ウェブ3.0モバイルウォレットが新たなフィッシング脅威に直面：モーダルフィッシング攻撃

研究者は最近、ウェブ3.0モバイルウォレットに対する新しいフィッシング技術である「モーダルフィッシング攻撃」が発見された。この攻撃手法は、主にモバイルウォレットアプリのモーダルウィンドウを利用してユーザーを誤導し、知らず知らずのうちに悪意のある取引を承認させる。

モーダルフィッシング攻撃の原理

モーダルフィッシング攻撃は、暗号通貨ウォレットアプリケーションのモーダルウィンドウをターゲットにして行われます。モーダルウィンドウは、モバイルアプリケーションで一般的に使用されるUI要素で、通常はメインインターフェースの上に表示され、重要な情報を表示したり、ユーザーの操作を要求したりします。たとえば、取引の承認などです。

攻撃者は、これらのモーダルウィンドウ内の特定のUI要素を制御することによって、詐欺を行うことができます。たとえば、彼らは表示されるDApp情報やスマートコントラクト関数名を改ざんし、それが合法なアプリからの安全な更新やその他の信頼できる操作のように見えるようにすることができます。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

攻撃には大きく分けて2つのタイプがあります

1. Wallet Connectプロトコルを利用したDAppフィッシング： 攻撃者はDAppの情報を偽造することができ、名前、アイコン、URLなどを含みます。ユーザーがWallet Connectを通じてウォレットに接続すると、これらの虚偽の情報がウォレットのモーダルウィンドウに表示され、ユーザーは正当なDAppとやり取りしていると誤解します。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

2. スマートコントラクト情報を利用したフィッシング： MetaMaskを例にとると、攻撃者は「SecurityUpdate」のような誤解を招く関数名を持つスマートコントラクトを作成できます。ユーザーがこれらのコントラクトと対話すると、ウォレットはモーダルウィンドウでこれらの名前を表示し、取引が正常なセキュリティ更新のように見えるようになります。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

脆弱性の根本原因

この種の攻撃が発生する可能性があるのは、ウォレットアプリが表示される情報の合法性を十分に検証できていないためです。例えば：

• Wallet ConnectプロトコルはDAppが提供する情報を検証していません。
• 一部のウォレットは外部SDKからのメタデータを直接信頼して表示します。
• スマートコントラクトの関数名は、悪意のある登録によって誤解を招く文字列として使われる可能性があります。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング

予防に関する推奨事項

1. ウォレット開発者は:
   • すべての外部データに懐疑的な態度を持ち、厳格な検証を行う。
   • ユーザーに表示する情報を慎重に選別する。
   • 取引リクエストの真正性を確認するために追加のセキュリティ対策を実施します。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

2. ユーザーは次のことを行うべきです:
   • 未知の取引リクエストには警戒を保つ。
   • 取引の詳細を注意深く確認し、モーダルウィンドウに表示されている情報を軽信しないでください。
   • 取引を承認する前に、出所の信頼性を確認してください。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

まとめ

モダリティフィッシング攻撃は、ウェブ3.0エコシステムに存在する新たなセキュリティ脅威を示しています。分散型アプリケーションとウォレットの普及に伴い、ユーザーと開発者は警戒を強め、こうした巧妙に設計された詐欺手段から身を守るために、より厳格なセキュリティ対策を講じる必要があります。セキュリティ実践を常に改善することで、ウェブ3.0の世界でより安全で信頼できるユーザー体験を構築できるのです。

! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング