Новые угрозы безопасности Web3 мобильных кошельков: модальные фишинговые атаки

Недавно исследователи безопасности обнаружили новый тип фишинга, нацеленного на мобильные кошельки Web3, называемый "модальным фишингом" ( Modal Phishing ). Этот метод атаки использует распространенные элементы UI модальных окон в мобильных приложениях кошельков, чтобы обманом заставить пользователей одобрять вредоносные транзакции.

Принципы атак на модальные фишинговые схемы

Модальные фишинговые атаки в основном нацелены на модальные окна, используемые для подтверждения транзакций в приложениях криптовалютных Кошельков. Злоумышленники могут манипулировать некоторыми элементами пользовательского интерфейса в этих окнах, заставляя их отображать ложную или вводящую в заблуждение информацию, чтобы обмануть пользователей и заставить их одобрить злонамеренные транзакции.

Этот метод атаки в основном использует два уязвимости:

1. Фишинг DApp через протокол Wallet Connect: злоумышленники могут контролировать информацию о DApp в запросе на подключение, такую как название, иконка и т.д., позволяя фишинговому приложению маскироваться под законный DApp.

2. Фишинг информации о смарт-контрактах: некоторые приложения Кошелек могут отображать названия функций смарт-контрактов в модальном окне, злоумышленники могут зарегистрировать вводящие в заблуждение названия функций, чтобы обмануть пользователей.

Анализ случаев атак

DApp фишинг

Исследователи продемонстрировали, как создать поддельный DApp, который выдает себя за такие известные приложения, как Uniswap или Metamask. Когда пользователи пытаются подключить свой Кошелек, модальное окно отображает на вид легитимную информацию о приложении, включая название, веб-сайт и иконку. Это может ввести пользователей в заблуждение, заставив их поверить, что они взаимодействуют с настоящим DApp.

Фишинг информации о смарт-контрактах

В качестве примера известного мобильного кошелька, злоумышленник может создать фишинговый смарт-контракт и зарегистрировать его имя функции как "SecurityUpdate". Когда пользователь получает запрос на транзакцию, модальное окно отображает это вводящее в заблуждение имя функции, заставляя транзакцию выглядеть так, будто она исходит от самого приложения кошелька в виде обновления безопасности.

Рекомендации по безопасности

Чтобы предотвратить модальные фишинговые атаки, исследователи предложили следующие рекомендации:

1. Разработчики приложений Кошелек всегда должны проверять легитимность входящих внешних данных и не должны слепо доверять и отображать эту информацию.

2. Протокол Wallet Connect должен рассмотреть возможность добавления механизма проверки информации DApp.

3. Приложение Кошелек должно фильтровать потенциально используемые для фишинга敏感词语.

4. Пользователи должны быть бдительны к каждому неизвестному запросу на транзакцию и тщательно проверять детали транзакции.

В общем, модальные фишинговые атаки выявляют потенциальные уязвимости безопасности Web3 мобильных Кошельков в области дизайна пользовательского интерфейса и проверки информации. С учетом раскрытия таких методов атак, ожидается, что отрасль примет более строгие меры безопасности для повышения уровня защиты активов пользователей.