Веб 3.0 мобільний гаманець стикається з новими видами фішингових загроз: модальні фішингові атаки

Дослідники нещодавно виявили новий тип фішингової технології, спрямованої на Веб 3.0 гаманець, яка називається "модальна фішинг-атака" (Modal Phishing). Цей метод атаки в основному використовує модальні вікна в мобільних гаманцях, щоб ввести в оману користувачів, змушуючи їх без відома схвалювати зловмисні транзакції.

Принцип модального фішингу

Модальні фішингові атаки в основному націлені на модальні вікна в додатках для криптовалютних Гаманців. Модальні вікна є поширеними елементами інтерфейсу користувача в мобільних додатках, зазвичай відображаються поверх основного інтерфейсу, щоб показати важливу інформацію або запросити дію користувача, наприклад, підтвердження транзакції тощо.

Зловмисники можуть обманом контролювати певні елементи UI у цих модальних вікнах. Наприклад, вони можуть підробити відображену інформацію про DApp, назви функцій смарт-контрактів тощо, щоб це виглядало як безпечне оновлення або інша надійна дія від законного додатку.

Два основні способи атаки

1. Використання протоколу Wallet Connect для фішингу DApp: Зловмисники можуть підробляти інформацію про DApp, включаючи назву, іконку та веб-сайт тощо. Коли користувач підключає гаманець через Wallet Connect, ця фальшива інформація відображається у модальному вікні гаманця, змушуючи користувача помилково вважати, що він взаємодіє з легітимним DApp.

2. Фішинг через інформацію смарт-контрактів： Як приклад, використовуючи MetaMask, зловмисник може створити смарт-контракт з оманливими назвами функцій, такими як "SecurityUpdate". Коли користувач взаємодіє з цими контрактами, гаманець відображає ці назви у модальному вікні, що робить транзакції схожими на звичайні оновлення безпеки.

Основна причина уразливості

Ці атаки можуть відбуватися, головним чином, через те, що гаманець не зміг достатньо перевірити легітимність відображуваної інформації. Наприклад:

• Протокол Wallet Connect не перевіряє інформацію, надану DApp.
• Деякі Гаманець довіряють і відображають метадані з зовнішнього SDK.
• Назви функцій смарт-контрактів можуть бути зловмисно зареєстровані як оманливі рядки.

Рекомендації щодо запобігання

1. Розробники гаманець повинні:
   • Ставтеся до всіх зовнішніх даних з недовірою та проводьте сувору перевірку.
   • Уважно відбирати інформацію, що демонструється користувачам.
   • Запровадження додаткових заходів безпеки для перевірки真实性交易请求.

2. Користувач повинен:
   • Будьте обережні з кожним невідомим запитом на транзакцію.
   • Уважно перевірте деталі транзакції, не довіряйте інформації, що відображається у модальному вікні.
   • Перед затвердженням будь-якої транзакції підтвердіть надійність джерела.

Висновок

Модальні фішингові атаки демонструють нові типи загроз безпеці, що існують в екосистемі Веб 3.0. У міру поширення децентралізованих додатків і гаманець, користувачі та розробники повинні бути більш обережними, вживаючи більш суворі заходи безпеки для запобігання таких ретельно спланованих шахрайських схем. Лише через постійне вдосконалення практик безпеки ми зможемо побудувати більш безпечний та надійний користувацький досвід у світі Веб 3.0.