為什麼官方 Discord 帳號總是被駭?慢霧揭露駭客陷阱

Louis Lin
分享
為什麼官方 Discord 帳號總是被駭?慢霧揭露駭客陷阱

近年來,區塊鏈技術的快速發展帶動了許多平台的興起,其中 Discord 憑藉其靈活設置和多功能性,成為加密貨幣、NFT 和去中心化應用 (DApps)社群的重要交流平台。吸引用戶追蹤空投資訊和早期投資機會。然而機會與風險並存,一些投機者利用 Discord 詐騙,透過社交工程和釣魚攻擊竊取用戶資金和個資,讓 Discord 成為了投資機會與潛在風險並存的平台。

今 (9/4) 資安團隊慢霧創辦人轉發貼文,內容為駭客吸引用戶添加瀏覽器惡意標籤,並竊取用戶的「Discord Token」(建立帳戶時產生的Discord 使用者名稱和密碼的加密),讓用戶的帳號被控制。

截至 2024 年,Discord Token 竊取事件持續增長。根據報告, Discord 資安事件在過去一年增長了 140%,其中 Token 竊取為主要問題。還有另一起值得關注的事件中,駭客透過 Gnus.AI 的 Discord 頻道竊取私密資訊,進而利用鑄幣漏洞,導致損失達 127 萬美元​。

(空投潮惹禍!Discord釣魚攻擊半年內暴增,逾九成受害者竟是18歲以下兒童?)

常見的 Discord Token 攻擊方式:

  • 惡意軟體及 Token 竊取工具:如 BlackPlagueBlitzed Grabber 等惡意軟體專門設計用來竊取 Discord Token。一旦 Token 被竊取,駭客可以繞過密碼驗證直接登入用戶帳號,執行惡意操作​。
  • 伺服器滲透:駭客取得伺服器管理員的 Token 後,對伺服器進行大範圍破壞,包括更改設定、刪除頻道、封鎖成員等​。
  • Webhook 濫用:攻擊者利用 Discord 的 Webhook 功能從遠端控制並將資訊外流,使用這些 Webhook 傳遞惡意訊息或竊取敏感資訊。​
  • 第三方服務平台資訊外洩:2023 年 8 月,第三方服務 Discord.io 被駭客入侵,約 76 萬用戶的個資外洩,進一步加劇了 Discord 相關的資安風險​。

而本次會引用資安團隊慢霧的概念,和讀者說明 Discord Token 的漏洞,並且揭露駭客如何利用瀏覽器的惡意書籤中盜取用戶的 Discord Token。

使用瀏覽器的惡意書籤釣魚,盜取Discord Token 

時間倒轉到 2022 年,一則在 X 關於 NFT 專案 Wizard Pass 的 Discord 群組被駭客入侵,造成 BAYC、Doodles、Clone X 等 NFT 被盗取。

(Original Source https://twitter.com/SerpentAU/status/1503232270219431941)

而貼文出來後,底下有人回覆

廣告 - 內文未完請往下捲動

回覆裡說到:「Bookmark 是瀏覽器(如 Google Chrome)中的書籤,書籤內容可以包含 JavaScript 程式碼。當 Discord 用戶點擊後,惡意程式會在 Discord 上執行,盜取 Token。駭客取得 Token 後,便能輕易控制專案的 Discord 帳戶及權限。」

慢霧實際拆解案例

下圖為例,受害人打開了 Discord 官網,並在這個頁面點擊了之前收藏的惡意書籤「Hello,World!」,同時彈出一個小視窗,可以發現執行來源是 discord.com。

瀏覽器有「同源政策」來防止不同網域之間的操作相互影響,因此不屬於 discord.com 的操作就不該影響其頁面。然而,書籤可繞過這個限制,因為它執行的是使用者觸發的 JavaScript 程式碼,讓惡意程式得以在 discord.com 上執行,威脅帳戶安全。
 
而點進去後發現,有危機意識的讀者應該會發現這個網址是有問題的。
 
 
另外一個手法是,直接誘導使用者將頁面收藏拖曳到書籤欄當中(紅色方框 Drag this to your bookmarked)。
 
把某個連結拖到書籤欄,就能新增書籤。如果釣魚的文案寫得夠吸引人,很容易讓危機意識不足的使用者上當。

實現這個功能只需要建立一個 a 標籤。以下是範例程式碼:

點擊書籤時可以像在網頁後台程式碼一樣執行,還會繞過內容安全策略(Content Security Policy)。

利用 Google 和 FireFox 瀏覽器進行對比

讀者可能會疑惑,像是「javascript:()」這樣的連結,加入到瀏覽器的書籤欄時,為什麼瀏覽器沒有任何提醒?

而慢霧會以 Google Chrome 和 Firefox 這兩款瀏覽器來進行對比。

以 Google 為例

左邊是拖曳正常的 URL 網址變成書籤時,瀏覽器不會跳出任何編輯提醒。

而右邊是拖曳惡意網址也同樣不會提醒。

那 FireFox 呢?

左邊是拖曳正常的 URL 網址和 Google 瀏覽器相同,也不會跳出任何編輯提醒。

反倒右邊,是拖曳惡意網址時,FireFox竟會跳出提醒,讓用戶確認。

代表 FireFox 針對添加書籤這方面安全性較高。

慢霧使用 Google 瀏覽器示範,假設使用者已登入網頁版 Discord,並在釣魚網站引導下加入惡意書籤。

當他點擊書籤後,就會觸發惡意程式碼,使用者的 Token 等個資會透過駭客設定的 Discord webhook ,再傳送到駭客的頻道。

補充可能讓人產生疑問的攻擊細節

  • 為什麼受害者點一下就中招?
    綜合上述可得知,書籤可以插入一段 JavaScript 程式碼,這幾乎可以做任何事情,包括透過 Discord 的 webpackChunkdiscord_app 前端程式碼模組來獲取資訊。不過,為了避免惡意行為,詳細的攻擊程式碼團隊不會提供。
  • 為什麼攻擊者會選擇用 Discord webhook 接收資料?因為 Discord webhook 的格式為https://discord.com/api/webhooks/xxxxxx,直接使用 Discord 的主域名,這樣可以繞過同源政策等問題。讀者可以自行建立一個 Discord webhook 測試看看。
  • 拿到 Token 之後能做什麼?
    拿到 Token 就等於登入了 Discord 帳號,也就是能以登入狀態做任何事,像是建立 Discord webhook 機器人,在頻道裡發布公告或假消息進行釣魚攻擊。

建議受害者應立刻採取以下行動補救

  1. 立刻重設 Discord 帳號密碼。
  2. 重設密碼後,重新登入 Discord 並刷新 Token,這樣駭客手上的 Token 才會失效。
  3. 刪除並更換原有的 webhook 連結,因為舊的 webhook 已經外洩。
  4. 提高安全意識,檢查可疑書籤並刪除已加入的惡意書籤。

而如果對慢霧針對區塊鏈釣魚詐騙等資安問題感到有興趣,並且想從技術出發的讀者,可以參考慢霧的「區塊鏈黑暗森林自救手冊。」

我們也必須保持警覺,謹慎使用或添加任何的程式碼,以及來路不明的連結。網路上有許多看起來很方便且實用的擴充功能,但書籤無法攔截惡意行為,因此每次手動執行時,都應該保持謹慎,以免遭到駭客入侵。