Daily Crypto News31 мая 2023

Как защитить свои Telegram и Discord?

Подготовили для тебя перевод статьи от гуру безопасности Officer Cia. Статья расскажет тебе, как настроить свою Телегу и Дискорд таким образом, чтобы минимизировать риск успешной хакерской атаки. Очень важно прочитать и следовать советам, а то все у нас умные - до первого хака :) И тебя это касается, слышишь? В некоторых местах позволили себе авторские дополнения, но в целом статейку не трогали. 

Статья от 5-го января, но от того своей ценности не потеряла. Оригинал находится по ссылочке.  

Приветствую! В этой заметке я предоставлю вам несколько простых советов, чтобы вы могли спать спокойно.

Telegram и Discord: эти два приложения часто используются для работы и общения, поэтому неудивительно, что мошенники и хакеры также ищут там потенциальных жертв. Давайте разберемся, как избежать попадания в ловушку!

Читать: github.com/OffcierCia/Crypto-OpSec-SelfGuard-RoadMap

Сегодня я хотел бы сосредоточиться только на базовых настройках. Приступим!

I - Telegram

Несколько базовых советов:

Будьте осторожны с фейками. Мошенники могут вставить любую информацию в БИО, но при этом их никнейм будет отличаться от того, под кого они пытаются “косить”. Пример. Реальный аккаунт: @gryazin, фейк - @griazin 

Остерегайтесь фальшивых уведомлений о входе в Telegram. Они могут приходить с аккаунтов, которые косят под техподдержку Telegram. Там будет что-то типа “в Ваш аккаунт зашли из *ИМЯ СТРАНЫ* - чтобы не допустить взлома аккаунта, перейдите по ссылочке.” А ссылочка будет фишинговой и уведет твой аккаунт. Мы подброно разбирали фишинговые штуки в нашем большом анти-скам гайде. 

Ни один из чатов в Telegram не зашифрован, ни одиночные диалоги, ни групповые чаты. Только секретный чат, если я правильно помню.

Настройки:

– Номер телефона → Кто может видеть мой номер телефона — Никто.

– Данные и хранение → Автозагрузка медиафайлов → Выключить.

– Номер телефона → Кто может найти меня по номеру — Мои контакты.

– Последний визит и онлайн → Кто видит мою активность — Никто.

– Фото профиля → Кто может видеть мое фото профиля — Мои контакты.

– Звонки → Кто может звонить мне — Мои контакты (или Никто).

– Звонки → Peer-to-peer — Мои контакты (или Никто).

– При начале звонка вы увидите четыре эмодзи в верхнем правом углу — попросите человека, которому вы звоните, назвать их и сравнить с вашими (они должны быть такими же, как у вас). Это защита от атаки посредника.

– Пересылаемые сообщения → Кто может добавить ссылку на мой аккаунт при пересылке моих сообщений — Мои контакты.

– Группы и каналы → Кто может добавить меня — Мои контакты.

– Установите двухфакторную аутентификацию (пароль в облаке)!

– Отключите анимацию цикла стикеров! Анимированные стикеры = опасность.

– Отключите автозагрузку (как через Wi-Fi, так и через сотовую сеть): Конфиденциальность и безопасность → Настройки данных ❗️

– Отключите P2P-звонки для всех, так как они могут раскрывать ваш IP-адрес! То же самое с секретными чатами! Защита конфиденциальности от конца к концу означает, что ваш IP-адрес станет известен человеку, с которым вы общаетесь. И наоборот.

– Отключите предварительный просмотр ссылок и изображений в секретных чатах (прокрутите вниз в разделе Конфиденциальность и безопасность)!

– Отключите автовоспроизведение GIF-файлов!

– Никогда не активируйте (через команду /start) никакого телеграм-бота! Даже не взаимодействуйте с телеграм-ботами в личных сообщениях! (любая кнопка может содержать уязвимость SQLi или еще что-то хуже)!

– Если вам нужно открыть PDF (например, резюме), используйте dangerzone.rocks или предварительный просмотр Google Drive (попросите загрузить)!

– Будьте внимательны к активным сессиям! Завершайте неактивные сессии! Берегитесь кражи сессий!

– Если вы получаете сообщение о входе в свой аккаунт — проверьте, что оно пришло через официальный канал уведомлений и новостей Telegram. Мошенники могут подделать этот канал уведомлений, чтобы вы дали им код OTR из SMS.

II - Discord

Несколько базовых советов:

Используйте случайно сгенерированный пароль. Используйте генератор паролей, например, BitWarden, чтобы создавать и сохранять свои пароли. Мы живем в 2023 году, и вы не можете позволить себе использовать слабые пароли, хранящиеся в .txt файле на вашем компьютере, особенно когда речь идет о безопасности вашей криптовалюты. Будьте умными и спите спокойно ночью.

Включите двухфакторную аутентификацию (2FA) в Discord. Вы можете найти эту настройку в разделе "Настройки пользователя" в Discord. Discord позволяет использовать Aegis, Authy (отключите многопользовательский режим для лучшей безопасности) или другие методы.

Настройте параметры конфиденциальности, которые вы можете найти в разделе "Конфиденциальность и безопасность" в разделе "Настройки пользователя". Выберите, хотите ли вы разрешить личные сообщения от участников сервера или нет. Решение за вами. Однако обратите внимание, что если у вас отключены личные сообщения (DMs), то если вы присоединитесь к серверу с ботом Captcha или Verification, который проверяет вас через личные сообщения, у вас не получится использовать его. Проверьте информацию о сервере, чтобы узнать, требуются ли открытые личные сообщения для конкретного случая.

В разделе "Конфиденциальность и безопасность" выберите, кто может добавлять вас в друзья. Если вы особенно параноидальны, вы можете запретить кому-либо добавлять вас в друзья, или разрешить это только для участников того же сервера.

Запустите VPN! Или арендуйте VPS и создайте VPN-сервер с открытым исходным кодом! Мы разбирали VPN-ы по ссылочке. 

III - Мошенничество в Discord

Одна из наиболее опасных мошеннических схем выглядит следующим образом:

Мошенник выбирает цель - нашу жертву, которая присутствует на канале Discord.

Мошенник создает фейкового пользователя на канале, выдавая себя за цель.

Затем он начинает спамить, мошенничать или оскорблять на канале, с целью быть забаненным.

Модераторы канала Discord видят хаос и работают над баном этой учетной записи. Наш мошенник искусно использует некоторые известные трюки с Discord Nitro, чтобы изменить имя своей учетной записи пользователя. Таким образом, модераторы канала вводятся в заблуждение и банят учетную запись цели (а возможно, и учетную запись мошенника).

Увидев, что цель была забанена, мошенник создает поддельное изображение фальшивого обсуждения среди членов команды канала Discord о бане цели.

Затем, выдавая себя за модератора канала, мошенник связывается с целью через личные сообщения. Цель удивляется, что ее забанили, и начинает безрассудно принимать слова мошенника, который предлагает помощь.

Мошенник создает срочность, настаивая, что ситуацию нужно немедленно исправить. Он просит цель доказать свою невиновность и провести звонок через Discord.

Мошенник убеждает цель поделиться экраном своего компьютера через Discord Web UI и указывает цели открыть Discord Developer Tools и раскрыть токен Discord. Этот токен может быть использован для полного контроля над учетной записью (без пароля и обходя двухфакторную аутентификацию).

Весь этот сложный манипуляционный процесс приводит к тому, что мошенник получает полный контроль над учетной записью цели в Discord. Он теперь может нанести вред жертве или компании жертвы.

IV - Социальная инженерия

Допустим, у нас есть Джейн, которая является добросовестным сотрудником в своей компании. Информация о Джейн доступна публично в ее социальных сетях. Некоторая конфиденциальная информация о ней может быть даже раскрыта в некоторых утечках, например, при взломе аккаунтов пользователей Yahoo Mail в 2014 году. В целом, она ничем не отличается от вас или нас. Пока все идет хорошо.

github.com/frostbits-security/MITM-cheatsheet

Но затем появляется тролль, который начинает преследовать ее в социальных сетях и пишет обидные комментарии, например. Он распространяет свой кибербуллинг и на других сотрудников компании Джейн, причиняя неудобства своим жертвам.

Даже на этом этапе атака нанесла достаточно ущерба, чтобы подорвать культуру открытости внутри компании. Сотрудники могут перестать делиться личной информацией или откровенно говорить о проблемах, опасаясь насмешек или возмездия.

Джейн продолжает молча страдать от атак тролля. Если Джейн блокирует аккаунт тролля, он создаст новый. Если он знает ее адрес, к ее двери могут внезапно приехать несколько пицц. Это не жизнь.

На этом этапе нашей истории появляется Джон. Он незнакомец, но у него тоже есть публичный аккаунт, и он также страдал от действий этого же тролля, как видно из атак на его странице. Он предлагает Джейн сотрудничество, чтобы остановить атаки. Он говорит, что знает способ заставить тролля замолчать.

Конечно, он знает способ. Рыцарь-спаситель и Злой тролль - это один и тот же человек. Хитрость тролля заключалась в том, чтобы установить эмоционально поддерживающую связь с человеком, который испытывал боль.

Джон создал условия, в которых Джейн теперь склонна следовать предложению Джона, кажущемуся невинным. Она может кликнуть по ссылке или открыть отправленный ей файл. Она даже может встретиться с Джоном.

Эта история может плохо закончиться для Джейн. Потенциальный мошенник Джон должен был быть остановлен на начальном этапе - на этапе вербовки цели.

Есть ли какие-то хорошие советы, дабы не попасть в положение как у Джейн?

1) Не позволяйте эмоциям влиять на ваши действия: при общении в сети оставайтесь рациональными и избегайте принятия импульсивных решений под влиянием эмоций.

2) Будьте бдительны: будьте осторожны с подозрительными действиями, сообщениями или просьбами в сети. Если что-то кажется подозрительным, доверьтесь своей интуиции.Не теряйте бдительность, если вас обманули: Часто жертвы мошенничества говорят нам после случившегося: "Не могу поверить, что я был так глуп". Мошенничество может случиться с каждым из нас. Эволюционная психология говорит нам, что наша выживаемость зависит от доверия к другим людям. Поэтому любое злоупотребление этой сильной эволюционной адаптацией наносит нам особенно большой ущерб.

3) Если вы занимаете руководящую должность, убедитесь, что ваши сотрудники не болеют, не устают и не испытывают голода на работе. Физическая или эмоциональная слабость делает людей уязвимыми для психологического влияния.

4) Если вы часто работаете с файлами, особенно PDF, используйте меры безопасности, например, dangerzone.rocks!

5) Несмотря на то, что вы можете быть осторожными по отношению к третьим сторонам, пытающимся украсть вашу информацию, также следите за внутренними угрозами, такими как небрежные сотрудники или недовольные работники.

Эксплуатация чувства любви или гнева происходит реже, поскольку мошеннику потребуется поддерживать психологическую связь с жертвой, что требует опыта, времени и знакомства с целью. В нашем случае мошенник использовал страх жертв. 

Более того, для успешной реализации этой атаки жертва должна быть торопливой.

Умелый социальный инженер не даст жертве много времени на размышления и всегда будет настаивать на срочности. Это первое, на что следует обратить внимание - если вас торопят раскрыть конфиденциальную информацию (или любую информацию вообще), то самое время сделать паузу.

Второй момент, который следует отметить, заключается в том, что когда вы оказываетесь в подобной ситуации, не пытайтесь решать проблему самостоятельно. Обратитесь к другу, активному участнику вашего любимого сервера Discord или модератору известного DAO. Хорошие люди всегда готовы помочь. 

Иногда мошенники просто хотят найти компромат на жертву или деанонимизировать цель. Однако часто изощренные кибер-атаки могут сопровождаться инъекцией вредоносного ПО или фишинговой атакой, или каким-то другим неожиданным сюрпризом.

Как статейка? Обсудим в чатике?