Web3.0 محفظة الهاتف المحمول تقنيات جديدة للتصيد: هجمات التصيد المودالية

مؤخراً، اكتشفنا تقنية جديدة للتصيد تستهدف المحفظة المتنقلة Web3.0، قد تضلل المستخدمين عند اتصالهم بتطبيقات لامركزية (DApp) مما يؤدي إلى تسريب معلومات الهوية. وقد أطلقنا على هذه الطريقة الجديدة للهجوم اسم "هجوم التصيد عن طريق الوضع" (Modal Phishing).

المهاجمون يقومون بانتحال DApp الشرعي من خلال إرسال معلومات مزورة إلى المحفظة المحمولة، ويعرضون محتوى مضلل في نافذة المحفظة، مما يحث المستخدمين على الموافقة على المعاملات. هذه التقنية للتصيد تُستخدم على نطاق واسع. وقد أكد مطورو المكونات ذات الصلة أنهم سيصدرون واجهة برمجة تطبيقات تحقق جديدة لتقليل المخاطر.

مبدأ هجوم التصيد الاحتيالي

في دراسة أمان المحفظة المحمولة، لاحظنا أن بعض عناصر واجهة المستخدم Web3.0 للمحفظة (UI) يمكن أن يتم التحكم فيها من قبل المهاجمين لاستخدامها في التصيد. تُعرف هذه التقنية باسم التصيد النموذجي، لأن المهاجمين يركزون بشكل أساسي على نافذة المحفظة المشفرة.

نافذة الحالة هي عنصر واجهة مستخدم شائع في تطبيقات الهواتف المحمولة، وعادة ما تظهر في الجزء العلوي من النافذة الرئيسية، وتستخدم لإجراء عمليات سريعة مثل الموافقة/رفض طلبات المعاملات. التصميم النموذجي لنافذة الحالة في محفظة Web3.0 يتضمن تفاصيل المعاملة وأزرار الموافقة/الرفض، للسماح للمستخدمين بالتحقق والتصرف.

ومع ذلك، قد تتحكم هذه العناصر في واجهة المستخدم من قبل المهاجمين. على سبيل المثال، يمكن للمهاجمين تغيير تفاصيل المعاملة، وتزييف الطلب ليبدو ك"تحديث أمني" قادم من "Metamask"، من أجل إغراء المستخدم بالموافقة.

حالات الهجوم النموذجية

1. من خلال Wallet Connect ، تصيد DApp

Wallet Connect هو بروتوكول مفتوح المصدر شائع يتيح ربط محفظة المستخدم مع DApp. خلال عملية الاقتران، ستظهر المحفظة نافذة منبثقة تحتوي على معلومات مثل اسم DApp، ورابطه، ورمزه. ومع ذلك، يتم توفير هذه المعلومات من قبل DApp، ولا تتحقق المحفظة من صحتها.

يمكن للمهاجمين انتحال صفة DApp الشرعي، وتقديم معلومات مزيفة. على سبيل المثال، يمكن للمهاجم أن يدعي أنه Uniswap، ويتصل بمحفظة Metamask الخاصة بالمستخدم، لخداع المستخدم للموافقة على الصفقة. نظرًا لأن المعلومات المعروضة تبدو شرعية، فمن السهل جدًا خداع المستخدم.

2. من خلال Metamask معلومات التصيد بالعقود الذكية

تظهر Metamask اسم طريقة العقد الذكي في وضع الموافقة على المعاملات. يمكن للمهاجمين إنشاء عقود ذكية تصيدية تحمل أسماء مضللة، مثل "SecurityUpdate"، وتسجيل هذا الاسم على السلسلة. عندما تقوم Metamask بتحليل العقد، سيتم عرض هذا الاسم في نافذة الوضع، مما يجعل طلب المعاملة يبدو أكثر موثوقية.

من خلال دمج هذه العناصر القابلة للتحكم في واجهة المستخدم، يمكن للمهاجمين إنشاء طلب "تحديث أمان" يبدو أنه صادر عن "Metamask"، مما يخدع المستخدمين للموافقة.

نصائح الوقاية

1. يجب على مطوري المحفظة أن يفترضوا أن البيانات الخارجية غير موثوقة، وأن يختاروا بعناية المعلومات المعروضة للمستخدمين، وأن يتحققوا من صحتها.

2. يجب على بروتوكولات مثل Wallet Connect التحقق مسبقًا من صحة معلومات DApp.

3. يجب على تطبيق المحفظة مراقبة وتصفيه الكلمات التي قد تستخدم في التصيد.

4. يجب على المستخدمين أن يكونوا حذرين من كل طلبات المعاملات غير المعروفة والتحقق بعناية من تفاصيل المعاملة.

تستغل هجمات التصيد الاحتيالي الثقة التي يوليها المستخدمون لواجهة مستخدم المحفظة، من خلال التلاعب ببعض عناصر الواجهة لإنشاء فخاخ تصيد مقنعة للغاية. من الضروري التعرف على هذه التهديدات واتخاذ التدابير الوقائية المناسبة لضمان أمان نظام Web3.0.