如何避免在Discord上受骗
引言
2020年全球居家隔离期间,在线通讯需求激增,人们通过Discord和Slack等平台保持联系,甚至举办会议和社团活动。但随着用户迁移,攻击者也随之而来。Black Hills Information Security (BHIS) 基于对Discord的关注,撰写本文概述当前常见攻击方式及防护措施。
用户账户劫持
研究发现,Discord社交工程攻击的主要目标是接管合法用户账户。攻击者偏好现有账户而非新建账户,原因在于许多服务器设有加入门槛(如手机验证、反机器人挑战),而现有账户通常已加入多个服务器,便于攻击者在聊天室发送钓鱼信息或定向私信。
服务器通常聚焦特定主题(如游戏、加密货币、信息安全),使攻击者可针对受众定制话术,提高成功率。例如,加密货币服务器成员更易受相关钓鱼信息欺骗,游戏服务器成员则易成为Steam账户攻击目标。此外,现有用户的联系人更可能信任他们,便于发动进一步攻击。
常见攻击方式
- QR码登录攻击:攻击者发送Discord登录页的QR码,诱骗用户用手机App扫描。若用户确认登录,攻击者即获得账户访问权。Discord已将QR码有效期缩短至2分钟,但攻击仍可能发生。
- 虚假Nitro订阅诈骗:Discord Nitro是付费服务,提供增强功能。攻击者以免费Nitro为诱饵,引导用户访问仿冒网站(如typosquatting域名),窃取凭证或第三方平台账户。合法Nitro赠送使用discord.gift域名,增加了诈骗可信度。
Steam账户劫持
攻击者常以免费Nitro为幌子,窃取Steam账户。Steam是流行游戏平台,含市场交易和钱包功能,账户被盗可能导致财物损失。钓鱼攻击通过仿冒Discord和Steam登录页(如steamdlscord[.]com)窃取凭证。成功后,攻击者可能转移库存物品或购买礼品卡。
另一种诈骗手法是声称“误报”用户Steam滥用,要求用户操作以避免封号,前提是用户已关联Discord和Steam账户。
加密货币诈骗
加密货币是Discord社交工程的常见主题,相关服务器和无关服务器均可能出现。攻击者以比特币赠送等话术,引导用户访问仿冒交易所网站(如多个相似域名站点),诱骗注册并支付“解锁费”,实则永不兑现。
此外,攻击者通过私信或聊天室发送服务器邀请链接,作为后续攻击的跳板。例如,邀请用户加入套利交易服务器,诱骗其从合法平台购买加密货币后转入欺诈平台。
通过Discord分发恶意软件
Discord的全球内容分发网络(CDN,cdn.discordapp.com)本用于文件共享,但被攻击者滥用托管恶意软件。由于CDN受信任,且可能绕过访问控制列表(ACL)对GitHub等网站的封锁,用户可能误下载恶意文件。
针对Discord客户端的恶意软件
- Electron漏洞利用:Discord基于Electron构建,可能绕过浏览器沙盒安全。2020年曝出漏洞,用户点击iframe即可触发远程代码执行。
- 客户端篡改:如2019年发现的BlueFace恶意软件,修改应用JavaScript以窃取信息。建议考虑使用网页版替代Electron客户端以提升安全。
防护与应对措施
最佳防护是保持警惕,怀疑消息、链接和邀请。用户可配置以下设置:
- 安全私信设置:扫描直接消息中的图像和视频,拦截不良内容。建议选择中或高选项。
- 服务器隐私默认值:禁用“允许来自共同服务器用户的直接消息”,降低钓鱼风险。可针对特定服务器单独设置。
- 好友添加权限:限制可添加好友的范围,避免陌生人的社交工程攻击。
启用双重认证可减轻凭证窃取攻击的影响。使用网页版Discord而非桌面应用,并禁用“自动检测其他平台账户”功能。避免关联Steam等外部账户,减少攻击者可利用的信息。
服务器管理员可参考Discord官方文档提升安全:https://discord.com/safety/360043653152-Four-steps-to-a-super-safe-server
总结
本文概述了Discord常见攻击,包括针对特定用户群的社交工程、恶意文件托管等。了解攻击变种和实施缓解措施(如配置设置、双重认证)可增强用户安全。最终,避免受害依赖于每个用户的警惕性。