Новая техника фишинга для мобильных кошельков Web3.0: атака с использованием модальностей

Недавно мы обнаружили новый тип фишинг-технологии, нацеленной на мобильные кошельки Веб 3.0, который может ввести пользователей в заблуждение при подключении к децентрализованным приложениям (DApp) и привести к утечке личной информации. Мы назвали этот новый способ атаки "модальная фишинг-атака" (Modal Phishing).

Атакующие выдают себя за легитимные DApp, отправляя поддельные сообщения в мобильный Кошелек и отображая вводящий в заблуждение контент в модальном окне кошелька, заставляя пользователей подтверждать транзакции. Эта техника Фишинга становится широко распространенной. Разработчики соответствующих компонентов подтвердили, что будут выпущены новые API для валидации, чтобы снизить риски.

Принципы модальных фишинг-атак

В ходе исследования безопасности мобильного кошелька мы обратили внимание на то, что некоторые элементы пользовательского интерфейса Web3.0 Кошелька (UI) могут быть контролируемы злоумышленниками для фишинга. Эта техника называется модальным фишингом, потому что злоумышленники в основном нацелены на модальные окна криптовалютного кошелька.

Модальные окна являются распространённым элементом UI в мобильных приложениях, обычно отображаемым в верхней части основного окна, используемым для быстрого выполнения действий, таких как одобрение/отклонение запроса на транзакцию. Типичный модальный дизайн Веб 3.0 Кошелька включает детали транзакции и кнопки одобрения/отклонения, позволяя пользователям проверять и выполнять действия.

Однако эти элементы пользовательского интерфейса могут быть под контролем злоумышленников. Например, злоумышленники могут изменить детали транзакции, замаскировав запрос под "безопасное обновление" от "Metamask", чтобы склонить пользователей к его одобрению.

Типичные случаи атак

1. Фишинг DApp через Wallet Connect

Wallet Connect является популярным открытым протоколом для подключения пользовательских кошельков к DApp. В процессе сопряжения кошелек отображает модальное окно с информацией, такой как название DApp, веб-сайт и значок. Однако эта информация предоставляется DApp, и кошелек не проверяет ее достоверность.

Атакующие могут выдавать себя за легитимные DApp, предоставляя ложную информацию. Например, атакующий может заявить, что он Uniswap, подключить кошелек Metamask пользователя и обмануть пользователя, чтобы тот одобрил транзакцию. Поскольку отображаемая информация кажется законной, пользователи легко могут быть обмануты.

2. Фишинг информации о смарт-контрактах через Metamask

Metamask отображает имя метода смарт-контракта в модальном окне одобрения транзакции. Злоумышленники могут создать фишинговый смарт-контракт с вводящим в заблуждение названием, таким как "SecurityUpdate", и зарегистрировать это название в блокчейне. Когда Metamask анализирует контракт, это название отображается в модальном окне, делая запрос на транзакцию более надежным.

Объединив эти контролируемые элементы UI, злоумышленник может создать запрос на "безопасное обновление", который выглядит так, словно он пришел от "Metamask", и вынудить пользователя дать разрешение.

Рекомендации по предотвращению

1. Разработчики кошельков должны предполагать, что внешние данные ненадежны, тщательно выбирать информацию, которую они показывают пользователям, и проверять ее законность.

2. Протоколы, такие как Wallet Connect, должны заранее проверять действительность информации DApp.

3. Кошелек должен отслеживать и фильтровать слова, которые могут быть использованы для Фишинга.

4. Пользователи должны быть осторожны с каждым неизвестным запросом на сделку и тщательно проверять детали транзакции.

Атаки модального фишинга используют доверие пользователей к интерфейсу кошелька, манипулируя определенными элементами интерфейса для создания убедительных фишинг-ловушек. Осознание этой угрозы и принятие соответствующих мер защиты крайне важно для обеспечения безопасности экосистемы Веб 3.0.