В этом посте вы узнаете:
- зачем Discord следит за действиями пользователей;
- почему платформа наполнена вредоносным контентом;
- как избирательность спасает от угроз в цифровой реальности.
Кто и как выбирает Discord?
Биография платформы Discord — это история о двух категориях пользователей.
Первые: устанавливают сервисы и приложения без разбора. Удобно и бесплатно? Подходит. Хакеры ведут на них охоту, потому что они легкая цель.
Вторая группа пользователей: отличается избирательным подходом к выбору цифровых продуктов. Они головная боль киберпреступников. Discord — мессенджер, в котором первые соседствуют со вторыми, а вместе с ними и хакеры.
Разработчики создавали Discord для определенной целевой аудитории — фанатов компьютерных игр. Поэтому и технические преимущества мессенджера заточены под цели игроков. Высокое качество звука и его минимальная задержка — главные параметры во время особо напряженной катки.
Создатели мессенджера немало удивились, когда платформу начали посещать не только киберспортсмены или игровые стримеры. Новички регистрировались в Discord, чтобы проводить онлайн-уроки, обсуждать тематические новости, а некоторые даже выбрали ее в качестве корпоративного сервиса.
Обычные пользователи установили Discord, обратив внимание на приятный интерфейс и голосовые каналы. А прозорливые посмотрели дальше — в политику конфиденциальности.
Открыв документ, вы увидите, что сервис предоставляет пользователям возможность контролировать конфиденциальность данных. Это значит, что пользователи должны сами изменять настройки приватности и безопасности. Например, самостоятельно подключать двухфакторную аутентификацию или выбирать тип сканирования входящих сообщений на наличие нецензурной лексики или вредоносных файлов.
Пользователь второй категории обратил бы внимание и на другой пункт документа:
Мы собираем определенную информацию.
Сюда относится информация, которую вы предоставляете нам, информация, которую
мы собираем автоматически, и информация, которую мы получаем из других источников
Какую информацию собирает платформа Discord:
- учетные данные;
- пользовательский контент (сообщения, файлы, голосовые вызовы, миниатюрные изображения экрана);
- информация о действиях на платформе;
- информации из других сервисов, синхронизированных с Discord;
- сведения об IP-адресе, операционной системе, браузере и настройках пользовательского устройства (микрофона и камеры).
Сбор критической информации не угрожает игроку, если он общается с командой во время игровой сессии или обсуждает релиз Elden Ring. Но новички стали делиться учебными документами, служебными файлами и проводить конференции на платформе. Они не задумывались о том, что мессенджер был создан для общения, а уровень его безопасности не соответствует стандартам корпоративных сервисов. Первая категория пользователей потеснила игроков, и по ее следам пришли хакеры.
Уязвимости в Discord
1. Вредоносные файлы
У платформы есть особенность: каждый файл, загруженный в мессенджер, получает постоянный адрес. Получившаяся URL-ссылка выглядит невинно. В начале указывается название самого сервиса, а далее — обезличенные цифры и буквы. Содержимое файла не показывается. Что найдет пользователь, перешедший по ссылке, остается тайной до момента ее открытия. Киберпреступники взяли на вооружение эту лазейку.
17 000 — столько вредоносных URL-ссылок специалисты ИБ обнаружили на платформе Discord в 2021 году. Жертвы переходят по ним, ожидая увидеть чит-инструменты или демоверсии видеоигр в разработке, а находят вредоносное ПО.
2. Взлом аккаунтов
QR-код — внутренний инструмент мессенджера. Его сканирование помогает безопасно войти в пользовательский аккаунт, а сам код обновляется каждые две минуты. Фича, призванная повысить уровень безопасности, быстро дала сбой.
Для успешного взлома аккаунта хакеры рассылают фишинговые письма на электронные почты пользователей. В письме жертву либо предупреждают о технических проблемах и просят перейти по «безопасному» QR-коду в мессенджер, либо обещают игровой приз после сканирования изображения. Итог плачевный: обход двухфакторной аутентификации, взлом, утечка данных.
3. Полезные и опасные боты
На платформе Discord боты играют роль безмолвных, но полезных помощников. Они проигрывают музыку, сканируют и удаляют спам, даже поддерживают беседы в каналах. А боты, созданные хакерами, еще и рассылают вредоносные ссылки.
Администрация мессенджера предупреждает: Если вы получили личное сообщение от бота, который предлагает вам что-то или просит вас щелкнуть ссылку, не обращайте на это внимания! Мы никогда не создавали бота, который предлагал бы вам бесплатные продукты, поэтому вы можете смело классифицировать это как мошенничество. Не добавляйте этих ботов на свой сервер в надежде получить что-то взамен, так как они могут скомпрометировать ваш сервер
Рекомендации по работе c платформой Discord
Быть избирательным сложно. Придирчивость к сервисам и приложениям требует свободного времени и умения обращать внимания на определенные параметры. Но когда знакомиться с мессенджером, если куратор онлайн-обучения, друг или контрагент просит срочно установить сервис?
- Все наши клиенты так обучаются, и никаких проблем еще не было…
- Качай, это нужно по работе!
У пользователя нет времени что-либо предпринять или понять, безопасен ли сервис. Такого человека сложно назвать неизбирательным или безответственным, скорее всего он лишен возможности проявить избирательность.
Если вы планируете использовать платформу для личных целей ознакомьтесь с общими рекомендациями:
- Вам прислали QR-код на электронную почту от имени платформы.
- Не сканируйте его, а перешлите сообщение специалисту по защите данных Discord по адресу: dpo@discord.com
- Отказывайтесь от заманчивых предложений: от демоверсий игр, ключей активации или игровых призов. Это фишинг.
- Познакомьтесь с настройками конфиденциальности приложения.
- Включите двухфакторную аутентификацию.
- В разделе «Конфиденциальность и безопасность» выберите,
- какие типы входящих сообщений будут сканироваться на предмет откровенного контента, кто может добавить вас в друзья. Вы также можете запретить платформе сохранять и обрабатывать определенные виды вашей информации.
- Не забывайте менять пароль от учетной записи Discord.
- Своевременно обновляйте антивирусное ПО
- Для регистрации на платформе создайте новую электронную почту. Не указывайте личный и служебный адрес электронной почты.
- Не используйте мессенджер Discord для передачи или обсуждения конфиденциальной информации.
