Новая методика фишинга в Web3 мобильных кошельках: модальный фишинг

В последнее время мы обнаружили новый тип фишинга, нацеленного на мобильные кошельки Web3, который может использоваться для введения пользователей в заблуждение при одобрении злонамеренных транзакций. Мы назвали эту новую технику фишинга "модальная фишинг-атака"(Modal Phishing).

В этой атаке хакеры могут отправлять поддельные сообщения в мобильный Кошелек, выдавая себя за законные DApp, и обманывать пользователей, показывая вводящее в заблуждение содержимое в модальном окне Кошелька для получения разрешения на транзакцию. Эта техника фишинга стала широко распространенной. Мы уже общались с разработчиками соответствующих компонентов, которые сообщили, что выпустят новый API верификации для снижения рисков.

Что такое модальная фишинговая атака?

В ходе исследования безопасности мобильных кошельков мы обратили внимание на то, что некоторые элементы пользовательского интерфейса Web3 кошельков (UI) могут быть контролируемы злоумышленниками для фишинг-атак. Мы назвали эту технику фишинга модальным фишингом, поскольку злоумышленники в основном нацелены на модальные окна крипто-кошельков.

Модальное окно — это часто используемый элемент UI в мобильных приложениях, обычно отображаемый в верхней части главного окна. Этот дизайн часто применяется для упрощения выполнения пользователями быстрых операций, таких как одобрение/отказ от запроса на транзакцию в Web3 кошельке. Типичный модальный дизайн на Web3 кошельке обычно предоставляет необходимую информацию о транзакции для проверки пользователем, а также кнопки для одобрения или отказа от запроса.

Однако эти элементы пользовательского интерфейса могут быть использованы злоумышленниками для проведения модальных фишинговых атак. Злоумышленники могут изменять детали транзакции, маскируя запросы на транзакции под безопасные обновления от доверенных источников, чтобы заставить пользователей одобрить их.

Типичные случаи атак

Пример 1: Фишинг DApp через Кошелек Connect

Wallet Connect — это популярный открытый протокол, который используется для подключения пользовательского Кошелек к DApp через QR-код или глубокую ссылку. В процессе подключения Web3 Кошелек будет отображать модальное окно, показывающее название DApp, URL, иконку и другую информацию. Однако эта информация предоставляется DApp, и Кошелек не проверяет ее достоверность.

Атакующий может подделать эту информацию, выдав себя за легитимное DApp. Например, атакующий может заявить, что он Uniswap, подключить кошелек MetaMask пользователя и обманом заставить пользователя одобрить злонамеренную транзакцию. В процессе подключения модальное окно, отображаемое в кошельке, будет показывать казалось бы легитимную информацию Uniswap, включая название, веб-сайт и иконку.

Различные модели кошельков могут быть разными, но злоумышленник всегда может контролировать эту метаинформацию. Эта атака может быть использована для того, чтобы заставить пользователя поверить, что запрос на транзакцию исходит от законного DApp.

Пример 2: Фишинг информации о смарт-контрактах через MetaMask

В модальном окне подтверждения транзакции MetaMask, помимо информации о DApp, будет отображаться строка, указывающая тип транзакции, такая как "Подтвердить" или "Неизвестный метод". MetaMask считывает байты подписи смарт-контракта и использует реестр методов на блокчейне для запроса соответствующего названия метода.

Атакующие могут использовать этот механизм для создания фишингового смарт-контракта, содержащего метод с платежной функцией под названием "SecurityUpdate". Когда MetaMask анализирует этот контракт, он показывает пользователю слово "SecurityUpdate" в модальном окне одобрения.

Сочетая другие контролируемые элементы пользовательского интерфейса, злоумышленник может создать очень убедительный запрос на транзакцию, замаскировав его под запрос "SecurityUpdate" от "MetaMask", чтобы ввести пользователя в заблуждение и заставить его одобрить.

Резюме

Модальные фишинговые атаки выявляют потенциальные риски в UI-компонентах кошелька Web3. Основная причина таких атак заключается в том, что приложение кошелька не проверяет должным образом законность представленных UI-элементов. Например, кошелек напрямую доверяет метаданным, поступающим из Wallet Connect SDK, при этом сам SDK также не проверяет входящие метаданные.

Чтобы предотвратить такие атаки, разработчики Кошелек должны всегда предполагать, что внешние данные ненадежны, тщательно выбирать информацию, которую они показывают пользователям, и проверять легитимность этой информации. В то же время, пользователи также должны быть настороже к каждому неизвестному запросу на транзакцию, чтобы обеспечить безопасность своих активов.