Как не нужно отправлять ссылки в Telegram

[Jakkan]

Еще в 2021 году, изучая репорты с HackerOne, нашел интересное применение некоторым символам в мессенджере Telegram. Объясню суть сразу на примере:

Предположим, что вы злоумышленник, у которого есть 2 фишинговых домена:

1. 
   web.tel​
   
2. 
   egram.org​
   

По отдельности они не внушают доверия. Но если их объединить, то можно получить web.telegram.org.

Так вот, с помощью некоторых символом действительно можно визуально объединить 2 разных домена, хотя в самом сообщении они будут кликабельны отдельно друг от друга. Для этого достаточно перейти сюда и выбрать один из понравившихся:

1. 
   https://unicode-table.com/en/2066/​
   
2. 
   https://unicode-table.com/en/2067/​
   
3. 
   https://unicode-table.com/en/2068/​
   
4. 
   https://unicode-table.com/en/2069/​
   
5. 
   https://unicode-table.com/en/180E/​
   

Уверен, что можно найти даже больше таких символов, но зачем? Перейдем к процессу создания такого сообщения и демонстрации результата.
Я использую Web-версию Telegram для теста, но возможно все это будет работать и с приложением Telegram для ПК или телефона.

Вписываем первый домен web.tel, переходим по одной из ссылок и копируем понравившийся символ, вставляем его сразу после первого домена через Ctrl + V, дописываем второй домен egram.org, отправляем, получаем результат. А вот как это выглядит:

Кусок HTML с этим сообщением:

Визуально это просто домен третьего уровня, на практике это 2 разных домена второго уровня, при клике по левой части сообщения пользователь будет перенаправлен на первый фишинговый домен. При клике по правой части сообщения - на второй. С приложения Telegram для телефона все работает аналогично, отображается одинаково.

Нужно ли это? Вопрос риторический. Забавно ли это? Да.

P.S. И да, это работает не только в Телеге

 

[Xanthias]

Круто, но при наведении курсора видно так

 

[Jakkan]

Круто, но при наведении курсора видно так

Да, видно. С телефона менее заметно, хотя если зажать ссылку, то тоже можно заметить подвох. Не суть важно, потому что линк будет видно в адресной строке. Расчет разве что на невнимательность.

P.S. На Web Telegram K версии ссылка подчеркнута всегда, поэтому при наведении такого не будет.

 

[Aleksich]

Я конечно не спец, но не проще сделать таким образом? https://ibb.co/TM1DW0V

 

[GenaReshala]

Я конечно не спец, но не проще сделать таким образом? https://ibb.co/TM1DW0V

Такого нет в тг? что ты скинул вообще?

 

[Aleksich]

Такого нет в тг? что ты скинул вообще?

Это софт для рассылки, если человек будет рассылать подобного рода сообщения, то вполне возможно что он ему необходим

 

[Jakkan]

Это софт для рассылки, если человек будет рассылать подобного рода сообщения, то вполне возможно что он ему необходим

Речь идет не только о Телеге. Это работает и в других популярных мессенджерах. Не везде есть возможность прописать алиас для ссылки.

 

[Aleksich]

Речь идет не только о Телеге. Это работает и в других популярных мессенджерах. Не везде есть возможность прописать алиас для ссылки.

Да я соглашусь, но в названии темы было про Тг указано, думал что про нее и речь. Если такие ссылки можно использовать в других мессенджерах, то это круто

 

[BendrickGood]

Не знал про это)Пригодиться

 

[Viktor94]

Ахах, годно, молодёжь уверен поведётся вне зависимости от гео

 

[MuggerMan]

Наоборот как нужно отправлять ссылки телеграм (если тебе что-то нужно

 

[NyaMan]

да уж, не знал о таком даже

 

[GenaReshala]

Это софт для рассылки, если человек будет рассылать подобного рода сообщения, то вполне возможно что он ему необходим

Напиши в лс пожалуйста что за софт (Как называется)