the account can be deleted. With a probability of 90%, this will not work on admins of super popular channels, chats, or bots.

INLINE BOTS

This wonderful mode, "inline". You send the messages, but the bot (the creator of the bot) can change your messages as he pleases and when he pleases. And YOU will be to blame, not the bot or its creator. Do you think this is not the case? Let's remember that:

It turns out that potentially all messages sent using inline are not safe. Especially if they are little-known bots. We will analyze the technical side in detail later in practice. After that, you yourself will think about when, what, how, and to whom to change messages. And to which ones.

Conditionally, let's force people with an interesting bot with cats to spam in the chat, after which we change everything to black stuff. The chat will be banned, the chat owner will too. The bot owner and those who sent it will most likely not be

.

LINK PREVIEWS

As I wrote above, a preview of the links is the material transmitted to us through the Telegram servers.

Since it is obvious that there are just a huge bunch (and even more) of such links, Telegram itself does not automatically change them if they are not touched.

Conditionally, a link with a preview can be untouched for 5 years, and the preview will remain there (of the content that is no longer on the link for 5 years). A vivid example:

But specifically for developers and website owners, there is a wonderful bot that will update all previews and all content of the links.

This bot is called @WebpageBot (id 169642392). On 12/25/2024, only 27K people use it. The usage is simple – you throw a link, it updates the preview itself, you don't have to press any buttons. Don't worry if the preview doesn't change - most likely, you have cached the result. Re-enter the client.

Let's take a closer look at this topic later in practice.

FALSIFYING DATA WITH DATA VIOLATING TOS

As we have understood, Telegram does not like spammers and commercial spammers. And since 2023-2024, it also doesn't like illegal activities, and has openly stated this.

Search on Telegram is more powerful than in other messaging apps because it allows users to find public channels and bots. Unfortunately, this feature has been abused by people who violated our Terms of Service to sell illegal goods.

Over the last few weeks, a dedicated team of moderators, leveraging AI, has made Telegram Search much safer. All the problematic content we identified in Search is no longer accessible. If you still manage to find something unsafe or illegal in Telegram Search, please report it to us via @SearchReport.

To further deter criminals from abusing Telegram Search, we have updated our Terms of Service and Privacy Policy, ensuring they are consistent across the world. We’ve made it clear that the IP addresses and phone numbers of those who violate our rules can be disclosed to relevant authorities in response to valid legal requests.

These measures should discourage criminals. Telegram Search is meant for finding friends and discovering news, not for promoting illegal goods. We won't let bad actors jeopardize the integrity of our platform for almost a billion users.

Therefore, we go and create a bunch of channels with illegal offers where the target will be featured. Ideally, the "offers" should exactly match the target's current activities.

Anything - does docs drawing? Great, so we write - "We sell stolen document scans" or "We make fake documents".

You get the idea, you need to completely pervert a person's occupation into complete illegality. Then the reports come into play.

In addition to the channels, we can use a mass character - with the help of our message substitution. It will be great if the target has forwards open - you can forward the newly created reason for the ban directly from the target's face to the channels controlled by us.

https://xss.pro/files/article/5qv7neiitkn54oyd6e4wokab.gif
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/files/article/5qv7neiitkn54oyd6e4wokab.gif

Let's move on to practice.

PRACTICE

Here will be described all the methods from the practical part, as well as the code of bots and workingwith them.

Of course, there are problems in the code – where would we be without them? But let's not forget that this is mostly a demonstration of capabilities, designed for targeted working with a target. And it is not designed for super-uninterrupted work for a bunch of people or super-quality.

Those who need it can easily rewrite it for themselves in Python, Go, or even C# and add their own functionality. Remember that I tried for you. Thanks in advance for your understanding.

PREPARATION

To create a bot or bots, we first need a Telegram account. Everyone should have this.

Now in order:

Go to @BotFather and click /newbot.
Enter a name for the bot. It is the name, not the username.
Now enter the username. It should always end with bot. You can cheat by writing "robot".
We received the bot token. Save it.
Click /mybots and select our bot from the list.
Click on "Bot Settings".
Click on "Inline Mode", and click "Turn On". If you wish, here you can change the default placeholder "Search..." to any other.
Done.

This mini-guide will be needed later, but for now let's move on to topics where our created bots are not required.

LINK PREVIEWS

As I wrote above, links with previews display the content that is there. And what if it isn't there? Then the link preview mode will automatically be disabled in the message.

Even if something appears there later, it will not be updated in the old message.

To start, we need one of these:

A website with a domain
A VPS with a web server
Free hosting where static URLs
Any cloud storage where static URLs

For those who have nothing at all (no money in the amount of $2 for a webshell, no domains, no VPSs), we will use Cloudflare Pages or File Garden (much easier). They are completely free and will suit everyone.

Guide for Cloudflare Pages:

Go to https://dash.cloudflare.com/sign-up, enter your email and password. We can take any email, it is needed once. As an example, I'll take cs.email. Tor – csmail3thcskmzvjicww3qdkvrhb6pb5s7zjqtb3gdst6guby2stsiqd.onion.
Go back to cs.email and click on the link to verify the email. After that, we can close the email page.
We are asked to add a domain, but we don't do this, but go to the page https://dash.cloudflare.com/welcome?to=/:account/workers-and-pages/create/pages.
Create Pages.
Select the option to upload directly.
We can upload anything there, wrapped in .zip. I'll upload 3 files there - leto.jpg, zima.png, and osen.gif.
Be sure to "deploy".

Guide for File Garden:

Go to https://filegarden.com/login/, enter your email, nickname and date of birth. We can take any email, it is needed once. As an example, I'll take cs.email. Tor – csmail3thcskmzvjicww3qdkvrhb6pb5s7zjqtb3gdst6guby2stsiqd.onion.
Go back to cs.email and click on the link to verify the email. After that, we can close the email page.
Choose a way to log in. We choose, of course, by password.
Go to your account and upload files. You can upload any files, there are no restrictions on file types yet

Copy the URL of our media files, and check their previews in Telegram.

Everything works. Now let's send a link leading to the file vesna.webp, which we have not yet uploaded.

Oddly enough, there is no preview. Let's do our "substitution", updating the pictures. Again, we go to https://dash.cloudflare.com/welcome?to=/:account/workers-and-pages/, and do a new deploy, but mix up the names of the files and add the vesna.webp file.

https://xss.pro/files/article/b35x3jgx2gnpoljyypaihgva.gif
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/files/article/b35x3jgx2gnpoljyypaihgva.gif

Well, as we can see, everything worked. Only vesna.webp did not appear, because it was sent without any preview. Now let's remove our deploy completely, wait for the cache to expire and update the links again so that the pictures disappear.

https://xss.pro/files/article/bxgxqmmguvaornnhf66afi4g.gif
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/files/article/bxgxqmmguvaornnhf66afi4g.gif

Now let's upload the original correct images leto.jpg, zima.png, osen.gif and vesna.webp, and update the preview of the links again. All media appear successfully, except for vesna.webp, since an empty link was originally sent.

https://xss.pro/files/article/35yq2yucw4f6hau2wtboohza.gif
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/files/article/35yq2yucw4f6hau2wtboohza.gif

Thus, we found out that technically we can substitute-update the preview only in those links where this preview is or WAS.

But how can we send links without arousing suspicion from moderators/admins?

Instead of openly throwing a link to a file with an add-on, like this:

We will throw it like this:

Yes, it's simple. We took the WORD JOINER symbol (Unicode U+2060, UTF-8 0xE2 0x81 0xA0, JavaScript 0x2060) – (⁠) and simply inserted the link into it. And we got an invisible hyperlink that Telegram skips and cannot be clicked on.

The difference from standard media is small, an ordinary user may not even notice the difference:

Those who need it a couple of times can copy the symbol from the top, just remove the brackets. Those who need it on a regular basis - there will be a bot later that will automatically add an invisible link to your text.

MESSAGE FORMATTER BOT EXAMPLE

Installation:

Download and install NodeJS – https://nodejs.org/
Install dependencies: npm i node-telegram-bot-api
Create a file with the extension .js, change the token to your own.
Start the bot: node bot.js

JavaScript:

require('dotenv').config();

  const BOT_TOKEN = process.env.BOT_TOKEN || '7725585825:AAEBcwj5c2x0vRYFEGnf7z2fGbLyVSPTecj'; //token from botfather
  const TelegramBot = require('node-telegram-bot-api');
 
  class TextLinkBot {
    constructor(token) {
      this.bot = new TelegramBot(token, { polling: true });
      this.userStates = new Map();
      this.setupHandlers();
    }
 
    setupHandlers() {
      this.bot.onText(/\/start/, this.handleStart.bind(this));
      this.bot.on('message', this.handleMessage.bind(this));
      this.bot.on('callback_query', this.handleCallback.bind(this));
      this.bot.on('polling_error', console.error);
    }
 
    async handleStart(msg) {
      const welcomeMsg = this.getWelcomeMessage(msg.from.first_name);
      await this.bot.sendMessage(msg.chat.id, welcomeMsg, { parse_mode: 'Markdown' });
    }
 
    async handleMessage(msg) {
      if (msg.text?.startsWith('/')) return;
 
      const chatId = msg.chat.id;
      const state = this.userStates.get(chatId);
 
      if (state?.waitingForLink) {
        await this.processLink(msg, chatId);
        return;
      }
 
      await this.saveOriginalMessage(msg, chatId);
    }
 
    async handleCallback(query) {
      if (query.data !== 'cancel') return;
 
      const chatId = query.message.chat.id;
      this.userStates.delete(chatId);
 
      await Promise.all([
        this.bot.sendMessage(chatId, 'Operation canceled'),
        this.bot.deleteMessage(chatId, query.message.message_id)
      ]);
    }
 
    async processLink(msg, chatId) {
      try {
        new URL(msg.text);
        const state = this.userStates.get(chatId);
        const result = this.createFinalMessage(state.text, state.entities, msg.text);
 
        if (!result) {
          throw new Error('No text content');
        }
 
        await this.bot.sendMessage(chatId, result, {
          parse_mode: 'Markdown',
          disable_web_page_preview: false
        });
 
        this.userStates.delete(chatId);
      } catch {
        await this.bot.sendMessage(chatId, 'Please send a correct link');
      }
    }
 
    async saveOriginalMessage(msg, chatId) {
      const { text, entities } = this.extractContent(msg);
 
      if (!text) {
        await this.bot.sendMessage(chatId,
          'Please add text to media or send a text message'
        );
        return;
      }
 
      this.userStates.set(chatId, { text, entities, waitingForLink: true });
 
      await this.bot.sendMessage(chatId, 'Now send a link:', {
        reply_markup: {
          inline_keyboard: [[{ text: 'Cancel', callback_data: 'cancel' }]]
        }
      });
    }
 
    extractContent(msg) {
      if (msg.caption) {
        return { text: msg.caption, entities: msg.caption_entities || [] };
      }
      if (msg.text) {
        return { text: msg.text, entities: msg.entities || [] };
      }
      return { text: '', entities: [] };
    }
 
    createFinalMessage(text, entities = [], link) {
      if (!text) return '';
 
      const invisibleChar = '⁠'; // the "invisible" symbol itself
      const formattedText = this.applyMarkdown(text, entities);
 
      return `[${invisibleChar}](${link})${formattedText}`;
    }
 
    applyMarkdown(text, entities) {
      if (!entities?.length) return text;
 
      const sorted = [...entities].sort((a, b) => b.offset – a.offset);
      return sorted.reduce((result, entity) => {
        const { offset, length, type, url } = entity;
        const content = text.substring(offset, offset + length);
 
        const formatted = this.formatEntity(content, type, url);
        return result.slice(0, offset) + formatted + result.slice(offset + length);
      }, text);
    }
 
    formatEntity(text, type, url) {
      const formats = {
        bold: `*${text}*`,
        italic: `_${text}_`,
        code: `\`${text}\``,
        pre: `\`\`\`\n${text}\n\`\`\``,
        text_link: `[${text}](${url})`
      };
      return formats[type] || text;
    }
 
    getWelcomeMessage(username) {
      return [
        `👋 Hi, ${username}!`,
        '',
        'I'll help you add an invisible link to your message.',
        '',
        'Just send me:',
        '1️⃣ Any text message.',
        '2️⃣ The link to add.',
        '',
        'I'll save the Markdown formatting of the original text! 🎨',
        'Supported: *bold*, _italic_, `code` and [embedded links](https://t.me/+42777).'
      ].join('\n');
    }
  }
 
  new TextLinkBot(BOT_TOKEN);

Above, we learned that you can send even voice messages in a preview. You can use this.

But what if in a certain situation we cannot attach any media? There is also an answer to this. We will use a transparent picture.

It must be in the .webp format, because this is the standard format for static stickers in Telegram. If we use something else, the picture will be visible, even if it was .png and completely transparent.

Since media previews can be displayed differently on all devices (PC, Android, and iOS), through tests, the ideal proportion for our image was found - 5x1 pixels. It is in this size that the picture in the preview is displayed blank on all devices.

Yes, it is of course noticeable and a little strange, but what can you do. We can also use images specifically designed for phones, which are very noticeable on PCs, but not on phones:

24x1 pixels.

TEXT FORMATTING

As I wrote above, the formatting of bots and users is different. This is where we need a bot to create the most undetectable fake username hyperlink.

Ingredients:

Bot token.
The presence of an ID, who we will be impersonating.
curl.

Recipe:

First, we throw any message of the user who the hyperlink will lead to. IMPORTANT: they must have forwards of messages open.
Write in the console: curl 'https://api.telegram.org/bot<bot_token>/sendMessage?chat_id=<your_id>&parse_mode=Markdown' -F 'text=[any_text](tg://user?id=<user_id>)'
We get a hyperlink "any_text" with a direct link by ID. You can change it manually, just by adding the required text inside the link and deleting the extra one.

Again, this is only for those who need it a couple of times. For everyday use, you can use the bot below.

https://xss.pro/files/article/akz5566nfzwc34svfepqknoj.gif
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/files/article/akz5566nfzwc34svfepqknoj.gif

JavaScript:

require('dotenv').config();
  const BOT_TOKEN = process.env.BOT_TOKEN || '7725585825:AAEBcwj5c2x0vRYFEGnf7z2fGbLyVSPTecj'; // token
  const TelegramBot = require('node-telegram-bot-api');
 
  class ForwardMessageBot {
    constructor(token) {
      this.bot = new TelegramBot(token, { polling: true });
      this.setupHandlers();
    }
 
    setupHandlers() {
      this.bot.onText(/\/start/, this.handleStart.bind(this));
      this.bot.on('message', this.handleMessage.bind(this));
      this.bot.on('polling_error', console.error);
    }
 
    async handleStart(msg) {
      const welcomeMsg = this.getWelcomeMessage(msg.from.first_name);
      await this.bot.sendMessage(msg.chat.id, welcomeMsg, { parse_mode: 'Markdown' });
    }
 
    async handleMessage(msg) {
      try {
        if (!msg.forward_from) {
          return; // we only process forwards
        }
        const chatId = msg.chat.id;
        const forwardedFromId = msg.forward_from.id;
        const forwardedFromUsername = msg.forward_from.username || 'User'; //defaults to User if no username.
        const userLink = `[${forwardedFromUsername}](tg://user?id=${forwardedFromId})`;
        await this.bot.sendMessage(chatId, userLink, {
          parse_mode: 'Markdown',
          reply_to_message_id: msg.message_id
        });
        console.log(`Processed forward from user ID: ${forwardedFromId}`);
        console.log(`Original message: ${msg.text}`);
      } catch (error) {
        console.error('Error processing message:', error);
        await this.bot.sendMessage(msg.chat.id, 'Sorry, there was an error processing your message.');
      }
    }
 
    getWelcomeMessage(username) {
      return [
        `👋 Hi, ${username}!`,
        '',
        'I'll help you get hyperlinks to users from forwarded messages.',
        '',
        'Just forward me any message, and I:',
        '1️⃣ Extract information about the original sender.',
        '2️⃣ Create a clickable link to his profile.',
        '',
        'The link will be formatted as a Markdown hyperlink to the user.'
      ].join('\n');
    }
  }
 
  new ForwardMessageBot(BOT_TOKEN);

The advantage of such links over regular hyperlinks is that they do not have an underscore, and they cannot be highlighted with a long tap. Can be used for social engineering 100%. BEWARE OF SUCH SCAMS!!! CHECK THE ID!!!

TEXT "ENCRYPTION" BOT EXAMPLE

There is nothing better than a safe, private conversation in a pleasant environment... But this is not about our story.

In this bot, the word "Encryption" is just a word. In any case, all the text passes through Telegram servers, and the internal encryption itself is only for show.

The most it's good for is hiding messages from prying eyes, if someone third gains access to the conversation.

As a media insert, we will use link previews. This is not a very good option for blocking, since AI does not analyze the preview (it simply does not see it). You will have to rely on manual moderation, which will have to wait ~ several weeks with daily quality reports (via the button). Through the DSA report, you have to wait 3-5 days.

Example of a message:

Further, depending on the availability of the key and its validity, after pressing the "Decrypt" button, we get the messages:

The key setup is implemented in the form of a matrix with 5 by 5 cells, which you need to click on.

As I wrote, we will insert media through an invisible link. Let's combine two methods, so to speak.

The substitution (update) functionality is implemented through 3 commands - /manual, /refresh, and /refresh_all.

/refresh – a command that will allow you to update messages for specific users, by ID.

https://xss.pro/files/article/s4mldgikfre6alatnqipqit4.gif
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/files/article/s4mldgikfre6alatnqipqit4.gif

/manual – a command that will allow you to update the necessary messages in a targeted way.

https://xss.pro/files/article/spgpjk4h62oabjgptn5466df.gif
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/files/article/spgpjk4h62oabjgptn5466df.gif
The /manual command, with the set IDs of users who have access to updating via the button

/refresh_all – a command that will update messages for all users, but you can also specify an ID. Use with caution.
Since there are no chat (chatid) landmarks in inline mode, the commands will update messages in all dialogs, so you need to approach the matter with caution. I recommend that you first use /manual with fully defined IDs.

The general syntax of commands and flags, which will be the same in all bots:

image, animation, video, audio, pdf, zip, voice – media types.

voice only works in bots with crypto rates and the encrypter. In classic media, you cannot change to a voice if the message was not originally a voice.

animation – this is GIF's.

text, stext, button – optional flags. text and stext cannot be combined. stext only works in bots with crypto rates and the encrypter.

text – randomly adds a signature to the message, with HTML formatting (Read the documentation here!!!). Takes text from the caption.txt file, in the format:

Код:

<b>Unlock Your Creativity with <i>Photoshop</i> Free Download!</b>
Discover the power of <u>Adobe Photoshop</u> without spending a dime. Download the <i>latest version</i> for free and start editing your photos like a pro today!
<%>[CODE]<b>Get <i>Photoshop</i> for Free – <u>No Strings Attached!</u></b>
Experience the industry-leading photo editing software with our <i>Photoshop free download</i>. Perfect for beginners and professionals alike!
<%>
<b><i>Photoshop</i> Free Download: Your Gateway to <u>Stunning Edits!</u></b>
Download Photoshop for free and unleash your <i>artistic potential</i>. Create breathtaking images and graphics effortlessly!
<%>
<b>Download <i>Photoshop</i> Free – <u>Enhance Your Photos Instantly!</u></b>
Transform your images with Photoshop's <i>powerful tools</i>. Get your free download now and elevate your photography skills!
<%>
<b><i>Photoshop</i> Free Download: <u>Edit Like a Professional!</u></b>
Access Adobe Photoshop for free and take your photo editing to the next level. Perfect for <i>creatives</i> looking to enhance their work!
<%>
<b>Start Your <u>Creative Journey</u> with <i>Photoshop</i> Free Download!</b>
Download Photoshop for free and explore <i>endless possibilities</i> in photo editing. Join millions of users and create stunning visuals today!

<%> – in this trilogy of bots, our ubiquitous separator.

The media themselves are specified via URL links in the files video.txt, image.txt, audio.txt, pdf.txt, zip.txt, voice.txt, animation.txt simply in a column, without separators.

stext – for each user, sequentially changes the text to the one specified in text.txt. If the messages are over, it starts from the beginning. Specifically for faking correspondence.

The format of the text.txt file is the same as in caption.txt.

Ignores all media types, if specified.

To fake a message with media, use HTML formatting and our invisible symbol in the hyperlink.

Example:

Код:

1 <a href="https://files.google.com/someaudio.ogg">⁠</a>
<%>
2 message
<%>
3 message
<%>
4 message

button – randomly adds inline URL buttons in groups to messages. There can be a maximum of 100 buttons. In width always a maximum of 8, in length it can be at least 100 buttons with 1 in a row. The format of the button.txt file:

Код:

[Button 1](https://t.xxx/);[Button 2](https://t.me/);[Button 3](https://t.co/) // – 3 buttons in one row. this is 1 group.
<%>
[Button 1](https://t.xxx/) // 3 rows of one button each. this is also 1 group.
[Button 2](https://t.me/)
[Button 3](https://t.co/)

Dates and time stuff: 1d, 2m, 3y (1 day, 2 months, 3 years), you can use one of them. A specific number can be written in the formats DD.MM.YYYY, DD.MM.YY, DD/MM/YYYY, DD/MM/YY, DD-MM-YYYY, DD-MM-YY, YYYY.MM.DD, YYYY/MM/DD, YYYY-MM-DD.

Examples of commands:

/manual 123456 789101112 super_password 7123456 zip pdf audio voice 28.12.24 text button image animation // randomly take all these media.

123456 789101112 – IDs of users who can click the button and update the message. For others, the update will not work. Available only for the /manual command.
7123456 – the ID of the target user. i.e. the one to whom we will update the message.

/manual 123456 789101112 63734537 super_password 7123456 7891011128 2281337 66647666 zip pdf audio voice 28.12.24 text button image animation

// several IDs are possible.

/manual super_password 7123456 7891011128 2281337 66647666 zip pdf audio voice 28.12.24 text button image animation // without authorized user IDs. it means that anyone can click the button and update.

/refresh super_password 7123456 28/12/2024 stext button // we will update messages to the text from text.txt + add random buttons only to the user with id 7123456 for 28/12/2024.

/refresh_all super_password 28/12/2024 stext button // we will update for everyone for 28/12/2024 the number.

/refresh_all super_password 1y image // we will update for everyone for 1 year.

/refresh_all super_password 5d pdf zip text // we will update messages for everyone for the last 5 days.

Installation:

Download and install NodeJS – https://nodejs.org/
Install dependencies: npm i node-telegram-bot-api
Create a file with the extension .js, change the token to your own.
Create a file .env, add BOT_TOKEN and ADMIN_PASSWORD there in the format:

BOT_TOKEN=token
ADMIN_PASSWORD=password

Create files text.txt, caption.txt, button.txt, video.txt, image.txt, audio.txt, pdf.txt, zip.txt, voice.txt, animation.txt
Start the bot: node bot.js

Attachments and download links are at the bottom of the article.

PROS

Wider scope for social engineering, unlike the bot with pictures and rates.
Supports voices.
You can fake regular messages, not just media.
Works in chats where media is disabled, but inline content is allowed.

CONS

Does not work in chats where inline content is disabled.
Not designed for a huge number of people.
AI moderation does not see the content in the preview, which means you will have to wait for a manual check.

RANDOM IMAGE BOT EXAMPLE

This bot is ideal for cluttering chats where there is no strict moderation. Instead of cats, you can add "cards" with types of rarity, which will increase the excitement to get a "legendary".
The settings are absolutely the same as in the encrypter. Only there are no stext flags and no voice media type.

Example of work:

Installation:

Download and install NodeJS – https://nodejs.org/
Install dependencies: npm i node-telegram-bot-api
Create a file with the extension .js, change the token to your own.
Create a file .env, add BOT_TOKEN and ADMIN_PASSWORD there in the format:

BOT_TOKEN=token
ADMIN_PASSWORD=password

Create files text.txt, caption.txt, button.txt, video.txt, image.txt, replace_image.txt, audio.txt, pdf.txt, zip.txt, animation.txt
Start the bot: node bot.js

Attachments and download links are at the bottom of the article.

PROS

Classic media gives greater flexibility in working with them.
AI moderation sees the content and automatic action may be triggered.
One of the contagious types of bots, with a 99% probability that people will want to test it themselves.

CONS

Does not work in chats where media content is disabled.
Not designed for a huge number of messages.

CRYPTOCURRENCY RATE BOT EXAMPLE

Ideal for spreading phishing/malware in crypto chats where inline is allowed. Supports everything that was in the encrypter.

Admins don't pay attention if you throw in the rate of a coin and ask something like "Is it worth buying TON now?".

https://xss.pro/files/article/3yl75tygchwn2jviswbuf537.gif
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/files/article/3yl75tygchwn2jviswbuf537.gif

But still, some admins get triggered by the inline button that updates the rates - they think it's advertising or something else.

Installation:

Download and install NodeJS – https://nodejs.org/
Install dependencies: npm i node-telegram-bot-api
Create a file with the extension .js, change the token to your own.
Create a file .env, add BOT_TOKEN and ADMIN_PASSWORD there in the format:

BOT_TOKEN=token
ADMIN_PASSWORD=password

Create files text.txt, caption.txt, button.txt, video.txt, image.txt, audio.txt, pdf.txt, zip.txt, voice.txt, animation.txt
Start the bot: node bot.js

Attachments and download links are at the bottom of the article.

PROS

Wider scope for social engineering, unlike the bot with pictures.
Supports voices.
You can fake regular messages, not just media.
Works in chats where media is disabled, but inline content is allowed.
Ideal for spreading crypto-phishes and malware.

CONS

Does not work in chats where inline content is disabled.
Not designed for a huge number of people.
AI moderation does not see the content in the preview, which means you will have to wait for a manual check.
Dependencies and possible bugs.

IDEAS FOR OTHER BOT OPTIONS

Since it will be impossible to make bots for every scenario, I will throw some ideas out there where we can use inline bots without suspicion to achieve our goals.

Bot with music, similar to @LyBot.
Bot with documents/books in PDF/ZIP format, like @flibustafreebookbot, the search for which is designed in inline mode.
Bot with currency and cryptocurrency converter – for example @convertbot 100 USD to EUR.
Link shortener bot – @shortbot https://elonmaks.tilda.ws/mamontredirect/.
Text encoder bot – @encoderbot text converts/shows text in different encodings (base64, Morse, etc.).
Randomizer bot – @randbot 1-100 generates a random number in the specified range.
Bot with meme-voices, like @silero_voice_bot.

I have no doubt that you have already generated suitable ideas for yourself.

RESULTS

NEW OPPORTUNITIES FOR SOCIAL ENGINEERING AND SPREADING PHISHING/MALWARE

And so we learned that Telegram is unsafe not because of the risks of leaking information (it has always leaked), but simply because of such tricks with substitution. Because of which you can even get into trouble.

At the same time, this gives a huge horizon for spreading phishing or malware in a very subtle way that can be automated and expanded. We can literally change the necessary messages indefinitely until the bot is deleted or the message is deleted.

Also, the possibilities for social engineering, all sorts of setups, and the infliction of reputational and material damage are expanding.

It's only your imagination here. You can fake a correspondence with a friend, as if he owed you a bun:

https://xss.pro/files/article/wwocxsj2cpp2ajfuuq44q6fo.gif
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/files/article/wwocxsj2cpp2ajfuuq44q6fo.gif

Or, you can mass-automatically distribute crypto-phishes/drains and malware through top chats, while endlessly updating links/text/buttons/builds. Yes, you can even pour nutra or casinos in this way, if you wish.

PROTECTION AND COUNTERACTION

The most reliable protection is to simply stop using it. But this will not suit many.

First of all, so that your account is not deleted, you need to minimize the use of inline bots and being in chats. You also need to prohibit left invites to channels/chats. Do not send anything if you are asked to copy and send it – the text (or a piece of text) may be in an active spam trigger, which will kick you out of your account or even ban you.

You need to buy accounts (at least) not from stupid schoolchildren, and it will be even better to register them yourself through an emulator or mobile. 2FA – we must set it. If you bought tdata - log in from another session and log out of the purchased one.

For businesses, chat owners:

If you don't have a service, try to keep your account exclusively for communication with customers. Without channels and chats.

If they are very necessary - create them on separate accounts, add your reliable accounts to the full admin. If the owner's account is banned, the rights will randomly go to one of the admins after some time.

In chats, be sure to disable inline mode and media. Or disable only inline, but add a bot that will watch for message changes and delete them if the change was made more than 5 minutes after the message was sent. You can tweak the AI to determine porn/prohibited content.

It is advisable to work on an isolated machine or VM - the reason is below.

BONUS - RCE (SCE)

~~In January, my second article about Telegram will be released soon, where we will analyze one RCE (SCE). Wait for it.~~

UPDATE: Unfortunately, this vulnerability type has recently been downsized to User-Interaction RCE, which doesn't quite rise to the level of a contest article.

Happy New Year 2025, DaMaGeLab!

Alternative download links (DaMaGeLib):
text_cryptor_bot.zip
random_image_bot.zip
crypto_rate_bot.zip

x7phone · 02.01.2025

если грамотно прорекламить, будет очень хорошо

Leviathan · 03.01.2025

Немного расстроен что тема в паблик уходит, с другой стороны - не до конца и к тому же узнал много нового

. Но материал очень качественный и однозначно

Dread Pirate Roberts · 03.01.2025

у меня не отображается большинство картинок, вместо них ссылки "Посмотреть вложение 123456", по которым "вам запрещено смотреть такие картинки"

aks · 03.01.2025

Хорошая работа

admin · 03.01.2025

Dread Pirate Roberts сказал(а):

у меня не отображается большинство картинок, вместо них ссылки "Посмотреть вложение 123456", по которым "вам запрещено смотреть такие картинки"

Да, я уже увидел. Мы скоро поправим с автором статьи.

uzu · 03.01.2025

Dread Pirate Roberts сказал(а):

у меня не отображается большинство картинок, вместо них ссылки "Посмотреть вложение 123456", по которым "вам запрещено смотреть такие картинки"

в html версии все норм

dimars08 · 05.01.2025

да, в html все четко. Такой потенциал у темы и да, очень жаль, что все в паблик. Хотя, автор что то да знает, чего не занем мы) Однозначно респект и уважуха за такой лонгрид, все по делу и без воды, как некоторые это любят))))

kokoganev · 05.01.2025

Вижу, что, к сожалению, тема распространяется в группах в Телеграм. Надеюсь, что следующая тема, о которой автор говорил, что опубликует, не будет доступна всем, а будет иметь ограничения для тех, кто ее сможет увидеть (определенное количество лайков или стаж на форуме).

ordinaria1 · 05.01.2025

kokoganev сказал(а):

Вижу, что, к сожалению, тема распространяется в группах в Телеграм. Надеюсь, что следующая тема, о которой автор говорил, что опубликует, не будет доступна всем, а будет иметь ограничения для тех, кто ее сможет увидеть (определенное количество лайков или стаж на форуме).

Конкурс создан, что бы делиться со всеми. Без хайдов и прочего. Для старичков и новичков. Иначе какой смысл?

phantomcoder · 05.01.2025

ради чего сливать такую информацию? чтоб убить телеграмм еще больше? большинство селлеров возьмет это на заметку, остальные останутся в неведение и будут страдать.
ты занимаешься полезным делом открывая миру глаза, но это нужно популизировать, а не сливать на форум, где это будут все во зло использовать.
ддос и сносы самая отвратная вещь в мире, а ты делаешь ее проще и доступнее.
но все равно респект, годная статья.

Hulker · 06.01.2025

Крайне интересная информация,на прочитать и вникнуть уходит не мало времени ,но оно того стоит. +rep в конкурсе однозначно

spectrum · 06.01.2025

жеееееееееееееесть

dimars08 · 06.01.2025

пока еще темка работает, тс респектище!!!!

dimars08 · 06.01.2025

kokoganev сказал(а):

Вижу, что, к сожалению, тема распространяется в группах в Телеграм. Надеюсь, что следующая тема, о которой автор говорил, что опубликует, не будет доступна всем, а будет иметь ограничения для тех, кто ее сможет увидеть (определенное количество лайков или стаж на форуме).

понимаю тебя..но модератор прав)))) Наверное стоит лично с тс перетереть на счет следующих инсайдов)

skup · 08.01.2025

XSSBot сказал(а):

переходите в жабу, матрикс, симплекс, да хотя бы в токс

только лишь за это уже можно проорать ГОЙДА!!!

phantomcoder сказал(а):

ради чего сливать такую информацию? чтоб убить телеграмм еще больше? большинство селлеров возьмет это на заметку, остальные останутся в неведение и будут страдать.
ты занимаешься полезным делом открывая миру глаза, но это нужно популизировать, а не сливать на форум, где это будут все во зло использовать.

а каким образом для тебя оптимально это популяризировать?
с "чтоб убить телеграмм еще больше?" проржал, он и так уже мертвый для адекватных людей. это только на лолзе и прочем ... все еще активно используют телеграм. ну китайцы еще его пользуют, но там у каждого второго свой ботнет из 1к+ акков

hiddenname3 · 08.01.2025

супер

solovey · 11.01.2025

классика, сначала гадить в систему, затем подробно рассказать другим как нагадить, а после возмущаться какое получилось г..но

bio · 11.01.2025

solovey сказал(а):

классика, сначала гадить в систему, затем подробно рассказать другим как нагадить, а после возмущаться какое получилось г..но

а почему система не защищена и позволяет гадить в себя? здесь-то зачем эти сопли и морально-этические оценки.
Пусть слабые системы развиваются либо подыхают. Да и мотивация автора изложена в двух предложениях в самом начале, можете прочитать и даже понять.

Автору большое спасибо за статью, истинное наслаждение. Надеюсь запал не угаснет и увидим обещанную вторую статью.

Молодой · 12.01.2025

Интересная тема

Статья Гвозди в крышку гроба Telegram: Подмена и Блокировка контента

Форумный бот

ВСТУПЛЕНИЕ​

ТЕОРИЯ​

ИЗУЧЕНИЕ TOS И ВИДОВ БЛОКИРОВОК​

СБОР ВСЕХ КОНТАКТОВ TELEGRAM​

МЕТОДЫ ПОДМЕНЫ КОНТЕНТА​

ИНЛАЙН-БОТЫ​

ПРЕДОСМОТР ССЫЛОК​

ФОРМАТИРОВАНИЕ ТЕКСТА​

ОБЫЧНОЕ ИЗМЕНЕНИЕ СООБЩЕНИЙ​

МЕТОДЫ БЛОКИРОВКИ КОНТЕНТА​

СПАМ​

ИНЛАЙН-БОТЫ​

ПРЕДОСМОТР ССЫЛОК​

ПОДДЕЛКА ДАННЫХ НА ДАННЫЕ НАРУШАЮЩИЕ TOS​

ПРАКТИКА​

ПОДГОТОВКА​

ПРЕДОСМОТР ССЫЛОК​

ВАРИАНТ БОТА-ФОРМАТЕРА СООБЩЕНИЙ​

ФОРМАТИРОВАНИЕ ТЕКСТА​

ВАРИАНТ БОТА "ШИФРОВАЛЬЩИКА" ТЕКСТА​

ПЛЮСЫ​

МИНУСЫ​

ВАРИАНТ БОТА С РАНДОМ КАРТИНКАМИ​

ПЛЮСЫ​

МИНУСЫ​

ВАРИАНТ БОТА С КУРСАМИ КРИПТОВАЛЮТ​

ПЛЮСЫ​

МИНУСЫ​

ИДЕИ ДЛЯ ДРУГИХ ВАРИАНТОВ БОТОВ​

ИТОГИ​

НОВЫЕ ВОЗМОЖНОСТИ ДЛЯ СИ И РАСПРОСТРАНЕНИЯ ФИШИНГА/МАЛВАРИ​

ЗАЩИТА И ПРОТИВОДЕЙСТВИЕ​

БОНУС - RCE (SCE)​

INTRODUCTION​

THEORY​

STUDYING TOS AND TYPES OF BLOCKS​

COLLECTING ALL TELEGRAM CONTACTS​

METHODS OF CONTENT TAMPERING​

INLINE BOTS​

LINK PREVIEWS​

TEXT FORMATTING​

REGULAR MESSAGE CHANGING​

METHODS OF CONTENT BLOCKING​

SPAM​

INLINE BOTS​

LINK PREVIEWS​

FALSIFYING DATA WITH DATA VIOLATING TOS​

PRACTICE​

PREPARATION​

LINK PREVIEWS​

MESSAGE FORMATTER BOT EXAMPLE​

TEXT FORMATTING​

TEXT "ENCRYPTION" BOT EXAMPLE​

PROS​

CONS​

RANDOM IMAGE BOT EXAMPLE​

PROS​

CONS​

CRYPTOCURRENCY RATE BOT EXAMPLE​

PROS​

CONS​

IDEAS FOR OTHER BOT OPTIONS​

RESULTS​

NEW OPPORTUNITIES FOR SOCIAL ENGINEERING AND SPREADING PHISHING/MALWARE​

PROTECTION AND COUNTERACTION​

BONUS - RCE (SCE)​

Вложения

(L3) cache

𝔸𝕣𝕔𝕙𝕚𝕥𝕖𝕔𝕥

Премиум

floppy-диск

#root

Премиум

RAM

RAID-массив

(L1) cache

RAID-массив

ripper

ВСТУПЛЕНИЕ

ТЕОРИЯ

ИЗУЧЕНИЕ TOS И ВИДОВ БЛОКИРОВОК

СБОР ВСЕХ КОНТАКТОВ TELEGRAM

МЕТОДЫ ПОДМЕНЫ КОНТЕНТА

ИНЛАЙН-БОТЫ

ПРЕДОСМОТР ССЫЛОК

ФОРМАТИРОВАНИЕ ТЕКСТА

ОБЫЧНОЕ ИЗМЕНЕНИЕ СООБЩЕНИЙ

МЕТОДЫ БЛОКИРОВКИ КОНТЕНТА

СПАМ

ИНЛАЙН-БОТЫ

ПРЕДОСМОТР ССЫЛОК

ПОДДЕЛКА ДАННЫХ НА ДАННЫЕ НАРУШАЮЩИЕ TOS

ПРАКТИКА

ПОДГОТОВКА

ПРЕДОСМОТР ССЫЛОК

ВАРИАНТ БОТА-ФОРМАТЕРА СООБЩЕНИЙ

ФОРМАТИРОВАНИЕ ТЕКСТА

ВАРИАНТ БОТА "ШИФРОВАЛЬЩИКА" ТЕКСТА

ПЛЮСЫ

МИНУСЫ

ВАРИАНТ БОТА С РАНДОМ КАРТИНКАМИ

ПЛЮСЫ

МИНУСЫ

ВАРИАНТ БОТА С КУРСАМИ КРИПТОВАЛЮТ

ПЛЮСЫ

МИНУСЫ

ИДЕИ ДЛЯ ДРУГИХ ВАРИАНТОВ БОТОВ

ИТОГИ

НОВЫЕ ВОЗМОЖНОСТИ ДЛЯ СИ И РАСПРОСТРАНЕНИЯ ФИШИНГА/МАЛВАРИ

ЗАЩИТА И ПРОТИВОДЕЙСТВИЕ

БОНУС - RCE (SCE)

INTRODUCTION

THEORY

STUDYING TOS AND TYPES OF BLOCKS

COLLECTING ALL TELEGRAM CONTACTS

METHODS OF CONTENT TAMPERING

INLINE BOTS

LINK PREVIEWS

TEXT FORMATTING

REGULAR MESSAGE CHANGING

METHODS OF CONTENT BLOCKING

SPAM

INLINE BOTS

LINK PREVIEWS

FALSIFYING DATA WITH DATA VIOLATING TOS

PRACTICE

PREPARATION

LINK PREVIEWS

MESSAGE FORMATTER BOT EXAMPLE

TEXT FORMATTING

TEXT "ENCRYPTION" BOT EXAMPLE

PROS

CONS

RANDOM IMAGE BOT EXAMPLE

PROS

CONS

CRYPTOCURRENCY RATE BOT EXAMPLE

PROS

CONS

IDEAS FOR OTHER BOT OPTIONS

RESULTS

NEW OPPORTUNITIES FOR SOCIAL ENGINEERING AND SPREADING PHISHING/MALWARE

PROTECTION AND COUNTERACTION

BONUS - RCE (SCE)