# Web3モバイルウォレット新型目薬:モーダルフィッシング攻撃最近、私たちはWeb3モバイルウォレットユーザーを対象とした新しいフィッシング技術を発見しました。これは、ユーザーを誤解させて接続されている分散型アプリ(DApp)のアイデンティティに対する認識を操作することで攻撃を実施します。私たちはこの新しいフィッシング技術を「モーダルフィッシング攻撃(Modal Phishing)」と名付けました。この攻撃では、不正な者がモバイルウォレットに偽の情報を送信し、合法的なDAppを装うことができます。ウォレットのモーダルウィンドウに誤解を招く情報を表示することによって、ユーザーを騙して危険な取引を承認させるのです。現在、このフィッシング技術は広く使用されています。私たちは関連コンポーネントの開発者と連絡を取り、リスクを低減するための新しい検証APIを導入することを約束しました。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-5e20d7bf94995070ef023d62154c13c2)## モーダルフィッシング攻撃の原理モバイルウォレットのセキュリティ研究において、私たちはWeb3ウォレットのいくつかのユーザーインターフェース(UI)要素が攻撃者に制御される可能性があることに気付き、それによってフィッシング攻撃が実施されることを確認しました。"モーダルフィッシング"と呼ばれる理由は、攻撃者が主に暗号ウォレットのモーダルウィンドウをターゲットにして操作を行うためです。モーダルウィンドウは、モバイルアプリケーションでよく使用されるUI要素で、通常はメインウィンドウの上部に表示され、ユーザーが迅速に操作できるようにします。たとえば、Web3ウォレットの取引リクエストを承認/拒否するためです。典型的なWeb3ウォレットのモーダルデザインでは、ユーザーが確認するための必要な取引情報と、承認または拒否のボタンが提供されます。しかし、これらのユーザーインターフェイス要素は攻撃者によって制御され、モーダルフィッシング攻撃を実行するために使用される可能性があります。攻撃者は取引の詳細を変更し、取引リクエストを信頼できるソースからの「安全な更新」などに偽装し、ユーザーに承認させるように誘惑します。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-dafdce504880b12244d287e60c0fd498)## 典型的な攻撃事例### 1. ウォレットコネクトを通じてDAppフィッシング攻撃ウォレットコネクトは、QRコードまたはディープリンクを通じてユーザーのウォレットとDAppを接続するための広く使用されているオープンソースプロトコルです。ペアリングプロセスでは、Web3ウォレットがモーダルウィンドウを表示し、DAppの名前、ウェブサイトアドレス、アイコン、説明などの情報を示します。しかし、これらの情報はDAppによって提供されており、ウォレットはその真実性を検証しません。攻撃者は有名なDAppに成りすまし、ユーザーをその接続に誘い込むことができます。ペアリングプロセス中に、犠牲者が偽のウェブサイトで操作を行いたいと思った場合、攻撃者は取引リクエストのパラメータを置き換えて資金を盗むことができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-90000878c07a1333bd873500154af36d)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング](https://img-cdn.gateio.im/social/moments-e3d17d2ea42349c1331580d6cc4b919c)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-2de349fc736a88000db66b2238cd5489)### 2. MetaMaskを通じてスマートコントラクト情報のフィッシングMetaMaskの取引承認モーダルウィンドウでは、DApp情報に加えて、取引タイプを示す文字列も表示されます。このUI要素は、スマートコントラクトの署名バイトを読み取り、チェーン上のメソッドレジストリを照会することによって取得されます。攻撃者はこのメカニズムを利用して、フィッシングスマートコントラクトを作成し、そのメソッド名を"SecurityUpdate"などの誤解を招く文字列として登録できます。ユーザーが取引を承認すると、MetaMaskはこの一見合法的なメソッド名を表示し、攻撃の信頼性を高めます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/social/moments-966a54698e22dacfc63bb23c2864959e)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-9589d873000950a9132010c1a9323e91)## 予防に関する推奨事項1. ウォレットアプリケーションの開発者は、常に外部からの入力データが信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その情報の合法性を確認する必要があります。2. ウォレットコネクトなどのプロトコルは、DApp情報の有効性と合法性を事前に検証する必要があります。3. ウォレットアプリは、フィッシング攻撃に使用される可能性のある言葉をフィルタリングするための予防措置を講じるべきです。4. ユーザーは、各未知の取引要求に対して警戒を怠らず、取引の詳細を慎重に確認し、モーダルウィンドウに表示される情報を鵜呑みにしないこと。要するに、モーダルフィッシング攻撃は、ユーザーのウォレットUIへの信頼を利用し、制御可能なUI要素を操作することで説得力のあるフィッシングトラップを作り出します。セキュリティ意識を高め、検証メカニズムを強化することが、この種の攻撃を防ぐ鍵です。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング](https://img-cdn.gateio.im/social/moments-8b4186b031ffd019332d79000e6442d9)
モーダルフィッシング攻撃:Web3モバイルウォレットユーザーへの新たなセキュリティ脅威
Web3モバイルウォレット新型目薬:モーダルフィッシング攻撃
最近、私たちはWeb3モバイルウォレットユーザーを対象とした新しいフィッシング技術を発見しました。これは、ユーザーを誤解させて接続されている分散型アプリ(DApp)のアイデンティティに対する認識を操作することで攻撃を実施します。私たちはこの新しいフィッシング技術を「モーダルフィッシング攻撃(Modal Phishing)」と名付けました。
この攻撃では、不正な者がモバイルウォレットに偽の情報を送信し、合法的なDAppを装うことができます。ウォレットのモーダルウィンドウに誤解を招く情報を表示することによって、ユーザーを騙して危険な取引を承認させるのです。現在、このフィッシング技術は広く使用されています。私たちは関連コンポーネントの開発者と連絡を取り、リスクを低減するための新しい検証APIを導入することを約束しました。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
モーダルフィッシング攻撃の原理
モバイルウォレットのセキュリティ研究において、私たちはWeb3ウォレットのいくつかのユーザーインターフェース(UI)要素が攻撃者に制御される可能性があることに気付き、それによってフィッシング攻撃が実施されることを確認しました。"モーダルフィッシング"と呼ばれる理由は、攻撃者が主に暗号ウォレットのモーダルウィンドウをターゲットにして操作を行うためです。
モーダルウィンドウは、モバイルアプリケーションでよく使用されるUI要素で、通常はメインウィンドウの上部に表示され、ユーザーが迅速に操作できるようにします。たとえば、Web3ウォレットの取引リクエストを承認/拒否するためです。典型的なWeb3ウォレットのモーダルデザインでは、ユーザーが確認するための必要な取引情報と、承認または拒否のボタンが提供されます。
しかし、これらのユーザーインターフェイス要素は攻撃者によって制御され、モーダルフィッシング攻撃を実行するために使用される可能性があります。攻撃者は取引の詳細を変更し、取引リクエストを信頼できるソースからの「安全な更新」などに偽装し、ユーザーに承認させるように誘惑します。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
典型的な攻撃事例
1. ウォレットコネクトを通じてDAppフィッシング攻撃
ウォレットコネクトは、QRコードまたはディープリンクを通じてユーザーのウォレットとDAppを接続するための広く使用されているオープンソースプロトコルです。ペアリングプロセスでは、Web3ウォレットがモーダルウィンドウを表示し、DAppの名前、ウェブサイトアドレス、アイコン、説明などの情報を示します。
しかし、これらの情報はDAppによって提供されており、ウォレットはその真実性を検証しません。攻撃者は有名なDAppに成りすまし、ユーザーをその接続に誘い込むことができます。ペアリングプロセス中に、犠牲者が偽のウェブサイトで操作を行いたいと思った場合、攻撃者は取引リクエストのパラメータを置き換えて資金を盗むことができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
2. MetaMaskを通じてスマートコントラクト情報のフィッシング
MetaMaskの取引承認モーダルウィンドウでは、DApp情報に加えて、取引タイプを示す文字列も表示されます。このUI要素は、スマートコントラクトの署名バイトを読み取り、チェーン上のメソッドレジストリを照会することによって取得されます。
攻撃者はこのメカニズムを利用して、フィッシングスマートコントラクトを作成し、そのメソッド名を"SecurityUpdate"などの誤解を招く文字列として登録できます。ユーザーが取引を承認すると、MetaMaskはこの一見合法的なメソッド名を表示し、攻撃の信頼性を高めます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
予防に関する推奨事項
ウォレットアプリケーションの開発者は、常に外部からの入力データが信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その情報の合法性を確認する必要があります。
ウォレットコネクトなどのプロトコルは、DApp情報の有効性と合法性を事前に検証する必要があります。
ウォレットアプリは、フィッシング攻撃に使用される可能性のある言葉をフィルタリングするための予防措置を講じるべきです。
ユーザーは、各未知の取引要求に対して警戒を怠らず、取引の詳細を慎重に確認し、モーダルウィンドウに表示される情報を鵜呑みにしないこと。
要するに、モーダルフィッシング攻撃は、ユーザーのウォレットUIへの信頼を利用し、制御可能なUI要素を操作することで説得力のあるフィッシングトラップを作り出します。セキュリティ意識を高め、検証メカニズムを強化することが、この種の攻撃を防ぐ鍵です。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング