Web3 Mobile Wallet Wallet عملية احتيال جديدة إزالة الغموض عنها: هجوم التصيد الاحتيالي المشروط
في الآونة الأخيرة ، لفتت تقنية تصيد جديدة تستهدف محافظ Web3 للهواتف المحمولة انتباه الباحثين الأمنيين. هذه التقنية ، التي يطلق عليها اسم "التصيد الاحتيالي المشروط" ، تضلل المستخدمين بشكل أساسي من خلال التلاعب بالنوافذ المشروطة لمحافظ الهاتف المحمول.
يمكن للمهاجم إرسال رسالة مزيفة إلى محفظة محمولة ، وانتحال شخصية تطبيق لامركزي شرعي (DApp) ، وعرض محتوى مضلل في نافذة المحفظة المشروطة لخداع المستخدمين للموافقة على المعاملة. تستخدم تقنية الصيد هذه الآن على نطاق واسع. أكد مطورو المكونات المعنيون أنه سيتم إصدار واجهة برمجة تطبيقات جديدة للتحقق من الصحة لتقليل المخاطر.
يتم تنفيذ هجمات التصيد الاحتيالي المشروطة بشكل أساسي ضد النوافذ المشروطة لمحافظ التشفير. النافذة المشروطة هي عنصر واجهة مستخدم شائع الاستخدام في تطبيقات الأجهزة المحمولة ، وعادة ما يتم عرضه في الجزء العلوي من النافذة الرئيسية ، لاتخاذ إجراءات سريعة مثل الموافقة على طلب تداول أو رفضه.
سيوفر التصميم المشروط النموذجي لمحفظة Web3 معلومات المعاملة وزر الموافقة / الرفض. ومع ذلك، يمكن للمهاجمين التحكم في عناصر واجهة المستخدم هذه لهجمات التصيد الاحتيالي.
Wallet Connect هو بروتوكول شائع مفتوح المصدر لتوصيل محافظ المستخدمين بالتطبيقات اللامركزية. أثناء عملية الاقتران، تعرض المحفظة المعلومات الوصفية التي يوفرها DApp، بما في ذلك الاسم وعنوان URL والرمز. ومع ذلك ، لم يتم التحقق من هذه المعلومات ، ويمكن للمهاجمين تزوير معلومات التطبيقات اللامركزية الشرعية.
على سبيل المثال ، يمكن للمهاجم انتحال شخصية DApp معروف لخداع المستخدمين للاتصال بمحفظة والموافقة على المعاملات. أثناء عملية الاقتران ، ستعرض النافذة المشروطة التي تعرضها المحفظة معلومات DApp التي تبدو مشروعة ، مما يزيد من مصداقية الهجوم.
تعرض بعض تطبيقات المحفظة اسم طريقة العقد الذكي في وضع الموافقة على المعاملة. يمكن للمهاجمين تضليل المستخدمين عن طريق تسجيل اسم طريقة معين ، مثل "SecurityUpdate".
على سبيل المثال، يمكن للمهاجم إنشاء عقد ذكي للتصيد الاحتيالي يحتوي على وظيفة تسمى "SecurityUpdate". عندما يشاهد المستخدم طلب معاملة ، سيرى طلب "تحديث أمني" يبدو أنه من السلطة الرسمية للمحفظة ، مما يزيد من احتمالية موافقة المستخدم على المعاملة الضارة.
مع استمرار تطور تقنية Web3 ، تعد زيادة الوعي الأمني أمرا ضروريا لكل من المستخدمين والمطورين. فقط من خلال البقاء يقظا وتحسين إجراءات الأمان الخاصة بك باستمرار ، يمكنك منع هذه الأنواع الجديدة من هجمات التصيد الاحتيالي بشكل فعال.
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
التصيد الاحتيالي المشروط: تهديد أمني جديد لمحافظ Web3 للجوال
Web3 Mobile Wallet Wallet عملية احتيال جديدة إزالة الغموض عنها: هجوم التصيد الاحتيالي المشروط
في الآونة الأخيرة ، لفتت تقنية تصيد جديدة تستهدف محافظ Web3 للهواتف المحمولة انتباه الباحثين الأمنيين. هذه التقنية ، التي يطلق عليها اسم "التصيد الاحتيالي المشروط" ، تضلل المستخدمين بشكل أساسي من خلال التلاعب بالنوافذ المشروطة لمحافظ الهاتف المحمول.
يمكن للمهاجم إرسال رسالة مزيفة إلى محفظة محمولة ، وانتحال شخصية تطبيق لامركزي شرعي (DApp) ، وعرض محتوى مضلل في نافذة المحفظة المشروطة لخداع المستخدمين للموافقة على المعاملة. تستخدم تقنية الصيد هذه الآن على نطاق واسع. أكد مطورو المكونات المعنيون أنه سيتم إصدار واجهة برمجة تطبيقات جديدة للتحقق من الصحة لتقليل المخاطر.
! إزالة الغموض عن عملية احتيال جديدة لمحفظة الهاتف المحمول Web3.0: هجوم التصيد الاحتيالي المشروط
مبادئ هجمات التصيد الاحتيالي النموذجي
يتم تنفيذ هجمات التصيد الاحتيالي المشروطة بشكل أساسي ضد النوافذ المشروطة لمحافظ التشفير. النافذة المشروطة هي عنصر واجهة مستخدم شائع الاستخدام في تطبيقات الأجهزة المحمولة ، وعادة ما يتم عرضه في الجزء العلوي من النافذة الرئيسية ، لاتخاذ إجراءات سريعة مثل الموافقة على طلب تداول أو رفضه.
سيوفر التصميم المشروط النموذجي لمحفظة Web3 معلومات المعاملة وزر الموافقة / الرفض. ومع ذلك، يمكن للمهاجمين التحكم في عناصر واجهة المستخدم هذه لهجمات التصيد الاحتيالي.
! إزالة الغموض عن عملية احتيال جديدة لمحفظة Web3.0 للهاتف المحمول: هجوم التصيد الاحتيالي المشروط
حالات الهجوم
1. التصيد الاحتيالي اللامركزي عبر Wallet Connect
Wallet Connect هو بروتوكول شائع مفتوح المصدر لتوصيل محافظ المستخدمين بالتطبيقات اللامركزية. أثناء عملية الاقتران، تعرض المحفظة المعلومات الوصفية التي يوفرها DApp، بما في ذلك الاسم وعنوان URL والرمز. ومع ذلك ، لم يتم التحقق من هذه المعلومات ، ويمكن للمهاجمين تزوير معلومات التطبيقات اللامركزية الشرعية.
على سبيل المثال ، يمكن للمهاجم انتحال شخصية DApp معروف لخداع المستخدمين للاتصال بمحفظة والموافقة على المعاملات. أثناء عملية الاقتران ، ستعرض النافذة المشروطة التي تعرضها المحفظة معلومات DApp التي تبدو مشروعة ، مما يزيد من مصداقية الهجوم.
! إزالة الغموض عن عملية احتيال جديدة لمحفظة Web3.0 للهاتف المحمول: هجوم التصيد الاحتيالي المشروط
! إزالة الغموض عن عملية احتيال جديدة لمحفظة Web3.0 للهاتف المحمول: هجوم التصيد الاحتيالي المشروط للتصيد الاحتيالي
2. التصيد الاحتيالي عبر معلومات العقد الذكي
تعرض بعض تطبيقات المحفظة اسم طريقة العقد الذكي في وضع الموافقة على المعاملة. يمكن للمهاجمين تضليل المستخدمين عن طريق تسجيل اسم طريقة معين ، مثل "SecurityUpdate".
على سبيل المثال، يمكن للمهاجم إنشاء عقد ذكي للتصيد الاحتيالي يحتوي على وظيفة تسمى "SecurityUpdate". عندما يشاهد المستخدم طلب معاملة ، سيرى طلب "تحديث أمني" يبدو أنه من السلطة الرسمية للمحفظة ، مما يزيد من احتمالية موافقة المستخدم على المعاملة الضارة.
! إزالة الغموض عن عملية احتيال جديدة لمحفظة Web3.0 للهاتف المحمول: هجوم التصيد الاحتيالي المشروط
! إزالة الغموض عن عملية احتيال جديدة لمحفظة Web3.0 للهاتف المحمول: هجوم التصيد الاحتيالي المشروط
توصيات الوقاية
يجب على مطوري المحفظة التحقق دائما من شرعية البيانات الخارجية الواردة ويجب ألا يثقوا بشكل أعمى في أي معلومات لم يتم التحقق منها.
يجب على المطورين اختيار المعلومات التي تظهر للمستخدمين بعناية وتصفيتها من المحتوى الذي قد يُستخدم في هجمات التصيد.
يجب على المستخدمين توخي الحذر لكل طلب معاملة غير معروف ، والتحقق بعناية من تفاصيل المعاملة ، وعدم الموافقة بسهولة على الطلبات من مصادر غير معروفة.
يجب أن تنظر البروتوكولات والمنصات ذات الصلة في إدخال آليات تحقق أكثر صرامة لضمان أن المعلومات المعروضة للمستخدمين أصلية وموثوقة.
! [إزالة الغموض عن عملية احتيال جديدة لمحفظة Web3.0 للهاتف المحمول: هجوم التصيد الاحتيالي المشروط] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
! إزالة الغموض عن عملية احتيال جديدة لمحفظة Web3.0 للهاتف المحمول: هجوم التصيد الاحتيالي المشروط
مع استمرار تطور تقنية Web3 ، تعد زيادة الوعي الأمني أمرا ضروريا لكل من المستخدمين والمطورين. فقط من خلال البقاء يقظا وتحسين إجراءات الأمان الخاصة بك باستمرار ، يمكنك منع هذه الأنواع الجديدة من هجمات التصيد الاحتيالي بشكل فعال.