Телеграм‑боты для сбора IP и телефона: как они работают и опасны ли

Телеграм‑боты для сбора IP и телефона: как они работают и опасны ли

В каждый шумный инфоповод про «бот, который узнал мой IP и номер» обычно намешаны технологии, хитрость и немного мистики. Давайте разберём по косточкам: что бот в Telegram действительно видит по умолчанию, где начинается социальная инженерия, чем опасны «IP-логгеры» и почему настройка одного пункта в звонках буквально прячет ваш IP.

Что бот реально видит по умолчанию

Начнём с базовой механики. Телеграм-бот — это программа на сервере автора, которая общается с вами через Bot API. По умолчанию бот получает от клиента ваш внутренний идентификатор пользователя, имя/ник и содержимое ваших сообщений боту. Номер телефона и IP-адрес Telegram боту не «показывает». Чтобы бот получил телефон — пользователь должен его явно передать (например, нажатием системной кнопки «Поделиться контактом») или указать в платёжной/паспортной форме. В группах действует режим приватности: бот видит далеко не всё, пока ему сознательно не дали больше прав. Это важно: большинство страшных историй ломается на этом месте.

  • В личном чате бот видит ваши сообщения ему — как и должно быть.
  • В группе бот в приватном режиме получает только команды/ответы; полный доступ возможен при отключении приватности или если бота сделали админом.
  • Номер телефона — только если вы сами его отправили (кнопкой «поделиться контактом»), через оплату/доставку или Telegram Passport.

Документация и подробности: Telegram Bot API , Privacy Mode в группах , Bots FAQ .

Как боты «достают» ваш IP: не магия, а веб-ссылки

Сам по себе бот ваш IP не видит. Но он может отправить ссылку, по которой вы перейдёте в браузер или мини-приложение. А любой веб-сервер, где открылась страница, получит IP клиента — это нормальная работа интернета. Этим пользуются «IP-логгеры» вроде Grabify и IP Logger : они выдают короткую ссылку/«невидимый пиксель», а при клике сохраняют IP и кучу сопутствующих метаданных (ЮА, провайдер, примерную геолокацию и т.п.).

Есть ещё один путь — Mini Apps (веб-приложения внутри Telegram). По сути это ваш обычный сайт, открытый в контейнере Telegram. Как только пользователь его запускает, ваш сервер видит входящее соединение, а значит и IP. Детали для разработчиков: Telegram Mini Apps .

А как же превью и «красивые карточки» ссылок?

Превью большинства ссылок в Telegram формируют сервера Telegram, а не ваш клиент: просто просмотр сообщения с миниатюрой не «светит» ваш IP стороннему сайту. Риск начинается при открытии ссылки/страницы в браузере или мини-приложении.

  • Пример «ловушек»: короткая ссылка с редиректом, «инвайт» на «проверку аккаунта», «розыгрыш», «подарок», «QR-вход» и т.п.
  • Классика фишинга: поддельные страницы Microsoft/Google, которые в скриптах дополнительно отправляют на бот злоумышленника ваш IP и введённые данные.

Как выманивают номер телефона

Боту сложно «угадать» ваш номер — его нужно получить от вас легальным путём или выманить уловками. Вот рабочие механики:

  1. Кнопка «Поделиться контактом». Это системная кнопка Telegram (не просто «Да/Нет»), при нажатии которой именно ваш номер уходит боту. Узнаётся по пиктограмме контакта в интерфейсе. Если сомневаетесь — не жмите.
  2. Платежи и доставка. В счёте (invoice) бот может запросить имя, телефон, email, адрес доставки. Если вы их заполнили — бот получит эти поля вместе с данными заказа.
  3. Telegram Passport. Для сервисов, где нужна верификация личности. Среди возможных элементов — и «подтверждённый номер телефона». Передача идёт с вашего согласия.
  4. Социальная инженерия. «Пришлите номер для обратной связи», «подтвердите участие», «активируйте скидку» — и люди сами выкладывают номер в чат или отправляют «контакт» боту.

Полезно заглянуть разработчикам: Bot API (кнопка запроса контакта в reply-клавиатуре), Bot Payments , Telegram Passport .

Что боты НЕ умеют (и вечные мифы)

  • «Бот узнал мой IP, пока я просто читал чат» — нет. IP видят веб-сайты, куда вы переходите, и собеседник в P2P-звонках (если не включён режим через сервер). Обычная переписка IP не раскрывает.
  • «Любой бот видит номер телефона» — нет. Номер передаётся только по вашему явному действию: «поделиться контактом», оплата/доставка, Telegram Passport, вручную в тексте/визитке.
  • «Превью ссылки сливает мой IP сайту» — в Telegram превью, как правило, собирают серверы Telegram. Риск — при клике и открытии страницы.
  • «Бот в группе читает всё» — в приватном режиме он видит лишь то, что обращено к нему (команды/реплаи). Полный доступ — только если отключили privacy mode или дали права админа.

Где тут настоящая опасность: живые сценарии

Опасность не в «всемогуществе» бота, а в сочетании веб-ссылок, фишинга и доверия. Примеры из практики:

  • IP-логгеры пересылают короткую ссылку или «пиксель» — вы кликаете, сервис пишет IP/геолокацию/девайс. Кликнули — след виден.
  • Фишинговые формы (под Microsoft/Google и т.д.): данные и ваш IP отправляются автору через его Telegram-бота.
  • OSINT/«боты-пробивы» в духе «найду по номеру всё на свете» — обычно это агрегаторы утечек и открытых баз, иногда на грани закона или за ней. Публичная практика показывает, что такие сервисы периодически режут функционал или закрывают по требованиям регуляторов.
  • В группах включённый у бота доступ «к сообщениям» даёт ему читать всё. Если группа публичная — туда часто заводят «сервисных» ботов-сборщиков.

Как распознать и не попасться: быстрый чек-лист

  • Не нажимайте «Поделиться контактом», если вы не уверены, кто перед вами. Эта кнопка системная и отправляет ваш номер мгновенно.
  • Любая ссылка от незнакомца = проверяем на urlscan.io или VirusTotal , а короткие — сначала «распрямляем» (встроенный «URL Checker» у IPLogger годится и для обратной проверки).
  • Мини-приложение (Mini App) — это по сути сайт. Открыли — сервер видит ваш IP. Открывайте только то, чему доверяете.
  • Не добавляйте неизвестных ботов администраторами в группы. Периодически проверяйте, у каких ботов отключён privacy mode.

Две минуты на настройку приватности в Telegram

Эти шаги закроют самые частые векторы «сбора»:

  1. Спрячьте номер: Настройки → Приватность и безопасность → Номер телефона → «Никто». Ниже — «Кто может найти меня по номеру» → «Мои контакты».
  2. Ограничьте звонки и спрячьте IP в звонках: Настройки → Приватность и безопасность → Звонки → «Кто может мне звонить» → «Мои контакты» (или «Никто»). В этом же разделе «P2P»/«Использовать пир-к-пиру» → «Никогда/Никто», чтобы звонки шли через сервер и ваш IP не раскрывался собеседнику.
  3. Сессии: Настройки → Приватность и безопасность → Активные сессии → завершите лишнее.

Если уже кликнули или «отдали» номер

  • Проверьте утечки: Have I Been Pwned (email/телефон) и аналогичные сервисы.
  • Смените пароли на затронутых сервисах и включите 2FA.
  • Спам/вымогатели по телефону? Добавьте в чёрный список, используйте антиспам-фильтры от оператора. Не переходите по ссылкам из SMS/мессенджеров.
  • Убрали бы данные у логгеров: у некоторых есть форма «Remove my data» (например, у Grabify — в подвале сайта).

FAQ: коротко и по делу

Может ли бот узнать мой IP, если я просто прочитал его сообщение?

Нет. IP «светится» при открытии внешней ссылки/мини-приложения или в P2P-звонках (если не отключено). Чтение чата безопасно.

А если бот в группе?

В приватном режиме он видит только команды/реплаи. Полный доступ — если отключили privacy mode или сделали бота админом. Проверяйте права ботов в важных чатах.

Как понять, что у меня запросили именно номер?

Ищите системную кнопку «Поделиться контактом» с иконкой — она отправляет ваш телефон автоматически. Любой другой «Да/Нет» — это просто текстовая кнопка, номер она не отправит.

Мне прислали «мини-приложение», это безопасно?

Это обычный сайт в окне Telegram. Открываете — сервер видит ваш IP; а дальше всё зависит от добросовестности автора. Открывайте только известные и нужные.

Итог: чары рассеиваются

Телеграм-боты не обладают сверхспособностями: они опираются на ваше действие (клик/кнопка/оплата/паспорт) и на веб. Чтобы не «светить» IP и телефон, достаточно базовой гигиены: не делиться контактом, не открывать мусорные ссылки, держать P2P-звонки выключенными и следить за правами ботов в группах. Пара минут в настройках — и большая часть «страшилок» превращается в пшик.

Полезные ссылки

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь
article-title

Юрий Кочетов

Здесь я делюсь своими не самыми полезными, но крайне забавными мыслями о том, как устроен этот мир. Если вы устали от скучных советов и правильных решений, то вам точно сюда.