Web3.0 Portefeuille nouvelle technologie de phishing : attaque de phishing modal

Récemment, nous avons découvert une nouvelle technique de phishing ciblant les portefeuilles mobiles Web3.0, qui pourrait induire en erreur les utilisateurs en leur faisant divulguer des informations d'identité lors de la connexion à l'application décentralisée (DApp). Nous avons nommé cette nouvelle méthode d'attaque "attaque de phishing modal" (Modal Phishing).

Les attaquants se font passer pour des DApps légitimes en envoyant de fausses informations aux portefeuilles mobiles, et affichent du contenu trompeur dans la fenêtre modale du portefeuille, incitant les utilisateurs à approuver la transaction. Cette technique de phishing est largement utilisée. Les développeurs des composants concernés ont confirmé qu'ils publieraient une nouvelle API de validation pour réduire les risques.

Principe des attaques de phishing modal

Dans notre recherche sur la sécurité des portefeuilles mobiles, nous avons remarqué que certains éléments d'interface utilisateur (UI) des portefeuilles Web3.0 peuvent être contrôlés par des attaquants à des fins de phishing. Cette technique est appelée phishing modal, car les attaquants ciblent principalement les fenêtres modales des portefeuilles de cryptomonnaie.

Une fenêtre modale est un élément d'interface utilisateur courant dans les applications mobiles, généralement affichée en haut de la fenêtre principale, utilisée pour des opérations rapides telles que l'approbation ou le refus de demandes de transaction. Le design modal typique d'un portefeuille Web3.0 comprend les détails de la transaction et les boutons d'approbation ou de refus, permettant à l'utilisateur de vérifier et d'agir.

Cependant, ces éléments d'interface utilisateur peuvent être contrôlés par des attaquants. Par exemple, un attaquant peut modifier les détails de la transaction et déguiser la demande en "mise à jour de sécurité" provenant de "Metamask" pour inciter l'utilisateur à approuver.

Cas d'attaque typiques

1. Phishing DApp via Wallet Connect

Wallet Connect est un protocole open source populaire qui permet de connecter les portefeuilles des utilisateurs aux DApps. Pendant le processus d'appariement, le portefeuille affiche une fenêtre modale contenant des informations telles que le nom de la DApp, l'URL et l'icône. Cependant, ces informations sont fournies par la DApp, et le portefeuille ne vérifie pas leur authenticité.

Les attaquants peuvent se faire passer pour des DApps légitimes et fournir de fausses informations. Par exemple, un attaquant peut prétendre être Uniswap, connecter le portefeuille Metamask de l'utilisateur et le tromper en lui faisant approuver une transaction. Étant donné que les informations affichées semblent légitimes, il est très facile de tromper l'utilisateur.

2. Phishing d'informations sur les contrats intelligents via Metamask

Metamask affiche le nom de la méthode du contrat intelligent dans le mode d'approbation des transactions. Un attaquant peut créer un contrat intelligent de phishing avec un nom trompeur, comme "SecurityUpdate", et enregistrer ce nom sur la chaîne. Lorsque Metamask analyse le contrat, ce nom s'affiche dans la fenêtre modale, rendant la demande de transaction plus crédible.

En combinant ces éléments d'interface utilisateur contrôlables, l'attaquant peut créer une demande de "mise à jour de sécurité" qui semble provenir de "Metamask", incitant l'utilisateur à approuver.

Conseils de prévention

1. Les développeurs de portefeuilles devraient supposer que les données externes ne sont pas fiables, choisir avec soin les informations à afficher aux utilisateurs et vérifier leur légitimité.

2. Les protocoles comme Wallet Connect doivent valider à l'avance la validité des informations DApp.

3. L'application Portefeuille doit surveiller et filtrer les mots susceptibles d'être utilisés pour le Phishing.

4. Les utilisateurs doivent rester vigilants face à chaque demande de transaction inconnue et vérifier attentivement les détails de la transaction.

Les attaques de phishing modales exploitent la confiance des utilisateurs dans l'interface utilisateur du portefeuille, en manipulant certains éléments de l'UI pour créer des pièges de phishing très convaincants. Reconnaître cette menace et prendre des mesures de protection appropriées est crucial pour garantir la sécurité de l'écosystème Web3.0.