登录窗口减少到两分钟,但这足以打击欺诈者吗?
在报告说,试图访问用户帐户的骗子正在滥用该机制,对其QR码登录系统进行了一些更改。
12月,Discord的开发人员(一个语音和文本聊天应用程序被游戏社区广泛使用)宣布推出QR代码功能这使用户可以通过扫描出现在屏幕上的代码来使用手机登录桌面Web客户端。beplay体育能用吗
虽然此功能旨在简化桌面用户的Discord登录过程,但有消息表明,欺诈者一直在利用该系统,以努力获得未经授权的访问帐户的访问。
根据有关各种不和谐服务器和社交媒体的讨论,骗子一直在发布QR代码,并希望免费硝基,该平台的订阅软件包提供了许多特权和其他赠品。
但是,在扫描代码时,用户无意间为攻击者提供了对其帐户的访问。
“逐量QR方法无需任何用户名/密码和2FA工作,虽然它使Discord更方便地登录到处登录,但不幸的是,它是以假氮礼物(甚至可能是其他形式)的形式进行利用的,”一位不和谐用户说。
讨论QR代码登录功能已在各种不和谐服务器上进行
意见因这种利用的潜在严重程度而分歧。对于某些用户而言,遭到损害的帐户可能会导致挫败感 - 尽管不可能任何人对能够在线模仿他们的人感到满意。
但是,释放了概念证明为了证明显而易见的剥削,Twitch合作伙伴海盗软件说,如果用户是硝基订户,攻击者可以访问其名称,地址和无邀请的贝宝电子邮件地址。
Discord没有立即回应我们的置评请求。当我们等待回音时,工作人员在reddit讨论线程,请注意,QR码登录窗口已减少,以阻止任何可能的骗子。
“我们最近将QR码的有效性窗口从10分钟降低到2分钟,”说一位不和谐工程师补充说:
我们……注意到试图使社交工程用户进行扫描QR码的人们的提升,以试图欺骗他们登录他们无法控制的另一个设备。
我们最初的想法是,屏幕上的杂语足以阻止社会工程的攻击,但是,我们同意更清楚的口语和警告可能存在。
Across our mobile app release channels, we have modified the verbiage in the confirmation screen to more clearly emphasize that you are logging into another device, and impose a delay before the ‘log me in’ button is active (hopefully making people read the red text.) You can see this new screen这里。
除了在多个Discord服务器上进行讨论外,该问题已经与一个用户找到了社交媒体的方式推文:“ PSA:如果有人通过Discord向您发送QR码,请不要扫描。他们可以使用它来立即访问您的帐户。”
另一位用户回应说,QR码骗局利用已被夸大了。
“这里有很多错误的信息,”他们说。“ Discord要求您在攻击者访问之前确认登录名。如果您只是忽略了不和谐给您的警告,那就是您自己的错。只是聪明,不要陷入这些攻击。”
然而,在雷迪特(Reddit)上,“不要为攻击者失败”的论点不足。
“我没有得到精英主义,‘如果您受到保护,那是您的错,现在漏洞了,不和谐应该什么都不改变”,”写一个用户。
“创建一个安全和声音的东西,而不是,‘是的,可以使用QR码来登录,这清楚地说了,但是您没有注意……”
