Web3.0 Portefeuille mobile nouvelle attaque de phishing : phishing par fenêtre modale

Récemment, une nouvelle technique de phishing a attiré l'attention dans le domaine de Web3.0. Cette technique cible spécifiquement la connexion d'identité des applications décentralisées (DApp), en trompant les victimes par des moyens trompeurs. Nous l'avons nommée "attaque de phishing par fenêtre modale".

Les attaquants exploitent la fenêtre modale du portefeuille mobile pour afficher de fausses informations, se faisant passer pour une DApp légitime, afin d'inciter les utilisateurs à approuver des transactions. Cette méthode de phishing se propage largement. Les développeurs des composants concernés ont confirmé qu'ils allaient lancer une nouvelle API de vérification pour réduire les risques.

Principe de l'attaque par hameçonnage de fenêtre modale

Dans nos recherches sur la sécurité des portefeuilles mobiles, nous avons découvert que certains éléments d'interface utilisateur des portefeuilles cryptographiques Web3.0 peuvent être contrôlés par des attaquants pour mettre en œuvre des attaques de phishing. On les appelle des attaques de phishing par fenêtres modales, car les attaques ciblent principalement les fenêtres modales des portefeuilles cryptographiques.

Les fenêtres modales sont des éléments d'interface utilisateur courants dans les applications mobiles, généralement affichées en haut de la fenêtre principale, utilisées pour des opérations rapides, telles que l'approbation ou le refus des demandes de transaction. Un design typique de fenêtre modale pour un portefeuille Web3.0 comprend les détails de la transaction et les boutons d'action.

Cependant, ces éléments d'interface utilisateur peuvent être manipulés par des attaquants. Les attaquants peuvent modifier les détails de la transaction et déguiser les demandes de transaction en mises à jour importantes provenant de sources de confiance, incitant les utilisateurs à approuver.

Deux cas d'attaque typiques

1. Phishing DApp via Wallet Connect

Wallet Connect est un protocole open source très populaire, utilisé pour connecter les portefeuilles des utilisateurs aux DApps. Au cours du processus de jumelage, le portefeuille Web3.0 affichera une fenêtre modale présentant le nom, l'URL, l'icône et d'autres informations de la DApp. Cependant, ces informations sont fournies par la DApp, le portefeuille ne vérifiant pas leur authenticité.

Les attaquants peuvent se faire passer pour des DApps connus, incitant les utilisateurs à se connecter et à approuver des transactions. Par exemple, un attaquant peut se faire passer pour Uniswap, en affichant des noms, des URL et des icônes similaires, rendant la fenêtre modale très réaliste.

Bien que les conceptions de mode des différents Portefeuilles varient, les attaquants peuvent toujours contrôler ces métadonnées.

2. Phishing d'informations sur les contrats intelligents via MetaMask

Dans la fenêtre modale d'approbation des transactions de MetaMask, en plus des informations sur le DApp, le type de transaction sera également affiché. Cette information est obtenue en lisant les octets de signature du contrat intelligent et en consultant le registre des méthodes sur la chaîne.

Les attaquants peuvent créer des contrats intelligents de phishing, en enregistrant des noms de méthodes comme "SecurityUpdate" et d'autres chaînes trompeuses. Lorsque MetaMask analyse ce contrat, il affiche ce nom à l'utilisateur dans la modale d'approbation, rendant la transaction semblant être une mise à jour de sécurité importante.

Conseils de prévention

1. Les développeurs de Portefeuille devraient supposer que toutes les données externes ne sont pas fiables, choisir soigneusement les informations à afficher aux utilisateurs et vérifier leur légitimité.

2. Les protocoles tels que Wallet Connect doivent vérifier à l'avance la validité et la légalité des informations DApp.

3. L'application Portefeuille doit surveiller et filtrer les mots pouvant être utilisés pour des attaques de phishing.

4. Les utilisateurs doivent rester vigilants face à chaque demande de transaction inconnue et ne pas faire confiance facilement aux informations affichées dans la fenêtre modale.

En somme, les attaques de phishing par fenêtres modales nous rappellent que les problèmes de sécurité dans l'écosystème Web3.0 nécessitent une attention et des améliorations continues. Les développeurs et les utilisateurs doivent rester vigilants et collaborer pour maintenir la sécurité de l'environnement Web3.0.