Веб 3.0 мобільний гаманець новий тип фішинг-технологій: модальний фішинг-атака

Нещодавно ми виявили нову техніку фішингу, спрямовану на мобільні гаманці Web3.0, яка може ввести в оману користувачів під час підключення до децентралізованих застосунків (DApp), змушуючи їх розкривати особисту інформацію. Ми назвали цей новий метод атаки "модальним фішингом" (Modal Phishing).

Зловмисники видають себе за законні DApp, надсилаючи підроблену інформацію до мобільного Гаманець, і відображають оманливий вміст у модальному вікні Гаманця, спонукаючи користувачів схвалити транзакцію. Ця техніка Фішинг широко використовується. Розробники відповідних компонентів підтвердили, що випустять новий API для верифікації, щоб знизити ризики.

Принципи модальної фішингової атаки

У дослідженні безпеки мобільного гаманця ми звернули увагу на те, що певні елементи інтерфейсу користувача Web3.0 гаманця (UI) можуть бути контрольовані зловмисниками для фішингу. Цю техніку називають модальним фішингом, оскільки зловмисники переважно намагаються маніпулювати модальними вікнами криптогаманця.

Модальні вікна є поширеним елементом UI в мобільних додатках, зазвичай відображаються над основним вікном для швидких дій, таких як схвалення/відхилення запитів на транзакції. Типовий модальний дизайн Веб 3.0 Гаманець містить деталі транзакції та кнопки схвалення/відхилення, щоб користувач міг перевірити та виконати дії.

Однак ці елементи інтерфейсу можуть бути контрольовані зловмисниками. Наприклад, зловмисник може змінити деталі транзакції, маскуючи запит під "безпечне оновлення" з "Metamask", щоб спонукати користувача дати свою згоду.

Типові випадки атак

1. Через Wallet Connect фішинг DApp

Wallet Connect є популярним відкритим протоколом для підключення гаманців користувачів до DApp. Під час процесу парування гаманець відображає модальне вікно, яке містить інформацію, таку як назва DApp, веб-сайт та значок. Однак цю інформацію надає DApp, гаманець не перевіряє її достовірність.

Зловмисники можуть видавати себе за легітимні DApp, надаючи неправдиву інформацію. Наприклад, зловмисник може стверджувати, що він є Uniswap, підключаючи гаманець Metamask користувача та спокушаючи його схвалити транзакцію. Оскільки інформація, що відображається, здається легітимною, користувачеві легко бути обманутим.

2. Фішинг інформації про смарт-контракти через Metamask

Metamask відображає ім'я методу смарт-контракту в модальному вікні затвердження транзакції. Зловмисники можуть створювати фішингові смарт-контракти з оманливими назвами, такими як "SecurityUpdate", і реєструвати цю назву в мережі. Коли Metamask аналізує контракт, це ім'я відображається в модальному вікні, що робить запит на транзакцію більш правдоподібним.

Поєднуючи ці контрольовані елементи інтерфейсу, зловмисник може створити запит на "безпечне оновлення", що, здається, походить від "Metamask", щоб спокусити користувача дати згоду.

Рекомендації щодо запобігання

1. Розробники гаманець повинні припустити, що зовнішні дані ненадійні, ретельно вибирати інформацію, що відображається користувачам, та перевіряти її законність.

2. Протоколи, такі як Wallet Connect, повинні заздалегідь перевіряти дійсність інформації DApp.

3. Гаманець додаток повинен відстежувати та фільтрувати слова, які можуть бути використані для фішингу.

4. Користувачі повинні бути обережними з кожним невідомим запитом на транзакцію та ретельно перевіряти деталі транзакції.

Модальні фішингові атаки використовують довіру користувачів до UI гаманця, маніпулюючи певними елементами інтерфейсу, щоб створити надзвичайно переконливі фішингові пастки. Визнання цієї загрози та вжиття відповідних заходів захисту є надзвичайно важливими для забезпечення безпеки екосистеми Веб 3.0.