浏览器恶意书签也可以接管账户? | Discord恶意书签
作者:FancyPig | 发布时间: | 更新时间:
相关阅读
视频讲解
你知道吗?Discord版主正面临恶意书签威胁,这种神秘书签竟能让攻击者接管服务器!你以为书签只用来保存网址?错了!它们还能存储强大的JavaScript代码,功能远超想象!近期,恶意书签卷土重来,Discord服务器遭遇骗局攻击。骗局瞄准加密货币相关服务器,诱使管理员泄露身份验证信息。攻击者利用窃取的Discord令牌,趁夜深人静发布加密货币骗局,受害者钱包瞬间被掏空!
虽针对加密货币服务器,但恶意书签潜在更广泛威胁。请务必提高警惕!如果您对类似的书签感兴趣,GitHub上有丰富资源,但尝试时需谨慎。感谢收看,下期再见!
图文讲解
大家好,普通的discord版主正受到浏览器书签的威胁,恶意的书签,使攻击者能够完全接管其服务器。
在制作这个视频之前,我其实不知道书签可以被武器化,如果你和我一样困惑,那么即使你不是discord版主, 你也必须知道这个。所以,我猜我们都遇到过指向URL的书签,但它们也可以存储JavaScript。这使得书签可以做的事情比它们的名字多得多。你可以在书签中存储游戏,比如乒乓。
我遇到了一个代码片段,它可以将整个页面充满史莱克。
我甚至发现了一个可以让你跳过youtube的广告,不需要广告屏蔽器。这个书签所做的就是把你正在看的youtube广告的当前时间码设置为不管它的持续时间是多少,从用户的角度来说,这是你无法做到的。
考虑到youtube的最新实验,这可能实际上是有用的。在书签中存储的JavaScript的整个概念被称为bookmarklet。
我很惊讶我以前从未听说过它们,然后我发现了原因。它们早在不久前就过时了。它们只是用更好的方式来实现浏览器扩展的同样的事情,更不用说书签的安全问题了,但我们稍后会提到这个问题。这些东西早在2010年就达到了流行的顶峰,此后一直在消亡。
专门讨论这些东西的论坛已经变成了鬼城,让小书签几乎消亡。
直到去年,突然间,小书签又神秘地流行起来。
这种从坟墓里爬出来的现象,似乎与首次出现的恶意使用小书签的Discord骗局相吻合。这种骗局有多种方式,但我们将使用最近的例子,即加密货币相关的Discord服务器成为目标。
事情是这样的,其中一位管理员或版主在这些服务器中收到了一个来自一家虚构加密货币新闻网站的工作人员的信息,想要进行采访。
Discord管理员兴奋地接受并加入了一个由采访者主持的服务器。
然而,在服务器将允许他们进入之前,它将他们指向一个网站,以验证他们的身份,上面写着为了获得进入这个discord服务器的机会,请将drag me拖到你的书签栏。
如果你以前没有接触过书签小程序,你不会知道把一个按钮拖到你的书签栏是安装书签小程序的快速和常见的方法,而不是直接粘贴原始代码。
然后网站告诉你进入你想验证的discord服务器,并在上面点击验证功能。但是,如果我们看一下书签的代码,我们可以看到这里到底发生了什么。
它远不是在验证你的身份,而是在抓取你的discord令牌,以及其他一些变量,通过discord webhook将它们直接发送到攻击者那里。
你的Discord令牌当然掌握着你的账户的钥匙,也是攻击者需要来接管它的全部。
双因素认证在这里并不能拯救你,因为它绕过了这一点。攻击者拿到令牌后,他们会等到深夜,当管理员真正沉睡时,才登录管理员账户,在公告中发布加密货币骗局。但这些并不是典型的翻倍赚钱的加密货币骗局,那些太基本了,不可能在实际的加密货币社区发挥作用。相反,由于许多加密货币服务器是围绕一个特定的加密货币项目,代币,NFT或类似的东西,攻击者将利用其品牌的力量,建立一个高度定制的网站,冒充它,声称他们正在做某种赠品。
受害者上当后,将他们的钱包连接到该网站,最终被吸干。如果你试图在聊天中警告其他人,这都是假的,你就会被禁止。如果可能的话,攻击者也会贬低其他工作人员,以使骗局尽可能长时间地持续下去。这一切都会持续,直到版主不可避免地被这场大屠杀惊醒。幸运的是,锁定攻击者就像改变你的密码一样简单,但那时伤害已经造成了。
虽然这些骗局主要针对以加密货币为重点的Discord服务器,因为从那些人身上榨取钱财更容易,
但没有理由认为恶意书签不会被更广泛地使用,所以一定要注意它们。如果你确实想玩玩非恶意的书签,你可以在github上找到很多,
其中很多让我想起了2012年以前的互联网,你在学校玩的那种东西。
但当然要小心,在复制粘贴代码时,可能会有一个讨厌的惊喜藏在里面。
一如既往地感谢您的观看,我们下期视频再见,祝您愉快。