Web3モバイルウォレットの新しいセキュリティ脅威：モーダルフィッシング攻撃

最近、セキュリティ研究者はWeb3モバイルウォレットに対する新しいフィッシング技術を発見しました。それは「モーダルフィッシング攻撃」(Modal Phishing)と呼ばれています。この攻撃手法は、モバイルウォレットアプリによく見られるモーダルウィンドウのUI要素を利用し、誤解を招く情報を表示してユーザーに悪意のある取引を承認させるように仕向けます。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

モーダルフィッシング攻撃の原理

モーダルフィッシング攻撃は、暗号通貨ウォレットアプリケーションで取引確認に使用されるモーダルウィンドウを主に標的としています。攻撃者は、これらのウィンドウ内の特定のUI要素を操作し、虚偽または誤解を招く情報を表示させることで、ユーザーを騙して悪意のある取引を承認させることができます。

この攻撃手法は主に二つの脆弱性を利用しています：

1. Wallet Connectプロトコルを介したDAppフィッシング：攻撃者は接続要求内のDApp情報（名称、アイコンなど）を制御でき、フィッシングアプリが合法的なDAppに偽装します。

2. スマートコントラクト情報フィッシング：特定のウォレットアプリはモーダルウィンドウにスマートコントラクトの関数名を表示し、攻撃者はユーザーを騙すために誤解を招く関数名を登録できます。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

攻撃事例

DAppフィッシング

研究者は、UniswapやMetamaskなどの有名なアプリを装った偽のDAppを作成する方法を示しました。ユーザーがウォレットを接続しようとすると、モーダルウィンドウには名前、ウェブサイト、アイコンを含む一見合法的なアプリ情報が表示されます。これにより、ユーザーは実際のDAppと対話していると誤解する可能性があります。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

スマートコントラクト情報フィッシング

ある有名なモバイルウォレットを例に挙げると、攻撃者はフィッシングスマートコントラクトを作成し、その関数名を"SecurityUpdate"として登録することができます。ユーザーが取引リクエストを受け取ると、モーダルウィンドウにはこの誤解を招く関数名が表示され、取引がウォレットアプリ自体からの安全更新のように見えます。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング

セキュリティ提案

モダリティフィッシング攻撃を防ぐために、研究者は以下の提案をしました：

1. ウォレットアプリの開発者は、外部からの入力データの合法性を常に検証し、これらの情報を盲目的に信頼して表示すべきではありません。

2. ウォレット ConnectプロトコルはDApp情報検証メカニズムの追加を検討する必要があります。

3. ウォレットアプリは、フィッシングに使用される可能性のあるセンシティブな単語をフィルタリングする必要があります。

4. ユーザーは未知の取引リクエストに対して警戒を維持し、取引の詳細を慎重に確認する必要があります。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

要するに、モーダルフィッシング攻撃は、Web3モバイルウォレットのユーザーインターフェースデザインと情報検証における潜在的なセキュリティリスクを明らかにしました。このような攻撃手法の露呈に伴い、業界はユーザー資産の保護レベルを向上させるために、より厳格なセキュリティ対策を講じることが期待されています。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング