為什麼官方 Discord 帳號總是被駭?慢霧揭露駭客陷阱

 

為什麼官方 Discord 帳號總是被駭?慢霧揭露駭客陷阱

截至 2024 年,Discord Token 竊取事件持續增長。根據報告, Discord 資安事件在過去一年增長了 140%,其中 Token 竊取為主要問題。還有另一起值得關注的事件中,駭客透過 Gnus.AI 的 Discord 頻道竊取私密資訊,進而利用鑄幣漏洞,導致損失達 127 萬美元​。

常見的 Discord Token 攻擊方式:

  • 惡意軟體及 Token 竊取工具:如 BlackPlagueBlitzed Grabber 等惡意軟體專門設計用來竊取 Discord Token。一旦 Token 被竊取,駭客可以繞過密碼驗證直接登入用戶帳號,執行惡意操作​。
  • 伺服器滲透:駭客取得伺服器管理員的 Token 後,對伺服器進行大範圍破壞,包括更改設定、刪除頻道、封鎖成員等​。
  • Webhook 濫用:攻擊者利用 Discord 的 Webhook 功能從遠端控制並將資訊外流,使用這些 Webhook 傳遞惡意訊息或竊取敏感資訊。​
  • 第三方服務平台資訊外洩:2023 年 8 月,第三方服務 Discord.io 被駭客入侵,約 76 萬用戶的個資外洩,進一步加劇了 Discord 相關的資安風險​。

而本次會引用資安團隊慢霧的概念,和讀者說明 Discord Token 的漏洞,並且揭露駭客如何利用瀏覽器的惡意書籤中盜取用戶的 Discord Token。

使用瀏覽器的惡意書籤釣魚,盜取Discord Token

為什麼官方 Discord 帳號總是被駭?慢霧揭露駭客陷阱
(Original Source https://twitter.com/SerpentAU/status/1503232270219431941)

而貼文出來後,底下有人回覆

為什麼官方 Discord 帳號總是被駭?慢霧揭露駭客陷阱為什麼官方 Discord 帳號總是被駭?慢霧揭露駭客陷阱

回覆裡說到:「Bookmark 是瀏覽器(如 Google Chrome)中的書籤,書籤內容可以包含 JavaScript 程式碼。當 Discord 用戶點擊後,惡意程式會在 Discord 上執行,盜取 Token。駭客取得 Token 後,便能輕易控制專案的 Discord 帳戶及權限。」

慢霧實際拆解案例

為什麼官方 Discord 帳號總是被駭?慢霧揭露駭客陷阱

瀏覽器有「同源政策」來防止不同網域之間的操作相互影響,因此不屬於 discord.com 的操作就不該影響其頁面。然而,書籤可繞過這個限制,因為它執行的是使用者觸發的 JavaScript 程式碼,讓惡意程式得以在 discord.com 上執行,威脅帳戶安全。
為什麼官方 Discord 帳號總是被駭?慢霧揭露駭客陷阱
另外一個手法是,直接誘導使用者將頁面收藏拖曳到書籤欄當中(紅色方框 Drag this to your bookmarked)。
為什麼官方 Discord 帳號總是被駭?慢霧揭露駭客陷阱
把某個連結拖到書籤欄,就能新增書籤。如果釣魚的文案寫得夠吸引人,很容易讓危機意識不足的使用者上當。

實現這個功能只需要建立一個 a 標籤。以下是範例程式碼:

為什麼官方 Discord 帳號總是被駭?慢霧揭露駭客陷阱為什麼官方 Discord 帳號總是被駭?慢霧揭露駭客陷阱

點擊書籤時可以像在網頁後台程式碼一樣執行,還會繞過內容安全策略(Content Security Policy)。

為什麼官方 Discord 帳號總是被駭?慢霧揭露駭客陷阱

利用 Google 和 FireFox 瀏覽器進行對比

讀者可能會疑惑,像是「javascript:」這樣的連結,加入到瀏覽器的書籤欄時,為什麼瀏覽器沒有任何提醒?

而慢霧會以 Google Chrome 和 Firefox 這兩款瀏覽器來進行對比。

以 Google 為例

左邊是拖曳正常的 URL 網址變成書籤時,瀏覽器不會跳出任何編輯提醒。

而右邊是拖曳惡意網址也同樣不會提醒。

為什麼官方 Discord 帳號總是被駭?慢霧揭露駭客陷阱

那 FireFox 呢?

左邊是拖曳正常的 URL 網址和 Google 瀏覽器相同,也不會跳出任何編輯提醒。

反倒右邊,是拖曳惡意網址時,FireFox竟會跳出提醒,讓用戶確認。

代表 FireFox 針對添加書籤這方面安全性較高。

為什麼官方 Discord 帳號總是被駭?慢霧揭露駭客陷阱

慢霧使用 Google 瀏覽器示範,假設使用者已登入網頁版 Discord,並在釣魚網站引導下加入惡意書籤。

為什麼官方 Discord 帳號總是被駭?慢霧揭露駭客陷阱

當他點擊書籤後,就會觸發惡意程式碼,使用者的 Token 等個資會透過駭客設定的 Discord webhook ,再傳送到駭客的頻道。

為什麼官方 Discord 帳號總是被駭?慢霧揭露駭客陷阱

補充可能讓人產生疑問的攻擊細節

  • 為什麼受害者點一下就中招?
    綜合上述可得知,書籤可以插入一段 JavaScript 程式碼,這幾乎可以做任何事情,包括透過 Discord 的 webpackChunkdiscord_app 前端程式碼模組來獲取資訊。不過,為了避免惡意行為,詳細的攻擊程式碼團隊不會提供。
  • 為什麼攻擊者會選擇用 Discord webhook 接收資料?因為 Discord webhook 的格式為https://discord.com/api/webhooks/xxxxxx,直接使用 Discord 的主域名,這樣可以繞過同源政策等問題。讀者可以自行建立一個 Discord webhook 測試看看。
  • 拿到 Token 之後能做什麼?
    拿到 Token 就等於登入了 Discord 帳號,也就是能以登入狀態做任何事,像是建立 Discord webhook 機器人,在頻道裡發布公告或假消息進行釣魚攻擊。

建議受害者應立刻採取以下行動補救

  1. 立刻重設 Discord 帳號密碼。
  2. 重設密碼後,重新登入 Discord 並刷新 Token,這樣駭客手上的 Token 才會失效。
  3. 刪除並更換原有的 webhook 連結,因為舊的 webhook 已經外洩。
  4. 提高安全意識,檢查可疑書籤並刪除已加入的惡意書籤。

而如果對慢霧針對區塊鏈釣魚詐騙等資安問題感到有興趣,並且想從技術出發的讀者,可以參考慢霧的「區塊鏈黑暗森林自救手冊。」

我們也必須保持警覺,謹慎使用或添加任何的程式碼,以及來路不明的連結。網路上有許多看起來很方便且實用的擴充功能,但書籤無法攔截惡意行為,因此每次手動執行時,都應該保持謹慎,以免遭到駭客入侵。

免责声明:本文提供的信息不是交易建议。BlockWeeks.com不对根据本文提供的信息所做的任何投资承担责任。我们强烈建议在做出任何投资决策之前进行独立研究或咨询合格的专业人士。

(0)
区块链小猫的头像区块链小猫普通用户
上一篇 2024 年 9 月 5 日 11:15
下一篇 2024 年 9 月 5 日 11:16

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

返回顶部