# ウェブ3.0モバイルウォレット新型フィッシング攻撃:モーダルウィンドウフィッシング最近、ウェブ3.0分野で新しいフィッシング技術が注目を集めています。この技術は、分散型アプリ(DApp)のアイデンティティ接続の段階を特に狙い、欺瞞的な手段で被害者を誤導します。私たちはこれを「モーダルウィンドウフィッシング攻撃」と名付けました。攻撃者はモバイルウォレットのモーダルウィンドウを利用して、ユーザーに偽情報を表示し、正当なDAppに偽装してユーザーに取引を承認させるように誘導します。このフィッシング手法は広く普及しています。関連コンポーネントの開発者はリスクを低減するための新しい検証APIを導入することを確認しました。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-5e20d7bf94995070ef023d62154c13c2)## モーダルウィンドウフィッシング攻撃の原理モバイルウォレットのセキュリティ研究において、ウェブ3.0暗号ウォレットの特定のユーザーインターフェース要素が攻撃者によって制御され、フィッシング攻撃を実施するために使用されることがわかりました。モーダルウィンドウフィッシングと呼ばれる理由は、攻撃が主に暗号ウォレットのモーダルウィンドウを対象としているからです。モーダルウィンドウはモバイルアプリケーションで一般的なUI要素で、通常はメインウィンドウの上部に表示され、取引リクエストの承認や拒否などの迅速な操作に使用されます。典型的なウェブ3.0ウォレットのモーダルウィンドウデザインには、取引の詳細と操作ボタンが含まれています。しかし、これらのユーザーインターフェース要素は攻撃者によって操作される可能性があります。攻撃者は取引の詳細を変更し、取引リクエストを信頼できるソースからの重要な更新に偽装し、ユーザーに承認させるように仕向けることができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-dafdce504880b12244d287e60c0fd498)## 2つの典型的な攻撃ケース### 1. ウォレットコネクトを通じてDAppフィッシングを行うWallet Connectは、ユーザーのウォレットとDAppを接続するための人気のあるオープンソースプロトコルです。ペアリングプロセスでは、ウェブ3.0ウォレットがモーダルウィンドウを表示し、DAppの名前、ウェブサイト、アイコンなどの情報を示します。ただし、これらの情報はDAppによって提供されており、ウォレットはその真偽を検証しません。攻撃者は有名なDAppに成りすまし、ユーザーを誘導して接続し、取引を承認させることができます。例えば、攻撃者はUniswapに偽装し、類似の名前、ウェブサイト、アイコンを表示して、モーダルウィンドウを非常にリアルに見せることができます。異なるウォレットのモダリティ設計には違いがありますが、攻撃者は常にこれらのメタ情報を制御できます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-90000878c07a1333bd873500154af36d)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング](https://img-cdn.gateio.im/social/moments-e3d17d2ea42349c1331580d6cc4b919c)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-2de349fc736a88000db66b2238cd5489)### 2. MetaMaskを通じてスマートコントラクト情報のフィッシングMetaMaskの取引承認モーダルウィンドウでは、DApp情報の他に取引タイプも表示されます。この情報は、スマートコントラクトの署名バイトを読み取り、チェーン上のメソッドレジストリを照会することで得られます。攻撃者は、メソッド名を「SecurityUpdate」などの誤解を招く文字列として登録するフィッシングスマートコントラクトを作成できます。 MetaMaskがコントラクトを解析すると、承認モードでユーザーに名前が表示され、トランザクションが重要なセキュリティアップデートのように見えます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/social/moments-966a54698e22dacfc63bb23c2864959e)## 防止に関する提案1. ウォレット開発者は、すべての外部データが信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その合法性を確認する必要があります。2. ウォレットコネクトなどのプロトコルは、DAppの情報の有効性と合法性を事前に検証する必要があります。3. ウォレットアプリはフィッシング攻撃に使用される可能性のある言葉を監視し、フィルタリングする必要があります。4. ユーザーは、未知の取引リクエストに対して警戒を怠らず、モーダルウィンドウに表示される情報を簡単に信じないようにしてください。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-9589d873000950a9132010c1a9323e91)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング](https://img-cdn.gateio.im/social/moments-8b4186b031ffd019332d79000e6442d9)要するに、モーダルウィンドウのフィッシング攻撃は、ウェブ3.0エコシステムにおけるセキュリティ問題が引き続き注視と改善が必要であることを思い出させます。開発者とユーザーは警戒を高め、ウェブ3.0環境の安全を共同で維持すべきです。
Web3ウォレット新型フィッシング攻撃:モーダルウィンドウでユーザーに取引の承認を騙す
ウェブ3.0モバイルウォレット新型フィッシング攻撃:モーダルウィンドウフィッシング
最近、ウェブ3.0分野で新しいフィッシング技術が注目を集めています。この技術は、分散型アプリ(DApp)のアイデンティティ接続の段階を特に狙い、欺瞞的な手段で被害者を誤導します。私たちはこれを「モーダルウィンドウフィッシング攻撃」と名付けました。
攻撃者はモバイルウォレットのモーダルウィンドウを利用して、ユーザーに偽情報を表示し、正当なDAppに偽装してユーザーに取引を承認させるように誘導します。このフィッシング手法は広く普及しています。関連コンポーネントの開発者はリスクを低減するための新しい検証APIを導入することを確認しました。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
モーダルウィンドウフィッシング攻撃の原理
モバイルウォレットのセキュリティ研究において、ウェブ3.0暗号ウォレットの特定のユーザーインターフェース要素が攻撃者によって制御され、フィッシング攻撃を実施するために使用されることがわかりました。モーダルウィンドウフィッシングと呼ばれる理由は、攻撃が主に暗号ウォレットのモーダルウィンドウを対象としているからです。
モーダルウィンドウはモバイルアプリケーションで一般的なUI要素で、通常はメインウィンドウの上部に表示され、取引リクエストの承認や拒否などの迅速な操作に使用されます。典型的なウェブ3.0ウォレットのモーダルウィンドウデザインには、取引の詳細と操作ボタンが含まれています。
しかし、これらのユーザーインターフェース要素は攻撃者によって操作される可能性があります。攻撃者は取引の詳細を変更し、取引リクエストを信頼できるソースからの重要な更新に偽装し、ユーザーに承認させるように仕向けることができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
2つの典型的な攻撃ケース
1. ウォレットコネクトを通じてDAppフィッシングを行う
Wallet Connectは、ユーザーのウォレットとDAppを接続するための人気のあるオープンソースプロトコルです。ペアリングプロセスでは、ウェブ3.0ウォレットがモーダルウィンドウを表示し、DAppの名前、ウェブサイト、アイコンなどの情報を示します。ただし、これらの情報はDAppによって提供されており、ウォレットはその真偽を検証しません。
攻撃者は有名なDAppに成りすまし、ユーザーを誘導して接続し、取引を承認させることができます。例えば、攻撃者はUniswapに偽装し、類似の名前、ウェブサイト、アイコンを表示して、モーダルウィンドウを非常にリアルに見せることができます。
異なるウォレットのモダリティ設計には違いがありますが、攻撃者は常にこれらのメタ情報を制御できます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
2. MetaMaskを通じてスマートコントラクト情報のフィッシング
MetaMaskの取引承認モーダルウィンドウでは、DApp情報の他に取引タイプも表示されます。この情報は、スマートコントラクトの署名バイトを読み取り、チェーン上のメソッドレジストリを照会することで得られます。
攻撃者は、メソッド名を「SecurityUpdate」などの誤解を招く文字列として登録するフィッシングスマートコントラクトを作成できます。 MetaMaskがコントラクトを解析すると、承認モードでユーザーに名前が表示され、トランザクションが重要なセキュリティアップデートのように見えます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
防止に関する提案
ウォレット開発者は、すべての外部データが信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その合法性を確認する必要があります。
ウォレットコネクトなどのプロトコルは、DAppの情報の有効性と合法性を事前に検証する必要があります。
ウォレットアプリはフィッシング攻撃に使用される可能性のある言葉を監視し、フィルタリングする必要があります。
ユーザーは、未知の取引リクエストに対して警戒を怠らず、モーダルウィンドウに表示される情報を簡単に信じないようにしてください。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング
要するに、モーダルウィンドウのフィッシング攻撃は、ウェブ3.0エコシステムにおけるセキュリティ問題が引き続き注視と改善が必要であることを思い出させます。開発者とユーザーは警戒を高め、ウェブ3.0環境の安全を共同で維持すべきです。