Веб 3.0 мобильный Кошелек сталкивается с новыми угрозами фишинга: модальные фишинг-атаки

Недавние исследования показали, что была обнаружена новая техника фишинга, направленная на мобильные кошельки Веб 3.0, называемая "модальная фишинг-атака" (Modal Phishing). Этот метод атаки в основном использует модальные окна в приложениях мобильных кошельков для введения пользователей в заблуждение, заставляя их одобрять вредоносные транзакции, не подозревая об этом.

Принципы модальных фишинговых атак

Модальные фишинг-атаки в основном нацелены на модальные окна в приложениях для криптовалютных кошельков. Модальные окна являются распространенными элементами интерфейса в мобильных приложениях, обычно отображаются поверх основного экрана и используются для отображения важной информации или запроса действий пользователя, таких как одобрение транзакций и т.д.

Атакующие могут обмануть, контролируя некоторые элементы пользовательского интерфейса в этих модальных окнах. Например, они могут подделать отображаемую информацию DApp, имена функций смарт-контрактов и т.д., чтобы это выглядело как безопасное обновление от легитимного приложения или другое доверенное действие.

Два основных типа атак

1. Использование протокола Wallet Connect для фишинга DApp： Нападающий может подделать информацию о DApp, включая название, значок и веб-сайт и т. д. Когда пользователь подключает кошелек через Wallet Connect, эта ложная информация отображается в модальном окне кошелька, заставляя пользователя ошибочно полагать, что он взаимодействует с легитимным DApp.

2. Фишинг через информацию о смарт-контрактах: В качестве примера MetaMask злоумышленник может создать смарт-контракт с вводящими в заблуждение именами функций, такими как "SecurityUpdate". Когда пользователь взаимодействует с этими контрактами, Кошелек отображает эти имена в модальном окне, что заставляет транзакцию выглядеть как обычное обновление безопасности.

Основная причина уязвимости

Эти атаки возможны в основном потому, что приложения Кошелек не смогли должным образом проверить законность отображаемой информации. Например:

• Протокол Wallet Connect не проверяет информацию, предоставленную DApp.
• Некоторые Кошельки напрямую доверяют и отображают метаданные из внешнего SDK.
• Названия функций смарт-контрактов могут быть злонамеренно зарегистрированы как вводящие в заблуждение строки.

Рекомендации по предотвращению

1. Разработчики Кошелька должны:
   • Сохраняйте скептицизм в отношении всех внешних данных и проводите строгую проверку.
   • Тщательно отбирать информацию, представленную пользователю.
   • Принять дополнительные меры безопасности для проверки подлинности запросов на транзакции.

2. Пользователь должен:
   • Будьте осторожны с каждым неизвестным запросом на сделку.
   • Тщательно проверьте детали транзакции, не доверяйте информации, отображаемой в модальном окне.
   • Перед одобрением любой транзакции подтвердите надежность источника.

Заключение

Модальные фишинговые атаки демонстрируют новые типы угроз безопасности, существующих в экосистеме Веб 3.0. С ростом популярности децентрализованных приложений и Кошельков пользователи и разработчики должны быть более бдительными, принимая более строгие меры безопасности для предотвращения таких тщательно спланированных мошеннических схем. Только постоянно улучшая практики безопасности, мы сможем создать более безопасный и надежный пользовательский опыт в мире Веб 3.0.