WEB3 安全系列 || 攻击者如何通过Discord软件进行各类钓鱼攻击

区块链安全 2年前 (2022) admin
712 0 0
WEB3 安全系列 || 攻击者如何通过Discord软件进行各类钓鱼攻击

随着web3领域各种应用程序的相继发展,安全问题也随之凸显。近期钓鱼诈骗攻击事件频发,各种钓鱼攻击手法层出不穷。此时,如何更清楚地了解钓鱼攻击;如何避免被钓鱼显得尤为重要。

本系列文章从web3安全出发,持续跟进web3安全动态。下文是攻击者通过Discord软件,对用户进行钓鱼,诈骗等行为,下文查看具体攻击手法。


假冒Discord官方案例

情景一:下图为 BAYC 管理员账号被盗,攻击者伪造项目方发送钓鱼链接。

WEB3 安全系列 || 攻击者如何通过Discord软件进行各类钓鱼攻击

情景二:Opensea Discord服务器遭到攻击,黑客利用Opensea 与 Youtube 合作的骗局进行钓鱼攻击,目前钓鱼网站“http://youtubenft.art” 已无法访问。

WEB3 安全系列 || 攻击者如何通过Discord软件进行各类钓鱼攻击

情景三:HALONFTOFFICIAL 的Discord被黑了,攻击者通过在公告栏发布钓鱼网站,使用虚假 mint 盗取用户资金。

WEB3 安全系列 || 攻击者如何通过Discord软件进行各类钓鱼攻击


Discord私信钓鱼案例

1.某用户看到 X Rabbits Club NFT的推送,对项目好奇后加入官方Discord

WEB3 安全系列 || 攻击者如何通过Discord软件进行各类钓鱼攻击

2.在加入频道后收到了名为 X Rabbits Club 的账号私聊,同时还有Mint链接

WEB3 安全系列 || 攻击者如何通过Discord软件进行各类钓鱼攻击

3.用户访问网站发现其价格单个0.08 ETH,随后连接钱包进行了多次mint。 

WEB3 安全系列 || 攻击者如何通过Discord软件进行各类钓鱼攻击

4.在过了一段时间之后用户没收到NFT,去官网等渠道查看发现该地址是骗子制作的钓鱼网站,下图为官网推特披露,目前该钓鱼网站已无法访问。

WEB3 安全系列 || 攻击者如何通过Discord软件进行各类钓鱼攻击


攻击类型

黑客攻击方式多样,以下列举几个使用的手法。

discord攻击手法1

  1. 攻击者通过社工获取项目方成员的一个discord权限账号

  2. 攻击者利用项目方的账号在频道发布了新公告,公告内容为攻击者制造的假的官网网站,并宣布可以独家购买部分东西

  3. 受害者访问该网站点击链接并试图购买,授权后会转账eth到攻击者钱包


discord攻击手法2

  1. 攻击者使用新账户or模仿受害者的账户加入discord,然后说你是诈骗犯,然后把你的id提供给服务器禁止受害者账号

  2. 然后攻击者伪装成管理员,与受害者联系以解除封禁,但是需要受害者证明自己是无辜的

  3. 攻击者要求远程桌面or屏幕共享,以表明你是无辜的,他们会让你Ctrl+Shirt+I查看控制台,在discord控制台会显示身份验证令牌

  4. 拿到令牌后,攻击者即可接管账户。


discord攻击手法3

  1. 由于nft特性,会有部分用户点对点交易nft,sudoswap,Nfttrader等交易平台鼓励用户私下交换彼此nft

  2. 攻击者会通过仿造交易平台,会生成一个订单确认的网站,双方确认后,智能合约自动进行。

  3. 沟通时攻击者会和受害者商议交换那些nft,等到交易的时候,攻击者提出修改数据,后向受害者发送诈骗链接。

  4. 双方确认后,钱包中nft会转移至攻击者钱包中。


discord攻击手法4

  1. 攻击者通过discord服务器,向不同社区批量私信成员,或冒充管理员以解决问题为由等理由,骗取钱包私钥,或发送虚假的钓鱼网站称可以免费领取nft。

  2. 用户一旦授权给虚假网站,账号内的nft等就会被盗走。


discord攻击手法5

  1. 在一些成熟的nft项目中,经常隔一段时间会发布合集,并且预告,攻击者会在其他网站制作好类似的合集,利用官网的话语,在discord社区等网站发送购买链接,真正的nft没有上线的时候会优先搜索名字接近的nft,有些攻击者为了效果,会提前制造几笔交易。

  2. 为了节省平台和项目方的抽成,社区成员之间进行私下交易,这个时候用户往往忽略了nft的真实性。


WEB3 安全系列 || 攻击者如何通过Discord软件进行各类钓鱼攻击

如何保护你的discord

对于普通用户

  • 确保密码足够安全,使用字母数字特殊字符创建长的随机密码

  • 开启2FA身份验证,密码虽然本身足够复杂但是不能依靠一个方式来保护

  • 不要点击来自未知发件人或看起来可疑的链接,考虑限制谁可以与您私信。

  • 不要下载程序或复制/粘贴你不认识的代码。

  • 不要分享或屏幕共享你的授权令牌。

  • 不要扫描任何来自你不认识的人或你无法验证其合法性的QR码。


对于服务器所有者

  • 审核您的服务器权限,尤其是对于 webhook 等更高级别的工具。

  • 进行任何更改时,请保持您的官方服务器邀请更新并在您的所有平台上可见,尤其是当您的大多数新服务器成员来自 Discord 以外的社区时。

  • 同样,不要点击可疑或未知的链接!如果您的帐户遭到入侵,可能会对您管理的社区产生更大的影响。


出品 | 零时科技安全团队

►►►

往期内容回顾

WEB3 安全系列 || 盗取数字资产的方式,看看你是否中招?

WEB3 安全系列 || 你今天被 “钓鱼” 了么

零时科技 | Fortress攻击事件分析

Beanstalk Farms攻击事件分析 | 零时科技

为什么黑客如此“钟爱”跨链桥

零时科技 | Agave Finance攻击事件分析

Hundred Finance攻击事件分析 | 零时科技

零时科技 | 被盗6.1亿美金,Poly Network 被攻击复盘分析

喜讯|零时科技完成天使轮800万元融资,持续深化区块链生态安全布局

Popsicle攻击事件复盘分析 | 零时科技

黑客大揭秘!扫码转账即可控制你的数字钱包

原文始发于微信公众号(零时科技):WEB3 安全系列 || 攻击者如何通过Discord软件进行各类钓鱼攻击

版权声明:admin 发表于 2022年6月14日 下午5:31。
转载请注明:WEB3 安全系列 || 攻击者如何通过Discord软件进行各类钓鱼攻击 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...