# Discord 詐騙 & 釣魚手法研究 Write on 2021/10/25 AM 5:00 ## 起因 收到了陌生訊息，如圖(因為我自己檢舉，訊息被系統刪掉了，借群組內別人的圖)  > 看到一時間會沒察覺，但學過資安，防備心比較重，往這方面去想時，就知道這一定是詐騙 > 且群組內已有人，討論，詐騙無誤 > 且上圖有需多破綻，Discord的台灣翻譯其實很棒，但上圖一看就很多問題 > 如用語、詞彙等，且官方，應該不會猜用如此的訊息傳送方式 ## 小小觀察 首先縮網址，轉址後導向到詐騙網站(`https：／／ggcstrade.com／`)，一看就奇怪的網址 看圖呢，就是很多疑點(如:描述說此優惠是STEAM提供的)，但考慮到台灣人資安意識不足且貪小便宜的個性，這已足夠釣上需多受害者  由於我用Burp Suite去察看網站，SSL有問題，但實際後端應該是租用 cloudflare 的服務，應該沒問題 且簽證很新，2021/10/20，星期三 00\:00:00 UTC  從圖來看，該行動與俄羅斯籍的關聯性很大，出現如網頁語言設為`ru`，或是發現的一條新網址(`https：／／ch60545.tmweb.ru／`)也屬俄羅斯籍 網頁程式碼加了需多與discord相關的資訊描述，以增加可信度  接下來，最後了，網頁所有按鈕、連結，應該通通會打開如下網址 `https：／／steamcommunity.com／openid／login?openid.ns=http：／／specs.openid.net／auth／2.0&openid.mode=checkid_setup&openid.return_to=https：／／https：／／ggcstrade.com／?login&openid.realm=https：／／https：／／ggcstrade.com&openid.ns.sreg=http：／／openid.net／extensions／sreg／1.1&openid.claimed_id=http：／／specs.openid.net／auth／2.0／identifier_select&openid.identity=http：／／specs.openid.net／auth／2.0／identifier_select` 隨便看一下，沒意外，這串網址會開啟您的 STEAM 帳戶的權限授予該網站 (猜測前提是您在 STEAM 網頁有登入的清況下) 並以網址(`ggcstrade`)做猜想，分為`gg`、`cs`、`trade`，文字就突然能讀了 看來網站創建者，可能想要偷走您 CS 的物品 當然，上述為猜想，對方的實際作為不得而知 ## 解決方法、幫助 按照上述來看，您遭殃的應該為 STEAM 帳戶，能參考以下方法，循序漸進 ### 相對容易、保護性低 立即更改密碼，(這句話真的是說爛了 ### 相對適中、保護性中 您可以盡您所能，更改 STEAM 帳戶的所有資訊，如: 信箱、暱稱、開啟二次驗證(Steam Guard)、 **停止、斷開、關閉**第三方**帳戶、服務、網站**與 STEAM 帳戶的連接(簡單說不要用您的 STEAM 帳戶登入其它網站)、 好處:減少犯罪者人工將您的帳戶與某些資訊進行關聯的機率 ### 相對困難、保護性高 1. 具備資安意識 如:慎防任何連結、訊息、信件，不懂不知道不清楚就別點，不認識就別理 因為任何風險都是您自己承擔，別人頂多在您受害時不笑出來 2. 具備觀察能力 像是本案例，外國人透過機器翻譯試圖打造您熟悉的訊息資訊，殊不知破綻諸多，由於機翻需多用詞被大陸化，導致詞彙跟台灣用法完全不同，此處便可辨別 3. 具備防詐騙能力 天下沒有白吃的午餐，請注意任何免費、贈送名義的任何人事物，您要理解您付出與獲得是否對等，又或是能否接受