ホーム  |  不和

Discord

最近見たDiscordのセキュリティ問題は頻繁に発生します。この記事では、Discord のセキュリティをテーマに、Discord のセキュリティ問題について説明します。

 

実はDiscord のセキュリティ問題は長い間批判されてきましたが、Discord はオープンすぎるため、これをすべて Discord のせいにすることはできません。オリジナルの Android と同様に、どのアプリもシステムのほぼすべての権限を取得できます。したがって、いずれかの APP にセキュリティ リスクがある場合、システム全体にもセキュリティ リスクが発生します。 Discord の 3 つの役割 (一般ユーザー、運営者、開発者) について言えば、いずれの関係者もセキュリティに注意を払わないと、セキュリティ上の問題が発生します。

 

安全性は決して小さな問題ではありません。この記事が、上記 3 つの役割を担う読者の助けになれば幸いです。

 

一般ユーザー向けDiscord 上のユーザーが損失を被るのは、主に Discord 上にフィッシング Web サイトのメッセージが多すぎることが原因です。したがって、一般ユーザーはフィッシング被害を避けるために、次の点に注意する必要があります。

 

プライベートメッセージを閉じる

 

 

このオプションをオンにすると、Discord メンバーはあなたと直接プライベート チャットを開始でき、これらのメンバーのアバターとアカウントは、Discord で表示される管理者とまったく同じである可能性があります。現時点では、警戒を緩めてこのアカウントを信頼すると、リンクが送信されるとフィッシングに成功する可能性があります。

 

また、友達リクエストにも注意が必要です。最近、私はOpenSeaのDiscordで質問したところ、Discord管理者のフレンド追加申請アカウントと全く同じアバターとアカウントだったという結果でした。この状況は無視してください。

 

不明なリンクをクリックしないでください

 

 

このスクリーンショットは公式 OpenSea Discord のメッセージは、OpenSea が YouTube と協力して NFT を発行し、無料の場所は 100 しかないということです。初心者ユーザーは、このニュースを見た後すぐに FOMO を感じるかもしれません。スクリーンショットのリンクをクリックすると、次のような Web サイトが表示されます。

 

 

ドメイン名とウェブサイトに問題がないことを確認し、100 か所しかないと考えて、すぐに [Claim] をクリックして Mint を取得できますが、トランザクションの実行後、NFT は失われます。

 

したがって、この種のニュースを見たときは注意する必要があります。一般的に、各プロジェクトの関係者は次のような問題を抱えています。NFTについては、事前にニュースが公開されます。このように突然NFTがリリースされるというニュースは大抵嘘です。

 

フィッシング Web サイトの見分け方

時々でDiscord で誰がリンクを送信したかに関係なく (グループの友人、管理者、ロボットによって送信されたリンクである可能性があります)、クリックする前に、まずアクセスしたドメイン名がプロジェクトの正式なドメイン名であるかどうかを確認する必要があります。そうでない場合は、クリックして入力した後は十分に注意する必要があります。

 

サイトが喚起する場合以下の図に示すように、MetaMask のポップアップ ウィンドウはウォレット アドレスの確認のみを要求しますが、これは安全です。

 

 

 この操作では、Web サイトにウォレット アドレスの表示のみが許可され、資産に対して他の操作は実行されません。

 

Web サイトの閲覧を継続し、ウォレット関連の操作を実行する必要がある場合は、特別な注意を払う必要があります。一般に、ウェブサイトはあなたの心を刺激します。MetaMask には、合計次の操作タイプがあります。

 

移行

送金するときメタマスクポップアップウィンドウ

 

Web サイトがスクリーンショットで送金リクエストを起こした場合、送金先のアドレスが送金元のアドレスであるかどうか、送金金額が正しいかどうかに注意する必要があります。

 

送金の場合は比較的簡単で、支払い先住所と金額を決定するだけです。

 

サイン

一般的に言えば、署名を取得する目的は、たとえば、ウォレットのアドレスを所有していることを証明することです。DiscordにはCollablandというロボットが存在します。署名を使用して、ユーザーがウォレット アドレスを所有していること、およびウォレット アドレスが NFT を保持していることを検証します。検証に合格すると、保有者本人確認証明書が発行されます。

 

 

表示される署名の内容がプレーンテキストで読み取れる場合は問題ありません。この一節が何を意味するか理解できます。ただし、無差別に署名すると資産の損失につながる可能性があることに注意してください。

 

 

ただし、表示された署名の内容が上のスクリーンショットのようで、それが何であるか理解できない場合は、実行しないでください。なぜなら、上記のポップアップウィンドウの署名内容は OpenSea の売り注文の署名ですが、攻撃者によって売り注文の価格が 0.001E に設定される可能性があるためです。フィッシング Web サイトで誤ってこれに署名すると、NFT がフィッシング詐欺師に低価格で販売される可能性があります。

 

したがって、メッセージの署名には一般原則があります。理解できましたらサインをお願いします。理解できない場合は、署名しないでください。

 

契約電話

多くの Web サイトで誰もが遭遇するのは、次のような契約の呼び出しです。ミントNFTなどの操作。

 

 

 契約電話の場合、まず確認する必要があるのは、電話をかけている「契約アドレス」が正式に発表された契約アドレスかどうかです。コントラクト アドレスが正しいことを確認したら、呼び出し側コントラクトの「関数タイプ」を確認します。 「呼び出し元の関数」タイプに、approve、setApprovalForAll、transfer、safeTransferFrom などの単語が表示される場合は、注意が必要です。これは、他人に資産を転送する許可を与えていることになり、これは最も一般的なフィッシング手法でもあるからです。

 

したがって、コントラクト呼び出しの全体的な原則は、コントラクトアドレスが正しいことを確認し、操作タイプが正しくないことを確認することです。承認、setApprovalForAll、転送、safeTransferFrom などの単語。

 

オペレーター向け

ほとんどのシナリオで上記のことを行うことで、一般のユーザーは落とし穴を回避できますが、Discord オペレーターは、コミュニティメンバーの安全を守り、オペレーターのセキュリティ上の過失によるユーザーの損失を回避するために、通常のユーザーよりも責任を負う必要があります。 Discord運営者の方には以下の注意点もあります。

 

オンにする2FA

電源が入っていない2FA の場合、アカウントのパスワードが漏洩すると、攻撃者は管理者のアカウントを使用してフィッシング情報を公開することができます。

 

見慣れないリンクをクリックしないでください

現在ターゲットにされていることが判明しているのは、Discord 管理者のフィッシング Web サイト。管理者が Web サイトにアクセスして指示されると、攻撃者は管理者の Discord セッションを取得します。攻撃者はセッションを使用して 2FA とログイン認証をバイパスし、管理者として Discord コミュニティを直接乗っ取ることができます。次のツイートには詳細な分析が記載されているので、興味のある友達は見てください。

 

 

できるだけ少なく紹介するボット

追加のコミュニティごとにボットはさらなるセキュリティリスクをもたらします。攻撃者が使用するボットは、コミュニティの Discord に対して SCAM 攻撃を開始する可能性があります。

 

Crepto コミュニティは、所有者の身元を確認するために外部ボット CollabLand を 1 つだけ導入しています。結局のところ、それはすでにDiscordでは標準です。他のボットを使用する必要がない場合、Crepto コミュニティはそれらを導入しません。

 

導入ボットの権限が多すぎます

Discord 管理者が Bot を導入するときは、Bot によって要求されるサーバーの権限に注意を払い、最小限の権限の原則に従う必要があります。単純な機能の Bot に管理者権限が必要な場合は、導入しないほうがよいでしょう。なぜなら、このボットのプロジェクト側が攻撃された場合、良くても Discord コミュニティにスパム メッセージが送信されるだけで、最悪の場合、すべてのユーザーが除外され、すべてのチャンネルとレコードが削除される可能性があります。

 

 

以上が紹介文ですCollabLand Bot はサーバー上の権限を要求します。 CollabLand Botは「管理者」という最高権限の権限が必要です。 CollabLand Bot の機能は、認定保持者に特定の役割を付与することです。実際、CollabLand Bot はメンバーとロールを管理する権限を要求するだけで済みますが、なぜ最高の権限を要求したのかわかりません。また、知っている友人が教えてくれると嬉しいです。

 

だから、Discord 管理者にとって、Discord のセキュリティは主に次の点にあります。

 

管理者アカウントのセキュリティ

ボットのセキュリティ

管理者アカウントのセキュリティは、チームがセキュリティ意識を高めることで確保できますが、ボットのセキュリティについて管理者ができることは何もないため、管理者はボットの使用を最小限に抑え、許可を最小限に抑えるという原則に従うことによってのみ対処できます。

 

開発者向けボットのトークンは安全でなければなりません

Discord 開発者は皆、ボットの生命線がトークンにあることを知っています。攻撃者がトークンを取得すると、攻撃者はあなたのボットを使って何でもできるようになるため、ウォレットの秘密鍵のセキュリティに注意を払うのと同じくらい、ボットのトークンにも注意を払う必要があります。

 

走るボットサーバーのセキュリティ

サーバー セキュリティのトピックは無限に拡張できますが、ここで注意してください。ボットトークンのセキュリティは非常に重要です。 Botはサーバー上で動作するため、サーバーが侵害されるとトークンも漏洩してしまいます。もちろん、Bot が取得した Discord 上のデータもすべて漏洩します。

 

定期的に交換する習慣をつけましょうトークンの習慣

一部の Web サイトでは定期的にユーザーにパスワードの変更を要求するのと同じように、Discord は開発者に Bot のトークンを定期的に変更することを強制しませんが、特に多数の Bot ユーザーがいる場合には、定期的にトークンを変更する習慣を身に付けることが重要だと思います。

 

 ボットはオンデマンドで権限を要求します

何も考えずに求めないでくださいDiscord サーバーの「管理者」権限。ボットが使用する必要がある機能を確認し、対応する権限を要求します。これにより、ボットがハッキングされた場合でも、被害の程度は一定の範囲内に制御されます。

 

開発者にとっての全体的な原則は、次のことを保証することです。ボット トークンのセキュリティとボットのアクセス許可の最小要件。

 

 

 




数҈字҈星҈球҈͏
おすすめ
DISCORD - 数値フィルタリングを使用してパーソナライズされたユーザー エクスペリエンスを作成するにはどうすればよいですか?
11-24
DISCORD 番号スクリーニングを通じてソーシャル メディア マーケティングの効果を向上させるための重要な手順
11-24
DISCORD 番号スクリーニングを使用してパーソナライズされたソーシャル メディア マーケティングを実現するにはどうすればよいですか?
11-24
正確なソーシャル メディア マーケティングのための DISCORD 番号スクリーニング ツール
11-24
DISCORD: デジタル マーケティング ツールが台頭
11-24
Discord: ゲームのソーシャル インタラクションのための新しい体験プラットフォーム
08-11
Telegram开通筛选、活跃筛选、互动筛选、性别筛选、头像筛选、年龄筛选、在线筛选、精准筛选、时长筛选、开机筛选、空号筛选、手机设备筛选
为全球客户提供支持全球236个国家的精准号码批量的筛选检测
お問い合わせ
如何添加Telegram好友?
チャンネル: t.me/xingqiupro
Telegram筛号平台怎么样?
サポート: @xq966
如果在国内使用Telegram?
リソース入力: @tax678
QSTAR TECHNOLOGY SDN.BHD
Address:Jalan Stesen Sentral 5, Kuala Lumpur, 50470
Important:xingqiu.pro 米ドルのみ対応、他通貨はリスクあり,注意してください。
使用前にxingqiu.proを確認 プライバシー および利用規約

登録

チャンネル
我可以在没有电话号码的情况下登录 Telegram 吗?
認証確認