Нові безпекові загрози для Web3 мобільного гаманець: модальні фішингові атаки

Нещодавно дослідники з безпеки виявили новий тип фішингової технології, спрямованої на Web3 гаманець, яка отримала назву "модальна фішинг-атака" ( Modal Phishing ). Цей спосіб атаки використовує поширені елементи UI модальних вікон у мобільних гаманцях, вводячи в оману користувачів, щоб вони погоджувалися на шкідливі транзакції.

Принципи атаки модального риболовства

Модальні фішингові атаки в основному націлені на модальні вікна, що використовуються для підтвердження транзакцій у додатках криптовалютних Гаманець. Зловмисники можуть маніпулювати деякими елементами інтерфейсу користувача в цих вікнах, змушуючи їх відображати неправдиву або вводячу в оману інформацію, щоб обманути користувачів на схвалення шкідливих транзакцій.

Цей метод атаки в основному використовує два вразливості:

1. Фішинг DApp через протокол Wallet Connect: зловмисник може контролювати інформацію про DApp у запитах на підключення, такі як назва, іконка тощо, що дозволяє фішинговому додатку маскуватися під легітимний DApp.

2. Фішинг інформації про смарт-контракти: деякі гаманець застосунки можуть відображати назви функцій смарт-контрактів у модальному вікні, зловмисники можуть реєструвати оманливі назви функцій, щоб обманути користувачів.

Аналіз випадків атак

DApp риболовля

Дослідники продемонстрували, як створити підроблений DApp, що претендує на те, щоб бути відомими застосунками, такими як Uniswap або Metamask. Коли користувач намагається підключити гаманець, модальне вікно відображає інформацію про застосунок, яка виглядає легітимною, включаючи назву, веб-сайт і значок. Це може ввести користувачів в оману, змушуючи їх думати, що вони взаємодіють з реальним DApp.

Інформація про фішинг смарт-контрактів

Наприклад, на основі відомого мобільного гаманець, зловмисник може створити фішинговий смарт-контракт і зареєструвати його ім'я функції як "SecurityUpdate". Коли користувач отримує запит на транзакцію, модальне вікно відображає це оманливе ім'я функції, що робить транзакцію схожою на безпекове оновлення, яке надходить безпосередньо з додатку гаманця.

Рекомендації з безпеки

Щоб запобігти атакам модального фішингу, дослідники запропонували такі рекомендації:

1. Розробники гаманець додатків повинні завжди перевіряти легітимність зовнішніх вхідних даних і не повинні сліпо довіряти та відображати цю інформацію.

2. У протоколі Wallet Connect слід розглянути можливість додавання механізму перевірки інформації DApp.

3. Гаманець повинен фільтрувати чутливі слова, які можуть бути використані для фішингу.

4. Користувачі повинні бути уважними до кожного невідомого запиту на транзакцію та ретельно перевіряти деталі транзакції.

Отже, модальні фішинг-атаки виявили потенційні загрози безпеці Web3 мобільних гаманців у дизайні інтерфейсу користувача та верифікації інформації. З появою таких методів атак галузь, ймовірно, вживає більш суворих заходів безпеки для підвищення рівня захисту активів користувачів.