Web3 мобильный Кошелек сталкивается с новыми угрозами Фишинга: модальные фишинг-атаки
Недавно была обнаружена новая техника фишинга, которая может вводить пользователей в заблуждение при подключении к децентрализованному приложению (DApp). Эта новая атака была названа "модальная фишинг-атака" (Modal Phishing).
Злоумышленники отправляют поддельную информацию в мобильный Кошелек, выдавая себя за законное DApp, и отображают вводящий в заблуждение контент в модальном окне Кошелька, чтобы обмануть пользователей и заставить их одобрить транзакцию. Этот метод в настоящее время широко используется. Разработчики соответствующих компонентов заявили, что выпустят новый API проверки, чтобы снизить риски.
Принцип модальных фишинг-атак
Во время исследования безопасности мобильных кошельков исследователи обнаружили, что некоторые элементы пользовательского интерфейса Web3 кошельков могут быть контролируемы злоумышленниками, что позволяет им осуществлять фишинг. Это называется "модальным фишингом", потому что атаки в основном нацелены на модальные окна крипто-кошельков.
Модальные окна являются распространенным элементом пользовательского интерфейса в мобильных приложениях, обычно отображаются в верхней части основного окна и предназначены для быстрого выполнения операций, таких как одобрение/отказ от запроса на транзакцию. Типичный дизайн модального окна Web3 Кошелек предоставляет необходимую информацию для проверки пользователем, а также кнопки для одобрения или отказа.
Однако эти элементы интерфейса могут быть подвержены манипуляциям со стороны злоумышленников. Например, злоумышленник может изменить детали транзакции, замаскировав запрос под "безопасное обновление" от "Metamask", чтобы заставить пользователя одобрить его.
Два типичных случая атаки
1. Фишинг-атака на DApp через Кошелек Connect
Протокол Wallet Connect - это популярный открытый протокол, который используется для подключения пользовательского кошелька к DApp через QR-код или глубокую ссылку. В процессе сопоставления Web3-кошелек отображает модальное окно, показывающее метаинформацию входящего запроса, включая название DApp, веб-сайт, иконку и описание.
Проблема в том, что эта информация предоставляется DApp, и Кошелек не проверяет ее достоверность. Злоумышленники могут выдавать себя за законные DApp, обманывая пользователей подключаться и одобрять транзакции.
2. Фишинг информации о смарт-контрактах через MetaMask
MetaMask в модальном окне подтверждения будет отображать тип транзакции, такой как "Подтвердить" или "Неизвестный метод". Этот элемент пользовательского интерфейса получается путем чтения байтов подписи смарт-контракта и запроса реестра методов в цепочке.
Атакующие могут создать фишинг смарт-контракт, зарегистрировав сигнатуру метода как вводящую в заблуждение строку, такую как "SecurityUpdate". Когда MetaMask анализирует этот контракт, он будет показывать это вводящее в заблуждение имя пользователю в модальном окне подтверждения.
Рекомендации по предотвращению
Разработчики Кошельков должны всегда предполагать, что внешние данные ненадежны, тщательно выбирая информацию, которую они показывают пользователям, и проверяя ее законность.
Протокол Wallet Connect может рассматривать возможность предварительной проверки действительности и законности информации о DApp.
Кошелек должен отслеживать содержимое, представленное пользователю, фильтруя возможные слова, используемые для Фишинга.
Пользователи должны быть бдительными к каждому неизвестному запросу на транзакцию и тщательно проверять детали транзакции.
В общем, коренной причиной атак Modal Phishing является недостаточная проверка легитимности представленных элементов пользовательского интерфейса в приложениях для Кошелек. Разработчики и пользователи должны быть бдительными и совместно поддерживать безопасность экосистемы Web3.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
4
Поделиться
комментарий
0/400
PensionDestroyer
· 8ч назад
Да ты с ума сошел, хочешь меня поймать на токен? Даже не думай.
Посмотреть ОригиналОтветить0
MondayYoloFridayCry
· 8ч назад
Ай-йо, снова появились новые мошенничества, кошелек нужно держать крепче.
Посмотреть ОригиналОтветить0
PanicSeller69
· 8ч назад
Снова потемнело, правда, каждый день играют для неудачников.
Web3 мобильный кошелек подвергся модальному фишинговому атаке: новый вид сетевой угрозы требует срочной защиты
Web3 мобильный Кошелек сталкивается с новыми угрозами Фишинга: модальные фишинг-атаки
Недавно была обнаружена новая техника фишинга, которая может вводить пользователей в заблуждение при подключении к децентрализованному приложению (DApp). Эта новая атака была названа "модальная фишинг-атака" (Modal Phishing).
Злоумышленники отправляют поддельную информацию в мобильный Кошелек, выдавая себя за законное DApp, и отображают вводящий в заблуждение контент в модальном окне Кошелька, чтобы обмануть пользователей и заставить их одобрить транзакцию. Этот метод в настоящее время широко используется. Разработчики соответствующих компонентов заявили, что выпустят новый API проверки, чтобы снизить риски.
Принцип модальных фишинг-атак
Во время исследования безопасности мобильных кошельков исследователи обнаружили, что некоторые элементы пользовательского интерфейса Web3 кошельков могут быть контролируемы злоумышленниками, что позволяет им осуществлять фишинг. Это называется "модальным фишингом", потому что атаки в основном нацелены на модальные окна крипто-кошельков.
Модальные окна являются распространенным элементом пользовательского интерфейса в мобильных приложениях, обычно отображаются в верхней части основного окна и предназначены для быстрого выполнения операций, таких как одобрение/отказ от запроса на транзакцию. Типичный дизайн модального окна Web3 Кошелек предоставляет необходимую информацию для проверки пользователем, а также кнопки для одобрения или отказа.
Однако эти элементы интерфейса могут быть подвержены манипуляциям со стороны злоумышленников. Например, злоумышленник может изменить детали транзакции, замаскировав запрос под "безопасное обновление" от "Metamask", чтобы заставить пользователя одобрить его.
Два типичных случая атаки
1. Фишинг-атака на DApp через Кошелек Connect
Протокол Wallet Connect - это популярный открытый протокол, который используется для подключения пользовательского кошелька к DApp через QR-код или глубокую ссылку. В процессе сопоставления Web3-кошелек отображает модальное окно, показывающее метаинформацию входящего запроса, включая название DApp, веб-сайт, иконку и описание.
Проблема в том, что эта информация предоставляется DApp, и Кошелек не проверяет ее достоверность. Злоумышленники могут выдавать себя за законные DApp, обманывая пользователей подключаться и одобрять транзакции.
2. Фишинг информации о смарт-контрактах через MetaMask
MetaMask в модальном окне подтверждения будет отображать тип транзакции, такой как "Подтвердить" или "Неизвестный метод". Этот элемент пользовательского интерфейса получается путем чтения байтов подписи смарт-контракта и запроса реестра методов в цепочке.
Атакующие могут создать фишинг смарт-контракт, зарегистрировав сигнатуру метода как вводящую в заблуждение строку, такую как "SecurityUpdate". Когда MetaMask анализирует этот контракт, он будет показывать это вводящее в заблуждение имя пользователю в модальном окне подтверждения.
Рекомендации по предотвращению
Разработчики Кошельков должны всегда предполагать, что внешние данные ненадежны, тщательно выбирая информацию, которую они показывают пользователям, и проверяя ее законность.
Протокол Wallet Connect может рассматривать возможность предварительной проверки действительности и законности информации о DApp.
Кошелек должен отслеживать содержимое, представленное пользователю, фильтруя возможные слова, используемые для Фишинга.
Пользователи должны быть бдительными к каждому неизвестному запросу на транзакцию и тщательно проверять детали транзакции.
В общем, коренной причиной атак Modal Phishing является недостаточная проверка легитимности представленных элементов пользовательского интерфейса в приложениях для Кошелек. Разработчики и пользователи должны быть бдительными и совместно поддерживать безопасность экосистемы Web3.