Những kẻ lừa đảo được cho là đã tìm ra một cách mới để xâm phạm tài khoản Discord của người dùng - bao gồm cả những tài khoản trên máy chủ liên quan đến tiền điện tử và Token không thể thay thế (NFT) - bằng cách lấy cắp mã QR được sử dụng để đăng nhập.
Theo người đam mê tiền điện tử có biệt danh là Serpent, những kẻ độc hại - được cải trang thành bot được xác minh Discord có tên là Wick - hiện đang tiếp cận với người dùng để đề nghị hợp tác, việc làm tiềm năng hoặc một số cơ hội hấp dẫn khác. Nhưng có một điểm khó khăn - để tiếp tục thảo luận, những kẻ lừa đảo yêu cầu người dùng xác minh thông qua mã QR.
New NFT discord scam going around, this time using QR codes.
Pretty terrible scam, but this is how it works
— Serpent (@SerpentAU) April 4, 2022
Điều này là do Discord có tùy chọn đăng nhập bằng QR đặc biệt, bỏ qua xác thực hai yếu tố. Tuy nhiên, trên thực tế, những kẻ lừa đảo đang sử dụng trình điều khiển Chrome để mở trang đăng nhập, lấy hình ảnh mã QR, sau đó gửi nó đến bot Discord, yêu cầu mọi người tự xác minh, Serpent giải thích.
Nếu người dùng quét mã như vậy, những kẻ xấu có thể ngay lập tức đăng nhập vào tài khoản của họ và lấy Token Discord của họ, một chuỗi số và chữ cái duy nhất được tạo ra khi mọi người kết nối với ứng dụng. Nếu điều này xảy ra, người dùng cần đặt lại mật khẩu của mình càng sớm càng tốt.
Tại sao nó lại nguy hiểm?
bất chấp việc quyền truy cập vào tài khoản Discord không trực tiếp gây nguy hiểm cho tiền điện tử hoặc NFT của ai đó, các lỗi bảo mật như vậy vẫn nguy hiểm và có thể kích hoạt tất cả các phương thức tấn công mạng.
5/ Thank for coming to my ted talk. Stay safe & stay vigilant, threat actors are everywhere these days and they try to scam us 24/7. Double check everything you see and ask yourself: “Is this safe to click” -K3rnel
— K3rnelPan1c.eth (@Krn3lPanic) March 14, 2022
Ví dụ: mã QR độc hại có thể được sử dụng để thêm địa chỉ liên hệ mới — và có khả năng đáng ngờ — vào danh sách của người dùng. Hơn nữa, những mã như vậy cũng cho phép kết nối thiết bị của nạn nhân với mạng tin tặc, tự động thực hiện các cuộc gọi điện thoại cũng như soạn thảo email và gửi tin nhắn văn bản. Chưa kể rằng những mã QR như vậy có thể tiết lộ vị trí của người dùng và bắt đầu thanh toán gian lận.
Things we can no longer do:
open dms on discord
scan QR codes
click unknown links
use discord
click on google drive links
do art commissions for strangers
store nfts on hot wallets
______________________— Ƨ and 776 others (@stellabelle) April 4, 2022
Như WebGiaCoin đã báo cáo, các cuộc tấn công mạng gần đây đã xảy ra trên Discord. Đáng chú ý, không chỉ người dùng thông thường mà các công ty tiền điện tử chính cũng đang bị tấn công.
Vào ngày 1 tháng 4, máy chủ Discord của bộ sưu tập NFT nổi tiếng của Câu lạc bộ Du thuyền Bored Ape đã bị tin tặc xâm nhập.
STAY SAFE. Do not mint anything from any Discord right now. A webhook in our Discord was briefly compromised. We caught it immediately but please know: we are not doing any April Fools stealth mints / airdrops etc. Other Discords are also being attacked right now.
— Bored Ape Yacht Club (@BoredApeYC) April 1, 2022
Vào thời điểm đó, tin tặc đã giành được quyền truy cập vào máy chủ Discord tổ chức Câu lạc bộ du thuyền Bored Ape, Câu lạc bộ du thuyền Mutant Ape và Câu lạc bộ nuôi khỉ đột biến — cả ba bộ sưu tập NFT từ Yuga Labs.
Ngoài Yuga Labs, các máy chủ Discord của các dự án NFT khác, chẳng hạn như Nyoki Club và Shamanzs NFT, cũng bị tấn công vào ngày hôm đó.
Bài đăng xuất hiện đầu tiên trên WebGiaCoin.
Theo Cryptoslate
|
Tags: Hack, NFT, Lừa đảo, BTCUSD,