如何避免在Discord上受骗

引言

2020年全球居家隔离期间，在线通讯需求激增，许多人通过Discord和Slack等平台维持社交联系甚至举办会议。然而用户聚集之处，攻击者亦随之而来。Black Hills Information Security（BHIS）基于对Discord生态的深入观察，撰写本文揭示当前常见攻击模式及防护措施。

用户账户劫持

攻击者常以盗取合法Discord账户为目标。现有账户因已加入多类服务器（如游戏、加密货币或信息安全主题），可绕过新账户的验证限制（如手机验证或反机器人挑战），直接发送钓鱼信息或定向私聊。例如：

• QR码登录欺诈：攻击者诱骗用户扫描伪造的登录QR码（有效期2分钟），直接获取账户权限。
• 虚假Nitro订阅：利用Discord Nitro付费功能的吸引力，通过仿冒域名（如discord.gift变体）诱导用户输入凭证。

Steam账户劫持

攻击者以“免费Nitro”为饵，引导用户访问仿冒Steam登录页的钓鱼网站（如steamdlscord[.]com），窃取凭证后盗取账户内虚拟资产或余额。另一种套路是谎称“误报违规”，胁迫用户配合“解封”流程。

加密货币诈骗

常见于加密货币主题服务器，也渗透至其他社群。攻击者通过虚假赠予（如承诺0.42比特币）引导用户注册欺诈平台，最终以“手续费”为由骗取资金。另通过邀请链接诱导用户加入虚假套利交易群，实施更深层欺诈。

通过Discord分发恶意软件

Discord的全球CDN（cdn.discordapp.com）被攻击者滥用托管恶意文件。由于CDN受信任，且可绕过企业访问控制列表（ACL）对GitHub等网站的封锁，用户更易下载并执行恶意载荷。

针对Discord客户端的恶意软件

基于Electron框架的客户端存在安全风险：

• 2020年曝光的漏洞链可通过iframe触发远程代码执行。
• 2019年BlueFace恶意软件篡改客户端JavaScript以窃取数据。 建议优先使用网页版替代桌面客户端，并禁用“自动检测其他平台账户”功能。

防护与应对措施

用户设置建议

1. 安全私信设置：扫描直接消息中的媒体内容，拦截可疑材料。
2. 服务器隐私默认值：禁用“允许来自共同服务器用户的私信”，仅信任特定服务器。
3. 好友添加权限：限制“所有人”或“服务器成员”添加好友，减少社交工程攻击入口。
4. 启用双重认证（2FA）：虽无法防御QR码攻击，但可降低凭证窃取风险。
5. 避免账户关联：不连接Steam、Twitch等第三方账户，减少信息泄露。

服务器管理员

参考Discord官方安全指南（https://discord.com/safety/360043653152-Four-steps-to-a-super-safe-server）强化服务器配置。

总结

本文概述了Discord上常见的社交工程攻击、恶意软件分发及账户劫持手法，并提供了多层次防护策略。最终防御仍依赖于用户对可疑消息、链接和邀请的持续警惕。