隨著web3領域各種應用程序的相繼發展,安全問題也隨之凸顯。近期釣魚詐騙攻擊事件頻發,各種釣魚攻擊手法層出不窮。此時,如何更清楚地了解釣魚攻擊;如何避免被釣魚顯得尤為重要。

本系列文章從web3安全出發,持續跟進web3安全動態。下文是攻擊者通過Discord軟件,對用戶進行釣魚,詐騙等行為,下文查看具體攻擊手法。

假冒Discord官方案例

情景一:下圖為BAYC 管理員賬號被盜,攻擊者偽造項目方發送釣魚鏈接。

WEB3 安全系列 || 攻擊者如何通過Discord軟件進行各類釣魚攻擊

情景二:Opensea Discord服務器遭到攻擊,黑客利用Opensea 與Youtube 合作的騙局進行釣魚攻擊,目前釣魚網站“http://youtubenft.art” 已無法訪問。

WEB3 安全系列 || 攻擊者如何通過Discord軟件進行各類釣魚攻擊

情景三:HALONFTOFFICIAL 的Discord被黑了,攻擊者通過在公告欄發布釣魚網站,使用虛假mint 盜取用戶資金。

WEB3 安全系列 || 攻擊者如何通過Discord軟件進行各類釣魚攻擊

Discord私信釣魚案例

1.某用戶看到X Rabbits Club NFT的推送,對項目好奇後加入官方Discord

WEB3 安全系列 || 攻擊者如何通過Discord軟件進行各類釣魚攻擊

2.在加入頻道後收到了名為X Rabbits Club 的賬號私聊,同時還有Mint鏈接

WEB3 安全系列 || 攻擊者如何通過Discord軟件進行各類釣魚攻擊

3.用戶訪問網站發現其價格單個0.08 ETH,隨後連接錢包進行了多次mint。

WEB3 安全系列 || 攻擊者如何通過Discord軟件進行各類釣魚攻擊

4.在過了一段時間之後用戶沒收到NFT,去官網等渠道查看發現該地址是騙子製作的釣魚網站,下圖為官網推特披露,目前該釣魚網站已無法訪問。

WEB3 安全系列 || 攻擊者如何通過Discord軟件進行各類釣魚攻擊

攻擊類型

黑客攻擊方式多樣,以下列舉幾個使用的手法。

discord攻擊手法1

  1. 攻擊者通過社工獲取項目方成員的一個discord權限賬號

  2. 攻擊者利用項目方的賬號在頻道發布了新公告,公告內容為攻擊者製造的假的官網網站,並宣布可以獨家購買部分東西

  3. 受害者訪問該網站點擊鏈接並試圖購買,授權後會轉賬eth到攻擊者錢包

discord攻擊手法2

  1. 攻擊者使用新賬戶or模仿受害者的賬戶加入discord,然後說你是詐騙犯,然後把你的id提供給服務器禁止受害者賬號

  2. 然後攻擊者偽裝成管理員,與受害者聯繫以解除封禁,但是需要受害者證明自己是無辜的

  3. 攻擊者要求遠程桌面or屏幕共享,以表明你是無辜的,他們會讓你Ctrl+Shirt+I查看控制台,在discord控制台會顯示身份驗證令牌

  4. 拿到令牌後,攻擊者即可接管賬戶。

discord攻擊手法3

  1. 由於nft特性,會有部分用戶點對點交易nft,sudoswap,Nfttrader等交易平台鼓勵用戶私下交換彼此nft

  2. 攻擊者會通過仿造交易平台,會生成一個訂單確認的網站,雙方確認後,智能合約自動進行。

  3. 溝通時攻擊者會和受害者商議交換那些nft,等到交易的時候,攻擊者提出修改數據,後向受害者發送詐騙鏈接。

  4. 雙方確認後,錢包中nft會轉移至攻擊者錢包中。

discord攻擊手法4

  1. 攻擊者通過discord服務器,向不同社區批量私信成員,或冒充管理員以解決問題為由等理由,騙取錢包私鑰,或發送虛假的釣魚網站稱可以免費領取nft。

  2. 用戶一旦授權給虛假網站,賬號內的nft等就會被盜走。

discord攻擊手法5

  1. 在一些成熟的nft項目中,經常隔一段時間會發布合集,並且預告,攻擊者會在其他網站製作好類似的合集,利用官網的話語,在discord社區等網站發送購買鏈接,真正的nft沒有上線的時候會優先搜索名字接近的nft,有些攻擊者為了效果,會提前製造幾筆交易。

  2. 為了節省平台和項目方的抽成,社區成員之間進行私下交易,這個時候用戶往往忽略了nft的真實性。

如何保護你的discord

對於普通用戶

  • 確保密碼足夠安全,使用字母數字特殊字符創建長的隨機密碼

  • 開啟2FA身份驗證,密碼雖然本身足夠複雜但是不能依靠一個方式來保護

  • 不要點擊來自未知發件人或看起來可疑的鏈接,考慮限制誰可以與您私信。

  • 不要下載程序或複制/粘貼你不認識的代碼。

  • 不要分享或屏幕共享你的授權令牌。

  • 不要掃描任何來自你不認識的人或你無法驗證其合法性的QR碼。

對於服務器所有者

  • 審核您的服務器權限,尤其是對於webhook 等更高級別的工具。

  • 進行任何更改時,請保持您的官方服務器邀請更新並在您的所有平台上可見,尤其是當您的大多數新服務器成員來自Discord 以外的社區時。

  • 同樣,不要點擊可疑或未知的鏈接!如果您的帳戶遭到入侵,可能會對您管理的社區產生更大的影響。