أساليب جديدة في خداع المحفظة المحمولة Web3: هجمات الصيد النمطية
مؤخراً، اكتشفنا تقنية جديدة للتصيد الاحتيالي تستهدف مستخدمي محافظ ويب 3 المحمولة، حيث يتم تنفيذ الهجوم بشكل أساسي من خلال تضليل المستخدمين بشأن هوية التطبيق اللامركزي (DApp). أطلقنا على هذه التقنية الجديدة اسم "هجوم التصيد الاحتيالي الشكلي" (Modal Phishing).
في هذا الهجوم، يمكن للمحتالين إرسال معلومات مزيفة مزورة إلى المحفظة المحمولة، متظاهرين بأنهم DApp شرعي. من خلال عرض معلومات مضللة في نافذة المحفظة، يقومون بخداع المستخدمين للموافقة على معاملات خطرة. حالياً، تم استخدام هذه التقنية في التصيد على نطاق واسع. لقد تواصلنا مع مطوري المكونات ذات الصلة، الذين تعهدوا بإطلاق واجهة برمجة التطبيقات الجديدة للتحقق من أجل تقليل المخاطر.
مبدأ هجمات الصيد الاحتيالي المودالي
في دراسة أمان المحفظة المتنقلة، لاحظنا أن بعض واجهات مستخدم Web3 (UI) يمكن أن يتم التحكم فيها بواسطة المهاجمين، مما يسمح بتنفيذ هجمات التصيد. تُسمى هذه الهجمات "صيد النموذج"، لأن المهاجمين يركزون بشكل أساسي على النوافذ النموذجية لمحافظ العملات المشفرة.
نافذة الوضع هي عنصر واجهة مستخدم شائع الاستخدام في التطبيقات المحمولة، وغالبًا ما تظهر في الجزء العلوي من النافذة الرئيسية، لتسهيل العمليات السريعة للمستخدم، مثل الموافقة/رفض طلبات المعاملات من المحفظة Web3. التصميم النموذجي لنافذة الوضع الخاصة بمحفظة Web3 سيقدم المعلومات الضرورية للمعاملة لفحصها من قبل المستخدم، بالإضافة إلى أزرار الموافقة أو الرفض.
ومع ذلك، قد يتم التحكم في هذه العناصر واجهة المستخدم من قبل المهاجمين، لاستخدامها في تنفيذ هجمات التصيد الاحتيالي المودالية. يمكن للمهاجمين تغيير تفاصيل المعاملة، وتزييف طلبات المعاملات على أنها "تحديثات آمنة" من مصدر موثوق، مما يجذب المستخدمين للموافقة.
حالات الهجوم النموذجية
1. هجوم تصيد DApp عبر المحفظة Connect
Wallet Connect هو بروتوكول مفتوح المصدر شائع يستخدم لربط محفظة المستخدم مع DApp عبر رمز الاستجابة السريعة أو رابط عميق. خلال عملية الاقتران، ستظهر محفظة Web3 نافذة نموذجية تعرض اسم DApp وعنوان الموقع ورمزه ووصفه وغيرها من المعلومات.
ومع ذلك، فإن هذه المعلومات مقدمة من قبل DApp، والمحفظة لا تتحقق من صحتها. يمكن للمهاجمين انتحال صفة DApp المعروفة، وخداع المستخدمين للاتصال بها. خلال عملية الاقتران، طالما أن الضحية ترغب في إجراء العمليات على موقع مزيف، يمكن للمهاجمين استبدال معلمات طلب المعاملة لسرقة الأموال.
2. عملية تصيد معلومات العقد الذكي عبر MetaMask
في نافذة موافقة المعاملات في MetaMask، بالإضافة إلى معلومات DApp، سيتم عرض سلسلة تمثل نوع المعاملة. يتم الحصول على هذا العنصر من واجهة المستخدم من خلال قراءة بايت التوقيع للعقد الذكي، واستعلام سجل الطرق على السلسلة.
يمكن للمهاجمين استغلال هذه الآلية لإنشاء عقد ذكي للتصيد، وتسجيل اسم طرقه كسلاسل مضللة مثل "SecurityUpdate". عند موافقة المستخدم على المعاملة، سيعرض MetaMask هذا الاسم الظاهر الشرعي، مما يزيد من مصداقية الهجوم.
نصائح للوقاية
يجب على مطوري تطبيقات المحفظة أن يفترضوا دائمًا أن البيانات المدخلة من الخارج غير موثوقة، وأن يختاروا بعناية المعلومات التي تعرض للمستخدمين، والتحقق من شرعية هذه المعلومات.
يجب على بروتوكولات مثل Wallet Connect التحقق مسبقًا من صحة وشرعية معلومات DApp.
يجب على تطبيق المحفظة اتخاذ تدابير وقائية لتصفية الكلمات التي قد تُستخدم في هجمات التصيد.
يجب على المستخدم أن يظل حذرًا بشأن كل طلب تداول غير معروف، وأن يتحقق بعناية من تفاصيل التداول، وعدم الثقة بسهولة في المعلومات المعروضة في نافذة النموذج.
بالمجمل، تستفيد هجمات التصيد الاحتيالي النمطية من ثقة المستخدم في واجهة المستخدم الخاصة بالمحفظة، من خلال التلاعب بعناصر واجهة المستخدم القابلة للتحكم لإنشاء فخوص تصيد مقنعة. زيادة الوعي الأمني وتعزيز آليات التحقق هو المفتاح للوقاية من مثل هذه الهجمات.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 7
أعجبني
7
7
إعادة النشر
مشاركة
تعليق
0/400
SnapshotLaborer
· منذ 11 س
تجميعها، صياد السمك أيضاً يلعب بالنمط.
شاهد النسخة الأصليةرد0
FloorSweeper
· منذ 17 س
إنه روتين حقيقي ، مواجهة ، وهذا كل شيء
شاهد النسخة الأصليةرد0
GateUser-1a2ed0b9
· 08-13 15:56
حقًا مدهش... لقد أتى بأساليب جديدة لاصطياد الأسماك مرة أخرى~
شاهد النسخة الأصليةرد0
PaperHandsCriminal
· 08-13 15:54
لقد تعرضت مرة أخرى، هربت هربت
شاهد النسخة الأصليةرد0
NeverVoteOnDAO
· 08-13 15:51
مرة أخرى حيلة جديدة قصير المدى يجب الهروب منها بسرعة
شاهد النسخة الأصليةرد0
MidnightTrader
· 08-13 15:50
又被خداع الناس لتحقيق الربح过حمقى了
شاهد النسخة الأصليةرد0
DogeBachelor
· 08-13 15:30
أه، أنا أؤمن فقط بعالم العملات الرقمية، لا يوجد حقيقة.
هجمات الصيد الاحتيالي النمطية: تهديد أمني جديد لمستخدمي المحفظة المحمولة في Web3
أساليب جديدة في خداع المحفظة المحمولة Web3: هجمات الصيد النمطية
مؤخراً، اكتشفنا تقنية جديدة للتصيد الاحتيالي تستهدف مستخدمي محافظ ويب 3 المحمولة، حيث يتم تنفيذ الهجوم بشكل أساسي من خلال تضليل المستخدمين بشأن هوية التطبيق اللامركزي (DApp). أطلقنا على هذه التقنية الجديدة اسم "هجوم التصيد الاحتيالي الشكلي" (Modal Phishing).
في هذا الهجوم، يمكن للمحتالين إرسال معلومات مزيفة مزورة إلى المحفظة المحمولة، متظاهرين بأنهم DApp شرعي. من خلال عرض معلومات مضللة في نافذة المحفظة، يقومون بخداع المستخدمين للموافقة على معاملات خطرة. حالياً، تم استخدام هذه التقنية في التصيد على نطاق واسع. لقد تواصلنا مع مطوري المكونات ذات الصلة، الذين تعهدوا بإطلاق واجهة برمجة التطبيقات الجديدة للتحقق من أجل تقليل المخاطر.
مبدأ هجمات الصيد الاحتيالي المودالي
في دراسة أمان المحفظة المتنقلة، لاحظنا أن بعض واجهات مستخدم Web3 (UI) يمكن أن يتم التحكم فيها بواسطة المهاجمين، مما يسمح بتنفيذ هجمات التصيد. تُسمى هذه الهجمات "صيد النموذج"، لأن المهاجمين يركزون بشكل أساسي على النوافذ النموذجية لمحافظ العملات المشفرة.
نافذة الوضع هي عنصر واجهة مستخدم شائع الاستخدام في التطبيقات المحمولة، وغالبًا ما تظهر في الجزء العلوي من النافذة الرئيسية، لتسهيل العمليات السريعة للمستخدم، مثل الموافقة/رفض طلبات المعاملات من المحفظة Web3. التصميم النموذجي لنافذة الوضع الخاصة بمحفظة Web3 سيقدم المعلومات الضرورية للمعاملة لفحصها من قبل المستخدم، بالإضافة إلى أزرار الموافقة أو الرفض.
ومع ذلك، قد يتم التحكم في هذه العناصر واجهة المستخدم من قبل المهاجمين، لاستخدامها في تنفيذ هجمات التصيد الاحتيالي المودالية. يمكن للمهاجمين تغيير تفاصيل المعاملة، وتزييف طلبات المعاملات على أنها "تحديثات آمنة" من مصدر موثوق، مما يجذب المستخدمين للموافقة.
حالات الهجوم النموذجية
1. هجوم تصيد DApp عبر المحفظة Connect
Wallet Connect هو بروتوكول مفتوح المصدر شائع يستخدم لربط محفظة المستخدم مع DApp عبر رمز الاستجابة السريعة أو رابط عميق. خلال عملية الاقتران، ستظهر محفظة Web3 نافذة نموذجية تعرض اسم DApp وعنوان الموقع ورمزه ووصفه وغيرها من المعلومات.
ومع ذلك، فإن هذه المعلومات مقدمة من قبل DApp، والمحفظة لا تتحقق من صحتها. يمكن للمهاجمين انتحال صفة DApp المعروفة، وخداع المستخدمين للاتصال بها. خلال عملية الاقتران، طالما أن الضحية ترغب في إجراء العمليات على موقع مزيف، يمكن للمهاجمين استبدال معلمات طلب المعاملة لسرقة الأموال.
2. عملية تصيد معلومات العقد الذكي عبر MetaMask
في نافذة موافقة المعاملات في MetaMask، بالإضافة إلى معلومات DApp، سيتم عرض سلسلة تمثل نوع المعاملة. يتم الحصول على هذا العنصر من واجهة المستخدم من خلال قراءة بايت التوقيع للعقد الذكي، واستعلام سجل الطرق على السلسلة.
يمكن للمهاجمين استغلال هذه الآلية لإنشاء عقد ذكي للتصيد، وتسجيل اسم طرقه كسلاسل مضللة مثل "SecurityUpdate". عند موافقة المستخدم على المعاملة، سيعرض MetaMask هذا الاسم الظاهر الشرعي، مما يزيد من مصداقية الهجوم.
نصائح للوقاية
يجب على مطوري تطبيقات المحفظة أن يفترضوا دائمًا أن البيانات المدخلة من الخارج غير موثوقة، وأن يختاروا بعناية المعلومات التي تعرض للمستخدمين، والتحقق من شرعية هذه المعلومات.
يجب على بروتوكولات مثل Wallet Connect التحقق مسبقًا من صحة وشرعية معلومات DApp.
يجب على تطبيق المحفظة اتخاذ تدابير وقائية لتصفية الكلمات التي قد تُستخدم في هجمات التصيد.
يجب على المستخدم أن يظل حذرًا بشأن كل طلب تداول غير معروف، وأن يتحقق بعناية من تفاصيل التداول، وعدم الثقة بسهولة في المعلومات المعروضة في نافذة النموذج.
بالمجمل، تستفيد هجمات التصيد الاحتيالي النمطية من ثقة المستخدم في واجهة المستخدم الخاصة بالمحفظة، من خلال التلاعب بعناصر واجهة المستخدم القابلة للتحكم لإنشاء فخوص تصيد مقنعة. زيادة الوعي الأمني وتعزيز آليات التحقق هو المفتاح للوقاية من مثل هذه الهجمات.