Nalon 9
Newbie
- 07.05.2026
- 1
- 0
- Специализация
- Реверс-инжиниринг
- Криптография
Добрый день. Вопрос у меня конечно странный но нужно коллективное мнение по работе социальной сети и оповещение СБ. Возможно кто-то из Вас подметит что-то ещё из своей сферы исследований.
С начала апреля месяца 2026 года все URL-ссылки социальной сети в контакте наиболее похожи на внедренные в структуру «команды управления ботсетью» и «грязный сигнал радиообмена в шумах». Проще говоря, для меня(Исследователь ASCII) ссылки социальной сети больше похожи на стенографические фрагменты из какого-то лога передачи данных, нежели на что-то обыденное. Просто типичный токен платформы выглядит как монотонный набор букв и цифр, но сейчас «буквально глаз цепляется» это больше похоже на стенографическую структуру характерную для радиоперехвата. Чтобы более наглядно показать Вам суть вопроса рассмотрим всё на примере верифицированных аккаунтов «групп из белых списков» и обычного объявления из мелкой группы аниме-фестиваля, дабы стразу отбросить все домыслы «о том что какие-то группы делают что-то неправомерное» или «это банальная накрутка».
Аргументы в пользу версии о «взломе системы платформы»:
1) С конца марта 2026 бот группы ВКБезопасность зациклен и не переключает на оператора. Все жалобы пользователей, которых накопилось свыше 20 тысяч "о ботах", "о спаме", "об активности аккаунтов помеченных как УДАЛЁННЫЕ" - были кем-то потёрты 26 апреля и удалены до 11 марта.
2) Любые сообщения о бот-активности, возможной кибер атаке и прочих угрозах, написанные на официальные почты платформы- возвращаются как неотправленные на уровне Интерком. Такое возможно, если кто-то занёс конкретные теги слова и темы в фильтры корпоративной почтовой системы Интерком Вконтакте и пометил их как спам.
3) С учётом полного бездействия Администраторов и Модераторов платформы на протяжении длительного периода - предполагаю возможность полной компроментации и перехвата панели управления данной соцсетью. Похоже у них «всё хорошо и нет никаких нарушений и жалоб» потому что они банально отрезаны от управления системой и не могут или не хотят анализировать её без использования автоматических алгоритмов и фильтров.
4) Стелс-передача: Ссылки на платформе замаскированы под обычное приглашение в чат или сокращённые ссылки, но внутри они несут полезную нагрузку. Обычный модератор или фильтр увидит просто ссылку, в то время как это фактически стенография которая довольно просто читается по n-скользящим акронимам со своводными словарями двух видов: военное радиовещание и програмирование-хакерство.
5) Скомпрометированный алгоритм генерации и изменение типа шифрования платформы.
Пример 1.: Музей морского и речного флота - ВКонтакте | ВКонтакте
Все современные сервисы платформы (и away.php, и vk.cc) принудительно работают через защищенный протокол HTTPS. В этих ссылках в параметре to= указан протокол http (http%3A%2F%2F) - ссылки деградированы до HTTP, чтобы обойти некоторые протоколы шифрования и быть считанными простейшими перехватчиками, в том числе и ручным методом. Наличие HTTP в официальных ссылках платформы практически невозможно с 2024 года . Это признак того, что ссылки генерировались сторонним софтом, имитирующим структуру платформы, но использующим устаревший или упрощенный алгоритм, что характерно для ботнетов или систем скрытой передачи данных.
С точки зрения дешифровки «грязного сигнала» разные префиксы - это Смена регистра похожее на переключение частот или прыгающие частоты для обхода автоматического анализа трафика.
utf=1 в конце при использовании http в начале это технический абсурд - система запрашивает строгую кодировку текста (utf=1), но при этом передает данные по открытому, незащищенному протоколу (http). Это прямое доказательство «взлома логики»: Ссылка создана так, чтобы выглядеть «умной» и «официальной» для фильтров, но по факту она открывает «дыру в безопасности» (переход по HTTP).
Общее у такого типа ссылок это 6 символов в хвосте, что характерно для контейнеров фиксированной длиной.
Пример 2.: Музей музыки - ВКонтакте | ВКонтакте
Сервис vk.cc использует для генерации хвоста набор из 62 символов (латиница в двух регистрах + цифры).
Обратите внимание на 19 ссылок подряд с одинаковым базовым фрагментом cX2 - математическая вероятность что 19 ссылок подряд будут иметь одинаковый префикс из трех символов (cX2) при стандартной работе алгоритмов сокращения ссылок = 0%. Это главный математический признак того, что перед нами не случайная генерация, а структурированный массив данных (криптоконтейнер).
То, что префикс cX2 остается неизменным, а меняются только последние 3 символа (f66 и далее), превращает эти ссылки в регистры памяти:
где cX2 - это «ID сессии» или «заголовок пакета» / f66... и т.д - это поле данных / %3A%2F%2F и &utf=1 - как и в предыдущих случаях, это техническая обманка, которая делает контейнер незаметным для програмных фильтров. Кроме того, обычно ссылки в контакте vk.cc используются для маскировки длинных адресов. Но здесь буквально двойная обертка: vk.com/away.php -> vk.cc.
Если это и нужно, то только чтобы скрыть конечный адрес даже от самых простых парсеров. Если Вплатформа взломана, то такая цепочка позволяет пробрасывать команды через двойной туннель.
Пример 3. : Ссылка-стенограмма внутри обычного объявления молодёжного фестиваля Акамару содержит в структуре элементы: ВКонтакте | ВКонтакте
Очень чёткая стенографическая конструкция. Данная ссылка похожа на радиограмму-ключ где англо-русский технический сленг зашифрован методом Leet Speak (замена букв похожими цифрами). Проще говоря, звучит как английская речь, но записана так, чтобы пройти через фильтры кириллических соцсетей. Дешифровка: Me join Seven-Of-You-V I Thank You Exact(Exactly) Each One Creek(Krik) Frequency 6-G-0-4 = Позвольте присоединиться к вашей семерке(к сектор/каналу 7-0-U-V) . Благодарю(Подтверждаю). Ровно один объект(видимо "Крик" это Позывной) на 6.04(G это обозначение частот). Off(Конец связи).
1. Визуальная структура «грязного сигнала»:
1) Чередование регистров и спецсимволов: Использование нижнего подчеркивания _ и резкая смена Xag7EJ... визуально напоминает скачки частоты или помехи, зафиксированные графопостроителем.
2) Замирание сигнала: Фрагмент _Y1n выглядит как разрыв в передаче данных, который стенографист пометил символом паузы.
3) Избыточность в конце: Хвост 6G04 выбивается из стандартной длины токенов, что похоже на «хвост» шума после завершения передачи сообщения.
4) Цифры вместо букв: 0 может быть буквой O, 5 - буквой S, 1 - буквой l или I.
5) Служебные символы: Нижнее подчеркивание _ в стенограммах обычно означает паузу, помеху или пропущенный звук.
me join(Mechanical joint) → May join (Механическое соединение)
70U - 70 units (70 единиц / вольт / градусов) / v i 5 - v-i-five (Версия интерфейса 5) / 70Uv (Seven Zero Uniform Victor) - Seven of You (Позывной или квадрат сетки 70-U-V) / i 5KqU (I five kilo Quebec Uniform) - in Thank You (фонетическое созвучие) (Информационный код или частота)
KqU - K-Q-U (Обозначение узла или порта подключения) / Xag7 (X-ray Alpha Golf Seven / Exactly) (Длинный серийный номер оборудования или зашифрованный ключ доступа) / EJ_Y1n (one) , Cr1q (for the) , FhaCY6G04 (young / young generation).
2. Аномалии, нехарактерные для платформы:
Если бы это была стандартная ссылка, она бы подчинялась правилам безопасности платформы. В данном случае есть признаки «подделки»:
1) Фонетическая осмысленность префикса: Стандартные токены - это случайный хеш. Здесь же «человекочитаемость» что практически невозможно. Рандомная ссылка читается как фонетическая англоязычная стенография показывает что генератор ссылок платформы перехвачен и вместо случайных данных он начал выдавать сообщения на естественном языке, замаскированные под код - это признак того, что код генерировался вручную или модифицированным алгоритмом.
2) Слишком высокая концентрация цифр-заменителей: В реальных ссылках цифры распределены равномерно. Здесь же мы видим 70Uv и 5KqU - это классический прием шифрования, где цифры заменяют буквы для обхода автоматических фильтров безопасности. Если «платформа взломана», такие вставки могут служить маркерами для ботнетов, которые игнорируют обычные ссылки, но считывают эти коды.
3) Отсутствие стандартного кодирования Base64: Ссылки платформы обычно используют стандартный набор символов.
Наличие логических пауз (пробелов) в стенограмме говорит о том, что это дискретный сигнал, который был насильно «впихнут в формат ссылки», чтобы система его пропустила.
4) Использование домена .me как прикрытия: Короткий домен vk.me часто менее строго модерируется внутренними антифрод-системами, что делает его идеальным туннелем для вывода зашифрованных данных из взломанной сети.
Пример 4.: Музей МХАТ - ВКонтакте | ВКонтакте
Аномальные «хвосты» (Параметры UTF и ID):
vk.com/away.php?to= это внутренний шлюз в контакте для защиты пользователей от вредоносных сайтов, хорошо. Но, в случае взлома системы этот шлюз превращается в инструмент тотальной слежки и кражи цифровых данных пользователей. Вместо того чтобы отправить пользователя на сайт музея напрямую, переход заворачивается в свою оболочку, фиксируя IP, время клика и уникальный ID сессии пользователя и кому уходят эти данные большой вопрос.
Символы %3A%2F%2F как часть криптоконтейнера или стеганографического сообщения: антивирусы, сетевые экраны обучены игнорировать %3A%2F%2F, так как это стандартный элемент веб-адреса. Но в "множественных поддельных ссылках" эти символы служат маркерами начала и конца зашифрованного блока и математически в этой системе они работают как логический XOR (исключающее ИЛИ) или разделитель, где %3A как начало заголовка, а %2F%2F путь. Злоумышленник использует легитимный механизм интернета (URL Encoding), чтобы создать «шумовую завесу» для передачи команд управления ботнетом(C&C).
Параметр &utf=1 указывает на кодировку, но в контексте стенограммы это выглядит как маркер. В обычной системе продажи билетов номера экскурсий могут идти вразнобой и чаще utf=0 а не 1. Но, такая строгая математическая последовательность в хвостах больше похожа на перебор портов или кодирование сообщения внутри массива ссылок. Обратите внимание на последовательность цифровых индексов в конце: 109 - 113 - 117 это цифровой инкремент с шагом в 4 единицы. В цифровой технике 4 байта это размер стандартного машинного слова (32 бита). Это указывает на то, что данные в контейнере нарезаны на блоки по 32 бита. Соответственно это дешифровать с помощью ASCII-кодов: 113-109=4 / 117-113=4/ 1006 как 10(J)+06(F) или шестнадцатеричное 0х3EE. Где 109(M) 113(G) 117(U). Также эти цифры имеют некую симметрию похожую на колебание относительно центральной точки 113 - похоже на запись амплитуды сигнала или отклонения частоты в радиообмене, где 113 как несущая частота а +4 -4 как модуляции, тогда 1006 математически может быть контрольной суммой трёх чисел.
Перед нами командный пакет, состоящий из трех параметров состояния и одного триггера (1006). Математическая симметрия (-4 113 +4) показывает искусственное происхождение этих ссылок. В моём понимании это не случайный сгенерированный URL, а искусственная программная стенографически защищённая от системы безопасности последовательность.
Пример 5.: Детский мир - ВКонтакте | ВКонтакте
Общий префикс: cXwK 4 символа из 6 идентичны. Это означает, что ссылки созданы синхронно, в одну и ту же секунду или в рамках одной и той же итерации алгоритма. Анализ по ASCI: В первой ссылке: M (13 буква) и e (5 буква). Во второй ссылке: Q(17 буква) и I(9 буква). Разница между первыми буквами пар опять составляет 4, это строгий математический шаг и не случайная генерация. Система выдает блоки данных с фиксированным смещением, равным 4. Это подтверждает теорию о том, что ссылки являются ячейками одной ленты данных.
Опять признаки «грязного сигнала или дискретного пакетирования». Тот факт, что две разные ссылки имеют столь близкие ID, указывает на то, что алгоритм генерации vk.cc перехвачен и принудительно выдает значения из узкого диапазона, что крайне странно.
С начала апреля месяца 2026 года все URL-ссылки социальной сети в контакте наиболее похожи на внедренные в структуру «команды управления ботсетью» и «грязный сигнал радиообмена в шумах». Проще говоря, для меня(Исследователь ASCII) ссылки социальной сети больше похожи на стенографические фрагменты из какого-то лога передачи данных, нежели на что-то обыденное. Просто типичный токен платформы выглядит как монотонный набор букв и цифр, но сейчас «буквально глаз цепляется» это больше похоже на стенографическую структуру характерную для радиоперехвата. Чтобы более наглядно показать Вам суть вопроса рассмотрим всё на примере верифицированных аккаунтов «групп из белых списков» и обычного объявления из мелкой группы аниме-фестиваля, дабы стразу отбросить все домыслы «о том что какие-то группы делают что-то неправомерное» или «это банальная накрутка».
Аргументы в пользу версии о «взломе системы платформы»:
1) С конца марта 2026 бот группы ВКБезопасность зациклен и не переключает на оператора. Все жалобы пользователей, которых накопилось свыше 20 тысяч "о ботах", "о спаме", "об активности аккаунтов помеченных как УДАЛЁННЫЕ" - были кем-то потёрты 26 апреля и удалены до 11 марта.
2) Любые сообщения о бот-активности, возможной кибер атаке и прочих угрозах, написанные на официальные почты платформы- возвращаются как неотправленные на уровне Интерком. Такое возможно, если кто-то занёс конкретные теги слова и темы в фильтры корпоративной почтовой системы Интерком Вконтакте и пометил их как спам.
3) С учётом полного бездействия Администраторов и Модераторов платформы на протяжении длительного периода - предполагаю возможность полной компроментации и перехвата панели управления данной соцсетью. Похоже у них «всё хорошо и нет никаких нарушений и жалоб» потому что они банально отрезаны от управления системой и не могут или не хотят анализировать её без использования автоматических алгоритмов и фильтров.
4) Стелс-передача: Ссылки на платформе замаскированы под обычное приглашение в чат или сокращённые ссылки, но внутри они несут полезную нагрузку. Обычный модератор или фильтр увидит просто ссылку, в то время как это фактически стенография которая довольно просто читается по n-скользящим акронимам со своводными словарями двух видов: военное радиовещание и програмирование-хакерство.
5) Скомпрометированный алгоритм генерации и изменение типа шифрования платформы.
Пример 1.: Музей морского и речного флота - ВКонтакте | ВКонтакте
Все современные сервисы платформы (и away.php, и vk.cc) принудительно работают через защищенный протокол HTTPS. В этих ссылках в параметре to= указан протокол http (http%3A%2F%2F) - ссылки деградированы до HTTP, чтобы обойти некоторые протоколы шифрования и быть считанными простейшими перехватчиками, в том числе и ручным методом. Наличие HTTP в официальных ссылках платформы практически невозможно с 2024 года . Это признак того, что ссылки генерировались сторонним софтом, имитирующим структуру платформы, но использующим устаревший или упрощенный алгоритм, что характерно для ботнетов или систем скрытой передачи данных.
С точки зрения дешифровки «грязного сигнала» разные префиксы - это Смена регистра похожее на переключение частот или прыгающие частоты для обхода автоматического анализа трафика.
utf=1 в конце при использовании http в начале это технический абсурд - система запрашивает строгую кодировку текста (utf=1), но при этом передает данные по открытому, незащищенному протоколу (http). Это прямое доказательство «взлома логики»: Ссылка создана так, чтобы выглядеть «умной» и «официальной» для фильтров, но по факту она открывает «дыру в безопасности» (переход по HTTP).
Общее у такого типа ссылок это 6 символов в хвосте, что характерно для контейнеров фиксированной длиной.
Пример 2.: Музей музыки - ВКонтакте | ВКонтакте
Сервис vk.cc использует для генерации хвоста набор из 62 символов (латиница в двух регистрах + цифры).
Обратите внимание на 19 ссылок подряд с одинаковым базовым фрагментом cX2 - математическая вероятность что 19 ссылок подряд будут иметь одинаковый префикс из трех символов (cX2) при стандартной работе алгоритмов сокращения ссылок = 0%. Это главный математический признак того, что перед нами не случайная генерация, а структурированный массив данных (криптоконтейнер).
То, что префикс cX2 остается неизменным, а меняются только последние 3 символа (f66 и далее), превращает эти ссылки в регистры памяти:
где cX2 - это «ID сессии» или «заголовок пакета» / f66... и т.д - это поле данных / %3A%2F%2F и &utf=1 - как и в предыдущих случаях, это техническая обманка, которая делает контейнер незаметным для програмных фильтров. Кроме того, обычно ссылки в контакте vk.cc используются для маскировки длинных адресов. Но здесь буквально двойная обертка: vk.com/away.php -> vk.cc.
Если это и нужно, то только чтобы скрыть конечный адрес даже от самых простых парсеров. Если Вплатформа взломана, то такая цепочка позволяет пробрасывать команды через двойной туннель.
Пример 3. : Ссылка-стенограмма внутри обычного объявления молодёжного фестиваля Акамару содержит в структуре элементы: ВКонтакте | ВКонтакте
Очень чёткая стенографическая конструкция. Данная ссылка похожа на радиограмму-ключ где англо-русский технический сленг зашифрован методом Leet Speak (замена букв похожими цифрами). Проще говоря, звучит как английская речь, но записана так, чтобы пройти через фильтры кириллических соцсетей. Дешифровка: Me join Seven-Of-You-V I Thank You Exact(Exactly) Each One Creek(Krik) Frequency 6-G-0-4 = Позвольте присоединиться к вашей семерке(к сектор/каналу 7-0-U-V) . Благодарю(Подтверждаю). Ровно один объект(видимо "Крик" это Позывной) на 6.04(G это обозначение частот). Off(Конец связи).
1. Визуальная структура «грязного сигнала»:
1) Чередование регистров и спецсимволов: Использование нижнего подчеркивания _ и резкая смена Xag7EJ... визуально напоминает скачки частоты или помехи, зафиксированные графопостроителем.
2) Замирание сигнала: Фрагмент _Y1n выглядит как разрыв в передаче данных, который стенографист пометил символом паузы.
3) Избыточность в конце: Хвост 6G04 выбивается из стандартной длины токенов, что похоже на «хвост» шума после завершения передачи сообщения.
4) Цифры вместо букв: 0 может быть буквой O, 5 - буквой S, 1 - буквой l или I.
5) Служебные символы: Нижнее подчеркивание _ в стенограммах обычно означает паузу, помеху или пропущенный звук.
me join(Mechanical joint) → May join (Механическое соединение)
70U - 70 units (70 единиц / вольт / градусов) / v i 5 - v-i-five (Версия интерфейса 5) / 70Uv (Seven Zero Uniform Victor) - Seven of You (Позывной или квадрат сетки 70-U-V) / i 5KqU (I five kilo Quebec Uniform) - in Thank You (фонетическое созвучие) (Информационный код или частота)
KqU - K-Q-U (Обозначение узла или порта подключения) / Xag7 (X-ray Alpha Golf Seven / Exactly) (Длинный серийный номер оборудования или зашифрованный ключ доступа) / EJ_Y1n (one) , Cr1q (for the) , FhaCY6G04 (young / young generation).
2. Аномалии, нехарактерные для платформы:
Если бы это была стандартная ссылка, она бы подчинялась правилам безопасности платформы. В данном случае есть признаки «подделки»:
1) Фонетическая осмысленность префикса: Стандартные токены - это случайный хеш. Здесь же «человекочитаемость» что практически невозможно. Рандомная ссылка читается как фонетическая англоязычная стенография показывает что генератор ссылок платформы перехвачен и вместо случайных данных он начал выдавать сообщения на естественном языке, замаскированные под код - это признак того, что код генерировался вручную или модифицированным алгоритмом.
2) Слишком высокая концентрация цифр-заменителей: В реальных ссылках цифры распределены равномерно. Здесь же мы видим 70Uv и 5KqU - это классический прием шифрования, где цифры заменяют буквы для обхода автоматических фильтров безопасности. Если «платформа взломана», такие вставки могут служить маркерами для ботнетов, которые игнорируют обычные ссылки, но считывают эти коды.
3) Отсутствие стандартного кодирования Base64: Ссылки платформы обычно используют стандартный набор символов.
Наличие логических пауз (пробелов) в стенограмме говорит о том, что это дискретный сигнал, который был насильно «впихнут в формат ссылки», чтобы система его пропустила.
4) Использование домена .me как прикрытия: Короткий домен vk.me часто менее строго модерируется внутренними антифрод-системами, что делает его идеальным туннелем для вывода зашифрованных данных из взломанной сети.
Пример 4.: Музей МХАТ - ВКонтакте | ВКонтакте
Аномальные «хвосты» (Параметры UTF и ID):
vk.com/away.php?to= это внутренний шлюз в контакте для защиты пользователей от вредоносных сайтов, хорошо. Но, в случае взлома системы этот шлюз превращается в инструмент тотальной слежки и кражи цифровых данных пользователей. Вместо того чтобы отправить пользователя на сайт музея напрямую, переход заворачивается в свою оболочку, фиксируя IP, время клика и уникальный ID сессии пользователя и кому уходят эти данные большой вопрос.
Символы %3A%2F%2F как часть криптоконтейнера или стеганографического сообщения: антивирусы, сетевые экраны обучены игнорировать %3A%2F%2F, так как это стандартный элемент веб-адреса. Но в "множественных поддельных ссылках" эти символы служат маркерами начала и конца зашифрованного блока и математически в этой системе они работают как логический XOR (исключающее ИЛИ) или разделитель, где %3A как начало заголовка, а %2F%2F путь. Злоумышленник использует легитимный механизм интернета (URL Encoding), чтобы создать «шумовую завесу» для передачи команд управления ботнетом(C&C).
Параметр &utf=1 указывает на кодировку, но в контексте стенограммы это выглядит как маркер. В обычной системе продажи билетов номера экскурсий могут идти вразнобой и чаще utf=0 а не 1. Но, такая строгая математическая последовательность в хвостах больше похожа на перебор портов или кодирование сообщения внутри массива ссылок. Обратите внимание на последовательность цифровых индексов в конце: 109 - 113 - 117 это цифровой инкремент с шагом в 4 единицы. В цифровой технике 4 байта это размер стандартного машинного слова (32 бита). Это указывает на то, что данные в контейнере нарезаны на блоки по 32 бита. Соответственно это дешифровать с помощью ASCII-кодов: 113-109=4 / 117-113=4/ 1006 как 10(J)+06(F) или шестнадцатеричное 0х3EE. Где 109(M) 113(G) 117(U). Также эти цифры имеют некую симметрию похожую на колебание относительно центральной точки 113 - похоже на запись амплитуды сигнала или отклонения частоты в радиообмене, где 113 как несущая частота а +4 -4 как модуляции, тогда 1006 математически может быть контрольной суммой трёх чисел.
Перед нами командный пакет, состоящий из трех параметров состояния и одного триггера (1006). Математическая симметрия (-4 113 +4) показывает искусственное происхождение этих ссылок. В моём понимании это не случайный сгенерированный URL, а искусственная программная стенографически защищённая от системы безопасности последовательность.
Пример 5.: Детский мир - ВКонтакте | ВКонтакте
Общий префикс: cXwK 4 символа из 6 идентичны. Это означает, что ссылки созданы синхронно, в одну и ту же секунду или в рамках одной и той же итерации алгоритма. Анализ по ASCI: В первой ссылке: M (13 буква) и e (5 буква). Во второй ссылке: Q(17 буква) и I(9 буква). Разница между первыми буквами пар опять составляет 4, это строгий математический шаг и не случайная генерация. Система выдает блоки данных с фиксированным смещением, равным 4. Это подтверждает теорию о том, что ссылки являются ячейками одной ленты данных.
Опять признаки «грязного сигнала или дискретного пакетирования». Тот факт, что две разные ссылки имеют столь близкие ID, указывает на то, что алгоритм генерации vk.cc перехвачен и принудительно выдает значения из узкого диапазона, что крайне странно.
