比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > Polygon > Info

瀏覽器惡意書簽是如何盜取你的Discord Token的?_ISC

Author:

Time:1900/1/1 0:00:00

作者:耀@慢霧安全團隊

背景

區塊鏈的世界遵循黑暗森林法則,在這個世界我們隨時可能遭受到來自不明的外部攻擊,作為普通用戶不進行作惡,但是了解黑客的作惡的方式是十分必要的。

慢霧安全團隊此前發布了區塊鏈黑暗森林自救手冊,其中提到了不少關于針對NFT項目方的Discord進行攻擊的手法,為了幫助讀者對相關釣魚方式有更清晰的認知,本文將揭露其中一種釣魚方法,即通過惡意的書簽來盜取項目方Discord賬號的Token,用來發布虛假信息等誘導用戶訪問釣魚網站,從而盜取用戶的數字資產。

釣魚事件

先來回顧一起Discord釣魚事件:2022年3月14日,一則推特稱NFT項目WizardPass的Discord社區被詐騙者入侵,目前已造成BAYC、Doodles、CloneX等NFT被盜,詳情如下:

以太坊二層擴容方案Arbitrum宣布Arbiscan瀏覽器已上線:以太坊二層擴容方案Arbitrum發推稱,與區塊鏈瀏覽器Etherscan合作的Arbiscan已經上線。[2021/8/30 22:46:03]

來源:https://twitter.com/sentinelwtf/status/1496293768542429187

該解讀里說的bookmark就是瀏覽器書簽,這個書簽里的內容可以是一段JavaScript惡意代碼,當Discord用戶點擊時,惡意JavaScript代碼就會在用戶所在的Discord域內執行,盜取DiscordToken,攻擊者獲得項目方的DiscordToken后就可以直接自動化接管項目方的Discord賬戶相關權限。

背景知識

要理解該事件需要讀者有一定的背景知識,現在的瀏覽器都有自帶的書簽管理器,在提供便利的同時卻也容易被攻擊者利用。通過精心構造惡意的釣魚頁面可以讓你收藏的書簽中插入一段JavaScript代碼,當受害者點擊書簽時會以當前瀏覽器標簽頁的域進行執行。

動態 | Brave成為2019年東亞足球錦標賽官方瀏覽器:加密瀏覽器Brave官方宣布,其已被選為2019年東亞足球錦標賽(EAFF E-1 Football Championship)的官方瀏覽器。[2019/12/10]

以上圖為例,受害者打開了discord.com官網,并在這個頁面點擊了之前收藏的惡意的書簽“Hello,World!”從而執行了一個彈窗語句,可以發現執行的源顯示的是discord.com。

這里有一個域的概念,瀏覽器是有同源策略等防護策略的,按理不屬于discord.com做出的操作不應該在discord.com域的頁面有響應,但書簽卻繞過了這個限制。

可以預見書簽這么個小功能隱含的安全問題,正常添加書簽的方式會明顯看到書簽網址:

稍微有安全意識的讀者應該會直接看到網址信息明顯存在問題。

動態 | EOS加拿大開發出一款EOS區塊瀏覽器eosq.app:據引力觀察消息,EOS加拿大開發出一款EOS區塊瀏覽器 eosq.app。現已展示DB/數據庫行為 (行的移除、狀態行的更新,等),RAM用量,含具體原因,為每一字節的RAM用量記賬。并且,EOSQ 上所有的數據都可以在EOS加拿大的流式 API dfuse.io上獲取。[2018/11/18]

當然如果是一個構造好誘導你拖拽收藏到書簽欄到頁面呢?可以看到Twitter鏈接中的演示視頻就是構造了這么個誘導頁面:「Dragthistoyourbookmarked」。

也就是拖著某個鏈接即可添加到書簽欄,只要釣魚劇本寫得足夠真實,就很容易讓安全意識不足的用戶中招。

要實現拖拽即可添加到書簽欄只需要構造一個a標簽,下面是示例代碼:

Hello,World!

動態 | 以太坊dApp瀏覽器采取措施提高錢包安全性:據CCN報道,為了保護隱私,以太坊dApp瀏覽器MetaMask將在11月2日停止向用戶瀏覽器注入Web3實例。更新對訪問用戶麥克風或攝像頭請求的審批模式,用戶可以拒絕非法網站的訪問。釣魚網站將無法在用戶不知情的情況下獲取其隱私信息。[2018/8/27]

書簽在點擊時可以像在開發者工具控制臺中的代碼一樣執行,并且會繞過CSP策略。

讀者可能會有疑問,類似「javascript:()」這樣的鏈接,在添加進入到瀏覽器書簽欄,瀏覽器竟然會沒有任何的提醒?

筆者這里以谷歌和火狐兩款瀏覽器來進行對比。

使用谷歌瀏覽器,拖拽添加正常的URL鏈接不會有任何的編輯提醒。

使用谷歌瀏覽器,拖拽添加惡意鏈接同樣不會有任何的編輯提醒。

使用火狐瀏覽器如果添加正常鏈接不會有提醒。

使用火狐瀏覽器,如果添加惡意鏈接則會出現一個窗口提醒編輯確認保存。

由此可見在書簽添加這方面火狐瀏覽器的處理安全性更高。

場景演示

演示采用的谷歌瀏覽器,在用戶登錄Web端Discord的前提下,假設受害者在釣魚頁面的指引下添加了惡意書簽,在DiscordWeb端登錄時,點擊了該書簽,觸發惡意代碼,受害者的Token等個人信息便會通過攻擊者設置好的Discordwebhook發送到攻擊者的頻道上。

下面是演示受害者點擊了釣魚的書簽:

下面是演示攻擊者編寫的JavaScript代碼獲取Token等個人信息后,通過DiscordServer的webhook接收到。

筆者補充幾點可能會產生疑問的攻擊細節:

1.為什么受害者點了一下就獲取了?

通過背景知識我們知道,書簽可以插入一段JavaScript腳本,有了這個幾乎可以做任何事情,包括通過Discord封裝好的webpackChunkdiscord_app前端包進行信息獲取,但是為了防止作惡的發生,詳細的攻擊代碼筆者不會給出。

2.為什么攻擊者會選擇Discordwebhook進行接收?

因為Discordwebhook的格式為

“https://discord.com/api/webhooks/xxxxxx”,直接是Discord的主域名,繞過了同源策略等問題,讀者可以自行新建一個Discordwebhook進行測試。

3.拿到了Token又能怎么樣?

拿到了Token等同于登錄了Discord賬號,可以做登錄Discord的任何同等操作,比如建立一個Discordwebhook機器人,在頻道里發布公告等虛假消息進行釣魚。

總結

攻擊時刻在發生,針對已經遭受到惡意攻擊的用戶,建議立刻采取如下行動進行補救:

立刻重置Discord賬號密碼。

重置密碼后重新登錄該Discord賬號來刷新Token,才能讓攻擊者拿到的Token失效。

刪除并更換原有的webhook鏈接,因為原有的webhook已經泄露。

提高安全意識,檢查并刪除已添加的惡意書簽。

作為用戶,重要的是要注意任何添加操作和代碼都可能是惡意的,Web上會有很多的擴展看起來非常友好和靈活。書簽不能阻止網絡請求,在用戶手動觸發執行的那一刻,還是需要保持一顆懷疑的心。

Tags:ISCORDCORDSCORAISCNew OrderCORD價格SCORGI價格

Polygon
BKEX 關于完成LUFFY智能合約置換的公告_KEX

尊敬的用戶:? BKEX現已完成LUFFY智能合約置換,并將于2022年4月19日18:00恢復LUFFY/USDT交易對交易功能,以及LUFFY的充值與提現功能.

1900/1/1 0:00:00
全球粉絲和社區對TRQ熱烈追捧_ROCK

百度了一下,TRQ會超越shibi,所有的幣,都有其存在的價值,而她價值的高低,取決于她創使者的初衷.社區的推廣度.粉絲的信仰度以及她的生態應用!Paxos:區塊鏈可以改善全球匯款的流動:金色財.

1900/1/1 0:00:00
馬斯克的推特戰爭_ITT

這不是馬斯克第一次想私有化一家公司。上一次他想私有化的那家公司叫特斯拉,事情發生在2018年,沒做成,被美國SEC的鐵拳砸了回去。這也不是馬斯克第一次想掌控推特.

1900/1/1 0:00:00
閃兌交易平臺上線MULTI、OG等11個新資產,新增275個幣對_AVA

親愛的用戶: 為了給用戶提供更豐富的交易選擇,幣安閃兌交易平臺已上線11個新資產-MULTI、OG等,並新增其它275個幣對.

1900/1/1 0:00:00
XT.COM關於恢復BLKC充提的公告_XT.com

尊敬的XT.COM用戶:BLKC錢包升級維護已完成,XT.COM現已恢復BLKC充提業務。給您帶來的不便,請您諒解!加密貨幣市值前十幣種普遍上漲 XTZ領漲:金色財經數據顯示,截止當前,加密貨幣.

1900/1/1 0:00:00
盤中寶——加密市場資金出逃,解讀Terra與雪崩協議的交匯_ALA

據芝商所的利率觀察工具“美聯儲觀察”顯示,市場預計美聯儲5月加息50個基點的概率為90.4%,較上周上升11個百分點.

1900/1/1 0:00:00
ads