比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > ICP > Info

慢霧:揭露瀏覽器惡意書簽如何盜取你的Discord賬戶_SCOR

Author:

Time:1900/1/1 0:00:00

背景

區塊鏈的世界遵循黑暗森林法則,在這個世界我們隨時可能遭受到來自不明的外部攻擊,作為普通用戶不進行作惡,但是了解黑客的作惡的方式是十分必要的。

慢霧安全團隊此前發布了區塊鏈黑暗森林自救手冊

,其中提到了不少關于針對NFT項目方的Discord進行攻擊的手法,為了幫助讀者對相關釣魚方式有更清晰的認知,本文將揭露其中一種釣魚方法,即通過惡意的書簽來盜取項目方Discord賬號的Token,用來發布虛假信息等誘導用戶訪問釣魚網站,從而盜取用戶的數字資產。

釣魚事件

先來回顧一起Discord釣魚事件:2022年3月14日,一則推特稱NFT項目WizardPass的Discord社區被詐騙者入侵,目前已造成BAYC、Doodles、CloneX等NFT被盜,詳情如下:

Coinbase聘請前美國議員成立全球咨詢委員會應對監管:金色財經報道,Coinbase目前正與三位前美國議員合作,應對不斷變化的加密監管格局,可能會與美國監管機構重建友好關系。Coinbase全球咨詢委員會的首批成員將包括前參議員Patrick Toomey(R-PA)和兩位前民主黨議員Tim Ryan和Sean Patrick Maloney。

根據該公司的聲明,Coinbase的新理事會還將與另一個Coinbase顧問委員會的成員密切合作,該委員會包括前美國證券交易委員會主席Jay Clayton和前中央情報局總法律顧問Courtney Elwood。

Coinbase還表示,它有計劃在今年擴大該委員會,\"由具有深厚監管專業知識的兩黨領導人組成\"。[2023/5/16 15:04:40]

牽出其中一個解讀:

Solana鏈上24小時清算超96%,剩余可清算額為230萬美元:11月9日消息,據DefiLlama數據顯示,Solana鏈上24小時可清算價值變化跌幅達96.2%,當前剩余可清算額為230萬美元。

此外,Solend上SOL分別于11.232、9.36、8.944、5.824美元處面臨36.6萬美元、31.7萬美元、36.91萬美元、29.53萬美元的鏈上清算。[2022/11/9 12:37:41]

該解讀里說的bookmark就是瀏覽器書簽,這個書簽里的內容可以是一段JavaScript惡意代碼,當Discord用戶點擊時,惡意JavaScript代碼就會在用戶所在的Discord域內執行,盜取DiscordToken,攻擊者獲得項目方的DiscordToken后就可以直接自動化接管項目方的Discord賬戶相關權限。

Avalanche鏈上USDC發行量突破14億美元 創歷史新高:金色財經報道,根據usdc.cool最新數據顯示,Avalanche鏈上USDC發行量已突破14億美元,創下歷史新高,本文撰寫時為 1,421,631,552.81 美元,系USDC發行量第四大網絡。當前USDC總發行量為530.1億美元,以太坊鏈上發行量最大,約為449.3億美元;Solana位列第二,發行量約為41.8億美元;Tron 排名第三,發行量約為20.1億美元。[2022/5/21 3:32:27]

背景知識

要理解該事件需要讀者有一定的背景知識,現在的瀏覽器都有自帶的書簽管理器,在提供便利的同時卻也容易被攻擊者利用。通過精心構造惡意的釣魚頁面可以讓你收藏的書簽中插入一段JavaScript代碼,當受害者點擊書簽時會以當前瀏覽器標簽頁的域進行執行。

歐易OKX將于明日上線合約冷靜期功能:據官方消息,歐易OKX將于5月20日在web、app同步上線合約冷靜期功能。合約冷靜期功能開啟后,用戶將被暫停永續/交割合約交易,直至冷靜期結束。

歐易OKX團隊表示,希望合約冷靜期功能可以幫助用戶降低爆倉風險。該功能將在用戶強制減倉、強制平倉后主動推送給用戶,用戶也可在交易頁側邊欄主動開啟。冷靜期持續時長可靈活配置,但截止日到期前,用戶將無法關閉冷靜期。[2022/5/19 3:28:36]

以上圖為例,受害者打開了discord

)();">2Hello,World!3</a>

書簽在點擊時可以像在開發者工具控制臺中的代碼一樣執行,并且會繞過CSP(ContentSecurityPolicy)策略。

讀者可能會有疑問,類似「javascript:()」這樣的鏈接,在添加進入到瀏覽器書簽欄,瀏覽器竟然會沒有任何的提醒?

筆者這里以谷歌和火狐兩款瀏覽器來進行對比。

使用谷歌瀏覽器,拖拽添加正常的URL鏈接不會有任何的編輯提醒。

使用谷歌瀏覽器,拖拽添加惡意鏈接同樣不會有任何的編輯提醒。

使用火狐瀏覽器如果添加正常鏈接不會有提醒。

使用火狐瀏覽器,如果添加惡意鏈接則會出現一個窗口提醒編輯確認保存。

由此可見在書簽添加這方面火狐瀏覽器的處理安全性更高。

場景演示

演示采用的谷歌瀏覽器,在用戶登錄Web端Discord的前提下,假設受害者在釣魚頁面的指引下添加了惡意書簽,在DiscordWeb端登錄時,點擊了該書簽,觸發惡意代碼,受害者的Token等個人信息便會通過攻擊者設置好的Discordwebhook發送到攻擊者的頻道上。

下面是演示受害者點擊了釣魚的書簽:

下面是演示攻擊者編寫的JavaScript代碼獲取Token等個人信息后,通過DiscordServer的webhook接收到。

筆者補充幾點可能會產生疑問的攻擊細節:

1.為什么受害者點了一下就獲取了?

通過背景知識我們知道,書簽可以插入一段JavaScript腳本,有了這個幾乎可以做任何事情,包括通過Discord封裝好的webpackChunkdiscord_app前端包進行信息獲取,但是為了防止作惡的發生,詳細的攻擊代碼筆者不會給出。

2.為什么攻擊者會選擇Discordwebhook進行接收?

因為Discordwebhook的格式為

「https://discord.com/api/webhooks/xxxxxx」,直接是Discord的主域名,繞過了同源策略等問題,讀者可以自行新建一個Discordwebhook進行測試。

3.拿到了Token又能怎么樣?

拿到了Token等同于登錄了Discord賬號,可以做登錄Discord的任何同等操作,比如建立一個Discordwebhook機器人,在頻道里發布公告等虛假消息進行釣魚。

總結

攻擊時刻在發生,針對已經遭受到惡意攻擊的用戶,建議立刻采取如下行動進行補救:

1.立刻重置Discord賬號密碼。

2.重置密碼后重新登錄該Discord賬號來刷新Token,才能讓攻擊者拿到的Token失效。

3.刪除并更換原有的webhook鏈接,因為原有的webhook已經泄露。

4.提高安全意識,檢查并刪除已添加的惡意書簽。

作為用戶,重要的是要注意任何添加操作和代碼都可能是惡意的,Web上會有很多的擴展看起來非常友好和靈活。書簽不能阻止網絡請求,在用戶手動觸發執行的那一刻,還是需要保持一顆懷疑的心。

本文到這邊就結束了,慢霧安全團隊將會揭露更多關于黑暗森林的攻擊事件,希望能夠幫助到更多加密世界的人。?

Tags:CORDSCODISCSCORCORD幣SCORGI價格DISC幣scor幣多少錢一個

ICP
數據告訴你:GameFi能否再度爆發?_GAM

原標題:GameFi賽道分析(1) 原作者:ViewDAO 一、引言 在過去的兩年里,加密貨幣圈最火熱最出圈的話題.

1900/1/1 0:00:00
制裁是比特幣采用的驅動因素?_比特幣

原文標題:SANCTIONSASADRIVEROFBITCOINADOPTION 作者:SHINOBI 來源:Bitcoinmagazine 編譯:WebX實驗室 摘要: 制裁是各國尋求對一個國.

1900/1/1 0:00:00
Cardano區塊鏈一個月內新增400個項目和10萬個錢包_cardano

Cardano(ADA)區塊鏈上的活動開始升溫,在過去的一個月里,有400個新項目正在開發,同時有10萬個新錢包被創建.

1900/1/1 0:00:00
鏈安訪談71期丨擁有超級燃燒機制的Probably Nothing_Nothing

隨著DAO的興起,meme幣迎來了新的浪潮,然而,meme代幣的增發和數量一度成為限制meme幣進一步發展的關卡.

1900/1/1 0:00:00
除巨鯨外,還有哪些類型的 NFT 潛水者值得關注?_LLE

作者:NFTGo 在加密貨幣市場,巨鯨是指持有大量特定代幣的對象——個人、機構和交易所。例如,當談到比特幣時,巨鯨一般是指持有1000個或更多比特幣的賬戶.

1900/1/1 0:00:00
錄入虹膜信息的Worldcoin陷欺詐風波,隱私與法律紛爭成攔路虎_COIN

原標題|世界貨幣Worldcoin陷入欺詐風波名為Worldcoin的項目在創立之初描繪了一個波瀾壯闊的愿景,它計劃向全球79億人免費發行一種數字貨幣,以達成「讓數十億人脫貧」的最終目標.

1900/1/1 0:00:00
ads