Аудит мессенджеров для юрфирмы 35 РМ: Telegram, MAX, «Телега»

К нам в ITfresh обратилась юридическая фирма из района Чистых прудов — 35 рабочих мест, специализация на сделках M&A и корпоративных спорах. Управляющий партнёр поставил задачу прямо: «Хочу понимать, в каком из четырёх мессенджеров наши юристы ведут переписку с клиентами — и что нам делать, если завтра один из них заблокируют, скомпрометируют или утекут серверы». За 9 дней мы перебрали Telegram, MAX, неофициальные форки («Телега»), VK Teams и Signal, написали матрицу рисков на 27 строк, регламент переписки и развернули корпоративный сервер. Эта статья — нерекламный технический разбор каждого из них.

Зачем юрфирме отдельный аудит мессенджеров

В юридической практике есть три типа переписки, которые принципиально разные по чувствительности. Первая — внутренняя кухня (распределение задач, графики, шаблоны). Вторая — переписка с клиентом по делу (адвокатская тайна, конфиденциальные стратегии, копии паспортов). Третья — переписка с контрагентами и в судах (формальные уведомления, иногда персональные данные третьих лиц).

Безопасность каждого канала разная, и упаковывать всё в один Telegram — это риск. У нашего клиента до аудита 32 из 35 юристов вели всю переписку в Telegram, включая M&A-документы стоимостью миллиарды рублей. Один скомпрометированный аккаунт партнёра — и копии договоров уходят к конкурентам по сделке.

Главная фраза, которая останавливает любого партнёра: в адвокатской деятельности утечка переписки = конец профессиональной репутации, и не только перед клиентом, но и перед адвокатской палатой. После этой фразы бюджет на аудит обычно выделяется без вопросов.

Этап 1. Сбор фактуры — какие мессенджеры реально используются

Прежде чем что-то рекомендовать, я выяснил, что у клиента в реальности. Через MDM (Microsoft Intune) выгрузил список приложений с 35 устройств, плюс провёл 20-минутные интервью с 12 юристами разных отделов. Картина:

• 35 из 35 — Telegram (Telegram Desktop на ПК + мобильный клиент);
• 28 из 35 — WhatsApp (для общения с международными контрагентами);
• 12 из 35 — MAX (поставили в начале 2025 года из патриотических соображений);
• 8 из 35 — Signal (молодые юристы для особо чувствительных обсуждений);
• 4 из 35 — какие-то форки Telegram («Телега», «Telega Plus», «TG X»);
• 3 из 35 — Slack (остался после старого международного клиента);
• 0 из 35 — VK Teams.

Самая тревожная цифра — 4 устройства с неофициальными форками Telegram. Эти приложения ставились через ссылки в самом Telegram («попробуй вот эту улучшенную версию»), без проверки источников.

Анализ форков «Телега»

Я вытащил эти 4 APK через ADB и прогнал через MobSF и jadx по той же методике, что описывал в кейсе про мобильный аудит. Результат:

• «Telegram Plus 7.4» — модифицированный клиент TDLib с включённым логгированием набираемого текста в локальный файл и периодической отправкой логов на сервер автора форка. По сути — встроенный кейлоггер.
• «Телега Х» — обычный клиент Telegram с встроенным AdMob SDK, который собирает aaid и геолокацию для рекламной сети. Малварь не нашёл, но риск утечки метаданных есть.
• «TG Black» — APK без подписи Google Play, при первом запуске запрашивает Accessibility Service и SYSTEM_ALERT_WINDOW. Классические признаки Banker-инфостилера. Удалить немедленно.
• «Telegram Mod by ZX» — модифицированный клиент с возможностью читать сообщения других пользователей в общих чатах через серверный API без флага «прочитано». Это нарушение Privacy Telegram, но не малварь.

В отчёте партнёру я отметил: 4 устройства с этими форками — потенциальная утечка адвокатской тайны. Удалить в первый день, переустановить официальный Telegram с tdesktop.com или из Google Play.

Этап 2. Сравнение мессенджеров по матрице безопасности

Дальше — детальный технический разбор. Я составил матрицу из 9 параметров и пробил по ним каждый вариант:

• Тип шифрования (E2EE / транзит / none);
• Расположение серверов;
• Соответствие 152-ФЗ;
• Возможность экспорта переписки для аудита;
• Поддержка корпоративных аккаунтов (SSO, MDM);
• Двухфакторная аутентификация;
• Безопасность облачного бэкапа;
• Уязвимость к фишингу под бренд;
• Возможность self-host (для критичных данных).

Telegram

Облачные чаты Telegram используют MTProto 2.0 в режиме «клиент-сервер шифрование», но сами сервера могут читать содержимое. Ключи сервера распределены по странам (Telegram заявляет: запрос на расшифровку требует постановления судов в нескольких юрисдикциях), но юридически — это не E2EE.

Секретные чаты — настоящий E2EE с прямым обменом ключами через Diffie-Hellman, без хранения на сервере. Поддерживают автоудаление сообщений. Для адвокатской тайны мы рекомендуем использовать только секретные чаты с автоудалением через 24-72 часа после прочтения.

Бэкап. Облачные чаты автоматически синхронизируются между устройствами — это удобно, но опасно: при компрометации аккаунта на одном устройстве вся переписка доступна. Секретные чаты не синхронизируются и хранятся только на устройствах участников.

Двухфакторная аутентификация в Telegram настраивается через Settings → Privacy → Two-Step Verification. Я обязательно требую её включения с длинным cloud-паролем. В дополнение к коду из SMS.

MAX

MAX — мессенджер компании VK Group, позиционируемый как российский ответ Telegram. На момент мая 2026 года имеет аудиторию более 60 млн пользователей в РФ, серверы по закону размещены в России.

Шифрование на момент аудита — серверное по умолчанию (как у Telegram cloud chats), полноценный E2EE для секретных чатов в стадии раскатки. По 152-ФЗ MAX полностью соответствует требованиям к локализации хранения персональных данных граждан РФ.

Корпоративных аккаунтов с интеграцией в SSO/AD на момент аудита у MAX нет. Это серьёзное ограничение для использования в качестве основного корпоративного инструмента.

Главный риск — фишинг под бренд MAX. На прошлой неделе я разбирал инцидент, где сотрудник установил фейковое «обновление MAX» и потерял банковские реквизиты (см. кейс по фишингу в этом блоге). Бренд молодой, аудитория не научилась отличать настоящие обновления от подделок.

VK Teams

VK Teams — корпоративный продукт VK Group, ориентированный именно на бизнес. Доступен в SaaS-варианте и в варианте on-premise (для развёртывания на серверах клиента). Поддерживает SSO через Active Directory, корпоративные роли, аудит сообщений, экспорт чатов через API.

Для юрфирмы 35 РМ on-premise неоправдан (нужен отдельный администратор и сервер на 16 GB RAM минимум). Берём SaaS Pro-подписку: 1290 рублей в месяц на пользователя, для 35 человек — 45 150 рублей в месяц.

Шифрование — стандарт TLS 1.3 в транзите, серверное хранение. E2EE отсутствует. Это нормально для внутренней переписки сотрудников между собой, но не для адвокатской тайны при общении с клиентом.

Signal

Signal — единственный из массовых мессенджеров с E2EE по умолчанию во всех чатах (через протокол Signal). Серверы в США, исходный код открытый, аудит проводила Open Whisper Systems и независимые исследователи.

Минусы для юрфирмы РФ: серверы в США (вопросы 152-ФЗ при работе с гражданами РФ), на конец 2024 года Роскомнадзор замедлял Signal в России. На момент мая 2026 года работает через VPN или прямо в зависимости от провайдера.

Signal я рекомендую партнёрам для особо чувствительных обсуждений с зарубежными контрагентами и для внутренней переписки между партнёрами по самым деликатным темам. Не для массового использования.

Сводная таблица

| Параметр              | Telegram | MAX  | Телега | VK Teams | Signal |
|-----------------------|----------|------|--------|----------|--------|
| E2EE по умолчанию     | Нет      | Нет  | Нет*   | Нет      | Да     |
| Серверы РФ            | Нет      | Да   | ?      | Да       | Нет    |
| 152-ФЗ                | Серая    | Да   | Серая  | Да       | Нет    |
| SSO/AD                | Нет      | Нет  | Нет    | Да       | Нет    |
| Self-host             | Нет      | Нет  | Нет    | Да       | Нет**  |
| MFA                   | Да       | Да   | Зависит| Да       | Да     |
| Audit/Export          | API      | API  | Нет    | Да       | Нет    |
| Корп. поддержка       | Бот-API  | Нет  | Нет    | Да       | Нет    |
| Риск форка            | Высокий  | Низк | -      | Низкий   | Низкий |

* Зависит от форка
** Технически можно, но не рекомендуется

Этап 3. Технический разбор атак на мессенджеры

Партнёру я объяснил типичные сценарии атак, чтобы регламент не был «спущенным сверху» документом, а имел понятное обоснование.

Атака 1: SIM-swap

Злоумышленник получает дубликат SIM-карты юриста через социальную инженерию у оператора связи. Перехватывает SMS-код для входа в Telegram, получает доступ к облачным чатам с любого устройства, читает переписку.

Защита: облачный пароль (cloud password) в Telegram, который требуется в дополнение к SMS-коду. Также настроена двухфакторная аутентификация с приложением Microsoft Authenticator у MAX и VK Teams. Регламент: при смене SIM-карты — обязательное уведомление IT с проверкой устройства.

Атака 2: компрометация Telegram Desktop

Сотрудник работает на корпоративном ноутбуке, стоит Telegram Desktop. Локальный кэш приложения находится по пути %APPDATA%\Telegram Desktop\tdata и содержит расшифрованную копию всех чатов. Если злоумышленник получает доступ к ноутбуку или к файловой системе через малварь — получает полную переписку.

Защита: EnableTransitionAnimation Local passcode в Telegram Desktop, BitLocker на ноутбуке, политика автоблокировки экрана через 5 минут.

# Включить локальный пароль Telegram Desktop через GPO
# (через перенаправление параметров запуска)
$telegramArgs = @{
    "--workdir" = "C:\Users\$env:USERNAME\AppData\Roaming\Telegram Desktop\tdata"
    "--enableLocalPasscode" = $null
}

# BitLocker для системного диска (XTS-AES 256)
Enable-BitLocker -MountPoint "C:" `
  -EncryptionMethod XtsAes256 `
  -UsedSpaceOnly `
  -RecoveryPasswordProtector

# Автоблокировка экрана через GPO
# Computer Config → Admin Templates → Control Panel → Personalization
# "Screen saver timeout" = 300 sec
# "Password protect the screen saver" = Enabled

Атака 3: фейковое обновление через ссылку

Сценарий, который мы разбирали в прошлом кейсе. Сотрудник получает ссылку «обновите ваш мессенджер», ставит APK с инфостилером, сливает все чаты на C2.

Защита: запрет установки приложений из неизвестных источников через MDM, белый список приложений, регулярные phishing-симуляции, обучение «никогда не ставить мессенджер из ссылки в письме».

Атака 4: добавление в групповой чат с фишинг-ботом

В Telegram юриста добавляют в группу, где бот рассылает «срочный документ от клиента» с RAR-архивом. В архиве — exe или js с малварью. Это очень частый сценарий 2025-2026 годов.

Защита: запрет автодобавления в группы (Settings → Privacy → Groups → My contacts only), регламент «никогда не открывать файлы от незнакомцев в групповом чате».

Этап 4. Регламент использования мессенджеров

На основе аудита и сценариев атак мы написали для юрфирмы регламент на 8 страниц. Ключевые правила.

Правило 1. Категоризация переписки

Каждое сообщение по делу относится к одной из трёх категорий:

• Категория А (адвокатская тайна). Переписка с клиентом по существу дела, копии документов, стратегия защиты. Только в секретных чатах Telegram с автоудалением через 48 часов или в Signal.
• Категория B (рабочая). Внутренние обсуждения, распределение задач, уточнения с контрагентами. В VK Teams (внутри фирмы) или Telegram облачные чаты (с контрагентами).
• Категория C (формальная). Уведомления, обмен формальными документами. Только корпоративный e-mail.

Правило 2. Запрещённые мессенджеры

На корпоративных и BYOD-устройствах с доступом к рабочей почте запрещены: любые форки Telegram, неофициальные клиенты MAX, мессенджеры из APK без подписи Google Play. Контроль через MDM с белым списком.

Правило 3. Хранение переписки

Переписка по конкретному делу копируется в CRM (у клиента это Bitrix24) ежедневно ответственным юристом. Это не дублирование — это часть юридического досье. При увольнении сотрудник передаёт архив переписки и теряет доступ к рабочим группам.

Правило 4. Двухфакторная аутентификация

Обязательна для всех мессенджеров. Telegram — cloud password + SMS. VK Teams — Microsoft Authenticator. Signal — PIN + блокировка устройства. Без 2FA сотрудник не получает доступ к рабочим группам.

Правило 5. Реакция на потерю устройства

В течение 60 минут после обнаружения сотрудник звонит в IT. IT-инженер удалённо отзывает все сессии в мессенджерах, через MDM запускает remote wipe, меняет пароли корпоративных аккаунтов. Регламент репетируется раз в полгода.

Этап 5. Развёртывание VK Teams для внутренней переписки

На основе аудита мы внедрили VK Teams Pro как основной канал для категории B. Развёртывание заняло 2 рабочих дня:

# Создание корпоративного аккаунта в VK Teams Admin Console
# https://biz.mail.ru/teams/

# 1. Регистрация домена компании (lawfirm-example.ru) — DNS-валидация
# Добавляем TXT-запись:
_vkteams-domain-verify.lawfirm-example.ru. TXT "vkteams-verify=abcdef123456"

# 2. Настройка SSO с Microsoft 365
# В VK Teams Admin → SSO → SAML 2.0
# Заполняем Issuer URL, ACS URL из Azure AD Enterprise Apps

# 3. Импорт пользователей из Active Directory через CSV
Get-ADUser -Filter * -Properties EmailAddress, Department, Title |
  Where-Object { $_.Enabled -eq $true } |
  Select-Object @{N='email';E={$_.EmailAddress}}, `
                @{N='display_name';E={$_.Name}}, `
                @{N='department';E={$_.Department}} |
  Export-Csv -Path users-vkteams.csv -NoTypeInformation -Encoding UTF8

# 4. Создание корпоративных каналов через API
curl -X POST https://api.imapi.mail.ru/teams/v1/channels \
  -H "Authorization: Bearer $VK_TEAMS_TOKEN" \
  -d '{"name": "Партнёры M&A", "is_private": true, "members": ["pp1@lawfirm.ru", "pp2@lawfirm.ru"]}'

Внутренняя структура каналов

Согласовали с управляющим партнёром структуру каналов:

• #general — общий канал, новости фирмы;
• #partnery — закрытый канал для 4 партнёров;
• #m-and-a — отдел M&A, 8 юристов;
• #corporate-disputes — корпоративные споры, 12 юристов;
• #bankruptcy — банкротство, 6 юристов;
• #admin — административная часть, 5 человек;
• #it-help — связь с ITfresh, дежурный инженер.

Через две недели после внедрения 90% внутренней переписки переехало из Telegram в VK Teams. Telegram остался для общения с клиентами.

Этап 6. Что получилось через 3 месяца

Через три месяца после внедрения регламента и VK Teams я провёл повторный мини-аудит:

• Все 4 устройства с форками Telegram очищены, на новые установлен официальный клиент.
• 32 из 35 юристов используют секретные чаты Telegram для категории А-переписки. 3 партнёра используют Signal.
• Внутренняя переписка полностью переехала в VK Teams. Telegram-группы фирмы расформированы.
• Двухфакторная аутентификация включена у 35 из 35 сотрудников.
• Шесть симулированных phishing-писем «обновите ваш Telegram» — никто не кликнул.
• Один реальный инцидент с попыткой SIM-swap у одного юриста — заблокирован на этапе оператора связи (юрист поставил запрет на смену SIM без личного визита).

Контр-нарратив. Чего я НЕ рекомендую делать

«Запретите Telegram полностью». Это нерабочий совет. Клиенты пишут в Telegram, контрагенты пишут в Telegram. Полный запрет уведёт переписку в личные устройства без всякого контроля. Лучше регламентировать с разделением категорий.

«Пользуйтесь только мессенджером с E2EE». Звучит безопасно, но E2EE не защищает от компрометации устройства. Если на ноутбуке стоит инфостилер, он читает всё после расшифровки. Безопасность — это слоёный пирог, и E2EE — только один слой.

«Поднимите свой Mattermost». Для юрфирмы 35 РМ это перебор. Содержание сервера, обновления, бэкапы, мониторинг — отдельный человек. VK Teams в SaaS закрывает 95% задач за фиксированную цену.

Стоимость проекта

• Аудит мессенджеров (9 рабочих дней) — 245 000 рублей.
• Написание регламента и обучение — 35 000 рублей.
• Развёртывание VK Teams + миграция (2 дня) — 60 000 рублей.
• Подписка VK Teams Pro 35 пользователей — 45 150 рублей в месяц на стороне клиента.
• Абонемент ITfresh на ежемесячный мониторинг и phishing-симуляции — 22 000 рублей в месяц.

FAQ: что чаще всего спрашивают клиенты

Можно ли вести переписку с клиентом по адвокатскому делу через Telegram?

Технически — можно, юридически — это зависит от соглашения с клиентом. Telegram облачные чаты не имеют сквозного шифрования, ключи лежат на серверах Telegram (формально распределены по странам, но это не E2EE). Для адвокатской тайны я рекомендую секретные чаты Telegram (с E2EE через MTProto 2.0) или, ещё лучше, Signal / Threema. В реальности юрфирмы используют Telegram, но мы добавляем регламент: для документов с пометкой «адвокатская тайна» используется секретный чат с автоудалением через 48 часов.

Чем MAX отличается от Telegram с точки зрения безопасности?

MAX позиционируется как российский мессенджер, серверы по закону должны быть в РФ. Это плюс с точки зрения локализации хранения по 152-ФЗ, но минус с точки зрения сквозного шифрования — на момент мая 2026 года полноценного E2EE по умолчанию у MAX нет. Telegram MTProto 2.0 имеет E2EE только в секретных чатах. По моему опыту, для юрфирмы безопаснее всего разделение: внутренний документооборот — VK Teams (российская инфраструктура, корпоративные функции), переписка с клиентом — Telegram с регламентом, особо чувствительные обсуждения — Signal.

Что такое «Телега» и стоит ли её ставить?

В народе «Телегой» часто называют Telegram, но на рынке появляются и форки/клоны (Telega.io, локальные сборки), которые могут содержать встроенные модификации. Я в работе встречал как минимум три APK с именем «Телега», в одном из которых был встроенный модуль для отправки контактов на чужой сервер. Никогда не ставлю на корпоративные устройства неофициальные клиенты Telegram. Только Telegram Desktop с tdesktop.com или из App Store / Google Play.

Как настроить корпоративные правила хранения переписки?

Главное правило — переписка по делу хранится в CRM или на корпоративном сервере, а не в личных мессенджерах сотрудников. Мы настраиваем экспорт чатов через Telegram Bot API (для рабочих групп) и регламент: при увольнении сотрудник передаёт телефон с очищенным кэшем, выходит из всех рабочих групп, его учётка удаляется из VK Teams. Без такого регламента после увольнения юриста его переписка с 30 клиентами уходит вместе с ним.

Стоит ли разворачивать собственный мессенджер на сервере компании?

Для юрфирмы 35 РМ — нет, перебор. Self-hosted Mattermost или Rocket.Chat дают полный контроль над данными, но требуют отдельного администратора, сертификатов, мониторинга, бэкапов. Это разумно для компаний от 100 человек или для тех, кто работает с гостайной/банковской тайной. Для остальных дешевле и эффективнее — VK Teams с Pro-лицензией для внутренней переписки и регламент Telegram для внешней.

Итог

Юрфирма 35 РМ из Чистых прудов получила понятную матрицу рисков по 5 мессенджерам, регламент использования по категориям А/B/C, развёрнутый VK Teams Pro для внутренней переписки и зачищенные устройства от опасных форков Telegram. За три месяца после внедрения — ноль инцидентов, 100% покрытие двухфакторкой, стабильное разделение каналов. Пользователи привыкли быстро, потому что им объяснили «почему», а не просто «нельзя».