為什麼官方 Discord 帳號總是被駭？慢霧揭露駭客陷阱

2024/9/4

近年來，區塊鏈技術的快速發展帶動了許多平台的興起，其中 Discord 憑藉其靈活設置和多功能性，成為加密貨幣、NFT 和去中心化應用 (DApps）社群的重要交流平台。吸引用戶追蹤空投資訊和早期投資機會。然而機會與風險並存，一些投機者利用 Discord 詐騙，透過社交工程和釣魚攻擊竊取用戶資金和個資，讓 Discord 成為了投資機會與潛在風險並存的平台。

今 (9/4) 資安團隊慢霧創辦人轉發貼文，內容為駭客吸引用戶添加瀏覽器惡意標籤，並竊取用戶的「Discord Token」(建立帳戶時產生的Discord 使用者名稱和密碼的加密)，讓用戶的帳號被控制。

截至 2024 年，Discord Token 竊取事件持續增長。根據報告， Discord 資安事件在過去一年增長了 140%，其中 Token 竊取為主要問題。還有另一起值得關注的事件中，駭客透過 Gnus.AI 的 Discord 頻道竊取私密資訊，進而利用鑄幣漏洞，導致損失達 127 萬美元。

(空投潮惹禍！Discord釣魚攻擊半年內暴增，逾九成受害者竟是18歲以下兒童？)

Table of Contents

常見的 Discord Token 攻擊方式：

惡意軟體及 Token 竊取工具：如 BlackPlague 和 Blitzed Grabber 等惡意軟體專門設計用來竊取 Discord Token。一旦 Token 被竊取，駭客可以繞過密碼驗證直接登入用戶帳號，執行惡意操作。
伺服器滲透：駭客取得伺服器管理員的 Token 後，對伺服器進行大範圍破壞，包括更改設定、刪除頻道、封鎖成員等。
Webhook 濫用：攻擊者利用 Discord 的 Webhook 功能從遠端控制並將資訊外流，使用這些 Webhook 傳遞惡意訊息或竊取敏感資訊。
第三方服務平台資訊外洩：2023 年 8 月，第三方服務 Discord.io 被駭客入侵，約 76 萬用戶的個資外洩，進一步加劇了 Discord 相關的資安風險。

而本次會引用資安團隊慢霧的概念，和讀者說明 Discord Token 的漏洞，並且揭露駭客如何利用瀏覽器的惡意書籤中盜取用戶的 Discord Token。

使用瀏覽器的惡意書籤釣魚，盜取Discord Token

時間倒轉到 2022 年，一則在 X 關於 NFT 專案 Wizard Pass 的 Discord 群組被駭客入侵，造成 BAYC、Doodles、Clone X 等 NFT 被盗取。

（Original Source https://twitter.com/SerpentAU/status/1503232270219431941）

而貼文出來後，底下有人回覆

廣告 - 內文未完請往下捲動

回覆裡說到：「Bookmark 是瀏覽器（如 Google Chrome）中的書籤，書籤內容可以包含 JavaScript 程式碼。當 Discord 用戶點擊後，惡意程式會在 Discord 上執行，盜取 Token。駭客取得 Token 後，便能輕易控制專案的 Discord 帳戶及權限。」

慢霧實際拆解案例

下圖為例，受害人打開了 Discord 官網，並在這個頁面點擊了之前收藏的惡意書籤「Hello,World!」，同時彈出一個小視窗，可以發現執行來源是 discord.com。

瀏覽器有「同源政策」來防止不同網域之間的操作相互影響，因此不屬於 discord.com 的操作就不該影響其頁面。然而，書籤可繞過這個限制，因為它執行的是使用者觸發的 JavaScript 程式碼，讓惡意程式得以在 discord.com 上執行，威脅帳戶安全。

而點進去後發現，有危機意識的讀者應該會發現這個網址是有問題的。

另外一個手法是，直接誘導使用者將頁面收藏拖曳到書籤欄當中（紅色方框 Drag this to your bookmarked）。

把某個連結拖到書籤欄，就能新增書籤。如果釣魚的文案寫得夠吸引人，很容易讓危機意識不足的使用者上當。

實現這個功能只需要建立一個 a 標籤。以下是範例程式碼：

點擊書籤時可以像在網頁後台程式碼一樣執行，還會繞過內容安全策略（Content Security Policy）。

利用 Google 和 FireFox 瀏覽器進行對比

讀者可能會疑惑，像是「javascript:()」這樣的連結，加入到瀏覽器的書籤欄時，為什麼瀏覽器沒有任何提醒？

而慢霧會以 Google Chrome 和 Firefox 這兩款瀏覽器來進行對比。

以 Google 為例

左邊是拖曳正常的 URL 網址變成書籤時，瀏覽器不會跳出任何編輯提醒。

而右邊是拖曳惡意網址也同樣不會提醒。

那 FireFox 呢？

左邊是拖曳正常的 URL 網址和 Google 瀏覽器相同，也不會跳出任何編輯提醒。

反倒右邊，是拖曳惡意網址時，FireFox竟會跳出提醒，讓用戶確認。

代表 FireFox 針對添加書籤這方面安全性較高。

慢霧使用 Google 瀏覽器示範，假設使用者已登入網頁版 Discord，並在釣魚網站引導下加入惡意書籤。

當他點擊書籤後，就會觸發惡意程式碼，使用者的 Token 等個資會透過駭客設定的 Discord webhook ，再傳送到駭客的頻道。

補充可能讓人產生疑問的攻擊細節

為什麼受害者點一下就中招？
綜合上述可得知，書籤可以插入一段 JavaScript 程式碼，這幾乎可以做任何事情，包括透過 Discord 的 webpackChunkdiscord_app 前端程式碼模組來獲取資訊。不過，為了避免惡意行為，詳細的攻擊程式碼團隊不會提供。
為什麼攻擊者會選擇用 Discord webhook 接收資料？因為 Discord webhook 的格式為https://discord.com/api/webhooks/xxxxxx，直接使用 Discord 的主域名，這樣可以繞過同源政策等問題。讀者可以自行建立一個 Discord webhook 測試看看。
拿到 Token 之後能做什麼？
拿到 Token 就等於登入了 Discord 帳號，也就是能以登入狀態做任何事，像是建立 Discord webhook 機器人，在頻道裡發布公告或假消息進行釣魚攻擊。