Telegram （後簡稱TG）平台作為一個開放的、自由的、支持相對隱私和匿名特性的IM，其在加密貨幣行業往往用作對外交流溝通、組建社群的唯一公開平台。同樣也因此，基於TG平台的盜號、社會工程學欺詐盛出不窮，有數據表明大量用戶或機構都在TG中被攻擊導致相關損失。基於此種現狀，IS 根據TG平台的相關特性，提出以下5點關於TG平台的安全基線要求，希望大家務必完成加固。

 

1. 啟用 Passcode Lock

因TG一旦在終端登錄（移動端），除非手動退出或者更新密碼，其會話會一直保持6個月（默認）有效，為了避免其登錄會話被非授權人員直接使用（竊取手機，非授權發送消息），需要開啟Passcode Lock；此功能確保用戶在切換出TG會話頁面後，當重新打開或進入TG都需要進行passcode 認證（根據移動終端情況，可支持指紋或face id）。

​

2. 啟用2FA

為防止密碼竊取、爆破或換卡攻擊，需要對TG賬號啟用MFA

3. 設置隱私

默認情況下，TG 中的個人隱私數據過於開放，典型如其中 Phone Number。

對其中對 各項 Privacy 數據設置相關權限，建議對針對其中 Phone Number，Last Seen & Online ，Calls，Groups and channels  四項至少設置為 “My Contacts “ 

Phone Number：影響其他用戶對自身電話號碼查看權限，建議設置為 “僅聯繫人”
Last Seen & Online ：影響其他用戶對自身帳戶的登陸狀態的查看權限，建議設置為 “僅聯繫人”
Calls：影響其他用戶對自身發起語音電話的權限，建議設置為 “僅聯繫人”
Groups&Channels: 影響其他用戶是否允許能夠直接邀請你進入groups 或 channels 的權限， 建議設置為 “僅聯繫人”

 

4. TG 賬號唯一標識符識別

TG中對話框中默認顯示的是用戶的 “name” （nickname），此屬性允許賬戶任意設置且不唯一，容易被攻擊者誤導欺詐。

在必要的情況下，可以通過識別 account，channel，bot，group 中的唯一ID號來驗證對應對象合法性

Channel，public group：點擊channel 或 group 的圖標，進入其info 頁面，可以觀測到其一個邀請鏈接，典型如 t.me/[xxxxxx] ,其後的[xxxxxx] 即為查看對象的唯一標識符

Account，bot ：點擊對應頭像，進入其信息頁面 ，查看其 username （@xxxxxx）或 Mobile ，其數據為相關對象的唯一標識符，其中username 允許賬戶隨時更新，但因受到username 唯一性約束，其無法修改成與仿冒對像一模一樣的樣式。

    

 

5. 查看有效登錄會話 

通過 Settings - Devices 進入對應頁面，可以看到自身賬戶的已登錄會話和設備，一旦發現可疑設備登錄或會話，應即時報告。