Web3 Mobil Cüzdan Yeni Phishing Saldırı Yöntemleri Açığa Çıkarıldı: Modal Phishing

Son zamanlarda, Web3 mobil cüzdanlarına yönelik yeni bir kimlik avı tekniği keşfettik, bu teknik kullanıcıları kötü niyetli işlemleri onaylamaya yönlendirmek için kullanılıyor. Bu yeni kimlik avı tekniğine "Modal Phishing Attack"(Modal Phishing) adını verdik.

Bu tür bir saldırıda, hackerlar mobil cüzdanlara sahte bilgiler gönderebilir, meşru DApp'leri taklit edebilir ve kullanıcıları işlem onaylamaya ikna etmek için cüzdanın modal penceresinde yanıltıcı içerik göstererek kandırabilirler. Bu oltalama tekniği yaygın olarak kullanılmaktadır. İlgili bileşen geliştiricileri ile iletişime geçtik ve riskleri azaltmak için yeni bir doğrulama API'si yayınlayacaklarını belirttiler.

Modül Balıkçılığı Saldırısı Nedir?

Mobil cüzdanların güvenlik araştırmasında, Web3 cüzdanlarının bazı kullanıcı arayüzü (UI) unsurlarının saldırganlar tarafından kontrol edilerek kimlik avı saldırıları için kullanılabileceğini fark ettik. Bu kimlik avı tekniğine modal kimlik avı adını verdik, çünkü saldırganlar esasen kripto cüzdanlarının modal pencerelerine saldırmaktadır.

Modül penceresi, mobil uygulamalarda sıkça kullanılan bir UI öğesidir ve genellikle ana pencerenin üstünde görüntülenir. Bu tasarım, kullanıcıların hızlı işlemleri kolayca gerçekleştirmesi için kullanılır, örneğin Web3 cüzdanının işlem taleplerini onaylama/red etme. Web3 cüzdanındaki tipik modül tasarımı, kullanıcıların kontrol edebilmesi için gerekli işlem bilgilerini sağlar ve talepleri onaylama veya reddetme butonları sunar.

Ancak, bu kullanıcı arayüzü öğeleri saldırganlar tarafından modüle edilmiş kimlik avı saldırıları için kullanılabilir. Saldırganlar, kullanıcıları onaylamaya ikna etmek için işlem ayrıntılarını değiştirebilir, işlem taleplerini güvenilir bir kaynaktan gelen güvenlik güncellemeleri gibi gizleyebilir.

Tipik Saldırı Örnekleri

Örnek 1: Wallet Connect ile DApp Phishing

Cüzdan Connect, kullanıcı cüzdanlarını DApp'lerle QR kodu veya derin bağlantı aracılığıyla bağlamak için popüler bir açık kaynak protokolüdür. Bağlantı sürecinde, Web3 cüzdanı, DApp'in adı, web sitesi, simgesi gibi bilgileri gösteren bir modal pencere açar. Ancak bu bilgiler DApp tarafından sağlanmaktadır ve cüzdan bu bilgilerin doğruluğunu doğrulamaz.

Saldırganlar bu bilgileri sahteleyerek meşru DApp'leri taklit edebilir. Örneğin, saldırgan Uniswap olduğunu iddia ederek kullanıcıların MetaMask cüzdanını bağlamasını sağlayabilir ve kullanıcıları kötü niyetli işlemleri onaylamaya kandırabilir. Bağlantı sürecinde, cüzdan içinde gösterilen modal pencere, isim, web sitesi ve simge dahil olmak üzere, görünüşte meşru Uniswap bilgilerini sunacaktır.

Farklı cüzdanların mod tasarımı farklı olabilir, ancak saldırganlar her zaman bu meta bilgilere erişim sağlayabilir. Bu tür bir saldırı, kullanıcıları işlem talebinin meşru bir DApp'ten geldiğine inandırmak için kullanılabilir.

Örnek 2: MetaMask ile akıllı sözleşme bilgisi phishing

MetaMask'ın işlem onayı modül penceresinde, DApp bilgileri dışında, "Onayla" veya "Bilinmeyen Yöntem" gibi işlem türünü belirten bir dize de görüntülenecektir. MetaMask, akıllı sözleşmenin imza baytlarını okuyacak ve zincir üzerindeki yöntem kayıt defterini kullanarak ilgili yöntem adını sorgulayacaktır.

Saldırganlar bu mekanizmayı kullanarak, "SecurityUpdate" adında bir ödeme işlevine sahip bir oltalama akıllı sözleşmesi oluşturabilirler. MetaMask bu sözleşmeyi çözdüğünde, onaylama modunda kullanıcıya "SecurityUpdate" kelimesini sunar.

Diğer kontrol edilebilir UI öğeleriyle birleştirildiğinde, saldırganlar "MetaMask"ten gelen bir "Güvenlik Güncellemesi" isteği gibi görünen son derece ikna edici bir işlem talebi oluşturabilir ve kullanıcıyı onaylamaya ikna edebilir.

Özet

Modül avcılığı saldırıları, Web3 cüzdan UI bileşenlerindeki potansiyel riskleri ortaya çıkarıyor. Bu saldırının temel nedeni, cüzdan uygulamalarının sunulan UI öğelerinin geçerliliğini yeterince doğrulamamasıdır. Örneğin, cüzdan doğrudan Wallet Connect SDK'sından gelen meta verilere güveniyor, oysa SDK kendisi gelen meta verileri doğrulamıyor.

Bu tür saldırılara karşı önlem almak için, cüzdan geliştiricileri her zaman dış verilerin güvenilmez olduğunu varsaymalı, kullanıcılara gösterilecek bilgileri dikkatle seçmeli ve bu bilgilerin geçerliliğini doğrulamalıdır. Aynı zamanda, kullanıcılar da her bilinmeyen işlem talebine karşı dikkatli olmalı ve kendi varlıklarının güvenliğini sağlamalıdır.