Discordでhttpのないリンクは開くな

この記事は約3分で読めます。

追記。https://付きでリンクを貼る手法があることを観測した。よって一概に「https://があったら安心」とは言えず、常に転送後のドメインを確認したり、自動入力に頼る必要がある。PC版でマウスカーソルを乗せて2段表示なものは確実に危険。
PC版での表示
スマホは事前確認手段がなさそう。一応このポップアップは出るが、”外見的に問題ないが中身が違うドメイン”を作ることは出来るので根本的な解決にはならない。URLがDiscord公式ならこれが出る時点で危険。しかしSteam等のURLなら出ても不思議はないため、これだけでは判断できない。
スマホ版での表示

 

以下初稿。

Discordで、https://がないのに青字のリンクになっている発言を見かけたら、絶対に開いてはいけない。ほぼ100%詐欺サイトである。

Discordには[文字列](URL)形式で発言するとリンクになるという仕様があり、これを利用すると

といった発言が作れる。
このリンク先はdiscord.comの公式サイトではない。

ディスコのキャンペーンページのようなURLで、転送先に偽のログインページを作られていたら、パスワードを入れてしまう人もいるだろう。するとアカウントを乗っ取られることになる。Steam等別のサイトの詐欺を見ることもある。

見分け方は簡単で、「httpがついていたら正規のURL、ついてなかったら偽URL」だけ。

 

なぜかというと、表示テキスト部分にhttpを入れるとリンクが成立しなくなる制限が組み込まれているから。画像はそれぞれ実際の表示と入力したテキストだが、下側はリンクが成立していない。

まともな人間ならhttp抜きのURLっぽい文章にリンクを設定する必要がないので、これを見かけたらほぼ100%詐欺であり、BAN対象であると把握しておこう。

 

偽のログインページを見破る方法はもう一つあって、ログインページの入力欄にカーソルを合わせた時に自動で出てくる入力補助、オートコンプリートが機能するかどうかでも判別できる。一度ログインしたことがあるサイトなのにこれが出なかったら非常に怪しいので、そのURLは破棄してグーグルから検索して入り直すなどの対策を取ろう。この時広告からは入らないように。すぐ消されるが、稀に偽サイトの広告が存在する。

ドメイン(discord.com等)部分を目視で判別したり、サイトの見た目が公式と違うとかで判別しようとする人もいるが、これらの項目は色々騙し方があって、しっかり対策してきている相手だと確実な目視判別は不可能と言って良い。目視で判別しようとする時点でほぼ騙されてるので自力判断はせず、ブラウザ等のオートコンプリートに任せたほうが無難。これはドメインが全く同じでないと動作しないからである。

(厳密に言えばオートコンプリート経由で情報を盗む攻撃も可能で……という話もあるんだけど、まぁメアドとかIDが盗まれたところで被害度はフィッシングより低いと考えるし(パスは抜けない)高度な内容なので置いておく)(詳しく知りたかったらこれとかこれ)

コメント

タイトルとURLをコピーしました