Podvody nejen na Discordu
02. února 2024 - Návody
Rozmohl se tu takový nešvar, asi více než v minulosti, kdy se podvodníci snaží získat přístup k Discord účtu. Většinou přitom získají přístup do většiny služeb, kde jste v té době zrovna přihlášení. Chci Vám tady dát pár rad a tipů, jak nenaletět.
Předem Vás chci upozornit, že toto není ultimátní návod, po kterém budete naprosto nenaletitelný. Nebudete. Vždy se může najít sofistikovaný útok, chyba v aplikaci apod. Jde hlavně o prevenci.
1. Neklikejte na neznámé odkazy
Zní to jako samozřejmost, ale i tak se spousta lidí nachytá. Pokud vidíte neznámý odkaz, prostě na něj neklikejte. Odkaz od naprosto neznámého člověka dost často trkne do očí, že je něco v nepořádku, ale co když Vám ho pošle kamarád či známý?
- Zkontrolujte, že v odkazu nejsou chyby. Například písmena navíc, prohozená písmena nebo netypická koncová doména (.com, .org, .info...)
- Dá se na adresu kliknout a nezačíná http:// nebo https://? Pravděpodobně jde o skrytý odkaz a doporučuji neklikat. Všechny odkazy na Discord, které někdo zkopíroval z adresního řádku prohlížeče a čistě vložil do zprávy jsou klikatelné a hlavně začínají http:// nebo https://. V ostatní případech adresu zamaskoval, aby vypadala jako jiná než kam skutečně vede. Discord totiž používá Markdown
[nazevodkazu.cz](https://kamodkazskutecnevede.cz)
syntaxy, která umožňuje poslat odkaz například polarkac.eu. V případě prohlížeče se po najetí kurzoru na odkaz objeví cílová adresa ve spodní části okna, u Discord to funguje obdobně, ale objeví se poblíž kurzoru. - Pokud máte stále pochybnosti a pisatele znáte, zkuste se ho zeptat na něco, co by mohl vědět jen on. V případě kolegy na informaci z práce, u kamaráda na nějaký zážitek apod.
- Poslední variantou můžete zkusit službu VirusTotal https://www.virustotal.com/. Můžete zde vybrat záložku URL, poslaný odkaz sem vložit a VirusTotal nechá web otestovat napříč desítkou antivirů, antimalware a podobných programů. Opět si ale uvědomte, že tyto programy často kontrolují proti databázi, která nemusí být aktuální a nebo nemusí ani existující hrozbu zachytit. Nejúčinnější ochranou před útokem je Váš mozek.
2. Nestahujte neznámé soubory
Jeden z podvodů využívá ochotu pomoct kamarádovi. Útočník Vám napíše za kamarádův účet, že on sám nebo jeho známý vytvořil hru a potřebuje ji otestovat. Pošle Vám odkaz na stránku, kde si můžete stáhnout zaheslovaný ZIP archív, a heslo.
Minimálně jeden aspekt tohoto scénáře je velmi podezřelý. Pokud má hra veřejnou stránku, kde lze testovací verzi stáhnout, proč je archív zaheslovaný a na webu heslo není? K ničemu, je to obrovské varovné znamení.
Zpátky ještě k webu samotnému. Některé útoky budou využívat obrázky již existujících her. Nebudou to asi nejznámější hry, ale tady by měl stačit pouze obrázek. Služby jako https://images.google.com/ nebo https://tineye.com/ umožňují vložit URL obrázku a najít již existující verze na internetu. Díky tomu si najdete původní hru na Steamu, GoG a nebo jinde. Hned pak víte, že stránka je falešná.
Co když jste soubor stáhli? Zatím se nic neděje, za předpokladu, že jste ho nespustili. I v tomhle případě můžete využít službu VirusTotal (odkaz výše), kam soubor nahrajete a on ho prověří. I tady ale mějte na paměti, že nemusí najít vůbec nic a přesto je tam schovaný neřádstvo.
Pozor, i soubor tvářící se jako PDF může být spouštěcí soubor podvodné aplikace. Windows kontroluje pouze příponu (*.pdf, *.exe, *.doc) a nikoliv skutečný obsah souboru. Přípona souboru je v standardním nastavení skrytá, ale jinak je součást názvu souboru a proto ji lze velmi jednoduše změnit.
3. Antiviry a bezpečností aplikace
Mnoho lidí na ně přehnaně spoléhá, ale jediná spolehlivá aplikace je Váš mozek. Během uplynulých měsíců se mi do rukou dostalo několik infikovaných souborů, které antivir nedetekoval. VirusTotal označil jako infikovaný pouze třemi aplikacemi, což často znamená je falešný poplach. Antiviry jsou spíše jen malá dodatečná ochrana, která vás zvládne ochránit tak v 50 % případů.
Nemá ani cenu instalovat dalších X bezpečnostních programů. Zpomalíte si zbytečně počítač a ničemu to výrazně nepomůže.
Při stahování a používání internetu přemýšlejte a zvažujte možná rizika. Být zbytečně paranoidní je lepší, než bezhlavě klikat.
4. Dvoufaktorové ověření
Někdo by mohl oponovat, že má zapnuté dvoufaktorové ověření a jemu se to stát nemůže, ale opak je pravdou. Dvoufaktorové ověření nebrání v ukradení tokenu aktuálně přihlášeného sezení.
Útočník Vám přes podvodnou aplikaci ukradne tokeny. Tento token se používá k ověření, že jste přihlášeni a máte přístup ke svému účtu. Proto, když spustíte Discord, Steam nebo Gmail, tak jste automaticky přihlášeni a nemusíte zadávat ani heslo ani ověřovací kód. Spousta služeb neověřuje, zda se token použil z jiné IP adresy, protože by takové ověření ani nefungovalo. Sem tam se IP adresa změní, kvůli výpadku internetu nebo protože jste z Wifi přešli na mobilní data. Proto stačí tento token ukrást a útočník se dostane k Vašemu účtu, většinou. Existují výjimky, ale jak jsem psal výše, lepší být paranoidní.
Dvoufaktorové ověření by mělo zabránit změně hesla, e-mailu nebo samotnému odstranění ověření. Jestli se ovšem někdo dostal k Vašem účtu, můžete předpokládat, že má přístup i k Vašemu e-mailu a odtud už je cesta k odstranění dvoufaktorového ověření krátká. Discord navíc umožňuje dost změn i bez zadání ověřovacího kódu.
Při zapnutí dvoufaktorového ověřování se často generují i záložní kódy, které mají platnost pro jedno zadání a pak už konkrétní kód nefunguje. Bohužel i v tomto případě bývají k ničemu. Pokud se útočníkovy podaří ověření odstranit a nebo změnit heslo/e-mail i bez ověření, tak v té chvíli se i se záložními kódy na svůj účet už budete dostávat obtížně. V případě napadení jde o čas, co nejrychleji změnit přístupové údaje na e-mailu a ostatních službách.
4. Tipy a triky
- Zdá se Vám odkaz v pořádku, ale stejně si jím nejste jisti? Zkopírujte ho a zobrazte si stránku v jiném prohlížeči. Pokud používat Firefox, zkuste web třeba v MS Edge apod. Jen otevřením webu většinou nehrozí nebezpečí, protože by musel využívat chybu prohlížeče. Je tedy malá pravděpodobnost napadení. Jiný prohlížeč alespoň omezí riziko chyby, která umožní přístup k aktivním tokenům v běžně používaném prohlížeči.
- V případě vlastníků Discord serverů doporučuji vytvořit nový účet. Vlastníka Discord serveru poté převést na tento nový účet a používat ho pouze v nutných případech. Běžnému účtu osekat práva co nejvíce. V případě napadení nepřijdete o server, ostatní moderátoři mohou včas zasáhnout nebo případně Vy sami z vlastnického účtu. Pozor, v případě napadení se přihlašujte k vlastnickému účtu z jiného zařízení!
- U kamarádu a známých si můžete zahrát na tajné agenty a zvolit si, nejlépe ústně, frázi, která Vás mezi sebou identifikuje. Pak budete vědět, že na účtě není někdo cizí.
Samozřejmě jsou i další způsoby, jak snížit riziko, ale většina uživatelů není ochotna vyměnit pohodlí za větší bezpečnost. V tomhle ohledu můžu ještě doporučit paranoidně nastavený firewall, který by pracoval více style whitelistu (přístup pouze na povolené adresy). Uživatel by tak musel každé spojení potvrzovat a hlavně na začátku vytvořit spoustu pravidel. Navíc jde o pokročilejší techniku, která vyžaduje alespoň nějaké síťové znalosti.
Další tip je virtuální systém. Virtuální systém běží odděleně od normálního systému, můžete ho zapnout jako jakoukoliv jinou aplikace a bez nastavení nemá přístup k hlavnímu systému. Můžete tam pak spouštět a zkoušet nedůvěryhodné stránky a aplikace. Samozřejmě i tenhle způsob není neprůstřelný.