Нове шахрайство з мобільним гаманцем Web3 демістифіковано: модальна фішингова атака
Нещодавно нова техніка фішингу, націлена на мобільні гаманці Web3, привернула увагу дослідників безпеки. Ця техніка, яка отримала назву «модальний фішинг», в основному вводить користувачів в оману, маніпулюючи модальними вікнами мобільних гаманців.
Зловмисник може надіслати фальшиве повідомлення на мобільний гаманець, видавати себе за законну децентралізовану програму (DApp) і відображати оманливий вміст у модальному вікні гаманця, щоб обманом змусити користувачів схвалити транзакцію. Ця техніка лову зараз широко використовується. Розробники відповідних компонентів підтвердили, що для зниження ризику буде випущено новий API валідації.
Модальні фішингові атаки в основному націлені на модальні вікна крипто-гаманців. Модальні вікна є поширеним елементом UI у мобільних додатках, зазвичай відображаються вгорі основного вікна, і використовуються для швидких дій, таких як схвалення або відхилення запитів на транзакції.
Типовий дизайн модального вікна гаманця Web3 надає інформацію про транзакції та кнопки затвердження/відхилення. Однак ці елементи UI можуть бути контрольовані зловмисниками для фішингових атак.
Wallet Connect – популярний протокол з відкритим вихідним кодом для підключення гаманців користувачів до DApps. Під час процесу сполучення гаманець відображає метаінформацію, надану DApp, включаючи назву, URL-адресу та значок. Однак ця інформація є неперевіреною, і зловмисники можуть підробити інформацію законних DApps.
Наприклад, зловмисник може видавати себе за відомого DApp, щоб обманом змусити користувачів підключитися до гаманця та схвалити транзакції. Під час процесу сполучення в модальному вікні, що відображається гаманцем, буде представлена, здавалося б, законна інформація DApp, що підвищує довіру до атаки.
2. Фішинг за допомогою інформації про смарт-контракти
Деякі програми-гаманці відображають назву методу смарт-контракту в режимі схвалення транзакції. Зловмисники можуть вводити користувачів в оману, реєструючи конкретне ім'я методу, наприклад «SecurityUpdate».
Наприклад, зловмисник може створити фішинговий смарт-контракт, який містить функцію під назвою «SecurityUpdate». Коли користувач переглядає запит на транзакцію, він бачить запит на «оновлення безпеки», який, схоже, надійшов від офіційного органу гаманця, що збільшує ймовірність того, що користувач схвалить шкідливу транзакцію.
Розробники гаманців завжди повинні перевіряти легітимність зовнішніх вхідних даних і не повинні сліпо довіряти будь-якій неперевіреній інформації.
Розробники повинні ретельно вибирати інформацію, яку вони показують користувачам, та фільтрувати вміст, який може бути використаний для фішингових атак.
Користувачі повинні бути пильними щодо кожного невідомого запиту на транзакцію, уважно перевіряти деталі транзакції та не легко схвалювати запити з невідомих джерел.
Відповідні протоколи та платформи повинні розглянути можливість запровадження суворіших механізмів верифікації, щоб гарантувати, що інформація, яка відображається користувачам, є автентичною та надійною.
Оскільки технологія Web3 продовжує розвиватися, підвищена обізнаність про безпеку має важливе значення як для користувачів, так і для розробників. Лише залишаючись пильними та постійно вдосконалюючи заходи безпеки, ви зможете ефективно запобігти цим новим типам фішингових атак.
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Модальний фішинг: нова загроза безпеці мобільних гаманців Web3
Нове шахрайство з мобільним гаманцем Web3 демістифіковано: модальна фішингова атака
Нещодавно нова техніка фішингу, націлена на мобільні гаманці Web3, привернула увагу дослідників безпеки. Ця техніка, яка отримала назву «модальний фішинг», в основному вводить користувачів в оману, маніпулюючи модальними вікнами мобільних гаманців.
Зловмисник може надіслати фальшиве повідомлення на мобільний гаманець, видавати себе за законну децентралізовану програму (DApp) і відображати оманливий вміст у модальному вікні гаманця, щоб обманом змусити користувачів схвалити транзакцію. Ця техніка лову зараз широко використовується. Розробники відповідних компонентів підтвердили, що для зниження ризику буде випущено новий API валідації.
! Демістифікація нового шахрайства з мобільним гаманцем Web3.0: модальна фішингова атака
Принципи модальних фішингових атак
Модальні фішингові атаки в основному націлені на модальні вікна крипто-гаманців. Модальні вікна є поширеним елементом UI у мобільних додатках, зазвичай відображаються вгорі основного вікна, і використовуються для швидких дій, таких як схвалення або відхилення запитів на транзакції.
Типовий дизайн модального вікна гаманця Web3 надає інформацію про транзакції та кнопки затвердження/відхилення. Однак ці елементи UI можуть бути контрольовані зловмисниками для фішингових атак.
! Демістифікація мобільного гаманця Web3.0 Нове шахрайство: модальна фішингова атака
Випадки нападу
1. Фішинг DApp через Wallet Connect
Wallet Connect – популярний протокол з відкритим вихідним кодом для підключення гаманців користувачів до DApps. Під час процесу сполучення гаманець відображає метаінформацію, надану DApp, включаючи назву, URL-адресу та значок. Однак ця інформація є неперевіреною, і зловмисники можуть підробити інформацію законних DApps.
Наприклад, зловмисник може видавати себе за відомого DApp, щоб обманом змусити користувачів підключитися до гаманця та схвалити транзакції. Під час процесу сполучення в модальному вікні, що відображається гаманцем, буде представлена, здавалося б, законна інформація DApp, що підвищує довіру до атаки.
! Демістифікація мобільного гаманця Web3.0 Нове шахрайство: модальна фішингова атака
! Демістифікація мобільного гаманця Web3.0 Нове шахрайство: модальна фішингова атака модальний фішинг
2. Фішинг за допомогою інформації про смарт-контракти
Деякі програми-гаманці відображають назву методу смарт-контракту в режимі схвалення транзакції. Зловмисники можуть вводити користувачів в оману, реєструючи конкретне ім'я методу, наприклад «SecurityUpdate».
Наприклад, зловмисник може створити фішинговий смарт-контракт, який містить функцію під назвою «SecurityUpdate». Коли користувач переглядає запит на транзакцію, він бачить запит на «оновлення безпеки», який, схоже, надійшов від офіційного органу гаманця, що збільшує ймовірність того, що користувач схвалить шкідливу транзакцію.
! Демістифікація нового шахрайства з мобільним гаманцем Web3.0: модальна фішингова атака
Рекомендації по профілактиці
Розробники гаманців завжди повинні перевіряти легітимність зовнішніх вхідних даних і не повинні сліпо довіряти будь-якій неперевіреній інформації.
Розробники повинні ретельно вибирати інформацію, яку вони показують користувачам, та фільтрувати вміст, який може бути використаний для фішингових атак.
Користувачі повинні бути пильними щодо кожного невідомого запиту на транзакцію, уважно перевіряти деталі транзакції та не легко схвалювати запити з невідомих джерел.
Відповідні протоколи та платформи повинні розглянути можливість запровадження суворіших механізмів верифікації, щоб гарантувати, що інформація, яка відображається користувачам, є автентичною та надійною.
! [Демістифікація мобільного гаманця Web3.0 Нове шахрайство: модальна фішингова атака] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
! Демістифікація мобільного гаманця Web3.0 Нове шахрайство: модальна фішингова атака
! Демістифікація мобільного гаманця Web3.0 Нове шахрайство: модальна фішингова атака: модальний фішинг
Оскільки технологія Web3 продовжує розвиватися, підвищена обізнаність про безпеку має важливе значення як для користувачів, так і для розробників. Лише залишаючись пильними та постійно вдосконалюючи заходи безпеки, ви зможете ефективно запобігти цим новим типам фішингових атак.