Как защитить дискорд сервер от спама
По следам недавних исследований рассказываем про несколько сценариев вредоносной активности в Discord.
За шесть лет с момента запуска чат- и VOIP-сервиса Discord он стал популярным инструментом для создания сообществ по интересам, особенно среди геймеров. Но, как и любую другую платформу с пользовательским контентом, Discord можно использовать для вредоносной активности. Широкие возможности кастомизации Discord также позволяют атаковать обычных пользователей как внутри чат-сервера, так и за его пределами. В недавних исследованиях безопасности Discord раскрыто сразу несколько сценариев кибератак, связанных с чат-сервисом. Давайте разберемся, какие из них могут быть по-настоящему опасны для пользователей — и как от них можно защититься.
Распространение вирусов через Discord
Начнем с самой очевидной угрозы: через Discord распространяются вредоносные файлы. В свежем исследовании было выявлено несколько десятков типов зловредов. Очевидной угрозой это является просто потому, что каждый загружаемый в Discord файл получает постоянный URL вот такого вида:
В большинстве случаев файл может свободно скачать любой обладатель этой ссылки. Естественно, злоумышленники пытаются этим воспользоваться.
Исследование описывает практический пример атаки: поддельный сайт, предлагающий скачать клиент для веб-конференций Zoom. Дизайн сайта копирует оригинал, а сам вредоносный файл как раз загружен на сервер Discord. Так злоумышленники пытаются избежать ограничений по загрузке файлов из сомнительных источников. Ставка делается на то, что серверы популярного приложения, которым пользуются миллионы людей, с меньшей вероятностью будут заблокированы защитными решениями.
Насколько данный вредоносный «лайфхак» очевиден, настолько же понятны и средства борьбы с ними. Качественные защитные решения не определяют опасность файла только по тому, откуда он загружается. Решения «Лаборатории Касперского» сначала определят вредоносную функциональность при первой же попытке загрузки файла, а затем через облачную систему безопасности сообщат всем остальным пользователям, что такой файл лучше не загружать.
Неправомерное использование — проблема всех сервисов, позволяющих загружать пользовательский контент. На бесплатных хостингах создают фишинговые страницы, через обменники файлов распространяют троянов, шлют спам через службы заполнения форм и так далее. Владельцы большинства таких платформ с переменным успехом борются с вредоносным использованием.
Разработчикам Discord явно стоит перенять какие-то базовые средства защиты пользователей. Например, не обязательно делать файлы, используемые внутри конкретного чат-сервера, доступными всему миру. Также наверняка стоит проверять и автоматически блокировать известное вредоносное ПО. В любом случае это наименее экзотическая проблема Discord, бороться с которой можно так же, как с любым другим методом распространения зловредов. Но есть и более специфические угрозы.
Зловредные боты
Другое свежее исследование показывает, как легко эксплуатировать систему ботов в Discord. Бот так или иначе расширяет функциональность чат-сервера. Возможности кастомизации собственных чатов в Discord — широчайшие, что позволяет их использовать во вредоносных целях. Один из примеров такого зловреда был недавно опубликован (и достаточно оперативно удален) на Github: пользуясь преимущественно возможностями программного интерфейса Discord, автор смог выполнить произвольный код на компьютере пользователя. Выглядеть это может примерно так:
Демонстрация запуска вредоносным чат-ботом произвольной программы на компьютере пользователя после получения команды через чат в Discord. Источник
В одном из вариантов атаки вредоносный код в том числе умеет перезапускаться после перезагрузки компьютера, используя для этого установленный на компьютере клиент Discord. Такую заразу можно запросто подцепить после установки бота из сомнительного источника.
Авторы этого исследования также рассмотрели и другой сценарий вредоносного применения Discord, в котором даже не важно, установлен у пользователя клиент Discord или нет. В этом сценарии вредоносная программа использует чат-сервис для коммуникации. Благодаря открытому API, простой регистрации и шифрованию данных, на базе Discord достаточно легко и удобно организовать передачу бэкдором организатору атаки данных о зараженной системе и получение в ответ команд на выполнение кода, загрузку других вредоносных модулей и так далее.
Подобный сценарий выглядит достаточно опасным, так как значительно упрощает работу злоумышленников: им не надо создавать собственный интерфейс коммуникации с зараженными компьютерами, достаточно воспользоваться готовым решением. Заодно несколько усложняется обнаружение подобной вредоносной активности: «снаружи» коммуникация бэкдора с его оператором выглядит как обычная активность пользователя в популярном чате.
Защита для геймеров
Хотя приведенные выше примеры угроз опасны для всех пользователей Discord, выводы нужно сделать прежде всего тем, кто активно использует Discord как надстройку для компьютерных игр — для общения голосом и текстом, стриминга, сбора геймерской статистики и так далее. Поскольку этот вариант использования Discord предполагает серьезную кастомизацию, есть риск найти и установить какое-нибудь зловредное расширение.
Дополнительную опасность представляет расслабленная атмосфера «тут все свои», которая повышает эффективность социальной инженерии: легко поддаться на уловки злоумышленников, когда ты вроде бы находишься в чатике лучших друзей. Мы рекомендуем соблюдать в Discord такую же цифровую гигиену, как в «обычном» вебе: не кликать на подозрительные ссылки, не скачивать непонятные файлы, проверять слишком вкусные, чтобы оказаться правдой, предложения, не передавать личную информацию и уж тем более — номера кредитных карт.
Что касается разобранных выше троянов и бэкдоров, как прямо связанных с Discord, так и просто распространяемых через него, то они принципиально не отличаются от другого вредоносного ПО. Для эффективной защиты от них достаточно использовать надежный антивирус, не выключать его во время игр и внимательно относиться к его рекомендациям. И особенно — при установке любого софта, включая добавление ботов в чат-сервер.
О производительности можно не переживать: например, наши защитные решения имеют специальный игровой режим, который сводит к минимуму потребление ресурсов компьютера без существенного ущерба для качества защиты.
Если Вы считаете, что Ваш аккаунт был скомпрометирован другим пользователем Discord, пожалуйста, сообщите об этом нашей службе Trust & Safety здесь .
Спам
Далее будут приведены примеры активности, которую мы можем расследовать и при необходимости принять превентивные меры для защиты пользователей Discord.
Несмотря на то, что мы хотели бы, чтобы Вы находили новые сообщества в Discord и заводили больше друзей, мы все же вынуждены вводить специальные ограничения против спамеров, кто может воспользоваться возможностью массовых рассылок для присоединения к серверу и запросов в друзья. Одновременное присоединение к большому количеству серверов или массовая рассылка запросов в друзья может быть помечена как спам. Для борьбы со спам-ботами мы принимаем меры против аккаунтов, присоединяющихся к серверам слишком часто или рассылающих большое количество запросов в друзья за короткий промежуток времени. Большинство пользователей Discord с большей степенью вероятности не столкнутся с нашим спам-фильтром, однако, если Вы будете направлять запросы в друзья всем участникам сервера с аудиторией из 1000 пользователей, мы также можем принять соответствующие меры в отношении Вашего аккаунта.
Вместо единовременного присоединения к большому количеству серверов рекомендуем Вам обратиться к нашей функции Server Discovery , так Вы сможете найти активные публичные сообщества по Вашим интересам.
Мы понимаем, насколько притягательно звучат эти предложения о бесплатных услугах. Пожалуй, сложно найти того, кто откажется от бесплатного образца в продуктовом магазине. С сожалением вынуждены сообщить, что все эти боты предоставляют Вам ложную информацию, это не наши боты. Не добавляйте их на Ваш сервер в надежде получить что-то взамен, это, вероятнее всего, приведет лишь к уничтожению Вашего сервера. Если что-то удаляется в системе, то мы уже не сможем восстановить сервер или его контент.
Применение токена пользователя в любом другом приложении (по-другому Селфбот ), либо любого вида автоматизация Вашего аккаунта, может привести к приостановлению или отключению аккаунта. Наша автоматизированная система может зафиксировать бота и пометить его соответствующим образом, как средство распространения спама или как пример другой сомнительной деятельности. Бот, как и аккаунт его владельца может быть отключен в соответствии с результатами расследования. Если код Вашего бота находится в открытом доступе, пожалуйста, уберите его токен из общего текста во избежание риска для бота быть скомпрометированным.
Инциденты со взломом и DoS атака
Если Вы считаете, что Ваш аккаунт был скомпрометирован путем взлома, то можно воспользоваться следующими рекомендациями по восстановлению доступа к аккаунту и его последующей защите.
- Выберите длинный смешанный пароль, состоящий из больших и маленьких букв, дополнительно можно использовать специальные непонятные символы, которые ранее нигде не использовались. Также мы рекомендуем Вам использовать менеджер паролей, позволяющий с легкостью создавать и хранить пароли.
- Если токен Вашего аккаунта был скомпрометирован, обязательно сбросьте пароль для обновления токена. Вы ни при каких обстоятельствах не должны сообщать кому-либо информацию о Вашем пароле и токене. Discord никогда не попросит Вас предоставить данную информацию.
Двухфакторная аутентификация (2FA) повышает надежность защиты Вашего аккаунта путем дополнительного подтверждения для владельца аккаунта. Здесь Вы сможете ознакомиться с тем, как установить 2FA на Вашем аккаунте Discord. Если у Вас появятся какие-либо сложности, связанные со входом в учетную запись с помощью 2FA, можно обратиться к нашей специальной справочной статье .
DoS атака направлена на увеличение нагрузки на IP адрес с помощью бессмысленных запросов, в результате которых Ваш модем или роутер более не может успешно подключиться к интернету. Если Вы считаете, что целью DoS атаки стал Ваш IP адрес, можно предпринять следующие меры:
Защищаем аккаунт Discord от угона, скрываемся от спамеров и берем под контроль уведомления.
Гонять с друзьями в CS:GO или Apex Legends веселее, если все сидят в одном мессенджере: шутки в процессе прохождения, тематические чаты и стриминг для друзей — это часть игрового процесса. Если вы большой любитель онлайн-игр, то наверняка уже пользуетесь Discord, который за несколько лет стал каналом связи для геймеров по умолчанию. У некоторых игр и игровых платформ есть свои Discord-серверы, где можно найти тиммейтов, обратиться в техподдержку или просто початиться.
Как обычно, в большие сообщества подтягиваются не только увлеченные общей идеей люди, но и мошенники, спамеры, хейтеры и тролли. Они могут испортить удовольствие от игры или общения в Discord, если заранее не позаботиться о настройках безопасности и приватности. Давайте разберемся, как правильно сконфигурировать мессенджер.
Где найти настройки безопасности и приватности в Discord
Все нужные нам параметры собраны в меню Настройки пользователя, которое откроется, если нажать на значок шестеренки под списком друзей и чатов.
Как защитить аккаунт Discord от угона
В первую очередь разберемся с безопасностью учетной записи. Если у вас простой пароль, задайте новый — желательно очень длинный. Также поможет, если в нем будут цифры, заглавные буквы и спецсимволы, но длина имеет наибольшее значение. О том, как придумать хороший пароль, у нас есть отдельный пост.
Чтобы поменять пароль в Discord на компьютере:
- Зайдите в раздел Моя учетная запись.
- Нажмите Изменить пароль.
- Введите старый пароль, а затем новый.
- Нажмите Сохранить.
В мобильном приложении путь отличается:
- Свайпаем текущий чат вправо, в нижнем меню жмем на свой аватар.
- Выбираем раздел Учетная запись (iOS) или Моя учетная запись (Android).
- Жмем Изменить пароль.
- Вводим старый и новый пароль.
- Жмем Сохранить.
Теперь взломать ваш аккаунт будет не так просто!
Как настроить двухфакторную аутентификацию в Discord
Чтобы не оставить киберпреступникам шансов, включите в Discord двухфакторную аутентификацию. Тогда при входе в аккаунт мессенджер будет запрашивать одноразовый код из специального приложения-аутентификатора, например Authy, Google Authenticator или «Яндекс.Ключ». Его придется установить на смартфон или планшет, но такая программа может пригодиться и для защиты других аккаунтов.
- В разделе Моя учетная запись нажмите Включить двухфакторную аутентификацию.
- Запустите приложение-аутентификатор и просканируйте QR-код с экрана или введите код вручную.
- В поле Войти с вашим кодом введите шесть цифр, которые выдаст аутентификатор, и нажмите кнопку Активировать.
Готово, защита апнулась! Чтобы подстраховаться, добавьте номер телефона и сохраните резервные коды. Они пригодятся, если приложения-аутентификатора не будет под рукой.
Если вы сидите в Discord cо смартфона или планшета:
- В разделе Учетная запись (в iOS) или Моя учетная запись (в Android) нажмите Включить двухфакторную аутентификацию.
- Нажмите Далее, скопируйте код из Discord и запустите приложение-аутентификатор.
- Введите код из приложения-аутентификатора в Discord.
Как избавиться от спамеров в Discord
Теперь сделаем общение в мессенджере более комфортным. Чтобы спамеры и прочие сомнительные личности не ломились в личку с заманчивыми предложениями, разберитесь с настройками конфиденциальности и установите подходящий уровень социофобии.
Этот вариант заставляет искусственный интеллект Discord сканировать все входящие картинки и блокировать мусор. Если же у вас в друзьях проверенные люди, можно выбрать вариант Мои друзья хорошие — тогда ИИ будет пропускать послания от них.
А чтобы кто попало не напрашивался в друзья, в разделе под логичным названием Кто может добавлять вас в друзья обозначьте группы тех, от кого вы готовы принимать заявки. Спойлер: вариант Все повышает шансы нарваться на спам во входящих.
Как избавиться от лишних уведомлений в Discord
Уведомления могут быть очень назойливыми, особенно когда дело касается мессенджеров. Discord в этом смысле ведет себя более-менее прилично, но и ему настройка уведомлений не помешает.
Пока вы сидите за компьютером, Discord не дублирует уведомления на планшете или смартфоне. Однако если вы продолжительное время ничего не делаете в десктопной версии, то оповещения будут приходить и на мобильных устройствах. Вы можете решить, когда мессенджер должен переключиться на мобильные уведомления. Для этого в секции Тайм-аут бездействия для push-уведомлений выберите из выпадающего меню подходящий интервал.
На телефоне настройки немного другие:
- В настройках аккаунта найдите секцию Настройки приложения.
- Нажмите Уведомления.
- Отключите опцию Получайте уведомления в Discord, если не хотите получать оповещения внутри мессенджера.
- Если хотите всегда быть на связи с тиммейтами, включите опцию Получайте уведомления за пределами Discord.
Если вас раздражают мигающий индикатор на телефоне, вибрация или звуковые оповещения, в Android включите опции Отключить индикатор уведомлений, Отключить вибрацию при уведомлении и Выключить звуки.
Как сохранить приватность в Discord
Как отключить персонализацию в Discord
Разработчики Discord не скрывают, что собирают данные о вас и ваших привычках, чтобы улучшать работу программы. Если вам это не очень нравится, можно ограничить сбор и использование данных мессенджером. Для этого:
- Откройте раздел Конфиденциальность.
- Найдите секцию Как мы используем ваши данные и отключите опции:
- Использование данных для улучшения Discord
- Использование данных для персонализации опыта использования Discord
- Разрешить Discord отслеживать использование экранного диктора. Обратите внимание: этого пункта нет в Android-версии мессенджера.
Как узнать, какие данные собирает Discord
Учтите, что Discord в любом случае будет собирать информацию о вас. Чтобы посмотреть, какие данные хранит мессенджер, и скачать их на случай блокировки аккаунта, можно запросить у мессенджера файл с архивом личных сведений. Для этого:
Ссылка на архив через некоторое время придет на вашу электронную почту.
Как скрыть личную информацию от других сервисов
Помимо самого мессенджера вашими данными могут интересоваться сторонние сервисы, которые вы подключили к Discord. А мессенджер, в свою очередь, может кое-что подсмотреть у них. Если такой обмен вам не по нраву, откройте раздел Интеграции и отвяжите аккаунты сервисов, с которыми вы не хотите делиться информацией из Discord.
Как скрыть лишнюю информацию от посторонних
Не всем на сервере нужно знать, во что вы играете прямо сейчас. И не всем зрителям стримов нужно знать все подробности вашего профиля. Чтобы посторонние не увидели лишнего:
- В разделе Игровая активность отключите опцию Отображать в статусе игру, в которую вы сейчас играете.
- В разделе Режим стримера проверьте, включена ли опция Скрывать личную информацию. Она делает ваши данные недоступными для зрителей стрима.
- В том же разделе Режим стримера убедитесь, что включена опция Скрыть ссылки-приглашения. В этом случае тролли со стрима не набегут на ваш сервер в Discord.
Защищайте свои аккаунты
С настройками Discord разобрались — можно играть и общаться с комфортом. А чтобы вам вообще никто не мешал, проверьте для верности настройки Steam и Twitch.
You know it. We know it. Spam is a problem on Discord. We treat this issue with the same level of seriousness as any other problem that impacts your ability to talk and hang out on Discord, fine-tuning our anti-spam systems daily to catch more and more spammers and spam content.
Spam sucks. So today, we want to tell you what we are doing to combat it.
Definitions on what “spam” is can vary widely across companies, so let’s lay out how we define spam at Discord: The automatic or centrally operationalized creation or usage of accounts en masse to present users with undesired or malicious content and experiences.
When we categorize spam, we use three distinct groups based on the types of spam based attacks that we work to catch, each with many different sub groups.
Below is a high-level example of what we look for:
Generated Accounts
Generated accounts compromise the bulk majority of our spam. These are accounts that are created and operated through automation software in order to evade our systems.
Compromised Accounts
Compromised accounts cause some of the highest user-impact spam, as normal users have access removed from their accounts. These accounts are then used to share more spam to unsuspecting users, potentially increasing the compromise further.
Human Operations
Human operated accounts comprise some of our most long-lasting spam actors on the platform. These accounts are real accounts created and operated by real humans.
We have a full and growing team working on spam, but it’s a never-ending game of cat and mouse that also requires us to make sure legitimate users don’t get caught in the crossfire. While we recognize we may never be able to prevent 100% of these accounts from joining your servers, we implement new interventions constantly to make spamming more expensive for bad actors to engage in, and act on an ever-growing percentage of spammers automatically. The more expensive it is for bad actors to engage in spam producing activity, the less likely they are to commit to it.
We want to provide more transparency about our growing efforts at the platform-level to help users avoid and fight spam.
Allowing users to report spam directly
We recently implemented a more prominent Report Spam button in DMs so users can provide us with relevant signal about spam behavior. Thanks to community reporting, our ability to identify bad actors has increased by 1000%, allowing us to more rapidly discover and remove spammers while also improving our automated detection models.
Banning spammers and removing spam messages
Many spammers are caught after they send only a few messages and, in the most extreme cases, we catch spammers before they are able to send a single message. A recently-launched feature allows for the removal of spam DMs. If we detect or become aware of a spammer, we will warn users when they receive a DM from the spammer and hide the messages.
Server Safe Mode
We are currently testing a system that monitors servers for inauthentic behavior from new members, and proactively puts the server into safe mode, requiring captchas to engage with the community for a period of time.
We also have plans to integrate this functionality into Membership Screening so you don't have to install multiple bots for captchas.
Creating a suspicious link system
Even if spammers evade our initial layers of detection, we have implemented a suspicious link system that warns a user similar to what you see with Chrome when visiting certain sites.
Our explicit goal for this work is to minimize your exposure to spammers and spam content and, as an added benefit, reduce vectors for account takeover (ATO). This starts with the anti-spam measures we’ve discussed above, but there’s more to come on our spam and ATO efforts in the coming months. We’re also working on additional features for community moderators that we’ll be able to share in more detail soon.
We’re investing heavily in fighting spam from a resourcing, detection and feature perspective to ensure you have a better experience on Discord. You can help us out by reporting any spam you may come across and letting us know how we can make your Discord experience safer and easier by sharing your ideas at our feedback page.
Discord – мессенждер, пользующийся большой популярностью в геймерском сообществе. Как и в любых популярных мессенжджерах, на серверах дискорда не обходится без спама. Поэтому пользователи постоянно находятся в поисках того, как сократить количество спама на сервере. Отличным решением станет Betterantispam бот для дискорда. Популярность бота объясняется удобством использования, эффективностью.
Главные функции и возможности
Существует большое количество ботов, нацеленных на борьбу со спамом на серверах мессенджера. Беттер антиспам бот отличается следующими характеристиками:
Бот наделен интересными и полезными функциями, помогающими вывести общение в дискорде на новый уровень.
Как скачать и добавить бота
Чтобы начать использовать антиспам бот для дискорда на сервере потребуется скачать и добавить его на сервер. Добавление бота происходит просто. Потребуется войти в аккаунт в Disccord. Также иметь права администратора на сервере, где будет подключен антиспам бот.
Чтобы добавить бота на сервер нужно сделать следующее:
- Открыть сайт, на котором находится необходимый код для бота, кликнуть кнопку приглашения бота;
Бот англоязычный, поэтому кнопка называется «Invite».
- Необходимо войти в учетную запись, указать сервер, куда добавить бота;
- Нажать на кнопку авторизации, чтобы бот авторизовался на ресурсе;
- Отметить капчу;
- Получить подтверждение, что бот успешно авторизовался на сервере.
После программа станет доступна для использования. Но сначала необходимо настроить бота.
Настройка бота и отключение
Чтобы бот правильно функционировал, необходимо отрегулировать разрешение программы, настроить необходимые параметры. Настроить бота можно через dashboard или мессенджер Discord. Не нужно сильно менять исходные настройки, ведь это может негативно отразиться на работоспособности бота.
После добавления бота на сервер, ему будет присвоена роль «Bot». Иногда это нужно будет сделать самостоятельно. В параметрах бота можно наделить правами, ограничить права.
Если бот больше не нужен, то его можно удалить с сервера. Если в работе бота нет необходимости в данный момент, но он может понадобиться снова через некоторое время, то чтобы заново не устанавливать его, можно просто отключить антиспам бота на время. Чтобы отключить бота, нужно сделать:
- Войти на сервер, где находится бот;
- Нажать правой кнопкой мыши на название бота;
- Из списка предлагаемых вариантов выбрать пункт «Заглушить»;
- Выбрать временной отрезок, через который бот снова включится. Системой предлагаются варианты: 15 минут, час, 8 часов, одни сутки, до момента включения.
Команды управления ботом
Для каждого бота существует определенный набор команд, с помощью которых происходит управление программой. Беттер антиспам бот не является исключением. Узнать полный список команд для управления ботом можно на специальном сайте с описанием бота.
Программа аниспам бот написана на английском языке, поэтому действия, команды также на английском языке.
Установив бот против спама в дискорде на сервер, пользователю больше не нужно самостоятельно искать, блокировать тех, кто нарушает правила поведения в сообществе. Не стоит игнорировать возможности ботов, они могут значительно улучшить жизнь на сервере, сделать общение между участниками еще более приятным. Администраторам серверов в мессенджере Discord стоит подумать над тем, чтобы поселить у себя бота. Как минимум, betterantispam. Установка бота не отнимет много времени, а результат порадует. Больше не потребуется отслеживать нарушителей правил поведения в чате и самостоятельно их банить.
Читайте также: