Telegram與Discord安全最佳實踐

加密領域近期大額被盜事件頻發，加密交易平台 CoinEx 在駭客事件中已確認的損失金額達 5400 萬美元；Stake.com 被盜資產總計 9615.29 枚 ETH；軟體公司 Retool 今日發文公布涉及 27 個加密客戶帳戶被黑細節，其中包含 Fortress Trust 1500 萬美元的加密貨幣被盜原因。如何最大程度規避使用 Telegram 與 Discord 的安全隱患，威脅情報研究員 officercia.eth 總結的操作指南，BlockBeats 編譯如下：

你好！在這個留言中，我將給你一些簡單的建議，讓你晚上睡得更好。

Telegram 與 Discord 這兩個應用程序經常用於工作和溝通，所以很自然，騙子和駭客也會在此尋找受害者。讓我們找出如何避免成為受害者的方法。

· 閱讀：此處

今天我想重點討論基本設置。讓我們開始吧。

I - Telegram 

一些基本技巧

謹防冒充者（仔細查看 Telegram 簡介，因為騙子可能在自己的簡介中插入任何暱稱，並將自己的暱稱留空），警惕關於登錄 Telegram 的虛假通知（仔細檢查，它們應該出現在官方 Telegram 新聞與提示頻道中），以及虛假機器人（是的，機器人 - 不是用戶帳戶 - 可能首先發送私信）等等。

Telegram 中的聊天沒有一個是端對端加密的，不管是一對一的還是群組聊天 - 只有 TLS 加密。只有秘密聊天才是端對端加密，如果我沒記錯的話！

設置

· 電話號碼 — 誰可以看到我的電話號碼 — 沒有人。

· 數據和儲存 — 自動下載媒體 — 關閉

· 電話號碼 — 誰可以通過我的號碼找到我 — 我的聯繫人。

· 最後上線時間 — 誰可以看到我的時間戳 — 沒有人。

· 個人資料照片 — 誰可以看到我的個人資料照片 — 我的聯繫人。

· 通話 — 誰可以給我打電話 — 我的聯繫人（或無人，如果你更傾向於這樣）。

· 呼叫 — 點對點 — 我的聯繫人（或無人，如果你不想與聊天夥伴共享你的 IP 地址）。

· 當你開始通話時，你會在右上角看到四個表情符號 — 請你呼叫的人說出它們的名稱並將它們與你的進行比較（它們應該與你的相同）。這是對 MitM 的保護。

· 轉發的消息 — 誰可以在轉發我的消息時添加指向我的帳戶的鏈接 — 我的聯繫人。

· 切勿將聯繫人添加到 Telegram（如果有的話 - 刪除它們），並始終使用 V/P/N。

· 群組和頻道—誰可以添加我 — 我的聯繫人。

· 設置 2FA（雲密碼）！

· 禁用貼片循環動畫！動畫貼片就是風險。

· 禁用自動下載（Wi-Fi 和蜂窩網路）：隱私和安全—數據設置！

· 為所有人禁用 P2P 通話，因為它可能會暴露你的 IP！秘密聊天也一樣！端到端加密意味著你的 IP 將會被你正在聊天的人所知。反之亦然。

· 禁用秘密聊天中的鏈接和圖像預覽（在「隱私和安全」部分中向下滾動！）

· 禁用自動播放 GIF！

· 切勿激活（通過/start）任何Telegram機器人！甚至不要碰 Telegram 機器人（只有公共聊天機器人才被認為是安全的，你可以通過命令在公共聊天中操作它們），切勿對 Telegram 機器人進行 DM！（任何按鈕都可能包含 SQLi 漏洞，甚至更糟）！

· 如果你必須打開 PDF（例如簡歷），請使用dangerzone.rocks或谷歌驅動器預覽機制（要求上傳）！

· 注意活躍會話！Telegram通知和新聞頻道上。詐騙者可以冒充此通知渠道，強迫你向他們提供短信中的 OTR 代碼。

看看這個清單！該項目描述了 Telegram 的侷限性！| 鏈接 2

II - Discord 

一些基本技巧

使用隨機生成的密碼。獲取一個密碼生成器，比如 BitWarden，用它來生成並儲存你的密碼。現在已經是 2021 年了，你不能再使用存在於電腦上的 .txt 文件中的弱密碼，尤其是當你的加密貨幣處於風險之中時。要聰明點，晚上睡得更安心。

在 Discord 中啟用雙因素身份驗證（2FA）。你可以在 Discord 的用戶設置中找到這個選項。Discord 允許你使用 Aegis、Authy（為了更好的操作安全性，可以禁用多設備功能）或其他方法。

配置隱私設置，你可以在用戶設置的隱私與安全選項中找到。選擇是否允許來自服務器成員的直接消息。這由你決定。但要注意，如果你關閉了私信功能，那麼如果你加入一個需要通過私信進行身份驗證的驗證碼或驗證機器人的服務器，你可能無法使用它。查看服務器資訊以確定該服務器是否需要開啟私信功能。

在隱私與安全選項中，選擇誰可以將你添加為好友。如果你非常擔心，你可以阻止任何人添加你為好友，或者只允許來自同一服務器的成員添加你為好友。

使用 V/P/N！或者租用一個 VPS 並引導一個開源的V/P/N服務器！這樣可以增強你的網路安全。

III - Discord 詐騙

最危險的騙局之一，例如：

從 原推文來看，故事是這樣的：

詐騙者會選擇一個出現在 Discord 頻道上的目標——我們的受害者。

詐騙者在冒充目標者的頻道上創建一個假用戶。

然後，他開始在頻道中發送垃圾郵件、詐騙或垃圾話，意圖被禁言。

Discord 頻道管理員看到了混亂情況並努力禁言該帳戶。我們的騙子巧妙地使用了一些已知的 Discord Nitro 技巧來操縱他的帳戶用戶暱稱。這樣，頻道管理員就會被欺騙而禁言目標者帳戶（也可能是詐騙者的帳戶）。

在看到目標者被禁言後，詐騙者會在 Discord 頻道的團隊成員中創建一個關於目標者被禁言的虛假討論的圖像。

然後，詐騙者冒充頻道主持人，通過 DM 聯繫目標者。目標者對自己被禁言感到驚訝，並開始不加批判地接受看似提供幫助的詐騙者的話。

騙子假裝緊急，堅稱情況需要立即補救。他要求目標者自證清白並撥打 Discord 電話。

詐騙者說服目標者共享 Discord Web UI 計算機屏幕，並指示目標者打開 Discord 開發人員工具並顯示 Discord token。此 token 可用於完全控制帳戶（無需密碼，並繞過雙因素身份驗證）。

所有這些花哨的操縱都會導致詐騙者完全控制目標者的 Discord 帳戶 - 他現在可以對受害者或受害者的公司造成損害。

IV-社會工程

鏈接 1、鏈接 2

讓我們以 Jane 為例，她是公司一名勤奮的員工。Jane 的社交網路上公開了一些關於她的資訊。甚至可能在某些數據泄露中泄露了一些與她相關的敏感資訊，比如 2014 年雅虎郵件用戶帳戶資訊泄露事件。總的來說，她和你我沒有什麼不同。到目前為止，一切都還好。

· 見此處

但後來，一個惡作劇者出現了，開始在社交網路上跟蹤她，發布傷人的評論等。他將網路欺凌擴展到了 Jane 所在公司的其他員工，給受害者帶來了痛苦。

即使在這個階段，攻擊已經造成足夠的傷害，足以破壞公司內部的開放文化。員工可能會因為害怕被嘲笑或報復而停止分享個人資訊或坦率地談論問題。

Jane 繼續默默忍受着這個惡作劇者的攻擊。如果 Jane 封鎖了這個惡作劇者的帳戶，他會創建另一個。如果他知道她的地址，可能會有多份披薩突然送到她的門口。這樣的生活真是難以忍受。

在我們故事的這個階段，John 進入了故事。他是一個陌生人，但他也有一個公開的社交媒體帳戶，顯然也遭受了同一個惡作劇者的攻擊，這些攻擊可以在他的頁面上看到。他向 Jane 提出了一個合作的建議，希望能夠幫助她停止這些攻擊。他說自己知道一種方法可以讓這個惡作劇者保持沉默。

當然，他知道方法。拯救者騎士和邪惡的惡作劇者實際上是同一個人。惡作劇者的詭計是與正在經歷痛苦的人建立一種情感上的支持關係。

John 創造了一個條件，使得 Jane 現在更有可能聽從 John 看似無害的建議。她可能會點擊一個 URL 鏈接或打開一個發給她的文件。她甚至可能會出來見 John。

對 Jane 來說，這個故事可能會以不好的方式結束。對 John 的潛在騙局應該在一開始就被阻止 - 即在目標被招募的階段。

有沒有一些好的指導方針，可以讓我們不陷入 Jane 的境地？

1.「不要讓強烈情緒影響你的行動」這一建議對於股票投資或選擇生活伴侶都適用。在數字世界的遊樂場中，它可以成為你的第一條準則。

2. 如果你被騙了，不要灰心。被欺騙後，受害者經常告訴我們的一件事是：「我簡直不敢相信我竟然如此愚蠢。」詐騙發生在我們當中最優秀的人身上。進化心理學告訴我們，進化使我們為了生存而信任其他人類。這就是為什麼對這種強烈的進化適應性的任何利用對我們來說都特別痛苦。

3. 如果你擔任管理職務，請確保你的員工在工作時並未生病、疲勞或挨餓。當員工在身體或情緒上虛弱時，他們就很容易受到心理影響。

4. 如果你經常處理文件，特別是 PDF 文件，你可以使用這些防護措施或dangerzone.rocks！

5. 雖然你可能對第三方企圖竊取你的資訊持警惕態度，但你也應該警惕內部威脅，比如粗心大意的員工和不滿的員工。

6. 我們建議你遵循這25 條規則，以保護自己免受邪惡的網路騙子的侵害。

對於騙子來說，利用愛或憤怒的情感發生得較少，因為騙子需要與受害者保持心理聯繫，這需要技巧、時間和對目標的熟悉。在我們的情況下，騙子利用了受害者的恐懼。而且，為了使這種攻擊成功，受害者必須感到被迫。

一個熟練的社交工程師不會給受害者太多思考的時間，總是會強調緊急性。這是要注意的第一點 - 如果你被催促提供敏感資訊（或任何資訊），那麼現在是停下來思考的好時機。

第二點要注意的是，當你發現自己處於類似的情況時，不要試圖自己解決問題。向朋友、你最喜歡的 Discord 服務器的經常貢獻者，或者任何知名 DAO 的管理員尋求幫助。善良的人願意提供幫助。尋求別人的意見。

有時，騙子只是想收集關於受害者的資訊或揭示目標的身份。然而，通常情況下，複雜的網路攻擊可能伴隨著惡意軟體注入、釣魚攻擊或其他一些意外情況。

V - 惡意軟體和場外交易 (OTC) 詐騙

· 閱讀1

· 閱讀2

繼續閱讀，了解這裡發生了什麼，這樣你就可以避免發生場外交易 (OTC) 詐騙事件！

查看：

如果你已經被騙了...

原文連結