Scam bot na serwerze Discord - jak się przed nim bronić?

Spam to zjawisko istniejące w internecie, a nawet też poza nim, od bardzo dawna. Określenie to pierwszy raz zaczęło funkcjonować w sieci najpóźniej w latach 80. ubiegłego wieku[1], a ewoluuje do dziś. Wiadomości elektroniczne pod zróżnicowaną postacią taką jak poczta elektroniczna czy też "DMy" na różnych portalach społecznościowych potrafią być wykorzystywane do wysyłania spamu, a przy jego pomocy mogą się dziać też inne, bardziej niepożądane zjawiska jak ataki socjotechniczne, przekręty czyli potocznie mówiąc - scam. Dziś przedstawię kilka metod, jak się przed nimi uchronić na polu walki którym będzie serwer na platformie Discord.

Jeśli czytasz dalej, najprawdopodobniej nie muszę Ci tłumaczyć czym jest Discord, więc by nie marnować czasu przejdźmy do przedstawienia paru sposobów.

Konfiguracja zabezpieczeń

Serwer sam w sobie posiada ogólny mechanizm ochrony. W zależności od niego jesteś w stanie decydować jak bardzo restrykcyjny będzie dostęp do serwera. Ustawienia posiadają trzy podkategorie którymi są: Poziom weryfikacji, Filtr nieodpowiedniej treści mediów oraz Wymóg 2FA.

 Przykład ustawień serwera Discord

Pierwszy z nich określa to, jakie kryteria użytkownik serwera musi spełnić aby wysłać wiadomości na kanale tekstowym lub rozpoczynać rozmowy głosowe. Jest pięć poziomów, począwszy od zupełnego braku ograniczeń aż po wymóg potwierdzenia numeru telefonu na koncie. W zależności od potrzeb, możesz zdecydować, czy użytkownik powinien mieć potwierdzony co najmniej adres e-mail konta, jego staż w DC powinien być dłuższy niż 5 minut czy też być członkiem serwera przez co najmniej 10 minut zanim będzie mógł napisać wiadomość. Jeśli zależy Ci na jakości treści na serwerze, każdy wyższy poziom kryteriów powinien być dobry, natomiast jeśli zależy Ci na liczniku juzerów, czemu by ustawiać jakiekolwiek ograniczenia?

Filtr nieodpowiedniej treści skanuje media takie jak np. obrazy pod kątem nieodpowiednich treści. Posiada trzy warianty ustawienia: wyłączony, skanowanie mediów od członków bez żadnej roli (o rolach opowiem dalej) oraz skanowanie mediów w wiadomościach każdego członka. Docelowo, w zależności od potrzeb i komplikacji zabezpieczeń na serwerze, każde ustawienie może być dobre, musisz tylko zastanowić się, która opcja będzie dla Ciebie satysfakcjonująca. Rozważymy to na podstawie odpowiedniego scenariusza (poniżej).

Ostatnie ostawienie jest nieco paranoiczne w związku z tym, że wymaga na każdym użytkowniku włączenie uwierzytelnienia dwuetapowego. Osobiście, dla zwykłego serwera "4fun" mogło by być to nieco uciążliwe, natomiast jeśli serwer ma charakter ściśle tajny (może są serwery NSA na DC? HE?!) wtedy czemu by nie pokusić się o włączenie tejże opcji.

Role

Konfiguracja poszczególnych roli odnosi się do uprawnień globalnych na serwerze w kontekście członków posiadających poszczególne role. Domyślnie każdy nowy członek serwera posiada ukrytą rolę @everyone która stanowi korzeń ról. Każda kolejna stworzona rola którą członek otrzyma nadpisuje uprawnienia definiowane w @everyone. Jeśli roli @everyone odbierzemy możliwość pisania na kanałach, stworzymy rolę "zweryfikowany" która będzie miała włączoną możliwość pisania na kanale, użytkownik z tą rolą będzie mógł wysyłać wiadomości. Ta zasada się tyczy każdego kolejnego uprawnienia.

Konfiguracja ról może być początkowo skomplikowana

Ustawienia kanału

Edytując kanał możemy zobaczyć zakładkę z uprawnieniami dla każdego z nich. Tutaj możemy ustawić dla kanału jak ma się zachowywać wobec poszczególnych ról. Przykładowo, możemy tu wyłączyć widoczność kanału dla roli @everyone a następnie włączyć dla roli "zweryfikowany". Zwróć uwagę, że nieoptymalnym jest ustawiać dla kilku(nastu) kanałów ustawienia w edycji kanału dla którejś z ról, wprowadza to nieporządek, a każdą zmianę ustawień trzeba wtedy nanosić na każdy kanał z osobna. Wygodniej jest stworzyć odpowiednią rolę, a jedynie wyjątki konfigurować za pomocą ustawienia konkretnego kanału.

 Tak wygląda zakładka ustawień ról w edycji kanału serwera

Każdy z kanałów ponadto posiada w zakładce "Przegląd" takie ustawienie jak "Tryb powolny". Dzięki temu ustawieniu można wymusić na każdym użytkowniku przerwę między ostatnią, a kolejną wiadomością, w zależności od ustawień, wyłączone lub od 5 sekund do aż 6 godzin. Jest to swego rodzaju zabezpieczenie antyfloodowe.

Bot

Boty są bardzo ciekawą opcją wspomagającą zarządzanie serwerem. W zależności od bota posiadają odpowiednie polecenia dzięki którym można masowo wprowadzać odpowiednie zmiany, zarządzać kanałami czy też przede wszystkim filtrować treść oraz banować problematycznych użytkowników. Istnieje możliwość napisania własnego bota (jeśli masz czas i wiedzę - daje to większą władzę nad serwerem) lecz jeśli potrzebujesz szybko gotowego rozwiązania, na scenie discordowej istnieje wiele botów które są łatwe i gotowe do użycia.

 Wirtualni przyjaciele

Botem który jest w stanie zrealizować założenia przedstawione poniżej jest Dyno. Dzięki niemo możliwe jest ustawienie automatycznych roli, roli poprzez reakcję, moderacji poleceń, autowiadomości czy też zautomatyzowania banicji. Podobne rozwiązania oferuje yagpdb.xyz. Nic nie stoi na przeszkodzie, aby zaprosić na serwer kilka botów, jednak przypominam aby zrobić to rozważnie bo każde uchylenie w konfiguracji zabezpieczeń to tylko zaproszenie spamerów/scamerów do zabawy w flood wiadomości.

Scenariusze zabezpieczeń

Rozważmy następującą sytuację. Serwer posiada regulamin oraz bota. W zależności od tego, czy ktoś zareagował pod regulaminem serwera (jednoznaczne z jego akceptacją) bot przypisuje temu członkowi rangę/rolę. Wówczas jeśli chodzi o ogólne ustawienia serwera, skaner mediów mógłby być ustawiony na opcję związaną ze skanem mediów dla członków zupełnie nie posiadających rangi, wszak Ci, którzy zaakceptowali regulamin (poprzez reakcję na wiadomość z nim) są w pewien sposób "zweryfikowani" poprzez otrzymanie odpowiedniej roli od bota. Reszta zabezpieczeń może zostać zrealizowana poprzez odpowiednią konfigurację poszczególnych pokoi oraz za pomocą botów które mogą świetnie wspierać filtrowanie treści bez ingerencji w prywatność - bot może być na "prywatnym" kanale, filtruje tylko treść bez zagłębiania się w kontekst wypowiedzi.

W związku z tym, że mamy odpowiednią role, regulamin oraz bota, nic nie stoi na przeszkodzie aby każdemu użytkownikowi wyłączyć globalnie wszelkie ustawienia dotyczące wyświetlania kanałów, pisania oraz wyświetlania wiadomości i innych uprawnień dotyczących tworzenia treści na serwerze. Wówczas, dla roli "zweryfikowany" ustawiamy odpowiednie uprawnienia przywracające w/w możliwości, a odrębnie dla kanału "regulamin" ustawiamy uprawnienia, by każdy mógł widzieć kanał i czytać wiadomości w nim oraz reagować - dzięki temu do czasu zaakceptowania regulaminu członek serwera widzi tylko regulamin, a wszelka inna zawartość serwera jest przed nim ukryta.

Przypisy

[1] https://pl.wikipedia.org/wiki/Spam - "Historia spamu"