Новые типы угроз безопасности мобильных кошельков Веб 3.0: Фишинг-атаки через модальные окна

Недавно исследователи безопасности обнаружили новый тип фишинга, нацеленный на мобильные Кошельки Веб 3.0, который называется "модальный фишинг". Эта атака в основном использует модальные окна в приложениях мобильных Кошельков, чтобы ввести пользователей в заблуждение и заставить их одобрить вредоносные транзакции.

Принципы модальных фишинговых атак

Модальные фишинговые атаки в основном нацелены на элементы пользовательского интерфейса в криптовалютных Кошельках Web3.0, особенно на модальные окна. Нападающие могут манипулировать информацией, отображаемой в этих окнах, заставляя её выглядеть так, как будто она поступает от легитимного децентрализованного приложения (DApp), тем самым обманывая пользователей, чтобы они одобрили транзакцию.

Этот способ атаки эффективен, потому что многие приложения Кошелек не смогли должным образом проверить законность представленной информации. Например, некоторые Кошелек напрямую доверяют метаданным из внешнего SDK, не проводя дополнительной проверки.

Примеры атак

1. Фишинг по протоколу Wallet Connect: Злоумышленники могут контролировать такие данные, как имя DApp, значок и адрес веб-сайта, заставляя фишинговый сайт выглядеть как легитимный DApp. Когда пользователи подключают кошелек через Wallet Connect, эта ложная информация отображается в модальном окне кошелька.

2. Фишинг информации о смарт-контрактах: Некоторые Кошельки (например, MetaMask) отображают названия функций смарт-контрактов в модальном окне. Злоумышленники могут создать вредоносный контракт с вводящими в заблуждение названиями, например, назвав функцию перевода "SecurityUpdate", чтобы обмануть пользователей и заставить их одобрить транзакцию.

Рекомендации по предотвращению

1. Разработчик Кошелька:
   • Всегда рассматривайте входящие внешние данные как недостоверные.
   • Тщательно выбирайте информацию, которую вы показываете пользователям, и проверяйте ее законность.
   • Рассмотрите возможность фильтрации ключевых слов, которые могут быть использованы в фишинговых атаках.

2. Пользователь:
   • Будьте настороже к каждому неизвестному запросу на транзакцию.
   • Тщательно проверьте детали транзакции, не одобряйте транзакцию, полагаясь только на информацию, отображаемую в модальном окне.
   • Используйте официальные каналы для загрузки и обновления Кошелька.

3. Разработчик протокола:
   • Рассмотрите возможность добавления механизма проверки на уровне протокола, например, Wallet Connect может заранее проверять действительность информации DApp.

С развитием технологий Веб 3.0 новые типы угроз безопасности также продолжают эволюционировать. Пользователи и разработчики должны повышать свою безопасность и совместно поддерживать безопасность экосистемы Веб 3.0.

! Развенчиваем миф о новом мошенничестве с мобильным кошельком Web3.0: модальная фишинговая атака