技巧和窍门 269 Views Show  在您的帐户被盗之前,Discord很有趣。通过执行两步验证,确保即使有人窃取了您的密码,也没有人可以访问您的帐户。不要忘记定期更新您的密码和隐私设置。 在Discord中设置两因素身份验证Discord'的两因素身份验证(2FA)每次登录时都使用Google Authenticator或Authy向智能手机发送临时代码。在您输入此代码以确认您的身份之前,Discord不会让您访问您的帐户。 要在Discord中设置2FA,请单击名称和头像旁边左下方的齿轮图标,打开“设置”菜单。
从“我的帐户”下的“设置”菜单中,选择“启用两因素身份验证”。
接下来,您需要在智能手机或平板电脑上设置Google Authenticator或Authy。在这两个应用程序中,使用“扫描条形码”功能扫描Discord中的QR码。或者,您可以在两个应用程序中使用“输入提供的密钥”功能,将2FA密钥输入Discord。
扫描QR码或在Google Authenticator或Authy中输入2FA密钥后,该应用将向您显示六位数的验证码。现在,在Discord中输入该代码以激活2FA。 激活2FA后,您可以在帐户中添加电话号码以使用SMS验证,也可以下载静态备份代码以在以后需要验证身份时使用。您以后总是可以执行这些操作。
如何保护您的Discord密码安全的密码对于确保安全性始终至关重要。您不得重复使用与Discord或任何其他服务上的其他地方相同的密码。我们建议使用密码管理器来生成和存储这些唯一的密码。 要在Discord中更改密码,请转到“设置”菜单。与以前一样,单击您的名称和头像左下方的齿轮图标。在“我的帐户”页面上,单击“编辑”。
选择“更改密码?”。
输入您的当前密码和新密码。点击“保存”。 更新Discord' s隐私设置Discord还提供了许多非常有用但非常简单的隐私工具。要访问这些设置,请像以前一样打开“设置”菜单。在“用户设置”下,单击“隐私和安全性”。
此选项卡包含以下设置:哪些人可以与您联系,其他人可以向您发送什么内容以及Discord如何跟踪和使用您生成的数据。您甚至可以通过在此菜单中向下滚动并选择“请求数据”来从Discord请求所有数据。 通过2FA,适当的密码管理以及精确的隐私和安全设置,您可以确保Discord的体验安全可靠。 Discord对玩NFT的玩家来说是一个必不可少的工具,但是区块链的世界骗局丛生,Discord则是重灾区,作为普通用户拥有安全意识是非常有必要的,能有效防止资产被盗。 6月17日,推特一位NFT爱好者@Amber不幸丢失了心爱的7个NFT,购入价值在20ETH左右,由于Amber在不知情的情况下点击了Discord上ChinaChic_NFT交流群内的钓鱼链接导致NFT被盗。该链接为攻击者发布的假空投钓鱼链接。ChinaChic_NFT 是一个NFT交流社区,目前拥有3.6万用户。 事件梳理在得知被盗事件后,我们第一时间与NFT玩家Amber取得了联系,了解了整个案件发生的过程。必查客团队通过对攻击者地址进行跟踪,发现黑客地址为0xD62C847cb1E1168fB8fA4D716917D75765d05932,Amber的7个NFT均在同一时间转入该地址。其中包含mfers #5258和#4089;Otherdeed for Otherside #60831和 #91472;Meebits #8654;PXN: Ghost Division #3188;PREMINT Collector Pass - OFFICIAL #9450。 通过Etherscan和NFTscan对该地址跟踪,发现除Amber的被盗NFT外,还有另外3件NFT通过非买入的方式存入该钱包地址。 攻击者在盗取NFT后,4小时内分别以0.5ETH和1.499ETH的价格出售了Ghost #3188和mfers #5258 藏品,一天后又以0.78ETH的价格出掉了PREMINT Collector Pass - OFFICIAL #9450,售价远低于市场价。 其余的4件被盗NFT分别被转移到了另外4个钱包地址,通过对钱包地址追踪分析,必查客团队发现这4个钱包地址此前均未发生过任何交易行为,所以极有可能是黑客的清洗渠道之一。钱包地址如下: 0xd5ebd30d7c3dfad8e5e4b5ea68f899e77c3fe871 (Otherside #91472) 0xc6fdf3284d7e4e51577a69528245eafc420e739f (Otherside #60831) 0x3a8c9342be4a359e4c8bb6808555a9fa7981509f (接收mfers#4089) 0x7e338a9d851bfcadd9b2c99e93126952767852bf (接收Meebits #8654) Discord钓鱼攻击者通常是需要先获得用户的授权,之后调用transfer from方法将用户的NFT盗走。攻击者往往会通过空投或是验证伪装等来诱导受害人点击授权同意,为了增加可信度,甚至会盗取官方Discord账号,所以官方发布的消息也可能是钓鱼信息,官方不等于绝对安全。 黑客攻击方式多样,以下列举几个防骗指南供大家参考: 1、对于discord私信一定要提高警惕,相信直觉,觉得奇怪或者反常的操作一定要留个心眼,多进行信息的交叉验证。 2、很多钓鱼链接通过私信联系发送,关闭私信消息或许能为你阻挡住一部分钓鱼链接。 3、安装反钓鱼插件,可有效辅助识别一部分钓鱼网站。但最重要还是需要用户有谨慎的态度。 4、当你获得某个信息时,从多渠道获取信息,保证官网、opensea项目、twitter、discord等多个信息的交叉验证。也可直接与官方进行联系,验证真假。 5、比较保险的操作建议是:将Discord和MetaMask所使用的浏览器分开。 对于用户来说,还可以通过及时取消授权(approve)在源头上对抗这类攻击的,在发现授权网站有问题,但资金还未被转移时,可以及时通过以太坊官方浏览器Etherscan提供的授权检查及取消工具来取消授权。 小结作为web3用户,重要的是要注意任何添加操作和代码都可能是恶意的,在用户手动触发执行的那一刻,需要保持一颗怀疑的心是非常必要的。 区块链安全一直是行业发展的一大痛点和急需补齐的短板所在,长期以来,SAFEIS始终秉持让区块链更安全的重大使命。 这段时间以来,SAFEIS频繁接到很多用户关于Discord安全问题的反馈,Discord的安全问题不论是对于Discord官方,还是普通用户、入驻的项目方,都产生了极为不利的困扰和惨痛的损失。 鉴于此,SAFEIS用心编写了这篇《Discord防骗指南》。 谈到国外社交软件的知名产品,你第一时间想到的是哪款?Twitter?Telegram?TikTok?hai还是Snapchat?这几款固然是实至名归,但人们往往忽视了一款已然崛起的社交巨头——Discord! Discord起初只是一款垂直于游戏社交的社交产品,尔后拓展到多个领域包括加密社区,迅速风靡全球,在北美乃至世界很多地区,Discord成为十分受欢迎且用户极为广泛的社交应用。 鉴于,Discord业务层面的快速发展,其当前的估值已经超过150亿美元,多轮融资总额接近10亿美元,2021年微软曾以120亿美元的报价向Discord发出收购意愿,但被后者婉言谢绝。可见,Discord拥有怎样的底气、实力和发展前景。 正因为Discord附带的商业价值极为可观,且Discord过于开放的权限机制,安全问题频发,成为黑客时常攻击的目标,OpenSea、Project Galaxy、BAYC(无聊猿)、游戏公会YGG等热门的Discord都遭遇过攻击。 · Discord被攻击事件诈骗套路SAFEIS梳理这些Discord被攻击事件的脉络,发现黑客的骗局套路大体一致,下文将进行细致的梳理,以此让大家明辨骗局,避免遭受资产损失,提高防骗能力。 黑客攻击第一步: 黑客在攻击之前,会预先参照官方网站做一个非常相似,真假难辨的伪网站,在网站的首页的突出位置,大致会展示这些内容:为了感谢早期支持者,现在可以免费mint(铸造)一个很有价值的NFT。 黑客攻击第二步: 黑客主要通过引诱Discord项目官方管理员点击一些载有病毒的链接,获取相关Access Token(登入令牌),进而获取目标Discord服务器的管理权限。值得一提的是,即使之前开启了Authenticator的2FA(二步确认),也无法防止黑客此类攻击。 黑客攻击第三步: 黑客在取得管理权限之后,通常会把所有频道禁言,踢走该服务器所有管理者,然后将自己的Discord Bot(服务器机器人) 加入服务器,并将其权限设置为最高。 之后,便会通过Discord Bot在公告频道发布诈骗信息,诱导该服务器用户点击伪官方网站链接。 黑客攻击第四步: 用户进入伪官方网站之后,便会被提示链接钱包,一旦连接了钱包,黑客就会通过API查询到该钱包内所有值钱的NFT和其它虚拟货币资产。 在用户被相关诈骗页面信息诱导mint后,钱包就会弹出一笔看似是正常合约交互的信息框,但其实这是一笔钱包转账授权,授权数量就是该钱包持有的有价值的NFT的数量。 一旦进行了合约交互确认,这些NFT就会转入黑客的钱包地址。 黑客攻击第五步: 当NFT到达黑客的钱包地址之后,黑客会立马挂到OpenSea上进行低价出售,并最终通过一些隐私项目等手段达到被盗资金隐匿、躲避链上追溯的目的。 · 被黑Discord服务器异常特征1、在伪官方网站链接钱包时,不论钱包当前选择的是哪个网络,网站都可以成功连接钱包,且不会提示正常网络切换; 2、黑客攻击的时机往往选择项目发展的关键时间点,比如NFT白名单公布、NFT开售等; 3、Discord所有频道罕见的全部处于禁言状态。 · 防骗策略 1、一定要认真核对项目官方的相关信息,比如项目官方网站网址、公告消息等,并且在官方其它多个渠道多维度进行验证,绝对不可随意点击未经认证的链接,更不要随便进行钱包交互授权等操作; 2、建议大家养成一个好习惯,对已经多方验证过的官方认证Discord bot设置备注,当黑客利用假认证的bot进行发布诈骗信息进行攻击的时候,大家对于这些没有备注过的bot发布的消息就要存疑,进而去验证公告信息真假。 目前常用的bot包括:Wick、Captcha.bot、MEE6等 3、如果钱包不慎连接了有风险的网站,可以在相关网络的区块链浏览器中解除授权,具体位置见下图。 需要注意的是,先要注册相关区块浏览器账号并登录,否则,未登录状态下,无法完成钱包授权管理的相关操作。 |
Discord 被盗
版權 © 2024 zh.ketajaman Inc.
