Веб 3.0 мобільний гаманець новий тип фішингової атаки: фішинг через модальне вікно

Нещодавно новий тип фішингової технології привернув увагу в сфері Веб 3.0. Ця технологія спеціально націлена на ідентифікаційний зв'язок децентралізованих додатків (DApp), вводячи жертву в оману за допомогою обманних методів. Ми назвали це "атака фішингу через модальне вікно".

Зловмисники використовують модальне вікно мобільного гаманця, щоб показувати користувачам фальшиву інформацію, маскуючись під легітимний DApp, спокушаючи користувачів схвалити транзакцію. Цей метод фішингу широко поширюється. Розробники відповідних компонентів підтвердили, що незабаром буде випущено новий API перевірки для зниження ризиків.

Принцип атаки риболовлі через модальні вікна

У дослідженні безпеки мобільних гаманець ми виявили, що деякі елементи інтерфейсу користувача крипто гаманців Веб 3.0 можуть бути контрольовані зловмисниками для здійснення фішингових атак. Це називається фішингом модальних вікон, оскільки атаки в основному націлені на модальні вікна крипто гаманців.

Модальні вікна є поширеним елементом інтерфейсу користувача в мобільних застосунках, зазвичай відображаються на верхній частині основного вікна та використовуються для швидких дій, таких як затвердження або відхилення запитів на транзакції. Типовий дизайн модального вікна гаманця Web3.0 містить деталі транзакції та кнопки дій.

Однак ці елементи користувацького інтерфейсу можуть бути маніпульовані зловмисниками. Зловмисники можуть змінити деталі транзакції, маскуючи запит на транзакцію під важливе оновлення з надійного джерела, спонукаючи користувачів затвердити.

Два типових випадки атаки

1. Фішинг DApp через Wallet Connect

Wallet Connect є популярним відкритим протоколом для підключення гаманців користувачів до DApp. Під час процедури спарювання гаманець Веб 3.0 відображає модальне вікно, яке показує назву DApp, веб-сайт, іконку та іншу інформацію. Проте ця інформація надається DApp, і гаманець не перевіряє її достовірність.

Зловмисники можуть видавати себе за відомі DApp, спонукаючи користувачів підключатися та підтверджувати транзакції. Наприклад, зловмисники можуть маскуватися під Uniswap, демонструючи схожі назви, веб-сайти та значки, роблячи модальне вікно виглядати дуже реалістично.

Хоча модальні дизайни різних гаманеців відрізняються, зловмисники завжди можуть контролювати цю метаінформацію.

2. Фішинг інформації про смарт-контракти через MetaMask

У модальному вікні затвердження транзакції MetaMask, окрім інформації про DApp, також буде показано тип транзакції. Ця інформація отримується шляхом читання байтів підпису смарт-контракту та запиту реєстру методів на ланцюзі.

Зловмисники можуть створити фішинговий смарт-контракт, зареєструвавши назви методів як "SecurityUpdate" та інші оманливі рядки. Коли MetaMask аналізує цей контракт, він відображає цю назву у модальному вікні схвалення для користувача, що робить транзакцію схожою на важливе оновлення безпеки.

Рекомендації щодо запобігання

1. Розробники гаманець повинні вважати, що всі зовнішні дані ненадійні, ретельно вибирати інформацію для відображення користувачам та перевіряти її законність.

2. Протоколи, такі як Wallet Connect, повинні заздалегідь перевіряти дійсність і законність інформації DApp.

3. Гаманці повинні моніторити та фільтрувати слова, які можуть бути використані для фішингових атак.

4. Користувачам слід бути обережними з кожним незнайомим запитом на транзакцію і не слід легко вірити інформації, що відображається у модальному вікні.

Отже, спливаючі вікна фішингових атак нагадують нам, що питання безпеки в екосистемі Веб 3.0 все ще потребують постійної уваги та вдосконалення. Розробники та користувачі повинні бути пильними та спільно підтримувати безпеку середовища Веб 3.0.