Веб 3.0 мобильный Кошелек сталкивается с новыми угрозами Фишинга: атаки модального фишинга
В последнее время исследователи в области безопасности обнаружили новую технику фишинга, нацеленную на мобильные кошельки Веб 3.0, которая называется "модальная фишинг-атака"(Modal Phishing). Этот способ атаки использует модальные окна в мобильных приложениях кошельков, показывая вводящую в заблуждение информацию, чтобы заставить пользователей одобрить злонамеренные транзакции.
Что такое модальный фишинг?
Атаки модального фишинга в основном нацелены на манипуляцию модальными окнами в приложениях для криптовалютных кошельков. Модальные окна — это распространенные элементы пользовательского интерфейса в мобильных приложениях, которые обычно отображаются поверх главного экрана и используются для быстрых действий, таких как одобрение/отклонение запросов на транзакции.
В нормальных условиях модальное окно отображает информацию о личности инициатора сделки, такую как адрес сайта, иконка и др. Однако злоумышленники могут манипулировать этими элементами интерфейса, подделывая информацию о легитимном приложении, чтобы склонить пользователя к одобрению злонамеренной сделки.
Два типичных случая атак
1. Фишинг DApp через протокол Wallet Connect
Wallet Connect — это широко используемый протокол, который позволяет подключать кошельки пользователей к децентрализованным приложениям ( DApp ). Исследования показывают, что в процессе сопряжения приложение кошелька отображает метаинформацию, предоставляемую DApp, такую как название, веб-сайт, иконка и т. д. (, но не проверяет подлинность этой информации.
Злоумышленники могут использовать эту уязвимость для подделки идентификационной информации известных DApp. Например, злоумышленники могут выдать себя за приложение Uniswap, обманув пользователей подключить кошелек и одобрить злонамеренные транзакции.
![Раскрытие нового типа мошенничества с мобильными кошельками Веб 3.0: атакa фишинга Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-dafdce504880b12244d287e60c0fd498.webp(
![Раскрытие нового типа мошенничества с мобильным кошельком Веб 3.0: модальные фишинг-атаки Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-e3d17d2ea42349c1331580d6cc4b919c.webp(
) 2. Фишинг информации о смарт-контрактах через MetaMask
Некоторые приложения Кошелек ###, такие как MetaMask (, отображают название функции смарт-контракта на экране подтверждения транзакции. Злоумышленники могут зарегистрировать смарт-контракт с вводящими в заблуждение именами функций, такими как "SecurityUpdate", чтобы транзакция выглядела как официальное обновление безопасности от Кошелек.
Объединив манипуляцию с идентификацией DApp, злоумышленник может создать очень обманчивый запрос на сделку, который будет выглядеть так, как будто он исходит от "MetaMask" с "безопасным обновлением".
![Раскрытие нового типа мошенничества с мобильными кошельками Веб 3.0: модальные фишинг-атаки Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-2de349fc736a88000db66b2238cd5489.webp(
![Раскрытие нового типа мошенничества с мобильными кошельками Веб 3.0: Модальные фишинговые атаки Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d.webp(
![Раскрытие нового типа мошенничества с мобильными кошельками Веб 3.0: модальные фишинговые атаки Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp(
![Раскрытие новой схемы мошенничества с мобильными Кошельками Веб 3.0: атака модального Фишинга])https://img-cdn.gateio.im/webp-social/moments-9589d873000950a9132010c1a9323e91.webp(
Рекомендации по безопасности
Чтобы справиться с этой новой угрозой, эксперты рекомендуют:
Разработчики приложений Кошелек должны всегда предполагать, что входящие данные из внешних источников ненадежны, и проверять законность всей информации, представляемой пользователю.
Протоколы, такие как Wallet Connect, должны рассмотреть возможность добавления механизма проверки информации DApp.
Пользователи должны быть осторожны при одобрении любых неизвестных запросов на транзакции и внимательно проверять детали транзакции.
Кошелек приложения должен учитывать фильтрацию ключевых слов, которые могут быть использованы для Фишинга.
В общем, с развитием технологий Веб 3.0 пользователи и разработчики должны повысить осведомленность о безопасности и совместно противостоять постоянно развивающимся сетевым угрозам.
![Раскрытие нового типа мошенничества с мобильным кошельком Веб 3.0: модальная фишинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-8b4186b031ffd019332d79000e6442d9.webp(
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
4
Репост
Поделиться
комментарий
0/400
FromMinerToFarmer
· 6ч назад
Теперь это полностью испортило моего Майнера.
Посмотреть ОригиналОтветить0
TestnetScholar
· 08-10 16:13
Рабочим снова нужно осторожно остерегаться новых ловушек.
Посмотреть ОригиналОтветить0
IronHeadMiner
· 08-10 16:13
Снова новая ловушка, мне нужно быть осторожнее с моим Кошельком.
Веб 3.0 мобильный Кошелек遭遇模альный Фишинг атака Новый тип Фишинг угроза пришла
Веб 3.0 мобильный Кошелек сталкивается с новыми угрозами Фишинга: атаки модального фишинга
В последнее время исследователи в области безопасности обнаружили новую технику фишинга, нацеленную на мобильные кошельки Веб 3.0, которая называется "модальная фишинг-атака"(Modal Phishing). Этот способ атаки использует модальные окна в мобильных приложениях кошельков, показывая вводящую в заблуждение информацию, чтобы заставить пользователей одобрить злонамеренные транзакции.
Что такое модальный фишинг?
Атаки модального фишинга в основном нацелены на манипуляцию модальными окнами в приложениях для криптовалютных кошельков. Модальные окна — это распространенные элементы пользовательского интерфейса в мобильных приложениях, которые обычно отображаются поверх главного экрана и используются для быстрых действий, таких как одобрение/отклонение запросов на транзакции.
В нормальных условиях модальное окно отображает информацию о личности инициатора сделки, такую как адрес сайта, иконка и др. Однако злоумышленники могут манипулировать этими элементами интерфейса, подделывая информацию о легитимном приложении, чтобы склонить пользователя к одобрению злонамеренной сделки.
Два типичных случая атак
1. Фишинг DApp через протокол Wallet Connect
Wallet Connect — это широко используемый протокол, который позволяет подключать кошельки пользователей к децентрализованным приложениям ( DApp ). Исследования показывают, что в процессе сопряжения приложение кошелька отображает метаинформацию, предоставляемую DApp, такую как название, веб-сайт, иконка и т. д. (, но не проверяет подлинность этой информации.
Злоумышленники могут использовать эту уязвимость для подделки идентификационной информации известных DApp. Например, злоумышленники могут выдать себя за приложение Uniswap, обманув пользователей подключить кошелек и одобрить злонамеренные транзакции.
![Раскрытие нового типа мошенничества с мобильными кошельками Веб 3.0: атакa фишинга Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-dafdce504880b12244d287e60c0fd498.webp(
![Раскрытие новых мошеннических схем мобильного кошелька Веб 3.0: модальные фишинг-атаки Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp(
![Раскрытие нового типа мошенничества с мобильным кошельком Веб 3.0: модальные фишинг-атаки Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-e3d17d2ea42349c1331580d6cc4b919c.webp(
) 2. Фишинг информации о смарт-контрактах через MetaMask
Некоторые приложения Кошелек ###, такие как MetaMask (, отображают название функции смарт-контракта на экране подтверждения транзакции. Злоумышленники могут зарегистрировать смарт-контракт с вводящими в заблуждение именами функций, такими как "SecurityUpdate", чтобы транзакция выглядела как официальное обновление безопасности от Кошелек.
Объединив манипуляцию с идентификацией DApp, злоумышленник может создать очень обманчивый запрос на сделку, который будет выглядеть так, как будто он исходит от "MetaMask" с "безопасным обновлением".
![Раскрытие нового типа мошенничества с мобильными кошельками Веб 3.0: модальные фишинг-атаки Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-2de349fc736a88000db66b2238cd5489.webp(
![Раскрытие нового типа мошенничества с мобильными кошельками Веб 3.0: Модальные фишинговые атаки Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d.webp(
![Раскрытие нового типа мошенничества с мобильными кошельками Веб 3.0: модальные фишинговые атаки Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp(
![Раскрытие новой схемы мошенничества с мобильными Кошельками Веб 3.0: атака модального Фишинга])https://img-cdn.gateio.im/webp-social/moments-9589d873000950a9132010c1a9323e91.webp(
Рекомендации по безопасности
Чтобы справиться с этой новой угрозой, эксперты рекомендуют:
Разработчики приложений Кошелек должны всегда предполагать, что входящие данные из внешних источников ненадежны, и проверять законность всей информации, представляемой пользователю.
Протоколы, такие как Wallet Connect, должны рассмотреть возможность добавления механизма проверки информации DApp.
Пользователи должны быть осторожны при одобрении любых неизвестных запросов на транзакции и внимательно проверять детали транзакции.
Кошелек приложения должен учитывать фильтрацию ключевых слов, которые могут быть использованы для Фишинга.
В общем, с развитием технологий Веб 3.0 пользователи и разработчики должны повысить осведомленность о безопасности и совместно противостоять постоянно развивающимся сетевым угрозам.
![Раскрытие нового типа мошенничества с мобильным кошельком Веб 3.0: модальная фишинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-8b4186b031ffd019332d79000e6442d9.webp(