Revelação de novas técnicas de phishing para carteiras móveis Web3: phishing modal

Recentemente, descobrimos uma nova técnica de phishing direcionada a carteiras móveis Web3, que pode ser usada para enganar os usuários a aprovarem transações maliciosas. Nomeamos essa nova técnica de phishing como "Modal Phishing Attack"(Modal Phishing).

Nesse tipo de ataque, os hackers podem enviar informações falsas para carteiras móveis, se passando por DApps legítimos, e enganar os usuários a aprovarem transações exibindo conteúdo enganoso na janela modal da carteira. Essa tática de phishing está sendo amplamente utilizada. Já conversamos com os desenvolvedores dos componentes relevantes, que afirmaram que lançarão uma nova API de validação para reduzir os riscos.

O que é um ataque de phishing modal?

Na pesquisa sobre a segurança das carteiras móveis, notamos que certos elementos da interface do usuário (UI) das carteiras Web3 podem ser controlados por atacantes para ataques de phishing. Nomeamos essa técnica de phishing como phishing modal, pois os atacantes visam principalmente as janelas modais das carteiras de criptomoedas.

As janelas modais são elementos de UI comumente usados em aplicativos móveis, geralmente exibidas na parte superior da janela principal. Este design é frequentemente utilizado para facilitar que os usuários realizem ações rápidas, como aprovar/rejeitar solicitações de transação da Carteira Web3. O design modal típico na Carteira Web3 geralmente fornece as informações de transação necessárias para os usuários verificarem, além de botões para aprovar ou rejeitar a solicitação.

No entanto, esses elementos da interface do usuário podem ser manipulados por atacantes para realizar ataques de phishing modal. Os atacantes podem alterar os detalhes da transação, disfarçar o pedido de transação como uma atualização de segurança de uma fonte confiável, entre outros, para induzir os usuários a aprovar.

Casos de Ataque Típicos

Exemplo 1: Phishing de DApp através do Wallet Connect

Wallet Connect é um protocolo de código aberto popular, utilizado para conectar carteiras de usuários a DApps através de códigos QR ou links profundos. Durante o processo de conexão, a carteira Web3 exibirá uma janela modal, mostrando o nome do DApp, o URL, o ícone e outras informações. No entanto, essas informações são fornecidas pelo DApp, e a carteira não verifica sua veracidade.

Os atacantes podem falsificar essas informações, fazendo-se passar por DApps legítimos. Por exemplo, um atacante pode afirmar ser o Uniswap, conectando a carteira MetaMask do usuário, enganando-o para aprovar transações maliciosas. Durante o processo de conexão, a janela modal exibida na carteira apresentará informações aparentemente legítimas do Uniswap, incluindo nome, URL e ícone.

O design modal de diferentes carteiras pode ser diferente, mas os atacantes sempre podem controlar essas metainformações. Este tipo de ataque pode ser usado para fazer os usuários acreditarem que o pedido de transação vem de um DApp legítimo.

Caso 2: Phishing de informações de contratos inteligentes através do MetaMask

Na janela modal de aprovação de transações da MetaMask, além das informações do DApp, será exibida uma string que representa o tipo de transação, como "Confirmar" ou "Método Desconhecido". A MetaMask lê os bytes de assinatura do contrato inteligente e usa o registro de métodos em cadeia para consultar o nome do método correspondente.

Os atacantes podem explorar este mecanismo para criar um contrato inteligente de phishing, que contém um método com função de pagamento chamado "SecurityUpdate". Quando o MetaMask analisa este contrato, apresentará ao usuário a palavra "SecurityUpdate" na modal de aprovação.

Combinando outros elementos de interface do utilizador controláveis, um atacante pode criar um pedido de transação muito convincente, disfarçando-o como um pedido de "Atualização de Segurança" vindo do "MetaMask", induzindo o utilizador a aprovar.

Resumo

Os ataques de phishing em modo revelam riscos potenciais nos componentes de UI da carteira Web3. A causa fundamental deste ataque é que a aplicação da carteira não verifica adequadamente a legitimidade dos elementos de UI apresentados. Por exemplo, a carteira confia diretamente nos metadados provenientes do SDK Wallet Connect, enquanto o próprio SDK também não valida os metadados recebidos.

Para prevenir esse tipo de ataque, os desenvolvedores de carteiras devem sempre assumir que os dados externos não são confiáveis, escolher cuidadosamente as informações a serem exibidas aos usuários e verificar a legitimidade dessas informações. Ao mesmo tempo, os usuários também devem estar atentos a cada solicitação de transação desconhecida, a fim de garantir a segurança de seus ativos.