Ancaman Keamanan Baru untuk Dompet Mobile Web3: Serangan Phishing Modal

Belakangan ini, peneliti keamanan menemukan teknik phishing baru yang ditargetkan pada dompet seluler Web3, yang disebut sebagai "modal phishing attack"(Modal Phishing). Metode serangan ini memanfaatkan elemen UI jendela modal yang umum dalam aplikasi dompet seluler, dengan menampilkan informasi yang menyesatkan untuk membujuk pengguna menyetujui transaksi jahat.

Prinsip Serangan Phishing Modal

Serangan phishing modal terutama menargetkan jendela modal yang digunakan untuk konfirmasi transaksi dalam aplikasi dompet cryptocurrency. Penyerang dapat memanipulasi beberapa elemen UI dalam jendela ini sehingga menampilkan informasi yang palsu atau menyesatkan, sehingga menipu pengguna untuk menyetujui transaksi jahat.

Metode serangan ini terutama memanfaatkan dua kerentanan:

1. Melakukan phishing DApp melalui protokol Wallet Connect: Penyerang dapat mengontrol informasi DApp dalam permintaan koneksi, seperti nama, ikon, dll., sehingga aplikasi phishing menyamar sebagai DApp yang sah.

2. Phishing informasi kontrak pintar: Beberapa aplikasi dompet akan menampilkan nama fungsi kontrak pintar di jendela modal, penyerang dapat mendaftarkan nama fungsi yang menyesatkan untuk menipu pengguna.

Analisis Kasus Serangan

DApp phishing

Peneliti mendemonstrasikan cara membuat DApp palsu yang mengklaim sebagai aplikasi terkenal seperti Uniswap atau Metamask. Ketika pengguna mencoba untuk menghubungkan Dompet, jendela modal akan menampilkan informasi aplikasi yang tampak sah, termasuk nama, situs web, dan ikon. Ini bisa menyesatkan pengguna untuk mempercayai bahwa mereka sedang berinteraksi dengan DApp yang nyata.

Informasi Penipuan Kontrak Cerdas

Sebagai contoh dompet seluler terkenal, penyerang dapat membuat kontrak pintar phishing dan mendaftarkan nama fungsinya sebagai "SecurityUpdate". Ketika pengguna menerima permintaan transaksi, jendela modal akan menampilkan nama fungsi yang menyesatkan ini, membuat transaksi tampak seolah-olah berasal dari pembaruan keamanan aplikasi dompet itu sendiri.

Saran Keamanan

Untuk mencegah serangan phishing modal, para peneliti telah mengajukan saran berikut:

1. Pengembang aplikasi Dompet harus selalu memverifikasi keabsahan data yang masuk dari luar, dan tidak boleh mempercayai serta menampilkan informasi tersebut secara membabi buta.

2. Protokol Wallet Connect harus mempertimbangkan untuk menambahkan mekanisme verifikasi informasi DApp.

3. Aplikasi dompet harus memfilter kata-kata sensitif yang mungkin digunakan untuk phishing.

4. Pengguna harus waspada terhadap setiap permintaan transaksi yang tidak dikenal dan memeriksa detail transaksi dengan cermat.

Singkatnya, serangan phishing modal mengungkapkan potensi risiko keamanan pada desain antarmuka pengguna dan verifikasi informasi dari dompet mobile Web3. Seiring dengan terungkapnya teknik serangan semacam ini, diharapkan industri akan mengambil langkah-langkah keamanan yang lebih ketat untuk meningkatkan tingkat perlindungan aset pengguna.