Discord 是許多項目常用的社群討論平台,但詐騙案例也屢見不鮮。包含無聊猿(BAYC)、Doodles、Nyoki Club 等多個知名項目,今日就傳出因機器人外掛遭駭,攻擊者發布釣魚訊息詐騙的案件。本文將教你如何取消機器人授權、以及一些使用 Discord 時需要注意的安全建議。
(前情提要:無聊猿、Doodles等 Discord 群遭駭客入侵、發假公告釣魚;Ticket Tool 驗證 bug 遭利用
(背景補充:觀點|明星 New money 入場,周杰倫、陳冠希等藝人給 NFT 市場帶來了什麼?)
Discord 是加密貨幣、NFT 領域用戶經常使用的社群討論平台,幾乎所有項目都會設置官方頻道,以發布最新消息、解答疑問、凝聚社群向心力;但一直以來也時常聽到 Discord 遭駭,投資者蒙受損失的情況。
今(1)日稍早,眾多知名項目包含:無聊猿(BAYC)、Doodles、Nyoki Club 的 Discord 就相繼傳出遭駭客攻擊、發布虛假的鑄造或空投連結以騙取用戶資產。Discord 代碼安全人員 Serpent 稍早就發推文稱:
從一個駭客那裡得到內部消息,官方驗證機器人 Captcha.Bot 已被入侵,請把它從自己的伺服器上移除。
本文將教你如何取消機器人授權,並提供一些需要記住的安全操作指南,希望能減少經驗不足的用戶因誤觸釣魚陷阱蒙受損失的情況。
如何取消 Discord 機器人授權
Discord 擁有許多機器人外掛,以協助項目方經營社群。上述事件的發生,據了解是因為機器人外掛的原始碼遭入侵,攻擊者以虛假的管理員身份在頻道內發布釣魚連結,用戶不慎點擊導致。
也就是說,授權給機器人並不會直接導致用戶資產的損失;但以防萬一,安全人員還是建議用戶可以取消相關機器人的授權。這次被點名遭駭的機器人包括:Arcane bot、Captcha bot 以及 Ticket tool bot,用戶可自行評估。
THIS IS 100% CONFIRMED. AUDIT LOG FROM DOODLES amp; SHAMANZS
🚨 TICKET TOOL IS HACKED 🚨
REMOVE IT FROM YOUR SERVER. pic.twitter.com/KKHn5RHCVL
— Serpent (@SerpentAU) April 1, 2022
步驟一:
進入 Discord 的個人帳號頁面後,點擊左下角的「設定按鈕」。
步驟二:進入已授權的應用程式
進入你的使用者設定頁面後,請點擊「已授權的應用程式」。
步驟三:取消授權
完成步驟二之後,你就會看到所有目前你已經授權的應用程式,找到你想要取消的項目,點擊右上角紅色的「取消授權」按鈕,即可完成。
使用 Discord 的安全建議
在網路時代,各種釣魚或是詐騙方法頻繁出現。例如你收到一個機器人寄來的私訊,告訴你只要按下裡面的連結就有免費好康,請千萬別上當!這種訊息有很高的概率就是要來騙缺乏戒心的用戶。不要將這些機器人帳號加入伺服器中,傻傻期待會獲得任何回報。
以下一些最基本的原則只要記住,就能排除多數詐騙的可能性:
- 不要點擊任何來自不明人士或看起來可疑的連結。
- 不要下載任何可疑的應用程式。
- 不要掃描任何你不信任或你無法驗證其安全性的 QR code。
- 不要把你的密碼透露給任何人。
- 任何私訊你的個人訊息務必小心謹慎,詐騙份子可能會假造官方身份與你聯繫。
另外,你也可以在使用者設定中的「隱私&安全」頁面中,設定系統是否會掃描可能含有嫌惡內容的訊息、是否願意接收伺服器內的私人訊息,以及誰可以加你為好友的權限…等等。
