Веб 3.0 мобильный Кошелек новая технология Фишинга: модальный фишинг-атака

Недавно была обнаружена новая технология Фишинг, которая может вводить пользователей в заблуждение при аутентификации при подключении к децентрализованным приложениям (DApp). Мы назвали эту новую технологию Фишинг "модальная фишинг-атака" (Modal Phishing).

Злоумышленники отправляют поддельные сообщения в мобильный Кошелек, выдавая себя за легитимные DApp, и отображают вводящий в заблуждение контент в модальном окне Кошелька, чтобы заставить пользователей одобрить транзакцию. Эта техника широко используется. Связанные разработчики подтвердили, что будут выпущены новые API для верификации с целью снижения риска.

Что такое модальное фишинг-атака?

В ходе исследования безопасности мобильного Кошелька мы обратили внимание на то, что некоторые элементы пользовательского интерфейса (UI) Веб 3.0 криптовалютного Кошелька могут быть контролируемы злоумышленниками для проведения Фишинга. Это называется модальным фишингом, потому что атаки в основном нацелены на модальные окна криптовалютного Кошелька.

Модальное окно ( или модальное окно ) является распространенным элементом интерфейса в мобильных приложениях, обычно отображается в верхней части основного окна и используется для быстрого выполнения действий, таких как одобрение/отклонение запроса на транзакцию в Веб 3.0 кошельке. Типичный дизайн модального окна Веб 3.0 кошелька обычно предоставляет детали транзакции и кнопки одобрения/отклонения.

Однако эти элементы интерфейса могут быть контролируемы злоумышленниками для проведения модальных атак фишинга. Злоумышленники могут изменить детали транзакции, замаскировав запрос под безопасное обновление от надежного источника, вводя пользователя в заблуждение и побуждая его одобрить.

Типичный случай

Пример 1: Фишинг-атака на DApp через Wallet Connect

Wallet Connect является популярным открытым протоколом, который позволяет подключать пользовательский кошелек к DApp через QR-код или глубокую ссылку. В процессе сопряжения кошелек отображает модальное окно, показывающее имя DApp, веб-сайт, значок и другую информацию.

Однако эта информация предоставляется DApp, и Кошелек не проверяет ее достоверность. Злоумышленники могут выдавать себя за известные DApp, обманывая пользователей подключаться и одобрять транзакции.

Различные кошельки могут иметь разные модальные дизайны, но злоумышленники всегда могут контролировать метаданные. Злоумышленники могут создать фальшивый DApp, выдавая себя за известные приложения в модальном окне одобрения транзакции.

Пример 2: Фишинг информации о смарт-контракте через MetaMask

В модальном окне одобрения транзакции MetaMask, помимо информации о DApp, также будет отображаться тип транзакции, например "Подтвердить" или "Неизвестный метод". Этот элемент интерфейса получает данные, считывая байты подписи смарт-контракта и запрашивая реестр методов на блокчейне.

Атакующие могут использовать этот механизм для создания фишинг-умных контрактов с вводящими в заблуждение именами методов. Например, зарегистрировав имя метода как "SecurityUpdate", они могут сделать запрос на транзакцию похожим на безопасное обновление от MetaMask.

Рекомендации по предотвращению

1. Разработчики кошельков должны всегда предполагать, что внешние данные ненадежны, тщательно выбирать информацию, которую они показывают пользователям, и проверять её законность.

2. Протокол Wallet Connect может рассмотреть возможность предварительной проверки действительности и законности информации о DApp.

3. Кошелек приложения должен отслеживать и фильтровать слова, которые могут быть использованы для Фишинга.

4. Пользователь должен быть настороже к каждому неизвестному запросу на транзакцию и тщательно проверять детали транзакции.

Модальные фишинг-атаки выявляют потенциальные проблемы безопасности в дизайне UI кошельков Веб 3.0. Разработчики и пользователи должны быть бдительны и совместно поддерживать безопасность экосистемы Web3.