《Telegram & Discord Security Best Practices》
作者:officercia.eth,威胁情报研究员
编译:Bob,Bitbili
加密领域近期大额被盗事件频发,加密交易平台 CoinEx 在黑客事件中已确认的损失金额达 5400 万美元;Stake.com 被盗资产总计 9615.29 枚 ETH;软件公司 Retool 今日发文公布涉及 27 个加密客户账户被黑细节,其中包含 Fortress Trust 1500 万美元的加密货币被盗原因。如何最大程度规避使用 Telegram 与 Discord 的安全隐患,威胁情报研究员 officercia.eth 总结的操作指南,Bitbili 编译如下:
你好!在这个留言中,我将给你一些简单的建议,让你晚上睡得更好。
Telegram 与 Discord 这两个应用程序经常用于工作和沟通,所以很自然,骗子和黑客也会在此寻找受害者。让我们找出如何避免成为受害者的方法。
· 阅读:此处
今天我想重点讨论基本设置。让我们开始吧。
I – Telegram
一些基本技巧
谨防冒充者(仔细查看 Telegram 简介,因为骗子可能在自己的简介中插入任何昵称,并将自己的昵称留空),警惕关于登录 Telegram 的虚假通知(仔细检查,它们应该出现在官方 Telegram 新闻与提示频道中),以及虚假机器人(是的,机器人 – 不是用户帐户 – 可能首先发送私信)等等。
Telegram 中的聊天没有一个是端对端加密的,不管是一对一的还是群组聊天 – 只有 TLS 加密。只有秘密聊天才是端对端加密,如果我没记错的话!
设置
· 电话号码 — 谁可以看到我的电话号码 — 没有人。
· 数据和存储 — 自动下载媒体 — 关闭
· 电话号码 — 谁可以通过我的号码找到我 — 我的联系人。
· 最后上线时间 — 谁可以看到我的时间戳 — 没有人。
· 个人资料照片 — 谁可以看到我的个人资料照片
—
我的联系人。
· 通话 — 谁可以给我打电话 — 我的联系人(或无人,如果你更倾向于这样)。
· 呼叫 — 点对点 — 我的联系人(或无人,如果你不想与聊天伙伴共享你的 IP 地址)。
· 当你开始通话时,你会在右上角看到四个表情符号
—
请你呼叫的人说出它们的名称并将它们与你的进行比较(它们应该与你的相同)。这是对 MitM 的保护。
· 转发的消息 — 谁可以在转发我的消息时添加指向我的帐户的链接
—
我的联系人。
· 切勿将联系人添加到 Telegram(如果有的话 – 删除它们),并始终使用 V/P/N。
· 群组和频道—谁可以添加我 — 我的联系人。
· 设置 2FA(云密码)!
· 禁用贴片循环动画!动画贴片就是风险。
· 禁用自动下载(Wi-Fi 和蜂窝网络):隐私和安全—数据设置!
· 为所有人禁用 P2P 通话,因为它可能会暴露你的 IP!秘密聊天也一样!端到端加密意味着你的 IP 将会被你正在聊天的人所知。反之亦然。
· 禁用秘密聊天中的链接和图像预览(在「隐私和安全」部分中向下滚动!)
· 禁用自动播放 GIF!
· 切勿激活(通过/start)任何Telegram机器人!甚至不要碰 Telegram 机器人(只有公共聊天机器人才被认为是安全的,你可以通过命令在公共聊天中操作它们),切勿对 Telegram 机器人进行 DM!(任何按钮都可能包含 SQLi 漏洞,甚至更糟)!
· 如果你必须打开 PDF(例如简历),请使用dangerzone.rocks或谷歌驱动器预览机制(要求上传)!
· 注意活跃会话!Telegram通知和新闻频道上。诈骗者可以冒充此通知渠道,强迫你向他们提供短信中的 OTR 代码。
看看这个清单!该项目描述了 Telegram 的局限性!| 链接 2
II – Discord
一些基本技巧
使用随机生成的密码。获取一个密码生成器,比如 BitWarden,用它来生成并存储你的密码。现在已经是 2021 年了,你不能再使用存在于电脑上的 .txt 文件中的弱密码,尤其是当你的加密货币处于风险之中时。要聪明点,晚上睡得更安心。
在 Discord 中启用双因素身份验证(2FA)。你可以在 Discord 的用户设置中找到这个选项。Discord 允许你使用 Aegis、Authy(为了更好的操作安全性,可以禁用多设备功能)或其他方法。
配置隐私设置,你可以在用户设置的隐私与安全选项中找到。选择是否允许来自服务器成员的直接消息。这由你决定。但要注意,如果你关闭了私信功能,那么如果你加入一个需要通过私信进行身份验证的验证码或验证机器人的服务器,你可能无法使用它。查看服务器信息以确定该服务器是否需要开启私信功能。
在隐私与安全选项中,选择谁可以将你添加为好友。如果你非常担心,你可以阻止任何人添加你为好友,或者只允许来自同一服务器的成员添加你为好友。
使用 V/P/N!或者租用一个 VPS 并引导一个开源的V/P/N服务器!这样可以增强你的网络安全。
III – Discord 诈骗
最危险的骗局之一,例如:
从 原推文来看,故事是这样的:
诈骗者会选择一个出现在 Discord 频道上的目标——我们的受害者。
诈骗者在冒充目标者的频道上创建一个假用户。
然后,他开始在频道中发送垃圾邮件、诈骗或垃圾话,意图被禁言。
Discord 频道管理员看到了混乱情况并努力禁言该帐户。我们的骗子巧妙地使用了一些已知的 Discord Nitro 技巧来操纵他的帐户用户昵称。这样,频道管理员就会被欺骗而禁言目标者帐户(也可能是诈骗者的帐户)。
在看到目标者被禁言后,诈骗者会在 Discord 频道的团队成员中创建一个关于目标者被禁言的虚假讨论的图像。
然后,诈骗者冒充频道主持人,通过 DM 联系目标者。目标者对自己被禁言感到惊讶,并开始不加批判地接受看似提供帮助的诈骗者的话。
骗子假装紧急,坚称情况需要立即补救。他要求目标者自证清白并拨打 Discord 电话。
诈骗者说服目标者共享 Discord Web UI 计算机屏幕,并指示目标者打开 Discord 开发人员工具并显示 Discord token。此 token 可用于完全控制帐户(无需密码,并绕过双因素身份验证)。
所有这些花哨的操纵都会导致诈骗者完全控制目标者的 Discord 帐户 – 他现在可以对受害者或受害者的公司造成损害。
IV-社会工程
让我们以 Jane 为例,她是公司一名勤奋的员工。Jane 的社交网络上公开了一些关于她的信息。甚至可能在某些数据泄露中泄露了一些与她相关的敏感信息,比如 2014 年雅虎邮件用户帐户信息泄露事件。总的来说,她和你我没有什么不同。到目前为止,一切都还好。
· 见此处
但后来,一个恶作剧者出现了,开始在社交网络上跟踪她,发布伤人的评论等。他将网络欺凌扩展到了 Jane 所在公司的其他员工,给受害者带来了痛苦。
即使在这个阶段,攻击已经造成足够的伤害,足以破坏公司内部的开放文化。员工可能会因为害怕被嘲笑或报复而停止分享个人信息或坦率地谈论问题。
Jane 继续默默忍受着这个恶作剧者的攻击。如果 Jane 封锁了这个恶作剧者的帐户,他会创建另一个。如果他知道她的地址,可能会有多份披萨突然送到她的门口。这样的生活真是难以忍受。
在我们故事的这个阶段,John 进入了故事。他是一个陌生人,但他也有一个公开的社交媒体账户,显然也遭受了同一个恶作剧者的攻击,这些攻击可以在他的页面上看到。他向 Jane 提出了一个合作的建议,希望能够帮助她停止这些攻击。他说自己知道一种方法可以让这个恶作剧者保持沉默。
当然,他知道方法。拯救者骑士和邪恶的恶作剧者实际上是同一个人。恶作剧者的诡计是与正在经历痛苦的人建立一种情感上的支持关系。
John 创造了一个条件,使得 Jane 现在更有可能听从 John 看似无害的建议。她可能会点击一个 URL 链接或打开一个发给她的文件。她甚至可能会出来见 John。
对 Jane 来说,这个故事可能会以不好的方式结束。对 John 的潜在骗局应该在一开始就被阻止 – 即在目标被招募的阶段。
有没有一些好的指导方针,可以让我们不陷入 Jane 的境地?
1.「不要让强烈情绪影响你的行动」这一建议对于股票投资或选择生活伴侣都适用。在数字世界的游乐场中,它可以成为你的第一条准则。
2. 如果你被骗了,不要灰心。被欺骗后,受害者经常告诉我们的一件事是:「我简直不敢相信我竟然如此愚蠢。」诈骗发生在我们当中最优秀的人身上。进化心理学告诉我们,进化使我们为了生存而信任其他人类。这就是为什么对这种强烈的进化适应性的任何利用对我们来说都特别痛苦。
3. 如果你担任管理职务,请确保你的员工在工作时并未生病、疲劳或挨饿。当员工在身体或情绪上虚弱时,他们就很容易受到心理影响。
4. 如果你经常处理文件,特别是 PDF 文件,你可以使用这些防护措施或dangerzone.rocks!
5. 虽然你可能对第三方企图窃取你的信息持警惕态度,但你也应该警惕内部威胁,比如粗心大意的员工和不满的员工。
6. 我们建议你遵循这25 条规则,以保护自己免受邪恶的互联网骗子的侵害。
对于骗子来说,利用爱或愤怒的情感发生得较少,因为骗子需要与受害者保持心理联系,这需要技巧、时间和对目标的熟悉。在我们的情况下,骗子利用了受害者的恐惧。而且,为了使这种攻击成功,受害者必须感到被迫。
一个熟练的社交工程师不会给受害者太多思考的时间,总是会强调紧急性。这是要注意的第一点 – 如果你被催促提供敏感信息(或任何信息),那么现在是停下来思考的好时机。
第二点要注意的是,当你发现自己处于类似的情况时,不要试图自己解决问题。向朋友、你最喜欢的 Discord 服务器的经常贡献者,或者任何知名 DAO 的管理员寻求帮助。善良的人愿意提供帮助。寻求别人的意见。
有时,骗子只是想收集关于受害者的信息或揭示目标的身份。然而,通常情况下,复杂的网络攻击可能伴随着恶意软件注入、钓鱼攻击或其他一些意外情况。
V – 恶意软件和场外交易 (OTC) 诈骗
· 阅读1
· 阅读2
继续阅读,了解这里发生了什么,这样你就可以避免发生场外交易 (OTC) 诈骗事件!
查看:
文章来源于互联网:Telegram与Discord安全最佳实践