О мышках и кактусах

[vitus_wagner]

Что-то последнее время какая-то эпидемия атак на телеграм. Мало того что пишут в телеграм с фейкового аккаунта директора, причем подделанного крайней аккуратно - с копированием юзерпика и все такое, теперь повадились угонять реальные аккаунты сотрудников.

Делается это путем социальной инженерии. Человека просят за что-нибудь проголосовать и подтвердить выбор вводом кода из СМС. А вредоносный сайт для голосования на самом деле использует эту СМС для авторизации в телеграме.

По-моему основаная причина этого всего безобразия в том, что телеграм это пресловутая "глобальная деревня". Плоское пространство имен без какой-либо структуризации по доменам. Соответственно человек и ведет себя в нем как в тесном кругу знакомых, где все всех знают. А на самом деле в этой сети миллионы людей.

Плюс к тому телеграм представляет собой странное смешение мессенждера, для которого характерен обмен личными сообщениями между знакомыми по другим каналам людьми, и социальной сети, которая по охвату аудитории является средством массовой информации.

Вот как-то распространение почтового спама и фишинга мы пережили горазло легче. Понаставили себе всяких спамассасинов, и живем. Возможно, потому что несмотря на все усилия гугля. яндекса и mail.ru, превратить пространство имен электронной почты в плоское, все равно все более-менее информационно продвинутые конторы (включая даже МФЦ) используют корпоративные домены электронной почты. Ну а в корпоративных доменах усилиями, что удивительно, того же гугля, сплошь и рядом SPF,DKIM, DMARC, и хрен подделаешь.

Кстати, по-моему лично у меня телеграм это единственный канал коммуникации где не разделяются рабочие и личные контакты. Потому что не умеет он. В почте - разделяются, в матрице, разделяются. Whatsapp и Skype я просто в рабочих целях не использую. А телеграм вроде и чисто рабочий, но туда периодически попадают люди знакомые по другим причинам - nasse, beldmit.

Вообще надо на работе объявить что телеграмом я не пользуюсь и все желающие ко мне обратиться в мессенжере пусть делают это через matrix. nataraj это уже сделал и вроде ничего.

Comments

[vitus_wagner]

Это с какой версии в телеграме папки еоявились? У меня telegram-desktop 4.8.1 никаких папок не видно.

[fau74]

Да уж давненько, больше года как, емнимс. Вон, гугль подсказывает - март 2020 года.

У меня 4.14.8 х64 виндовый телеграм-десктоп и 10.6.1 (4275) для андроида (arm64-v8a). Папки есть в обоих. Если у тебя 4.8.1 - может это какой-то другой форк телеграм-десктопа?

[vitus_wagner]

В testing 4.14.4 так что это наверное та же самая ветка, что и 4.14.8

[fau74]

У меня в десктопе это в settings, пятая сверху строка - Folders.
В телефоне - аналогично, но шестая сверху, Chat folders.

[vitus_wagner]

Нашел, есть они там. Но какие-то неудобные на мой взгляд. Нет иерарахии, например, способ раскладывания контактов по папкам тоже какой-то неудобный.

[fau74]

Не идеал, согласен, но вопрос привычки - как с большинством интерфейсов.
Чаты, кстати, тоже можно дробить на тематические подчаты - такой чат выглядит очень похоже на папку с чатами. Его можно положить в папку, и он сам дает второй уровень тематического деления.

В общем, на мой взгляд телеграм сейчас ближе всех к оптимальному коммуникатору. Возможно, матрикс и прочий федиверс в чем-то его превосходят - но они катастрофически проигрывают в охвате.

[vitus_wagner]

Так это же хорошо что они проигрывают в охвате. Чужие здесь не ходят, что уменьшает вероятность фишинговых атак. А наличие веб-клиента снижает порог вхождения. Вот чем меня злят ссылки на телеграмовские каналы, которвн лжди дают а ЖЖ, тпе это теи сто t.me настаивает,ч тобы я эту ссылку в телеграме открывал, а не в браузере.

[fau74]

Ты уж определись, чужие здесь не ходят, или снижает порог вхождения :) эти лебедь с раком тянут в противоположные стороны. ФИДО в свое время это неплохо продемонстрировало. Фишинговые атаки тоже ведь люди делают, и бывает что и чьи-то лично знакомые. Я вот случайно убедился, что в тусовке работа на холодных звонках отнюдь не делает человека нерукопожатным...

Для своей маленькой уютненкой группы ты можешь хоть голубиную почту использовать, не вопрос. А во внешнем мире доступность коммуникатора - параметр критичный, потому что для успешной коммуникации этот коммуникатор должен стоять на обеих сторонах. Если его не стоит - скорее всего поищут другой способ связи. Ну или другого корреспондента, если это проще.

[vitus_wagner]

А вот это как раз оптимальаня комбинация "низкий порог вхождения" + "чужие здесь не ходят". Если ты хочешь стать в этой тусовке/компании своим, тебе это сделать просто. Но если ты не хочешь войти в этот узкий круг людей, ты туда не пойдешь.

И скорее всего фишер туда не пойдет, потому что узкий круг для него не стоит зартаты усилий.

Это примерно как число раундов в pbkdf - оно таково, что легитимного пользователя не напрягает, а для взломщика явяляется шоу-стоппером.