Teknologia

Varo vanhoja Discord-linkkejä – tietoturvayhtiö paljasti ovelan tavan levittää haittaohjelmia Kommentit pois päältä artikkelissa Varo vanhoja Discord-linkkejä – tietoturvayhtiö paljasti ovelan tavan levittää haittaohjelmia

Kun yhä useammat yritykset ottavat käyttöön tekoälyominaisuuksia liiketoiminnassaan, työntekijät ovat yhä huolissaan tekoälyn uhasta työpaikkojensa korvaajana. Fortune-lehti raportoi tiistaina, että eräs Adoben johtaja ei kuitenkaan ole aivan vakuuttunut tästä uhasta, vertaillen tekoälyn kehitystä kameran keksimiseen.

Tietoturvayhtiö Check Point Research on julkaissut varoituksen suosittuun -palveluun liittyvästä vakavasta tietoturvapuutteesta. Kyberrikolliset ovat kehittäneet tavan kaapata vanhentuneita tai poistettuja kutsulinkkejä ja käyttää niitä ansoina pahaa-aavistamattomille käyttäjille. Kuukausia tai jopa vuosia vanhat linkit, jotka on jaettu esimerkiksi keskustelufoorumeilla tai sosiaalisessa mediassa, voivat nyt johtaa käyttäjän haitalliselle palvelimelle.

Miten ansa toimii?

Hyökkäyksen mekanismi on yksinkertainen mutta tehokas. Kun Discord-yhteisön luoma mukautettu kutsulinkki vanhenee, sen osoite vapautuu. Rikolliset nappaavat nämä ”kuolleet” linkit itselleen ja herättävät ne henkiin omilla, haitallisilla palvelimillaan. Kun käyttäjä löytää vanhan viestin ja klikkaa luotettavalta vaikuttavaa linkkiä, hän ei päädykään odottamaansa yhteisöön, vaan lataa huomaamattaan koneelleen haittaohjelmia.

Vaarallinen lasti: Vakoiluohjelmia ja lompakkovarkaita

Check Point Researchin mukaan kampanjassa levitetään pääasiassa kahta vaarallista haittaohjelmaa. Ensimmäinen on AsyncRAT, etähallintatroijalainen, joka antaa hyökkääjälle lähes täydellisen hallinnan uhrin tietokoneeseen. Toinen on Skuld Stealer, joka on erikoistunut kryptovaluuttalompakoiden tyhjentämiseen. AsyncRAT nousi kesäkuussa maailman kolmanneksi yleisimmäksi haittaohjelmaksi, mikä kertoo kampanjan laajuudesta.

Hyökkäys on poikkeuksellisen salakavala, sillä se käyttää toimintansa peittelyyn luotettuja pilvipalveluita, kuten GitHubia, Bitbucketia ja Pastebiniä. Tämän ansiosta haitallinen liikenne sulautuu normaaliin verkkoliikenteeseen, mikä vaikeuttaa sen havaitsemista perinteisillä tietoturvaohjelmistoilla. Lisäksi operaatio kehittyy jatkuvasti, ja hyökkääjät pystyvät jo kiertämään jopa Chromen uusimpia suojausmekanismeja varastaakseen käyttäjien evästeitä.

Miten suojautua?

Check Point Research kehottaa sekä käyttäjiä että yhteisöjen ylläpitäjiä varovaisuuteen:

  1. Käyttäjät: Suhtaudu varauksella vanhoihin Discord-kutsulinkkeihin, vaikka ne löytyisivätkin luotettavalta sivustolta. Pyri käyttämään aina mahdollisimman tuoreita tai suoraan yhteisön virallisilta kanavilta saatuja kutsuja.
  2. Yhteisöjen ylläpitäjät: On suositeltavaa käydä läpi ja poistaa vanhat, vanhentuneet kutsulinkit julkisilta sivuilta, foorumeilta ja sosiaalisen median julkaisuista, jotta niitä ei voida kaapata.
  3. Yleinen varovaisuus: Pidä tietoturvaohjelmistosi aina ajan tasalla ja vältä epäilyttävien tiedostojen lataamista ja suorittamista.

PlayStation kiristää linjaa: ikä täytyy pian todistaa ennen chattia Kommentit pois päältä artikkelissa PlayStation kiristää linjaa: ikä täytyy pian todistaa ennen chattia

aikoo ottaa käyttöön uuden ikävarmennuksen, joka koskee PlayStationin viestintäominaisuuksia. Muutos tulee voimaan myöhemmin tänä vuonna ja sen tavoitteena on tehdä pelaamisesta turvallisempaa erityisesti nuoremmille käyttäjille, ilman että yksityisyys unohtuu matkasta.

Käytännössä tämä tarkoittaa, että pelaajien on vahvistettava ikänsä, jos he haluavat jatkaa esimerkiksi viestien lähettämistä ja äänichatin käyttöä -alustalla. Jos varmennusta ei tee, pelihetket eivät silti lopu seinään vaan pelit, saavutukset ja kauppa pysyvät käytössä normaalisti. Rajoitus koskee siis nimenomaan sosiaalista kanssakäymistä.

Taustalla on laajempi trendi pelialalla. Myös ja ovat viime aikoina ottaneet käyttöön omia ikävarmennusratkaisujaan. Peliyhtiöt pyrkivät näin varmistamaan, että eri-ikäisille pelaajille tarjotaan sopivaa sisältöä ja turvallinen ympäristö.

Tarkkaa aikataulua ei ole vielä kertonut, mutta jatkossa mikrofoni ei aukea ihan kenelle tahansa ilman pientä todistusta iästä.

Discord lykkää ikävarmennusta ja lupaa selkeyttä tietoturvaan Kommentit pois päältä artikkelissa Discord lykkää ikävarmennusta ja lupaa selkeyttä tietoturvaan

Discord

Viestipalvelu ilmoitti tiistaina lykkäävänsä aiemmin julkistettua ja käyttäjien keskuudessa närää herättänyttä ikävarmennusuudistusta. Alkuperäisen suunnitelman mukaan kaikille käyttäjille olisi otettu käyttöön “teini-oletusasetukset”, mikä olisi tarkoittanut sitä, että aikuisten pitäisi todistaa ikänsä saadakseen kaikki palvelun ominaisuudet käyttöönsä. Vastaanotto oli kaikkea muuta kuin lämmin, ja osa käyttäjistä kutsui muutosta suorastaan sopimuksen katkaisijaksi.

Nyt Discord siirtää maailmanlaajuisen käyttöönoton vuoden 2026 jälkipuoliskolle. Tarkkaa päivämäärää ei ole kerrottu. Sen sijaan maissa, joissa laki vaatii ikävarmennusta, kuten Australiassa, Brasiliassa ja Isossa-Britanniassa käytännöt pysyvät ennallaan.

Yhtiön teknologiajohtaja ja toinen perustaja, Stanislav Vishnevskiy, myöntää blogikirjoituksessa, että uudistus tiedettiin alusta asti kiistanalaiseksi. Erityisesti kasvojentunnistukseen ja henkilöllisyystodistuksiin liittyvä epäluulo teknologiajättejä kohtaan on hänen mukaansa ymmärrettävää. Discord vakuuttaa, että yli 90 prosenttia käyttäjistä ei joutuisi vahvistamaan ikäänsä lainkaan, sillä yhtiön omat järjestelmät pystyvät päättelemään monien aikuisten iän automaattisesti.

Ikäarvioinnissa hyödynnetään esimerkiksi tilin ikää, maksutavan olemassaoloa, palvelimia joilla käyttäjä liikkuu ja yleisiä käyttötapoja. Discord korostaa, ettei se lue käyttäjien viestejä. Samalla yhtiö kuitenkin myöntää, että pelkkä “luottakaa meihin” ei riitä, varsinkin kun taustalla on jo viime syksyn tietoturvaloukkaus, joka horjutti käyttäjien uskoa.

Ennen globaalia julkaisua Discord lupaa lisätä vaihtoehtoisia varmennustapoja, kuten luottokorttivarmennuksen, julkaista teknisen selonteon automaattisista ikäjärjestelmistään sekä kertoa avoimesti, mitä ulkopuolisia palveluntarjoajia se käyttää. Lisäksi tulossa on erillinen spoilerikanavaominaisuus, jotta yhteisöjen ei tarvitsisi asettaa koko palvelinta ikärajoitetuksi vain keskustellakseen juonipaljastuksista tai raskaammista aiheista.

Aika näyttää, riittävätkö nämä lupaukset paikkaamaan syntynyttä luottamuspulaa vai ehtivätkö käyttäjät karata pysyvästi vaihtoehtoisiin alustoihin.