13 ago Criminosos usam links de convite do Discord para roubar dados de vítimas

Posted at 17:30h in Tech-Pt-br by

Pesquisadores da Kaspersky destrincharam um golpe que vem ganhando mais visibilidade em usuários do Discord. A fraude ocorre no aplicativo por meio dos links de convite criados por administradores dos servidores, já que cibercriminosos descobriram uma forma de explorar esses links e direcionar as pessoas para servidores maliciosos.

O Discord é um dos aplicativos de comunicação mais conhecido entre jovens, e funciona primordialmente através de servidores. Os servidores funcionam como gigantescos grupos para troca de mensagens, mas oferecem possibilidade de conversas por áudio, videochamadas e automação via bots.

Saiba mais: Hacker alega vender dados de clientes da Monetizze, empresa nega

Assim como em um grupo de WhatsApp, o administrador do servidor pode adicionar um membro manualmente, mas isso dá muito trabalho. O aplicativo trabalha com links de convite, que podem ser distribuídos e as pessoas acessam o servidor por meio desse atalho. Entenda os tipos abaixo:

Links temporários: são links com até oito caracteres aleatórios que tem validade expirada após 30 minutos, 7 horas, ou até mesmo sete dias. Exemplo: https://discord.gg/se8k98m;Links permanentes: nunca expiram e são formados por até dez caracteres. Exemplo: https://discord.gg/9n166hak0a;Links personalizados: disponíveis para quem paga o Discord e permite que os links tenham nome diferente e vão até 32 caracteres. Exemplo: https://discord.gg/site-tecmundo.Links do Discord são sempre aleatórios (Imagem: Felipe Vidal/TecMundo)

Como o golpe dos convites é aplicado?

Uma particularidade dos links temporários ou permanentes, desde que não sejam personalizados, é que após expirados ou excluídos, eles não podem ser reutilizados. Como os links são aleatórios, o mesmo administrador nunca conseguirá gerar um link exatamente igual a eles.

No entanto, os criminosos recorrem à criação de links personalizados com os caracteres exatos de links temporários ou permanentes criados para um servidor legítimo. Como os links personalizados podem contar basicamente qualquer frase de até 32 caracteres, os golpistas ficam livres para burlar essa barreira de segurança.

O golpe é uma simples substituição de códigos, aproveitando a fraqueza na segurança do Discord (Imagem: GettyImages)

A análise da Kaspersky apontou três possibilidades que os golpistas utilizam para enganar usuários do Discord. Confira abaixo:

Os criminosos podem usar qualquer código de link temporário no novo link personalizado, mesmo que o antigo tenha letras maiúsculas e o novo as substitua por minúsculas;Também podem ser usados antigos códigos de links permanentes excluídos, mas somente com letras minúsculas e números;Links de convites personalizados, se o servidor original perdeu os benefícios gerador por meio da assinatura do Discord.

Em um exemplo prático, basta imaginar que o servidor Alfa criou um link de convite https://discord.gg/se8k98m válido por um dia. Ao final desse dia, o link foi normalmente expirado.

Os criminosos criaram centrais de monitoramento para vasculhar links criados e então burlar o sistema. Na prática, basta os golpistas criarem um link personalizado https://discord.gg//se8k98m com o exato código “se8k98m” para se passar pelo link original.

O que acontece se eu cair em um servidor malicioso?

Caso o usuário acidentalmente entre em um desses servidores falsos por meio de um link fraudado, ele será induzido a instalar um malware em seu próprio computador.

Confira: Jogos como GTA e Minecraft viram iscas para vários golpes virtuais; conheça os mais comuns

Ao entrar no servidor adulterado, somente um canal será mostrado ao usuário, com o nome “Verify”, de verificação. Esse é um bot, que enviará um link para o usuário clicar, e quando neste link, solicitará sucessivas vezes para a vítima autorizar os dados e avançar.

Uma das últimas partes do ataque pede, novamente, para que o usuário clicar em um botão de verificação. Ao fazer isso, o site automaticamente copia um comando para a área de transferência da vítima, e a nova tela do site a instrui a abrir o menu executar (Windows + R) e colar o código.

Páginas de verificação usadas pelos golpistas tem URLs sem o domínio do Discord (Imagem: Kaspersky)

Uma vez feito, o usuário terá em sua máquina dois malwares perigosos. O primeiro é o AsyncRAT, enquanto o segundo é o Skuld Stealer. O AsyncRAT é uma ferramenta que permite o controle remoto da máquina infectada para executar comandos, visualizar a tela, gerenciar arquivos e acessar boa parte do computador.

Após o RAT, é a hora dos criminosos instalarem silenciosamente o Skuld Stealer no PC. Como o nome sugere, esse malware é um ladrão de dados, que rouba informações do sistema, credenciais do discordo, senhas e tokens de autenticação, com muito foco no roubo de criptomoedas.

Juntos, os dois malwares podem fazer um estrago ao roubar dados sensíveis da vítima, incluindo informações financeiras sérias.

Como se proteger de golpes no Discord?

Por mais que seja complexo reconhecer links falsos do Discord, desconfie de servidores que pedem verificação de dados. No máximo, o Discord pode pedir para inserir sua senha novamente e enviar um código de autenticação ao seu email.

Leia mais: Entenda o E-Ciber, novo plano do governo para aumentar cibersegurança no Brasil

Por falar nisso, sempre use o login com dois fatores para acessar essa e outras redes sociais. Também nunca cole códigos transferidos automaticamente em nenhuma parte do Windows.

Se você quer ficar ligado no mercado de segurança e evitar ser vítima de fraudes, continue bem ligado no site do TecMundo.