Обязательно к прочтению пользователям Discord. Ваша безопасность превыше всего!
Предисловие
Экосистема блокчейн все еще напоминает Дикий Запад: в этом мире возможно все. Если мы хотим создать безопасную и надежную среду для всех, мы должны всегда быть на шаг впереди злоумышленников.
В недавней публикации The Blockchain Dark Forest Self-help Manual ("Руководство по самопомощи в блокчейн Dark Forest") упоминаются методы фишинговых инцидентов в Discord на проекты NFT.
В этой статье мы расскажем, как эти инциденты стали возможны, чтобы вы всегда оставались бдительными. Один из методов заключался в получении токена Discord проектов NFT через вредоносные закладки и использовании его для размещения фишинговых ссылок.
Фишинговые инциденты
Для начала рассмотрим инцидент, который произошел 14 марта 2022 года. В посте Twitter @Serpent сообщалось, что на Discord-сервер проекта Wizard Pass NFT проникли мошенники и похитили токены таких NFT, как BAYC, Doodles и Clone X.
Подробности ниже:
Вот объяснение @Sentinewtf:
Упомянутая здесь закладка является закладкой браузера. Содержимое этой закладки содержит фрагмент вредоносного кода JavaScript. Когда пользователь нажимает на вредоносный JavaScript-код, он запускает домен Discord, в котором находится пользователь, и крадет токен. Как только злоумышленник получит доступ к токену discord от NFT projects, он сможет напрямую получить соответствующие разрешения учетной записи.
Базовые знания
Этот инцидент требует от читателей некоторой технической подготовки.
Современные браузеры имеют свои собственные менеджеры закладок, которые удобны, но могут быть легко использованы. Тщательно создав вредоносную фишинговую страницу, злоумышленник может обманом заставить вас вставить фрагмент кода JavaScript в вашу любимую закладку. Как только вы нажмете на закладку, она будет выполнена в домене текущей вкладки браузера.
Итак, позвольте еще раз кратко изложить суть высказанного.
Попытка фишинга была предпринята мошенником на аккаунте человека через закладки в браузере (а мы все с вами время от времени оставляем в закладках нужные сайты).
Жертве предлагают добавить что-то в закладки (в браузере). Но вместо того, чтобы просто нажать на значок «Добавить закладку», злоумышленник попросит в появившемся всплывающем окне перетащить кнопку в закладки.
Если человек-жертва это сделал, он автоматически запускает код JavaScript, который крадет его токен Discord. Это позволяет злоумышленнику получить контроль над аккаунтом жертвы Discord (независимо от того, есть ли у жертвы двухфакторная идентификация или нет). Мошенник полностью обходит любые дополнительные методы аутентификации.
Вот небольшой фрагмент другого примера аналогичного взлома с использованием метода Bookmark Drag and Drop:
Наглядно можно посмотреть в 20-секундном ролике ЗДЕСЬ.
Поэтому, никогда ничего не добавляйте в браузере в закладки через появившееся всплывающее окно с кнопкой! Источник (читать через VPN)