Számos kriptovalutával foglalkozó Discord-közösséget feltörtek az elmúlt hónapban, miután adminisztrátoraikat rávetették arra, hogy a webböngésző könyvjelzőjének álcázott rosszindulatú Javascript-kódot futtassanak.

Az áldozatok beszámolói szerint a támadások közül több úgy kezdődött, hogy egy ál-újságíró kereste meg őket egy kriptovaluta témákkal foglalkozó online hírportál nevében. Az áldozatok ezután egy linket kaptak, amely látszólag a hírportál hivatalos Discordjára vezetett, itt pedig megkérték őket, hogy hajtsanak végre egy ellenőrzési lépést személyazonosságuk megerősítése érdekében.

Amint ezen a Youtube-videón látható, az ellenőrzési folyamat során egy gombot kell áthúzni a hamis szerverről a webböngésző könyvjelzősávjára. Ezután a weboldal arra utasította az admint, hogy menjen vissza a discord.com webhelyre, majd kattintson az új könyvjelzőre az ellenőrzési folyamat befejezéséhez.

A könyvjelző azonban valójában egy Javascript, amely csendben megragadja a felhasználó Discord tokenjét, és elküldi azt a csaló webhelyére. A támadó ezután betölti az ellopott tokent a saját böngészőprogramjába, és (általában késő este, miután az adminisztrátorok aludtak) bejelentést tesz közzé a megcélzott Discord feliratkozói számára egy exkluzív lehetőségről, NFT-ről, vagy kriptovalutával kapcsolatos pénzkereseti lehetőségről.

A gyanútlan Discord-tagok ezután a feltört admin fiók nevében megadott linkre kattintanak, ahol megkérik őket, hogy csatlakoztassák kriptopénztárcájukat a csaló oldalához, ahol a csaló korlátlan kiadási jóváhagyást kér a tokenekre, és ezt követően lemeríti a számlák egyenlegét. Mivel a felhasználók általánosságban bíznak a csatorna adminjában, ezt sokan közülük megtették.

Eközben a feltört Discord csatornán mindenkit kitiltanak, aki észreveszi az átverést és válaszol, üzeneteit pedig a feltört rendszergazdai fiók törli.

Nicholas Scavuzzo az Ocean Protocol munkatársa. Május 22-én az Ocean Protocol Discord szerverének egyik adminisztrátora rákattintott egy linkre a közösség tagjának közvetlen üzenetében, amely arra kérte, hogy igazolja személyazonosságát egy link könyvjelzők közé húzásával.

A maine-i székhelyű Scavuzzo azt mondta, hogy a támadók az ő időzónájában éjfélig vártak, mielőtt az adminisztrátor fiókját felhasználták arra, hogy jogosulatlan üzenetet küldjenek. Hozzátette, hogy az adminisztrátor fiókját annak ellenére törték fel, hogy bekapcsolta a többtényezős hitelesítést.

„Egy CAPTCHA bot, amely lehetővé teszi a Discord cookie-k elérését a CAPTCHA-t üzemeltető személy számára” – írta le Scavuzzo a támadást. „Mindenféle kriptográfiai csalást láttam már, de ilyet még soha.”

Fontos, hogy az ellopott token csak addig működik a támadók számára, amíg jogos tulajdonosa nem jelentkezik ki, majd vissza, vagy nem változtatja meg a hitelesítő adatait.

Feltéve, hogy az adminisztrátor még be tud jelentkezni, mert például a fenti esetben az első dolog, amit a behatolók tettek, miután áthúzták a rendszergazda tokenjét, az volt, hogy megváltoztatták a szerver hozzáférési adatait, és eltávolították a szerverről az összes korábbi admint.

Az Ocean szerencséjére Scavuzzo el tudta érni a Discord csatorna szerverének üzemeltetőjét, és az visszaállította a csatorna beállításait a normál értékre.

Május 26-án az Aura Network arról számolt be a Twitteren , hogy Discord szerverét adathalász támadás érte, ami a Discord csatornák törléséhez és hamis linkek terjesztéséhez vezetett. Május 27-én ugyanerről számolt be a Nahmii – az Ethereum blokkláncon alapuló kriptovaluta technológia fejlesztője.

A sztorit publikáló KrebsonSecurity leírta, hogy egy biztonsági kutató egy fiatal török programozóig vezette vissza a szálakat. Ő azonban arról tájékoztatta a portált, hogy Törökország politikai státusza miatt hónapok óta nem használja a Discordot, viszont nemrég feltörték a Discordhoz kapcsolódó Outlook fiókját.

A fenti átverésnél használt ellenőrzési módszer egy „bookmarklet” nevű könyvjelző telepítését igényli, amely a Javascript kódot kattintható hivatkozásként tárolja a böngésző tetején található könyvjelzősávban.

Míg a könyvjelzők általában ártalmatlanok és hasznosak, a felhasználó által a böngészőben elindított rosszindulatú Javascript különösen veszélyes lehet.

Ezért javasoljuk, hogy amennyiben ez eredetileg nem az Ön ötlete volt, úgy más kérése alapján ne adjon hozzá (vagy húzzon) könyvjelzőket a böngészőhöz.