Веб 3.0 мобільний гаманець новий тип фішингової атаки: модальна фішингова атака
Нещодавно ми виявили новий тип фішингових технологій, що спеціально націлені на етапи автентифікації, пов'язані з підключенням до децентралізованих додатків (DApp). Ми назвали цю нову фішинг-технологію "модальна фішинг-атака" (Modal Phishing).
У цьому типі атаки зловмисники можуть надсилати підроблену інформацію до мобільного гаманця, видаючи себе за легітимний DApp. Показуючи оманливу інформацію у модальному вікні гаманця, вони спонукають користувачів затвердити шкідливу транзакцію. Ця технологія фішингу наразі широко використовується. Ми зв'язалися з розробниками відповідних компонентів, які випустять новий API верифікації для зменшення ризику.
Що таке модальне рибальство?
У дослідженні безпеки мобільних гаманець ми звернули увагу на те, що деякі елементи інтерфейсу користувача (UI) гаманців Веб 3.0 можуть контролюватися зловмисниками для фішингових атак. Ця атака називається модальним фішингом, оскільки зловмисники в основному націлюються на модальні вікна крипто-гаманців.
Модаль (або модальне вікно) є поширеним UI-елементом у мобільних додатках, зазвичай відображається у верхній частині основного вікна додатку. Такий дизайн дозволяє користувачам швидко виконувати дії, такі як схвалення або відхилення запиту на транзакцію Гаманець Веб 3.0.
Типовий дизайн модального вікна гаманця Веб 3.0 зазвичай надає необхідну інформацію для перевірки користувачем, таку як запит на підпис, а також кнопки для схвалення або відхилення.
Однак ці елементи інтерфейсу користувача можуть бути контрольовані зловмисниками для проведення модальних фішингових атак. Зловмисники можуть змінювати деталі транзакцій, маскуючи запити на транзакції під "безпечні оновлення" та інші, на перший погляд, легітимні дії, спонукаючи користувачів надавати згоду.
Аналіз випадків атак
Приклад 1: Фішинг-атака на DApp через Гаманець Connect
Гаманець Connect є популярним відкритим протоколом, що використовується для підключення гаманців користувачів до DApp через QR-код або глибоке посилання. Під час спарювання Веб 3.0 гаманець відображає модальне вікно, що демонструє метадані вхідного запиту на спарювання, включаючи назву DApp, веб-сайт, значок та опис.
Однак ця інформація надається DApp, гаманець не перевіряє її достовірність. Зловмисники можуть видавати себе за легітимні DApp, вводячи в оману користувачів підключитися. Під час процесу парування, як тільки жертва захоче виконати операцію на підробленому сайті, зловмисники можуть замінити параметри запиту на транзакцію (такі як цільова адреса та сума), щоб вкрасти кошти.
Приклад 2: Фішинг інформації про смарт-контракти через MetaMask
У модальному вікні схвалення MetaMask є елемент UI, що відображає тип транзакції. MetaMask читає підписані байти смарт-контракту і використовує реєстр методів для запиту відповідної назви методу. Однак це також створює ще один елемент UI, яким можуть керувати зловмисники.
Зловмисники можуть створити фішинговий смарт-контракт, зареєструвавши підписи методів під оманливими назвами, такими як "SecurityUpdate". Коли MetaMask розбирає цей контракт, він відображає цю назву користувачеві в модальному вікні підтвердження, змушуючи запит на транзакцію виглядати так, ніби він походить від "MetaMask" у вигляді "безпекового оновлення".
Рекомендації щодо запобігання
Розробники додатків для Гаманців повинні завжди вважати, що зовнішні вхідні дані ненадійні, ретельно вибирати інформацію, яку буде показано користувачам, та перевіряти її законність.
Користувач повинен бути обережним щодо кожного невідомого запиту на транзакцію та уважно перевіряти деталі транзакції.
Протоколи, такі як Wallet Connect, повинні враховувати попередню перевірку дійсності та законності інформації DApp.
Гаманець застосунок повинен вжити запобіжних заходів, фільтруючи можливі слова, що можуть бути використані для фішингових атак.
Загалом, деякі елементи інтерфейсу користувача Web3.0 гаманець можуть бути маніпульовані зловмисниками, створюючи на вигляд справжні фішингові пастки. Користувачі та розробники повинні бути обережними й спільно підтримувати безпеку екосистеми Web3.0.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
9 лайків
Нагородити
9
7
Репост
Поділіться
Прокоментувати
0/400
TokenVelocityTrauma
· 07-29 14:12
Ця пастка занадто жорстка, я вже потрапляв у неї раніше.
Переглянути оригіналвідповісти на0
RektCoaster
· 07-27 23:37
Отже, хто найбільший переможець... навіть дані мого Гаманця можуть бути підроблені
Переглянути оригіналвідповісти на0
consensus_failure
· 07-26 15:11
Хардкор є хардкором, але те, що не можна затиснути, все ще не затиснеться.
Переглянути оригіналвідповісти на0
ProxyCollector
· 07-26 15:11
Ще один новий пастка? Слід було це давно контролювати!
Переглянути оригіналвідповісти на0
ExpectationFarmer
· 07-26 15:10
Вже потрапляв у пастку двічі, дійсно точно.
Переглянути оригіналвідповісти на0
OnChain_Detective
· 07-26 15:09
шахраї стають креативними, як ніколи... будьте обережні, дегени
Обережно, новий тип фішингу в мобільних гаманцях Web3.0: атака модального фішингу!
Веб 3.0 мобільний гаманець новий тип фішингової атаки: модальна фішингова атака
Нещодавно ми виявили новий тип фішингових технологій, що спеціально націлені на етапи автентифікації, пов'язані з підключенням до децентралізованих додатків (DApp). Ми назвали цю нову фішинг-технологію "модальна фішинг-атака" (Modal Phishing).
У цьому типі атаки зловмисники можуть надсилати підроблену інформацію до мобільного гаманця, видаючи себе за легітимний DApp. Показуючи оманливу інформацію у модальному вікні гаманця, вони спонукають користувачів затвердити шкідливу транзакцію. Ця технологія фішингу наразі широко використовується. Ми зв'язалися з розробниками відповідних компонентів, які випустять новий API верифікації для зменшення ризику.
Що таке модальне рибальство?
У дослідженні безпеки мобільних гаманець ми звернули увагу на те, що деякі елементи інтерфейсу користувача (UI) гаманців Веб 3.0 можуть контролюватися зловмисниками для фішингових атак. Ця атака називається модальним фішингом, оскільки зловмисники в основному націлюються на модальні вікна крипто-гаманців.
Модаль (або модальне вікно) є поширеним UI-елементом у мобільних додатках, зазвичай відображається у верхній частині основного вікна додатку. Такий дизайн дозволяє користувачам швидко виконувати дії, такі як схвалення або відхилення запиту на транзакцію Гаманець Веб 3.0.
Типовий дизайн модального вікна гаманця Веб 3.0 зазвичай надає необхідну інформацію для перевірки користувачем, таку як запит на підпис, а також кнопки для схвалення або відхилення.
Однак ці елементи інтерфейсу користувача можуть бути контрольовані зловмисниками для проведення модальних фішингових атак. Зловмисники можуть змінювати деталі транзакцій, маскуючи запити на транзакції під "безпечні оновлення" та інші, на перший погляд, легітимні дії, спонукаючи користувачів надавати згоду.
Аналіз випадків атак
Приклад 1: Фішинг-атака на DApp через Гаманець Connect
Гаманець Connect є популярним відкритим протоколом, що використовується для підключення гаманців користувачів до DApp через QR-код або глибоке посилання. Під час спарювання Веб 3.0 гаманець відображає модальне вікно, що демонструє метадані вхідного запиту на спарювання, включаючи назву DApp, веб-сайт, значок та опис.
Однак ця інформація надається DApp, гаманець не перевіряє її достовірність. Зловмисники можуть видавати себе за легітимні DApp, вводячи в оману користувачів підключитися. Під час процесу парування, як тільки жертва захоче виконати операцію на підробленому сайті, зловмисники можуть замінити параметри запиту на транзакцію (такі як цільова адреса та сума), щоб вкрасти кошти.
Приклад 2: Фішинг інформації про смарт-контракти через MetaMask
У модальному вікні схвалення MetaMask є елемент UI, що відображає тип транзакції. MetaMask читає підписані байти смарт-контракту і використовує реєстр методів для запиту відповідної назви методу. Однак це також створює ще один елемент UI, яким можуть керувати зловмисники.
Зловмисники можуть створити фішинговий смарт-контракт, зареєструвавши підписи методів під оманливими назвами, такими як "SecurityUpdate". Коли MetaMask розбирає цей контракт, він відображає цю назву користувачеві в модальному вікні підтвердження, змушуючи запит на транзакцію виглядати так, ніби він походить від "MetaMask" у вигляді "безпекового оновлення".
Рекомендації щодо запобігання
Розробники додатків для Гаманців повинні завжди вважати, що зовнішні вхідні дані ненадійні, ретельно вибирати інформацію, яку буде показано користувачам, та перевіряти її законність.
Користувач повинен бути обережним щодо кожного невідомого запиту на транзакцію та уважно перевіряти деталі транзакції.
Протоколи, такі як Wallet Connect, повинні враховувати попередню перевірку дійсності та законності інформації DApp.
Гаманець застосунок повинен вжити запобіжних заходів, фільтруючи можливі слова, що можуть бути використані для фішингових атак.
Загалом, деякі елементи інтерфейсу користувача Web3.0 гаманець можуть бути маніпульовані зловмисниками, створюючи на вигляд справжні фішингові пастки. Користувачі та розробники повинні бути обережними й спільно підтримувати безпеку екосистеми Web3.0.