Telegram remains a primary distribution channel for drainer campaigns because trust can be manufactured quickly and links spread in seconds. Teams that rely only on blacklist checks often miss zero-day campaign domains. The effective approach combines message semantics, domain intelligence, and wallet-risk controls.Telegram остаётся ключевым каналом распространения drainer-кампаний, потому что доверие формируется быстро, а ссылки распространяются за секунды. Команды, которые полагаются только на blacklist-checks, часто пропускают zero-day домены кампаний. Эффективный подход объединяет семантику сообщений, доменную разведку и wallet-риск контроли.
Early warning language patternsРанние языковые паттерны
- Urgency package: “act now”, “limited slot”, “claim expires in minutes”.Пакет срочности: «действуй сейчас», «ограниченный слот», «claim истекает через минуты».
- Wallet coercion: “connect wallet”, “verify wallet”, “sign to continue”.Принуждение к wallet-действию: «подключи кошелёк», «проверь кошелёк», «подпиши для продолжения».
- Trust pretext: fake admin/support identity and pseudo-official branding.Pretext доверия: фейковая идентичность админа/поддержки и псевдоофициальный брендинг.
- Suppression phrase: “don’t ask in public”, “follow instructions privately”.Фразы подавления: «не спрашивай публично», «следуй инструкциям в личке».
Infrastructure signs before lossИнфраструктурные признаки до потерь
- Domain age under 7-30 days, suspicious TLD, and poor registrar profile.Возраст домена менее 7-30 дней, подозрительная TLD и слабый профиль регистратора.
- Redirect chain mismatch between shared link and final destination.Несоответствие redirect-chain между исходной и финальной точкой перехода.
- Punycode or lookalike brand domain in campaign messages.Punycode или lookalike бренд-домен в кампанийных сообщениях.
- Repeated wallet address clusters across multiple chats.Повтор одних и тех же wallet-кластеров в разных чатах.
Moderation response in Telegram groupsОтвет модерации в Telegram-группах
Reason-code mapping for drainer scenariosКарта reason-codes для drainer-сценариев
Typical combinations are DRAINER_PATTERN + URGENCY_PRESSURE + NEW_DOMAIN, or QUISHING + REDIRECT_MISMATCH + CONTACT_MISMATCH. For advanced attacks, ADDRESS_POISONING and NEW_WALLET_HIGH_VALUE provide additional confidence for financial fraud context.Типовые комбинации: DRAINER_PATTERN + URGENCY_PRESSURE + NEW_DOMAIN, либо QUISHING + REDIRECT_MISMATCH + CONTACT_MISMATCH. Для сложных атак ADDRESS_POISONING и NEW_WALLET_HIGH_VALUE добавляют уверенность в контексте финансового мошенничества.
Practical checklist for adminsПрактический чеклист для админов
- Pin policy: never sign wallet requests from chat links.Закрепить policy: не подписывать wallet-запросы по ссылкам из чата.
- Use dedicated announcement channels with restricted posting rights.Использовать отдельные announcement-каналы с ограниченными правами публикации.
- Review moderation diagnostics weekly and tune thresholds.Еженедельно проверять диагностику модерации и корректировать пороги.
- Run monthly drill: simulate drainer campaign and validate response speed.Проводить ежемесячный drill: имитировать drainer-кампанию и проверять скорость реакции.
The objective is simple: reduce time from first malicious message to irreversible user action. In Telegram, minutes matter more than model complexity.Цель проста: сократить время от первого вредоносного сообщения до необратимого действия пользователя. В Telegram важнее минуты реагирования, чем сложность модели.
Activate Telegram drainer protectionАктивировать защиту Telegram от drainer-атак