Trong những năm gần đây, sự phát triển nhanh chóng của công nghệ blockchain đã dẫn đến sự phát triển của nhiều nền tảng. Trong đó, Discord đã trở thành một nền tảng giao tiếp quan trọng cho cộng đồng crypto, NFT và ứng dụng phi tập trung (DApps) với các cài đặt linh hoạt và linh hoạt. Thu hút người dùng theo dõi thông tin airdrop và cơ hội đầu tư sớm. Tuy nhiên, cơ hội và rủi ro cùng tồn tại. Một số nhà đầu cơ sử dụng Discord để lừa gạt và đánh cắp tiền cũng như thông tin cá nhân của người dùng thông qua các cuộc tấn công lừa đảo và Phishing, khiến Discord trở thành một nền tảng nơi các cơ hội đầu tư và rủi ro tiềm ẩn cùng tồn tại.
Hôm nay (4/9), người sáng lập đội ngũ bảo mật SlowMist đã chuyển tiếp một bài đăng , trong đó cho thấy hacker đã thu hút người dùng thêm thẻ trình duyệt độc hại và đánh cắp mã hóa " Discord Token " của người dùng (tên người dùng và mật khẩu Crypto được tạo khi tạo tài khoản) , cho phép tài khoản của người dùng được kiểm soát.
Tính đến năm 2024, các vụ trộm Discord Token tiếp tục tăng trưởng. Theo báo cáo , sự cố bảo mật Discord tăng trưởng140% trong năm qua, trong đó hành vi trộm cắp mã thông báo là vấn đề chính. Trong một vụ việc khác đáng chú ý, tin tặc đã đánh cắp thông tin cá nhân thông qua kênh Discord của Gnus.AI, sau đó khai thác lỗ hổng đào tiền, dẫn đến thiệt hại 1,27 triệu USD .
Mục lục
ToggleCác phương thức tấn công Discord Token phổ biến:
- Công cụ đánh cắp phần mềm độc hại và mã thông báo : Phần mềm độc hại như BlackPlague và Blitzed Grabber được thiết kế đặc biệt để đánh cắp Mã thông báo Discord. Sau khi mã thông báo bị đánh cắp, tin tặc có thể bỏ qua xác minh mật khẩu và đăng nhập trực tiếp vào tài khoản người dùng để thực hiện các hoạt động độc hại.
- Xâm nhập máy chủ : Sau khi tin tặc lấy được mã thông báo của quản trị viên máy chủ, chúng sẽ gây thiệt hại trên diện rộng cho máy chủ, bao gồm thay đổi cài đặt, xóa kênh, chặn thành viên, v.v.
- Lạm dụng Webhook : Kẻ tấn công sử dụng chức năng Webhook của Discord để kiểm soát và rò rỉ thông tin từ xa, sử dụng các Webhooks này để gửi tin nhắn độc hại hoặc đánh cắp thông tin nhạy cảm.
- Rò rỉ thông tin nền tảng dịch vụ của bên thứ ba : Vào tháng 8 năm 2023, dịch vụ Discord.io của bên thứ ba đã bị hack và thông tin cá nhân của khoảng 760.000 người dùng đã bị rò rỉ, càng làm trầm trọng thêm rủi ro bảo mật thông tin liên quan đến Discord.
Lần này, chúng tôi sẽ sử dụng khái niệm SlowMist của đội ngũ bảo mật để giải thích cho độc giả về các lỗ hổng của Discord Token, đồng thời tiết lộ cách tin tặc sử dụng dấu trang độc hại trong trình duyệt để đánh cắp Discord Token của người dùng.
Phishing bằng cách sử dụng dấu trang độc hại của trình duyệt để lấy cắp Discord Tokens
Tua lại thời gian về năm 2022, một nhóm Discord về dự án NFT Wizard Pass in X đã bị hack, dẫn đến BAYC, Doodles, Clone X và các NFT khác bị đánh cắp.
Sau khi bài đăng ra đã có người phản hồi bên dưới
Câu trả lời cho biết: "Dấu trang là một dấu trang trong trình duyệt (chẳng hạn như Google Chrome). Nội dung của dấu trang có thể chứa mã JavaScript. Khi người dùng Discord nhấn, chương trình độc hại sẽ được thực thi trên Discord và đánh cắp mã thông báo. Sau khi hacker lấy được mã thông báo, bạn có thể dễ dàng kiểm soát tài khoản và quyền Discord của dự án."
Trường hợp tháo gỡ thực tế SlowMist
Để triển khai chức năng này, bạn chỉ cần tạo một thẻ. Đây là mã mẫu:
Khi một dấu trang nhấn, nó có thể được thực thi giống như mã nền của trang web và bỏ qua Chính sách bảo mật nội dung.
So sánh sử dụng trình duyệt Google và FireFox
Có thể bạn đọc sẽ thắc mắc, tại sao trình duyệt không đưa ra bất kỳ lời nhắc nào khi thêm một liên kết như "javascript:()" vào thanh dấu trang của trình duyệt?
SlowMist sẽ so sánh Google Chrome và Firefox.
Lấy Google làm ví dụ
Bên trái là kéo URL thông thường khi URL được chuyển thành dấu trang, trình duyệt sẽ không hiện lên bất kỳ lời nhắc chỉnh sửa nào.
Ở bên phải, nếu bạn kéo một URL độc hại, bạn cũng sẽ không được nhắc.
Còn FireFox thì sao?
Bên trái là URL kéo bình thường. URL giống với Google Chrome và sẽ không có lời nhắc chỉnh sửa nào bật lên.
Ở bên phải, khi kéo URL độc hại, FireFox sẽ hiện ra lời nhắc yêu cầu người dùng xác nhận.
Điều này có nghĩa là FireFox an toàn hơn trong việc thêm dấu trang.
SlowMist sử dụng Google Chrome để trình diễn. Người dùng được cho là đã đăng nhập vào phiên bản web của Discord và thêm dấu trang độc hại theo hướng dẫn của Phishing.
Khi anh ta nhấn dấu trang, mã độc sẽ được kích hoạt và Token của người dùng cũng như các thông tin cá nhân khác sẽ được gửi đến kênh của hacker thông qua webhook Discord do hacker thiết lập.
Thêm chi tiết về cuộc tấn công có thể đặt ra câu hỏi
- Tại sao nạn nhân bị lừa chỉ bằng một cú nhấp chuột?
Từ những điều trên, chúng ta có thể thấy rằng dấu trang có thể chèn một đoạn mã JavaScript, mã này có thể thực hiện hầu hết mọi thứ, bao gồm cả việc lấy thông tin thông qua mô-đun mã giao diện người dùng webpackChunkdiscord_app của Discord. Tuy nhiên, để tránh hành vi nguy hiểm, đội ngũ sẽ không cung cấp mã khai thác chi tiết. - Tại sao kẻ tấn công chọn sử dụng webhook Discord để nhận dữ liệu? Vì định dạng của webhook Discord là https://discord.com/api/webhooks/xxxxxx nên tên miền chính của Discord được sử dụng trực tiếp, điều này có thể bỏ qua các vấn đề như cùng chính sách nguồn gốc. Bạn đọc có thể tạo webhook Discord để kiểm tra.
- Bạn có thể làm gì sau khi nhận được Token?
Việc lấy Token tương đương với việc đăng nhập vào tài khoản Discord, nghĩa là bạn có thể làm bất cứ điều gì khi đăng nhập, chẳng hạn như thiết lập bot webhook Discord, xuất bản thông báo hoặc tin tức giả trong kênh để thực hiện các cuộc tấn Phishing.
Nạn nhân nên thực hiện các hành động khắc phục ngay lập tức sau đây:
- Đặt lại mật khẩu tài khoản Discord của bạn ngay lập tức.
- Sau khi đặt lại mật khẩu, hãy đăng nhập lại vào Discord và làm mới mã thông báo để mã thông báo trong tay hacker trở nên không hợp lệ.
- Xóa và thay thế link webhook gốc vì webhook cũ đã bị rò rỉ.
- Nâng cao nhận thức về bảo mật, kiểm tra các dấu trang đáng ngờ và xóa các dấu trang độc hại đã được thêm vào.
Những độc giả quan tâm đến cách tiếp cận của SlowMist đối với các trò lừa đảo Phishing blockchain cũng như các vấn đề bảo mật thông tin khác và muốn bắt đầu với công nghệ có thể tham khảo “ Sổ tay tự cứu hộ khu rừng tối Blockchain ” của SlowMist .
Chúng ta cũng phải luôn cảnh giác và thận trọng khi sử dụng hoặc thêm bất kỳ mã hoặc liên kết không mong muốn nào. Có rất nhiều tiện ích mở rộng trên Internet trông tiện lợi và hữu ích nhưng bookmark không thể chặn hành vi độc hại, vì vậy bạn nên thận trọng lần khi thực hiện thủ công để tránh bị hack.
