作者:耀@慢雾安全团队
背景
区块链的世界遵循黑暗森林法则,在这个世界我们随时可能遭受到来自不明的外部攻击,作为普通用户不进行作恶,但是了解黑客的作恶的方式是十分必要的。
慢雾安全团队此前发布了区块链黑暗森林自救手册,其中提到了不少关于针对NFT项目方的Discord进行攻击的手法,为了帮助读者对相关钓鱼方式有更清晰的认知,本文将揭露其中一种钓鱼方法,即通过恶意的书签来盗取项目方Discord账号的Token,用来发布虚假信息等诱导用户访问钓鱼网站,从而盗取用户的数字资产。
钓鱼事件
先来回顾一起Discord钓鱼事件:2022年3月14日,一则推特称NFT项目WizardPass的Discord社区被者入侵,目前已造成BAYC、Doodles、CloneX等NFT被盗,详情如下:
Android版Opera浏览器已集成FIO协议,降低加密货币体验门槛:3月12日消息,据官方公告,Web 浏览器开发商 Opera 宣布,其已为自家 Android 浏览器集成对 FIO 协议的支持。通过本次更新,Opera 能够为用户带来对高度可用和可互操作的 web3 产品的单点访问,让大家能够更轻松地访问加密货币。FIO 不仅支持所有区块链、还采用了人类可读的加密句柄,来替代使用长字符串的公共钱包地址,从而化解了交易的风险和复杂性。在此基础上,Opera for Android 用户可借助 FIO 加密句柄,在其 Opera 加密钱包中轻松收发加密货币,此外 Opera 提供了免费的 @opera FIO Crypto Handle 注册服务。[2022/3/12 13:52:43]
来源:https://twitter.com/sentinelwtf/status/1496293768542429187
Glitch钱包测试版上线,未来将从基于浏览器的版本过渡为Web扩展钱包:Glitch Finance宣布,Glitch钱包的免费开源测试版现已上线,可以供用户测试。Glitch钱包MVP最初将基于Web,并可通过浏览器访问。Glitch还为Glitch钱包制定了后续计划,其中包括:从基于浏览器的钱包过渡到Web扩展钱包;为所有DApp用户创建优质体验的移动钱包。
Glitch钱包的当前版本是测试网第一次迭代的Beta版。用户将能够使用Glitch测试网水龙头将GLCH代币存入新创建的钱包中。在未来的版本中,除了GLITCH网络本身之外,用户还可以将其真正的GLCH代币从各种异构区块链存入钱包。[2021/7/17 0:59:32]
该解读里说的bookmark就是浏览器书签,这个书签里的内容可以是一段JavaScript恶意代码,当Discord用户点击时,恶意JavaScript代码就会在用户所在的Discord域内执行,盗取DiscordToken,攻击者获得项目方的DiscordToken后就可以直接自动化接管项目方的Discord账户相关权限。
MetaMask新功能允许在浏览器扩展程序和移动应用程序中交换代币:金色财经报道,以太坊浏览器和钱包应用程序MetaMask周二宣布了一项新功能,使用户能在浏览器扩展和移动应用程序内直接交换代币。该交换功能将首先在其Firefox浏览器扩展程序中发布,然后再添加至其他浏览器和MetaMask mobile的扩展程序。[2020/10/7]
背景知识
要理解该事件需要读者有一定的背景知识,现在的浏览器都有自带的书签管理器,在提供便利的同时却也容易被攻击者利用。通过精心构造恶意的钓鱼页面可以让你收藏的书签中插入一段JavaScript代码,当受害者点击书签时会以当前浏览器标签页的域进行执行。
以上图为例,受害者打开了discord.com官网,并在这个页面点击了之前收藏的恶意的书签“Hello,World!”从而执行了一个弹窗语句,可以发现执行的源显示的是discord.com。
声音 | 傲游浏览器创始人陈明杰:傲游要做全球首个支持区块链的浏览器:12月7日下午,在BSV中国大会上,遨游浏览器创始人陈明杰表示,傲游是一家专注用户体验的公司,而区块链中最为缺乏的也是用户体验。我们未来会基于BSV开发相关应用,让傲游成为全球首个支持区块链的浏览器。[2019/12/7]
这里有一个域的概念,浏览器是有同源策略等防护策略的,按理不属于discord.com做出的操作不应该在discord.com域的页面有响应,但书签却绕过了这个限制。
可以预见书签这么个小功能隐含的安全问题,正常添加书签的方式会明显看到书签网址:
稍微有安全意识的读者应该会直接看到网址信息明显存在问题。
当然如果是一个构造好诱导你拖拽收藏到书签栏到页面呢?可以看到Twitter链接中的演示视频就是构造了这么个诱导页面:「Dragthistoyourbookmarked」。
也就是拖着某个链接即可添加到书签栏,只要钓鱼剧本写得足够真实,就很容易让安全意识不足的用户中招。
要实现拖拽即可添加到书签栏只需要构造一个a标签,下面是示例代码:
Hello,World!
书签在点击时可以像在开发者工具控制台中的代码一样执行,并且会绕过CSP策略。
读者可能会有疑问,类似「javascript:()」这样的链接,在添加进入到浏览器书签栏,浏览器竟然会没有任何的提醒?
笔者这里以谷歌和火狐两款浏览器来进行对比。
使用谷歌浏览器,拖拽添加正常的URL链接不会有任何的编辑提醒。
使用谷歌浏览器,拖拽添加恶意链接同样不会有任何的编辑提醒。
使用火狐浏览器如果添加正常链接不会有提醒。
使用火狐浏览器,如果添加恶意链接则会出现一个窗口提醒编辑确认保存。
由此可见在书签添加这方面火狐浏览器的处理安全性更高。
场景演示
演示采用的谷歌浏览器,在用户登录Web端Discord的前提下,假设受害者在钓鱼页面的指引下添加了恶意书签,在DiscordWeb端登录时,点击了该书签,触发恶意代码,受害者的Token等个人信息便会通过攻击者设置好的Discordwebhook发送到攻击者的频道上。
下面是演示受害者点击了钓鱼的书签:
下面是演示攻击者编写的JavaScript代码获取Token等个人信息后,通过DiscordServer的webhook接收到。
笔者补充几点可能会产生疑问的攻击细节:
1.为什么受害者点了一下就获取了?
通过背景知识我们知道,书签可以插入一段JavaScript脚本,有了这个几乎可以做任何事情,包括通过Discord封装好的webpackChunkdiscord_app前端包进行信息获取,但是为了防止作恶的发生,详细的攻击代码笔者不会给出。
2.为什么攻击者会选择Discordwebhook进行接收?
因为Discordwebhook的格式为
“https://discord.com/api/webhooks/xxxxxx”,直接是Discord的主域名,绕过了同源策略等问题,读者可以自行新建一个Discordwebhook进行测试。
3.拿到了Token又能怎么样?
拿到了Token等同于登录了Discord账号,可以做登录Discord的任何同等操作,比如建立一个Discordwebhook机器人,在频道里发布公告等虚假消息进行钓鱼。
总结
攻击时刻在发生,针对已经遭受到恶意攻击的用户,建议立刻采取如下行动进行补救:
立刻重置Discord账号密码。
重置密码后重新登录该Discord账号来刷新Token,才能让攻击者拿到的Token失效。
删除并更换原有的webhook链接,因为原有的webhook已经泄露。
提高安全意识,检查并删除已添加的恶意书签。
作为用户,重要的是要注意任何添加操作和代码都可能是恶意的,Web上会有很多的扩展看起来非常友好和灵活。书签不能阻止网络请求,在用户手动触发执行的那一刻,还是需要保持一颗怀疑的心。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。