Новый тип мошенничества с Web3 мобильными Кошельками: модальная фишинг-атака
В последнее время мы обнаружили новый тип фишинговой техники, нацеленной на пользователей мобильных кошельков Web3, который в основном реализует атаки, вводя пользователей в заблуждение относительно идентичности подключенного децентрализованного приложения (DApp). Мы назвали эту новую технику фишинга "модальная фишинговая атака" (Modal Phishing).
В этой атаке злоумышленники могут отправлять поддельную ложную информацию в мобильный Кошелек, выдавая себя за законное DApp. Путем отображения вводящей в заблуждение информации в модальном окне Кошелька они пытаются заставить пользователей одобрить опасные транзакции. В настоящее время эта техника фишинга широко используется. Мы связались с разработчиками соответствующих компонентов, и они пообещали выпустить новый API для проверки, чтобы снизить риски.
Принцип модальных фишинг-атак
В ходе исследования безопасности мобильных кошельков мы заметили, что некоторые элементы интерфейса Web3 кошельков (UI) могут быть под контролем злоумышленников, что позволяет им осуществлять фишинг-атаки. Это называется "модальным фишингом", поскольку злоумышленники в основном нацелены на модальные окна криптовалютного кошелька.
Модальные окна являются часто используемыми элементами пользовательского интерфейса в мобильных приложениях, обычно отображаемыми в верхней части основного окна, чтобы облегчить пользователям быстрые действия, такие как одобрение/отклонение запросов на транзакции Web3 Кошелек. Типичный дизайн модальных окон для Web3 Кошелек предоставляет необходимую информацию о транзакции для проверки пользователем, а также кнопки для одобрения или отклонения.
Однако эти элементы пользовательского интерфейса могут контролироваться злоумышленниками для проведения модальных фишинговых атак. Злоумышленники могут изменять детали транзакции, маскируя запросы на транзакции под "безопасные обновления" иными словами, которые исходят от доверенных источников, чтобы заставить пользователей одобрить их.
Типичные случаи атак
1. Фишинг-атака на DApp через Кошелек Connect
Wallet Connect — это популярный открытый протокол, который используется для подключения пользовательского Кошелек к DApp через QR-код или глубокую ссылку. В процессе сопряжения Web3 кошелек отображает модальное окно, показывающее название DApp, адрес сайта, значок и описание.
Однако эта информация предоставляется DApp, и Кошелек не проверяет ее достоверность. Злоумышленники могут выдавать себя за известные DApp, обманом заставляя пользователей подключаться к ним. В процессе сопряжения, как только жертва пытается выполнить операции на поддельном сайте, злоумышленник может заменить параметры запроса на сделку, чтобы украсть средства.
2. Фишинг информации о смарт-контракте через MetaMask
В модальном окне одобрения транзакции MetaMask, кроме информации о DApp, также будет отображаться строка, указывающая тип транзакции. Этот элемент пользовательского интерфейса получен путем чтения байтов подписи смарт-контракта и запроса реестра методов на блокчейне.
Атакующие могут использовать этот механизм для создания фишингового умного контракта и зарегистрировать его имя метода как "SecurityUpdate" и другие вводящие в заблуждение строки. Когда пользователь подтверждает транзакцию, MetaMask отображает это законное на вид имя метода, увеличивая доверие к атаке.
Рекомендации по предотвращению
Разработчики приложений для Кошельков должны всегда предполагать, что входящие данные ненадежны, тщательно выбирать, какую информацию показывать пользователям, и проверять законность этой информации.
Протоколы такие как Wallet Connect должны заранее проверять действительность и законность информации DApp.
Кошелек приложение должно принимать меры предосторожности, фильтруя слова, которые могут быть использованы для фишинг-атак.
Пользователи должны быть бдительными к каждому неизвестному запросу на сделку, тщательно проверять детали сделки и не доверять информации, отображаемой в модальном окне.
В общем, модальные фишинговые атаки используют доверие пользователей к UI кошелька, манипулируя контролируемыми элементами UI для создания убедительных фишинговых ловушек. Повышение осведомленности о безопасности и усиление механизмов проверки являются ключевыми для предотвращения таких атак.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
7 Лайков
Награда
7
7
Репост
Поделиться
комментарий
0/400
SnapshotLaborer
· 6ч назад
Закатилось, рыбак тоже играет в модальности.
Посмотреть ОригиналОтветить0
FloorSweeper
· 13ч назад
Настоящая ловушка, раскрылся, сейчас я это заберу.
Посмотреть ОригиналОтветить0
GateUser-1a2ed0b9
· 21ч назад
С ума сойти... снова придумали новый способ рыбалки~
Посмотреть ОригиналОтветить0
PaperHandsCriminal
· 21ч назад
Снова попался, сваливаю, сваливаю
Посмотреть ОригиналОтветить0
NeverVoteOnDAO
· 21ч назад
Еще одна новая ловушка, короткий срок, бегите как можно быстрее.
Посмотреть ОригиналОтветить0
MidnightTrader
· 21ч назад
Снова разыгрывайте людей как лохов.
Посмотреть ОригиналОтветить0
DogeBachelor
· 21ч назад
Эй, я верю только в мир криптовалют, а не в правду.
Модальные фишинговые атаки: новая угроза безопасности для пользователей мобильных Кошельков Web3
Новый тип мошенничества с Web3 мобильными Кошельками: модальная фишинг-атака
В последнее время мы обнаружили новый тип фишинговой техники, нацеленной на пользователей мобильных кошельков Web3, который в основном реализует атаки, вводя пользователей в заблуждение относительно идентичности подключенного децентрализованного приложения (DApp). Мы назвали эту новую технику фишинга "модальная фишинговая атака" (Modal Phishing).
В этой атаке злоумышленники могут отправлять поддельную ложную информацию в мобильный Кошелек, выдавая себя за законное DApp. Путем отображения вводящей в заблуждение информации в модальном окне Кошелька они пытаются заставить пользователей одобрить опасные транзакции. В настоящее время эта техника фишинга широко используется. Мы связались с разработчиками соответствующих компонентов, и они пообещали выпустить новый API для проверки, чтобы снизить риски.
Принцип модальных фишинг-атак
В ходе исследования безопасности мобильных кошельков мы заметили, что некоторые элементы интерфейса Web3 кошельков (UI) могут быть под контролем злоумышленников, что позволяет им осуществлять фишинг-атаки. Это называется "модальным фишингом", поскольку злоумышленники в основном нацелены на модальные окна криптовалютного кошелька.
Модальные окна являются часто используемыми элементами пользовательского интерфейса в мобильных приложениях, обычно отображаемыми в верхней части основного окна, чтобы облегчить пользователям быстрые действия, такие как одобрение/отклонение запросов на транзакции Web3 Кошелек. Типичный дизайн модальных окон для Web3 Кошелек предоставляет необходимую информацию о транзакции для проверки пользователем, а также кнопки для одобрения или отклонения.
Однако эти элементы пользовательского интерфейса могут контролироваться злоумышленниками для проведения модальных фишинговых атак. Злоумышленники могут изменять детали транзакции, маскируя запросы на транзакции под "безопасные обновления" иными словами, которые исходят от доверенных источников, чтобы заставить пользователей одобрить их.
Типичные случаи атак
1. Фишинг-атака на DApp через Кошелек Connect
Wallet Connect — это популярный открытый протокол, который используется для подключения пользовательского Кошелек к DApp через QR-код или глубокую ссылку. В процессе сопряжения Web3 кошелек отображает модальное окно, показывающее название DApp, адрес сайта, значок и описание.
Однако эта информация предоставляется DApp, и Кошелек не проверяет ее достоверность. Злоумышленники могут выдавать себя за известные DApp, обманом заставляя пользователей подключаться к ним. В процессе сопряжения, как только жертва пытается выполнить операции на поддельном сайте, злоумышленник может заменить параметры запроса на сделку, чтобы украсть средства.
2. Фишинг информации о смарт-контракте через MetaMask
В модальном окне одобрения транзакции MetaMask, кроме информации о DApp, также будет отображаться строка, указывающая тип транзакции. Этот элемент пользовательского интерфейса получен путем чтения байтов подписи смарт-контракта и запроса реестра методов на блокчейне.
Атакующие могут использовать этот механизм для создания фишингового умного контракта и зарегистрировать его имя метода как "SecurityUpdate" и другие вводящие в заблуждение строки. Когда пользователь подтверждает транзакцию, MetaMask отображает это законное на вид имя метода, увеличивая доверие к атаке.
Рекомендации по предотвращению
Разработчики приложений для Кошельков должны всегда предполагать, что входящие данные ненадежны, тщательно выбирать, какую информацию показывать пользователям, и проверять законность этой информации.
Протоколы такие как Wallet Connect должны заранее проверять действительность и законность информации DApp.
Кошелек приложение должно принимать меры предосторожности, фильтруя слова, которые могут быть использованы для фишинг-атак.
Пользователи должны быть бдительными к каждому неизвестному запросу на сделку, тщательно проверять детали сделки и не доверять информации, отображаемой в модальном окне.
В общем, модальные фишинговые атаки используют доверие пользователей к UI кошелька, манипулируя контролируемыми элементами UI для создания убедительных фишинговых ловушек. Повышение осведомленности о безопасности и усиление механизмов проверки являются ключевыми для предотвращения таких атак.