為什麼官方 Discord 帳號總是被駭?慢霧揭露駭客陷阱
近年來,區塊鏈技術的快速發展帶動了許多平台的興起,其中 Discord 憑藉其靈活設置和多功能性,成為加密貨幣、NFT 和去中心化應用 (DApps)社群的重要交流平台。吸引用戶追蹤空投資訊和早期投資機會。然而機會與風險並存,一些投機者利用 Discord 詐騙,透過社交工程和釣魚攻擊竊取用戶資金和個資,讓 Discord 成為了投資機會與潛在風險並存的平台。
今 (9/4) 資安團隊慢霧創辦人轉發貼文,內容為駭客吸引用戶添加瀏覽器惡意標籤,並竊取用戶的「Discord Token」(建立帳戶時產生的Discord 使用者名稱和密碼的加密),讓用戶的帳號被控制。
截至 2024 年,Discord Token 竊取事件持續增長。根據報告, Discord 資安事件在過去一年增長了 140%,其中 Token 竊取為主要問題。還有另一起值得關注的事件中,駭客透過 Gnus.AI 的 Discord 頻道竊取私密資訊,進而利用鑄幣漏洞,導致損失達 127 萬美元。
(空投潮惹禍!Discord釣魚攻擊半年內暴增,逾九成受害者竟是18歲以下兒童?)
Table of Contents
Toggle常見的 Discord Token 攻擊方式:
- 惡意軟體及 Token 竊取工具:如 BlackPlague 和 Blitzed Grabber 等惡意軟體專門設計用來竊取 Discord Token。一旦 Token 被竊取,駭客可以繞過密碼驗證直接登入用戶帳號,執行惡意操作。
- 伺服器滲透:駭客取得伺服器管理員的 Token 後,對伺服器進行大範圍破壞,包括更改設定、刪除頻道、封鎖成員等。
- Webhook 濫用:攻擊者利用 Discord 的 Webhook 功能從遠端控制並將資訊外流,使用這些 Webhook 傳遞惡意訊息或竊取敏感資訊。
- 第三方服務平台資訊外洩:2023 年 8 月,第三方服務 Discord.io 被駭客入侵,約 76 萬用戶的個資外洩,進一步加劇了 Discord 相關的資安風險。
而本次會引用資安團隊慢霧的概念,和讀者說明 Discord Token 的漏洞,並且揭露駭客如何利用瀏覽器的惡意書籤中盜取用戶的 Discord Token。
使用瀏覽器的惡意書籤釣魚,盜取Discord Token
時間倒轉到 2022 年,一則在 X 關於 NFT 專案 Wizard Pass 的 Discord 群組被駭客入侵,造成 BAYC、Doodles、Clone X 等 NFT 被盜取。
而貼文出來後,底下有人回覆
廣告 - 內文未完請往下捲動
回覆裡說到:「Bookmark 是瀏覽器(如 Google Chrome)中的書籤,書籤內容可以包含 JavaScript 程式碼。當 Discord 用戶點擊後,惡意程式會在 Discord 上執行,盜取 Token。駭客取得 Token 後,便能輕易控制專案的 Discord 帳戶及權限。」
慢霧實際拆解案例
下圖為例,受害人打開了 Discord 官網,並在這個頁面點擊了之前收藏的惡意書籤「Hello,World!」,同時彈出一個小視窗,可以發現執行來源是 discord.com。 瀏覽器有「同源政策」來防止不同網域之間的操作相互影響,因此不屬於 discord.com 的操作就不該影響其頁面。然而,書籤可繞過這個限制,因為它執行的是使用者觸發的 JavaScript 程式碼,讓惡意程式得以在 discord.com 上執行,威脅帳戶安全。 而點進去後發現,有危機意識的讀者應該會發現這個網址是有問題的。 另外一個手法是,直接誘導使用者將頁面收藏拖曳到書籤欄當中(紅色方框 Drag this to your bookmarked)。 把某個連結拖到書籤欄,就能新增書籤。如果釣魚的文案寫得夠吸引人,很容易讓危機意識不足的使用者上當。實現這個功能只需要建立一個 a 標籤。以下是範例程式碼:
點擊書籤時可以像在網頁後台程式碼一樣執行,還會繞過內容安全策略(Content Security Policy)。
利用 Google 和 FireFox 瀏覽器進行對比
讀者可能會疑惑,像是「javascript:()」這樣的連結,加入到瀏覽器的書籤欄時,為什麼瀏覽器沒有任何提醒?
而慢霧會以 Google Chrome 和 Firefox 這兩款瀏覽器來進行對比。
以 Google 為例
左邊是拖曳正常的 URL 網址變成書籤時,瀏覽器不會跳出任何編輯提醒。
而右邊是拖曳惡意網址也同樣不會提醒。
那 FireFox 呢?
左邊是拖曳正常的 URL 網址和 Google 瀏覽器相同,也不會跳出任何編輯提醒。
反倒右邊,是拖曳惡意網址時,FireFox竟會跳出提醒,讓用戶確認。
代表 FireFox 針對添加書籤這方面安全性較高。
慢霧使用 Google 瀏覽器示範,假設使用者已登入網頁版 Discord,並在釣魚網站引導下加入惡意書籤。
當他點擊書籤後,就會觸發惡意程式碼,使用者的 Token 等個資會透過駭客設定的 Discord webhook ,再傳送到駭客的頻道。
補充可能讓人產生疑問的攻擊細節
-
為什麼受害者點一下就中招?
綜合上述可得知,書籤可以插入一段 JavaScript 程式碼,這幾乎可以做任何事情,包括透過 Discord 的 webpackChunkdiscord_app 前端程式碼模組來獲取資訊。不過,為了避免惡意行為,詳細的攻擊程式碼團隊不會提供。 - 為什麼攻擊者會選擇用 Discord webhook 接收資料?因為 Discord webhook 的格式為https://discord.com/api/webhooks/xxxxxx,直接使用 Discord 的主域名,這樣可以繞過同源政策等問題。讀者可以自行建立一個 Discord webhook 測試看看。
-
拿到 Token 之後能做什麼?
拿到 Token 就等於登入了 Discord 帳號,也就是能以登入狀態做任何事,像是建立 Discord webhook 機器人,在頻道裡發布公告或假消息進行釣魚攻擊。
建議受害者應立刻採取以下行動補救
- 立刻重設 Discord 帳號密碼。
- 重設密碼後,重新登入 Discord 並刷新 Token,這樣駭客手上的 Token 才會失效。
- 刪除並更換原有的 webhook 連結,因為舊的 webhook 已經外洩。
- 提高安全意識,檢查可疑書籤並刪除已加入的惡意書籤。
而如果對慢霧針對區塊鏈釣魚詐騙等資安問題感到有興趣,並且想從技術出發的讀者,可以參考慢霧的「區塊鏈黑暗森林自救手冊。」
我們也必須保持警覺,謹慎使用或添加任何的程式碼,以及來路不明的連結。網路上有許多看起來很方便且實用的擴充功能,但書籤無法攔截惡意行為,因此每次手動執行時,都應該保持謹慎,以免遭到駭客入侵。
衍伸閱讀
- Outlier Ventures:比特幣四年週期已死,正經歷最差減半年表現
- Uniswap Labs就衍生性商品交易指控與CFTC達成和解
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
標題:為什麼官方 Discord 帳號總是被駭?慢霧揭露駭客陷阱
地址:https://www.pressbased.com/post/8306.html