作為一個公共的聊天平台,Discord 就是詐騙者的溫床之一。
(本文經授權轉載自區塊律動,原文請見)
原文連結:https://mp.weixin.qq.com/s/pj-c_C5t7-N6U1kBCtQnOA
原文作者:阿法兔,阿法兔研究筆記
隨著NFT 市場的飛速增長,2021 年NFT 市場的交易額度近達到 442 億美元,巨大的金額誘惑導致職業騙子和數字世界的職業詐騙者大量滲透到加密世界,而這些加密世界的騙子,面對經驗不足的加密小白進行降維打擊,為了給大家提供一些有用處的安全指南,是本文寫作的契機。
本文主要分為以下幾部分:
- 作為 Discord 或者想參與NFT 專案的新手,你應該注意什麼?
- 目前 Discord 的環境現狀
- 來自 Discord 官方的安全指南
- 再次重申
NFT 防騙指南
先提供一些對於普通用戶需要記住的安全操作指南,我們後面會進一步進行分析。
首先我們要注意:騙局的幾大騙人本質,通常就是利用人類的希望、貪婪(例如,天降祥瑞了!恭喜你,中了大獎)和恐懼(我們是官方人員,你騙人了,要把你抓起來,趕緊報上身份證和銀行卡密碼)。
0. 所有 DM(Discord Message)附帶連結的不要信,建議直接把 DM 關掉
這一條也是發生頻率比較高的,原因在於,如果不是真實生活裡有交集的朋友,Discord 私聊你很可能是惡意陌生人,有詐騙的風險。
關於NFT 專案的一些可能的疑點(需要注意的)
- Discord 不開公共聊天室
- Twitter 不開評論
- 非原創設計
- 沒有白名單也能在預售中 Mint
- 團隊完全匿名,尤其是設計師
- 核心成員非常少,MOD 都是網上找的志願者
- 從未舉辦 AMA(Ask Me Anything)
- 抽獎永遠只抽 WL 或者該專案的免費 NFT
- 除了抽獎基本沒有其他活動
- WL 要求中,拉人頭佔很大比重
- Presale 非常倉促
- 每個錢包的 Mint 數量較多(3 個就算多)
- 專案週期比較短(2 週都算短)
- General 頻道活躍度極低(精準收割國內韭菜)
- 推特上沒什麼人關注,評論轉發很少
- 無其他專案方聯動(蹭藍籌 Holder 不算聯動)
- 所有 DM 附帶連結的不要信,建議直接把 DM 關掉
(以上僅供參考)
去中心化體制的後果就是:沒人能全權對某件事情進行負責。Discord 是否對其用戶負有安全責任?還是說每個服務器的負責人需要保護用戶安全?還是用戶自己需要學習所有的安全常識,例如不要點擊陌生人發送的連結?
注意:從安全專家的角度來看,詐騙數量只是一方面;更重要的是很多詐騙手段越來越複雜。就像免疫系統運作一樣:儘管 NFT 持有者對普通的騙局有了一定免疫力,例如不信任任何陌生信息,會保護好自己的助記詞。但是,由於安全功能尚且有限,越來越多的新方式開始出現,欺騙 Web3er。
背景
我們從一個故事開始說起:
2021 年 7 月,50 歲的兼職戶外教練 Heart 在和孩子們進行戶外訓練的時候,家中因電線短路而被燒毀,房屋保險已過期,因此她的所有財產都毀於一旦。之後通過區塊鏈公司 Nametag 的贈品,Heart 獲得了一個無聊猿 NFT。
無聊猿 NFT 的品牌屬性就像消費品世界中的 LV 香奈兒一樣,目前在二級市場的價格可高達數百萬美元。Heart 在收到這隻猴子的時候,價值約為 3.5 萬美元,而後漲到 8 萬美元。
但是就在去年 8 月,Heart 收到了一個 VeeFriends 贈品的連結,該贈品是由聊天平台 Discord 上的一位陌生人直接發送的,看起來一切似乎都比較合理,URL 指向該專案的官方網站。但是,當她準備領取贈品時,官網要求輸入她的助記詞,當她輸入之後:
自己帳戶裡的所有 Eth 和猴子都不見了。
數據顯示,2022 年 1 月,有至少 44 台 Discord 服務器遭到攻擊,損失超過 100 萬美元。NFT 專案作為一個對騙子們有巨大誘惑力的競技場,已經有人開始以工業模式,規模化的詐騙團隊進入 NFT 領域。
但這些都沒有影響 Discord 的增長。9 月份 Discord 融資 5 億美元,在巨大的增長中,其估值翻了一番多,達到 150 億美元。聊天服務長期以來一直是視頻遊戲玩家的熱門平台,在過去一年裡,它已成為加密社群事實上的城市廣場,以至於每一個主要的 NFT 專案和分散的自治組織現在都有一台 Discord 服務器。
從表面上看,Discord 沒有提供任何與 Slack 或 Telegram 等傳統企業消息平台截然不同的東西,後者主要提供語音和文本聊天工具。該公司成立於 2015 年,早期多是電子遊戲玩家的交流平台,但在過去一年裡,已經成為加密貨幣社群的組織活躍陣地,但其實 Discord 並沒有提供任何與 Slack 或 Telegram 等傳統企業消息平台完全不同的價值,主要還是語音和文字的聊天工具。
Discord 主要是提供了一個可以閒逛的地方,但是遊戲玩家後來被加密淘金者所取代,很多人堅信去中心化互聯網時代的到來,而隨著 NFT 價格飆升,Discord 為 DAO 和 NFT 提供了一個現成場所,一個沒有看門人的自由俱樂部,以及一個足夠舉辦數千人聚會的會議空間。
2019 年再到現在,Discord 的 MAU 從 5,600 萬增長到超過 1.5 億,這就帶來了很大的安全挑戰,而對個人 Discord 服務器的治理規則並沒有迭代,因此,維護平台安全的責任在主要是服務器的個體負責人,有些是志願者,而有些是 DAO 和 NFT 專案的員工劃分相對混亂。
雖然 Discord 已經推出了新的管理工具例如屏蔽某個用戶,也僱傭了全職安全團隊,但當騙子開始在某個頻道詐騙時,版主往往是第一道防線。
SecureMac 前計算機安全專家 Nicholas Ptacek 認為:
Discord 的運行方式(隨意能發送消息,可任意改變用戶名和頭像)有點像騙子的天堂。
即使是在互聯網時代,網路釣魚計劃也會頻繁出現,但由於 NFT 產業尚處於早期的蠻荒時代,價值不菲的數字匿名性、超大額的資產、神秘的技術,小白的湧入… 這真的是屬於罪犯的遊樂場。
但是,受騙者基本沒法追回損失。儘管 OpenSea 會標記被盜物品並阻止它們在平台上交易,但它無法撤銷交易,這意味著它無法將被盜的NFT 返還給其合法所有者。Chilton Yambert Porter 的知識產權律師喬納森認為,通常情況下,受害者只能寫信給無意中購買被盜 NFT 的人,全額回購藝術品。因為有關部門對這個世界沒有明確的監管,所以大部分時候只能願賭服輸。
來自 Discord 官方的安全建議
首先,當我們準備點擊連結加入服務器,迎接新空投時,可能發生的情況有,儘管連結看起來是對的,但似乎還是會有不對勁。
特徵一,對方說話方式並不人性,例如用某些事項威脅你,還有一定的期限,警告你必須加入某個專案?連結?否則你會失去機會。這種騙子的特點之一就是,從沒有在任何和用戶共同服務器中發布過信息,也不與你共享共同服務器,但會突然來搭訕。
根據聯邦貿易委員會的信息,2021 年網路詐騙激增。儘管 Discord 的使命一直是讓 Discord 成為互聯網上人們找到歸屬感的最佳場所,我們很開心能看到基於興趣的社群將人們聚集在一起,但我們也看到一些危險的人試圖利用這些社群。
因此,在這裡向大家分享我們正在採取的額外措施,並介紹一些可以可以在 Discord 上保護自己的方法。希望你把這些安全技能牢記心間:
對於普通用戶:
- 不要點擊來自未知發件人或看起來可疑的連結。
- 不要下載程序或複製/貼上你不認識的代碼。
- 不要把你的密碼透露給任何人!
- 不要分享或螢幕共享你的授權令牌。
- 不要掃描任何來自你不認識的人或你無法驗證其合法性的 QR 碼。
- 啟用 2-Factor Authentication(雙因素認證),以盡可能地保證你的帳戶安全。
對於服務器負責人:
- 審核服務器權限,特別是像 webhooks 這樣的高級工具。
- 保持官方服務器邀請函的更新,特別是如果你的大多數新服務器成員來自 Discord 之外的社群,請實時更新。
- 同樣,不要點擊可疑的或未知的連結,如果你的帳戶被洩露,它可能會對你所管理的社群產生更大的影響。
互聯網安全檢查表(Internet Safety Checklist)
對網路安全保持敬畏是很重要的,以下是一些簡單而有效的方法,可以在一定程度上確保你在DMs中,甚至在Discord之外的安全。
1. 只打開來自你認識的人的可信連結
大量的安全問題源於用戶在檢查連結是否是真實之前就點擊了它們,始終仔細檢查你要點擊的連結,link shortening services 可以輕易地掩蓋不安全的網站或程序。建議通過像 VirusTotal 這樣的資源來檢查它,看看是否有人已經把它標記為潛在的危險。
2.注意 URL 拼寫
3.不要下載程序或運行你不了解的代碼
4.不下載、運行來源不明的軟體
5.謹慎注意陌生人發你的程序
如果有人聲稱有「一個特別精彩的軟體」需要你在自己的電腦上運行,大概率在誤導你,以便用他們用釣魚程序獲取你的個人信息。
Discord 安全檢查表(Discord Safety Checklist)
決定可以給你發送 DM 的名單: 禁用特定服務器的 DM,防止隱藏在大型社群內的騙子與你聯繫。
設定操作:To adjust who can and can’t DM you, head into User Settings > Privacy & Safety, then scroll down to “Server Privacy Defaults.” From there, you’ll find the option to “Allow direct messages from server members.”
注意,這個新狀態只適用於改變設置後加入的服務器;它不會影響你已有的服務器。如果關閉這個選項,新加入的服務器的成員就不能通過 DM 聯繫你,除非你事先和他們是朋友,收到來自你不認識的人的可疑信息是有一定風險的。
如果在一個你信任的服務器中,並且不介意被裡面的人發消息,你可以在個人基礎上切換隱私設置。
審核服務器權限
了解模版和服務器內成員有哪些權限,是保持其中每成員安全的關鍵。如果你是一個服務器的所有者,最近檢查過權限列表嗎?誰有什麼權限?你知道他們有這個權限嗎,時間有多長?
要確保只有你信任的版主才有權限改變強大的服務器工具,包括你可能添加到服務器的任何機器人,對冒充大型知名機器人的機器人要保持警惕。
保持邀請連結的更新。如果更新了服務器的連結,請確保你的社群和新用戶都了解這些變化,並時刻更新你分享這些連結的任何社交媒體頁面。如果可能的話,舊的邀請連結的引用,並讓大家知道這些連結已經被更新。
注意!如果有人獲取你的 Discord 帳戶的控制權,就可以改變你的用戶名、密碼、與帳戶綁定的電子郵件,以及與你的帳戶相關的任何其他信息。一旦盜竊者進入你的 Discord 帳戶,他們就能看到你的所有個人信息。
從服務器佈局到服務器權限,到機器人,甚至可以把你的所有用戶踢出服務器,如果你的帳戶是黑客瞄準的服務器的負責人,甚至可能利用你的帳戶作為墊腳石,在社群內進一步進行破壞,冒充你來欺騙毫無戒心的成員。
一切職業詐騙者,還可能針對那些擁有不可複製的獨特檔案徽章的 Discord 帳戶,如早期支持者的特許徽章等等,如果你有這些獨特的徽章之一,就應該對你的帳戶格外警惕。
建議帳戶啟用 2-Factor Authentication,因為詐騙勒索者也需要提供 2FA 代碼來更改你的密碼(之後兔會有相關文章繼續解釋)
再次重申
對於普通用戶:
- 不要點擊來自未知發件人或看起來可疑的連結。
- 不要下載程序或複製/貼上你不認識的代碼。
- 不要把你的密碼透露給任何人!
- 不要分享或螢幕共享你的授權令牌。
- 不要掃描任何來自你不認識的人或你無法驗證其合法性的 QR 碼。
- 啟用 2-Factor Authentication(雙因素認證),以盡可能地保證你的帳戶安全。
對於服務器負責人:
- 審核服務器權限,特別是像webhooks這樣的高級工具。
- 保持官方服務器邀請函的更新,特別是如果你的大多數新服務器成員來自 Discord 之外的社群,請實時更新。
- 同樣,不要點擊可疑的或未知的連結,如果你的帳戶被洩露,它可能會對你所管理的社群產生更大的影響。
關於NFT 專案的一些可能的疑點(需要注意的)
- Discord 不開公共聊天室
- Twitter 不開評論
- 非原創設計
- 沒有白名單也能在預售中 Mint
- 團隊完全匿名,尤其是設計師
- 核心成員非常少,MOD 都是網上找的志願者
- 從未舉辦 AMA(Ask Me Anything)
- 抽獎永遠只抽 WL 或者該專案的免費 NFT
- 除了抽獎基本沒有其他活動
- WL 要求中,拉人頭佔很大比重
- Presale 非常倉促
- 每個錢包的 Mint 數量較多(3 個就算多)
- 專案週期比較短(2 週都算短)
- General 頻道活躍度極低(精準收割國內韭菜)
- 推特上沒什麼人關注,評論轉發很少
- 無其他專案方聯動(蹭藍籌 Holder 不算聯動)
- 所有DM 附帶連結的不要信,建議直接把DM 關掉
祝看到本文的朋友都能平安順利!
衍伸閱讀
立即加入 Telegram 獲得最精準的金融科技資訊、區塊鏈新知、業界實例!
這篇文章 Web3 時代:Discord 用戶一定要知道的防騙知識 最早出現於 鏈新聞 ABMedia。