ปัญหาด้านความปลอดภัย

เพิ่งเห็นปัญหาด้านความปลอดภัยที่ไม่ลงรอยกันเกิดขึ้นบ่อยครั้ง บทความนี้ใช้การรักษาความปลอดภัยของ Discord เป็นธีมในการแบ่งปันปัญหาด้านความปลอดภัยบน Discord กับคุณ

จริงๆ แล้วปัญหาด้านความปลอดภัยของ Discord ได้รับการวิพากษ์วิจารณ์มาเป็นเวลานาน แต่สิ่งนี้ไม่สามารถตำหนิได้ทั้งหมดจาก Discord เนื่องจาก Discord เปิดกว้างเกินไป เช่นเดียวกับ Android ดั้งเดิม แอปใด ๆ สามารถรับสิทธิ์เกือบทั้งหมดของระบบได้ ดังนั้นหาก APP ใดมีความเสี่ยงด้านความปลอดภัย ระบบทั้งหมดก็จะมีความเสี่ยงด้านความปลอดภัย เมื่อพูดถึงบทบาทสามประการของ Discord (ผู้ใช้ทั่วไป ผู้ปฏิบัติงาน และนักพัฒนา) การที่ฝ่ายใดฝ่ายหนึ่งไม่ใส่ใจเรื่องความปลอดภัยก็จะนำไปสู่ปัญหาด้านความปลอดภัยเช่นกัน

ความปลอดภัยไม่ใช่เรื่องเล็กๆ ฉันหวังว่าบทความนี้สามารถช่วยผู้อ่านในสามบทบาทข้างต้นได้

สำหรับผู้ใช้ทั่วไปผู้ใช้บน Discord ประสบความสูญเสียส่วนใหญ่เนื่องจากมีข้อความเว็บไซต์ฟิชชิ่งบน Discord มากเกินไป ดังนั้น สำหรับผู้ใช้ทั่วไป เพื่อหลีกเลี่ยงไม่ให้ถูกฟิชชิ่ง พวกเขาจำเป็นต้องใส่ใจกับประเด็นต่อไปนี้:

ปิดข้อความส่วนตัว

หากตัวเลือกนี้เปิดอยู่สมาชิก Discord สามารถเริ่มแชทส่วนตัวกับคุณได้โดยตรง และอวตารและบัญชีของสมาชิกเหล่านี้อาจเหมือนกับผู้ดูแลระบบที่คุณเห็นใน Discord ทุกประการ ในเวลานี้ คุณอาจผ่อนคลายความระมัดระวังและไว้วางใจบัญชีนี้ ดังนั้นเมื่อพวกเขาส่งลิงก์ถึงคุณ คุณอาจถูกฟิชชิ่งได้สำเร็จ

นอกจากนี้ คำขอเป็นเพื่อนยังต้องได้รับการดูแลด้วย เมื่อเร็วๆ นี้ ฉันฉันถามคำถามใน Discord ของ OpenSea และผลลัพธ์ก็คืออวาตาร์และบัญชีนั้นเหมือนกับบัญชีผู้ดูแลระบบ Discord ทุกประการเพื่อขอเพิ่มเป็นเพื่อน เพียงเพิกเฉยต่อสถานการณ์นี้

อย่าคลิกลิงก์ที่ไม่รู้จัก

ภาพหน้าจอนี้คือข้อความใน OpenSea Discord อย่างเป็นทางการคือ OpenSea จะร่วมมือกับ YouTube เพื่อออก NFT และมีที่ว่างเพียง 100 แห่งเท่านั้น ผู้ใช้มือใหม่อาจรู้สึก FOMO ทันทีหลังจากเห็นข่าวนี้ หลังจากคลิกลิงก์ในภาพหน้าจอ เว็บไซต์ที่พวกเขาเห็นจะมีลักษณะเช่นนี้

เมื่อเห็นว่าชื่อโดเมนและเว็บไซต์ปกติดี และคิดว่ามีเพียง 100 แห่ง คุณก็สามารถคลิก Claim เพื่อคว้า Mint ได้อย่างรวดเร็ว แต่หลังจากทำธุรกรรมแล้ว NFT ของคุณจะหายไป

ดังนั้นคุณต้องระมัดระวังเมื่อเห็นข่าวประเภทนี้ โดยทั่วไป แต่ละฝ่ายของโครงการจะมีปัญหาสำหรับ NFT จะมีการประกาศข่าวล่วงหน้า ข่าวประเภทนี้ที่บอกคุณทันทีว่า NFT กำลังจะออกนั้นโดยทั่วไปแล้วจะเป็นข่าวเท็จ

วิธีระบุเว็บไซต์ฟิชชิ่ง

บางครั้งในไม่ว่าใครจะเป็นผู้ส่งลิงก์ใน Discord (อาจเป็นลิงก์ที่ส่งโดยเพื่อนกลุ่ม ผู้ดูแลระบบ หรือโรบ็อต) ก่อนที่จะคลิก คุณต้องตรวจสอบก่อนว่าชื่อโดเมนที่เยี่ยมชมนั้นเป็นชื่อโดเมนอย่างเป็นทางการของโครงการหรือไม่ ถ้าไม่เช่นนั้น คุณจะต้องระมัดระวังให้มากหลังจากคลิกเพื่อเข้าสู่:

หากเว็บไซต์กระตุ้นหน้าต่างป๊อปอัพของ MetaMask จะขอดูที่อยู่กระเป๋าเงินของคุณเท่านั้นซึ่งปลอดภัย ดังที่แสดงในภาพด้านล่าง:

 การดำเนินการนี้อนุญาตให้เว็บไซต์ดูที่อยู่กระเป๋าเงินของคุณเท่านั้น และจะไม่ดำเนินการอื่นใดกับทรัพย์สินของคุณ

เมื่อคุณเรียกดูเว็บไซต์ต่อไปและจำเป็นต้องดำเนินการที่เกี่ยวข้องกับกระเป๋าเงิน คุณจะต้องให้ความสนใจเป็นพิเศษ โดยทั่วไปแล้วเว็บไซต์จะกระตุ้นคุณMetaMask มีประเภทการดำเนินการทั้งหมดดังต่อไปนี้:

โอนย้าย

เมื่อทำการโอนเงินหน้าต่างป๊อปอัป MetaMask

หากเว็บไซต์ปลุกคำขอโอนบนภาพหน้าจอ คุณต้องให้ความสนใจว่าที่อยู่เป้าหมายการโอนเป็นที่อยู่ที่คุณต้องการโอนมาหรือไม่ และจำนวนเงินโอนถูกต้องหรือไม่

สำหรับการโอนเงินนั้นค่อนข้างง่าย เพียงระบุที่อยู่และจำนวนเงินในการชำระเงิน

เข้าสู่ระบบ

โดยทั่วไปแล้ว วัตถุประสงค์ของการได้รับลายเซ็นคือการพิสูจน์ว่าคุณเป็นเจ้าของที่อยู่กระเป๋าสตางค์ เป็นต้นมีหุ่นยนต์ชื่อ Collabland ใน Discord ใช้ลายเซ็นเพื่อยืนยันว่าคุณเป็นเจ้าของที่อยู่กระเป๋าสตางค์และที่อยู่กระเป๋าสตางค์นั้นมี NFT หลังจากผ่านการตรวจสอบแล้ว คุณจะได้รับใบรับรองประจำตัวของผู้ถือ

หากเนื้อหาลายเซ็นที่คุณเห็นสามารถอ่านได้ในรูปแบบข้อความธรรมดาก็จะไม่มีปัญหา คุณสามารถเข้าใจได้ว่าข้อความนี้หมายถึงอะไร แต่โปรดทราบว่าการลงนามโดยไม่เลือกปฏิบัติอาจนำไปสู่การสูญเสียทรัพย์สินได้เช่นกัน

แต่หากเนื้อหาลายเซ็นที่คุณเห็นนั้นเหมือนกับภาพหน้าจอด้านบน และคุณไม่เข้าใจว่ามันคืออะไร ก็อย่าทำมัน เนื่องจากเนื้อหาลายเซ็นของหน้าต่างป๊อปอัปด้านบนเป็นลายเซ็นคำสั่งขายของ OpenSea แต่ผู้โจมตีอาจกำหนดราคาของคำสั่งขายเป็น 0.001E หากคุณลงนามสิ่งนี้บนเว็บไซต์ฟิชชิ่งโดยไม่ได้ตั้งใจ NFT ของคุณอาจถูกขายให้กับฟิชเชอร์ในราคาที่ต่ำ

จึงมีหลักการทั่วไปในการเซ็นข้อความ ถ้าเข้าใจก็เซ็นเลย ถ้าไม่เข้าใจก็อย่าเซ็น

โทรสัญญา

สิ่งที่ทุกคนพบเจอในหลายๆเว็บคือการเรียกสัญญาเพิ่มเติม เช่นการดำเนินการเช่น mint NFT เป็นต้น

 หากเป็นการเรียกสัญญา สิ่งแรกที่คุณต้องพิจารณาคือ "ที่อยู่สัญญา" ที่ถูกเรียกนั้นเป็นที่อยู่สัญญาที่ประกาศอย่างเป็นทางการหรือไม่ หลังจากตรวจสอบให้แน่ใจว่าที่อยู่สัญญานั้นใช้ได้ แล้วให้ดูที่ "ประเภทฟังก์ชัน" ของสัญญาการโทร หากประเภท "ฟังก์ชันการโทร" แสดงคำต่างๆ เช่น อนุมัติ, setApprovalForAll, โอน, safeTransferFrom ฯลฯ คุณต้องระวัง เนื่องจากเป็นการให้สิทธิ์ในการอนุญาตให้ผู้อื่นโอนสินทรัพย์ของคุณ ซึ่งเป็นวิธีฟิชชิ่งที่พบบ่อยที่สุดเช่นกัน

ดังนั้นหลักการโดยรวมสำหรับการเรียกสัญญาคือ: ยืนยันว่าที่อยู่สัญญาถูกต้อง และยืนยันว่าประเภทการดำเนินการไม่ใช่คำเช่นอนุมัติ setApprovalForAll โอน safeTransferFrom ฯลฯ

สำหรับผู้ประกอบการ

ด้วยการดำเนินการข้างต้นสำหรับสถานการณ์ส่วนใหญ่ ผู้ใช้ทั่วไปสามารถหลีกเลี่ยงข้อผิดพลาดได้ แต่ในฐานะผู้ดำเนินการ Discord จะต้องมีความรับผิดชอบมากกว่าผู้ใช้ทั่วไปในการปกป้องความปลอดภัยของสมาชิกชุมชน และหลีกเลี่ยงการสูญเสียของผู้ใช้เนื่องจากความประมาทเลินเล่อด้านความปลอดภัยของผู้ปฏิบัติงาน สำหรับผู้ให้บริการ Discord ยังมีประเด็นที่ควรทราบดังต่อไปนี้:

เปิดเครื่อง2FA

ไม่ได้เปิดในกรณีของ 2FA เมื่อรหัสผ่านบัญชีรั่วไหล ผู้โจมตีสามารถใช้บัญชีของผู้ดูแลระบบเพื่อเผยแพร่ข้อมูลฟิชชิ่งได้

อย่าคลิกลิงก์ที่ไม่คุ้นเคย

ปัจจุบันพบว่ามีเป้าหมายอยู่ที่เว็บไซต์ฟิชชิ่งผู้ดูแลระบบ Discord หลังจากที่ผู้ดูแลระบบเข้าสู่เว็บไซต์และถูกชี้นำ ผู้โจมตีจะได้รับเซสชัน Discord ของผู้ดูแลระบบ ผู้โจมตีสามารถใช้เซสชันเพื่อหลีกเลี่ยง 2FA และการยืนยันการเข้าสู่ระบบ และเข้าควบคุมชุมชน Discord โดยตรงในฐานะผู้ดูแลระบบ ทวีตต่อไปนี้มีการวิเคราะห์โดยละเอียด เพื่อน ๆ ที่สนใจสามารถเข้าไปดูได้

แนะนำตัวให้น้อยที่สุดบอท

สำหรับแต่ละชุมชนเพิ่มเติมบอทจะนำมาซึ่งความเสี่ยงด้านความปลอดภัยเพิ่มเติม บอทใดๆ ที่ผู้โจมตีใช้สามารถโจมตี SCAM บน Discord ของชุมชนได้

ชุมชน Crepto ได้แนะนำบอทภายนอก CollabLand เพียงตัวเดียวเท่านั้นเพื่อตรวจสอบตัวตนของผู้ถือ ท้ายที่สุดแล้ว มันเป็นมาตรฐานใน Discord อยู่แล้ว หากไม่จำเป็นต้องใช้บอทอื่น ชุมชน Crepto จะไม่แนะนำบอทเหล่านั้นอีกต่อไป

แนะนำบอทมีสิทธิ์มากเกินไป

เมื่อผู้ดูแลระบบ Discord แนะนำบอท พวกเขาจะต้องใส่ใจกับการอนุญาตของเซิร์ฟเวอร์ที่บอทร้องขอ และปฏิบัติตามหลักการของการอนุญาตขั้นต่ำ หากพบว่าบอทที่มีฟังก์ชันธรรมดาจำเป็นต้องได้รับสิทธิ์จากผู้ดูแลระบบ ไม่ควรแนะนำบอทดังกล่าว เพราะหากฝั่งโปรเจ็กต์ของบอทนี้ถูกโจมตี ทางที่ดีที่สุดก็จะส่งข้อความสแปมไปยังชุมชน Discord ของคุณ อย่างแย่ที่สุดก็คือสามารถแยกผู้ใช้ทั้งหมดและลบช่องและบันทึกทั้งหมดได้

ข้างต้นเป็นการแนะนำCollabLand Bot ขอสิทธิ์บนเซิร์ฟเวอร์ CollabLand Bot ต้องการการอนุญาตที่มีอำนาจสูงสุดของ "ผู้ดูแลระบบ" หน้าที่ของ CollabLand Bot คือการมอบบทบาทบางอย่างให้กับผู้ถือที่ผ่านการรับรอง จริงๆ แล้ว CollabLand Bot จำเป็นต้องขอสิทธิ์ในการจัดการสมาชิกและบทบาทเท่านั้น แต่ฉันไม่รู้ว่าทำไมจึงขอสิทธิ์สูงสุด ฉันหวังว่าเพื่อน ๆ ที่รู้จะช่วยบอกฉันด้วย

ดังนั้นสำหรับสำหรับผู้จัดการ Discord ความปลอดภัยของ Discord ส่วนใหญ่อยู่ที่:

ความปลอดภัยของบัญชีผู้ดูแลระบบ

ความปลอดภัยของบอท

ความปลอดภัยของบัญชีผู้ดูแลระบบสามารถมั่นใจได้โดยทีมงานที่สร้างความตระหนักด้านความปลอดภัย แต่ผู้จัดการไม่สามารถทำอะไรเกี่ยวกับความปลอดภัยของบอทได้ ดังนั้นผู้จัดการจึงสามารถจัดการกับมันได้โดยยึดหลักการใช้บอทให้น้อยที่สุดเท่าที่จะเป็นไปได้ และให้อนุญาตน้อยที่สุดเท่านั้น

สำหรับนักพัฒนาโทเค็นของ Bot จะต้องปลอดภัย

นักพัฒนา Discord ทุกคนรู้ดีว่าเส้นชีวิตของบอทอยู่ในโทเค็น หลังจากที่ผู้โจมตีได้รับโทเค็นแล้ว ผู้โจมตีสามารถใช้ Bot ของคุณทำอะไรก็ได้ที่เขาต้องการ ดังนั้นคุณต้องใส่ใจกับโทเค็นของ Bot มากเท่ากับที่คุณใส่ใจกับความปลอดภัยของคีย์ส่วนตัวของกระเป๋าเงินของคุณ

วิ่งความปลอดภัยของเซิร์ฟเวอร์บอท

หัวข้อความปลอดภัยของเซิร์ฟเวอร์สามารถขยายได้ไม่จำกัด แต่นี่คือคำเตือน:ความปลอดภัยของ Bot Token มีความสำคัญมาก บอททำงานบนเซิร์ฟเวอร์ ดังนั้นหากเซิร์ฟเวอร์ถูกบุกรุก โทเค็นก็จะรั่วไหลเช่นกัน แน่นอนว่าข้อมูลทั้งหมดบน Discord ที่บอทได้รับก็จะถูกรั่วไหลเช่นกัน

สร้างนิสัยในการเปลี่ยนมันเป็นประจำนิสัยโทเค็น

เช่นเดียวกับบางเว็บไซต์กำหนดให้ผู้ใช้เปลี่ยนรหัสผ่านเป็นประจำDiscord ไม่ได้บังคับให้นักพัฒนาเปลี่ยนโทเค็นของ Bot เป็นประจำ แต่ฉันคิดว่าการพัฒนานิสัยในการเปลี่ยนโทเค็นเป็นประจำเป็นสิ่งสำคัญ โดยเฉพาะอย่างยิ่งเมื่อคุณมีผู้ใช้ Bot จำนวนมาก

 บอทขออนุญาตตามความต้องการ

อย่าถามโดยไม่ได้คิดสิทธิ์ "ผู้ดูแลระบบ" บนเซิร์ฟเวอร์ Discord ยืนยันว่าบอทของคุณจำเป็นต้องใช้ฟังก์ชันใด จากนั้นจึงขอสิทธิ์ที่เกี่ยวข้อง ด้วยวิธีนี้ แม้ว่าบอทของคุณจะถูกแฮ็ก ระดับความเสียหายจะถูกควบคุมภายในช่วงที่กำหนด

หลักการโดยรวมสำหรับนักพัฒนาคือเพื่อให้แน่ใจว่าความปลอดภัยของ Bot Token และข้อกำหนดขั้นต่ำสำหรับการอนุญาต Bot ของคุณ