Nueva técnica de phishing para billeteras móviles Web3.0: ataque de phishing modal

Recientemente, hemos descubierto una nueva técnica de phishing dirigida a billeteras móviles Web3.0, que podría engañar a los usuarios para que revelen información de identidad al conectar aplicaciones descentralizadas (DApp). Hemos nombrado esta nueva forma de ataque como "ataque de phishing modal" (Modal Phishing).

Los atacantes suplantan aplicaciones descentralizadas legítimas al enviar información falsa a billeteras móviles y mostrar contenido engañoso en la ventana modal de la billetera, lo que lleva a los usuarios a aprobar transacciones. Esta técnica de phishing se está utilizando ampliamente. Los desarrolladores de los componentes relacionados han confirmado que se lanzará una nueva API de verificación para reducir el riesgo.

Principio del ataque de phishing modal

En la investigación sobre la seguridad de las billeteras móviles, notamos que ciertos elementos de la interfaz de usuario de las billeteras Web3.0 (UI) pueden ser controlados por atacantes para phishing. Esta técnica se llama phishing modal porque los atacantes apuntan principalmente a las ventanas modales de las billeteras de criptomonedas.

Las ventanas modales son elementos de UI comunes en aplicaciones móviles, que generalmente se muestran en la parte superior de la ventana principal, y se utilizan para operaciones rápidas como aprobar/rechazar solicitudes de transacción. El diseño modal típico de una billetera Web3.0 incluye detalles de la transacción y botones de aprobar/rechazar, para que los usuarios puedan revisar y operar.

Sin embargo, estos elementos de la interfaz de usuario pueden ser controlados por atacantes. Por ejemplo, un atacante puede cambiar los detalles de la transacción y disfrazar una solicitud como una "actualización de seguridad" proveniente de "Metamask" para engañar a los usuarios y hacer que aprueben.

Casos de ataque típicos

1. A través de Wallet Connect para phishing de DApp

Wallet Connect es un protocolo de código abierto popular utilizado para conectar billeteras de usuario con DApp. Durante el proceso de emparejamiento, la billetera muestra una ventana modal que contiene información como el nombre de la DApp, la URL y el ícono. Sin embargo, esta información es proporcionada por la DApp y la billetera no verifica su autenticidad.

Los atacantes pueden hacerse pasar por DApps legítimos y proporcionar información falsa. Por ejemplo, un atacante puede afirmar ser Uniswap, conectar la billetera Metamask del usuario y engañarlo para que apruebe una transacción. Dado que la información mostrada parece legítima, es fácil que el usuario sea engañado.

2. A través de Metamask, phishing de información de contratos inteligentes

Metamask muestra el nombre del método del contrato inteligente en el modal de aprobación de transacciones. Los atacantes pueden crear contratos inteligentes de phishing con nombres engañosos, como "SecurityUpdate", y registrar este nombre en la cadena. Cuando Metamask analiza el contrato, este nombre se muestra en la ventana modal, lo que hace que la solicitud de transacción parezca más confiable.

Con estos elementos de UI controlables, un atacante puede crear una solicitud de "actualización de seguridad" que parece provenir de "Metamask", engañando a los usuarios para que la aprueben.

Sugerencias de prevención

1. Los desarrolladores de billeteras deben suponer que los datos externos no son confiables, seleccionar cuidadosamente la información que se muestra a los usuarios y verificar su legalidad.

2. Protocolo como Wallet Connect debe verificar previamente la validez de la información de DApp.

3. La aplicación de la Billetera debe monitorear y filtrar las palabras que puedan ser utilizadas para Phishing.

4. Los usuarios deben mantenerse alerta ante cada solicitud de transacción desconocida y verificar detenidamente los detalles de la transacción.

Los ataques de phishing modal explotan la confianza del usuario en la interfaz de usuario de la billetera, creando trampas de phishing muy convincentes al manipular ciertos elementos de la interfaz. Reconocer esta amenaza y tomar las medidas de protección adecuadas es crucial para garantizar la seguridad del ecosistema Web3.0.