Web3.0 Dompet bergerak menghadapi ancaman phishing baru: serangan phishing modal

Peneliti baru-baru ini telah menemukan jenis teknik phishing baru yang ditujukan untuk dompet mobile Web3.0, yang disebut "serangan phishing modal" (Modal Phishing). Teknik serangan ini terutama memanfaatkan jendela modal dalam aplikasi dompet mobile untuk menipu pengguna, sehingga mereka menyetujui transaksi jahat tanpa mengetahui.

Prinsip Serangan Phishing Modal

Serangan phishing modal terutama menargetkan jendela modal dalam aplikasi dompet cryptocurrency. Jendela modal adalah elemen UI yang umum digunakan dalam aplikasi seluler, biasanya ditampilkan di atas antarmuka utama, untuk menampilkan informasi penting atau meminta tindakan dari pengguna, seperti menyetujui transaksi dan sebagainya.

Penyerang dapat menipu dengan mengontrol elemen UI tertentu dalam jendela modal ini. Misalnya, mereka dapat memanipulasi informasi DApp yang ditampilkan, nama fungsi kontrak pintar, dll., sehingga terlihat seperti pembaruan keamanan atau operasi tepercaya lainnya yang berasal dari aplikasi yang sah.

Dua Jenis Metode Serangan Utama

1. Memanfaatkan protokol Wallet Connect untuk memancing DApp: Penyerang dapat memalsukan informasi DApp, termasuk nama, ikon, dan URL. Ketika pengguna menghubungkan dompet melalui Wallet Connect, informasi palsu ini akan ditampilkan di jendela modal dompet, membuat pengguna salah mengira bahwa mereka sedang berinteraksi dengan DApp yang sah.

2. Melakukan phishing melalui informasi kontrak pintar: Dengan menggunakan MetaMask sebagai contoh, penyerang dapat membuat kontrak pintar dengan nama fungsi yang menyesatkan, seperti "SecurityUpdate". Ketika pengguna berinteraksi dengan kontrak-kontrak ini, Dompet akan menampilkan nama-nama ini di jendela modal, membuat transaksi terlihat seperti pembaruan keamanan yang normal.

Penyebab mendasar dari celah keamanan

Serangan jenis ini mungkin terjadi terutama karena aplikasi dompet gagal memverifikasi keabsahan informasi yang ditampilkan. Misalnya:

• Protokol Wallet Connect tidak memverifikasi informasi yang diberikan oleh DApp.
• Beberapa Dompet secara langsung mempercayai dan menampilkan metadata dari SDK eksternal.
• Nama fungsi kontrak pintar dapat didaftarkan secara jahat sebagai string yang menyesatkan.

Saran Pencegahan

1. Pengembang Dompet seharusnya:
   • Pertahankan sikap skeptis terhadap semua data eksternal dan lakukan verifikasi yang ketat.
   • Memilih informasi yang ditampilkan kepada pengguna dengan cermat.
   • Melaksanakan langkah-langkah keamanan tambahan untuk memverifikasi keaslian permintaan transaksi.

2. Pengguna seharusnya:
   • Waspada terhadap setiap permintaan transaksi yang tidak dikenal.
   • Periksa detail transaksi dengan cermat, jangan percaya begitu saja pada informasi yang ditampilkan di jendela modal.
   • Sebelum menyetujui transaksi apapun, konfirmasi keandalan sumber.

Kesimpulan

Serangan phishing modal menunjukkan adanya ancaman keamanan baru dalam ekosistem Web3.0. Seiring dengan meningkatnya popularitas aplikasi terdesentralisasi dan Dompet, baik pengguna maupun pengembang perlu meningkatkan kewaspadaan dan mengambil langkah-langkah keamanan yang lebih ketat untuk mencegah teknik penipuan yang dirancang dengan cermat ini. Hanya dengan terus memperbaiki praktik keamanan, kita dapat membangun pengalaman pengguna yang lebih aman dan terpercaya di dunia Web3.0.