Web3.0 Mobil Cüzdan Yeni Bir Kimlik Avı Tehditiyle Karşı Karşıya: Modül Avı Saldırısı
Son zamanlarda, güvenlik araştırmacıları Web3.0 mobil cüzdanlarına karşı yeni bir kimlik avı tekniği keşfetti. Bu tekniğe "modal kimlik avı saldırısı"(Modal Phishing) denir. Bu saldırı yöntemi, mobil cüzdan uygulamalarındaki modal pencereleri kullanarak, yanıltıcı bilgiler göstererek kullanıcıları kötü niyetli işlemleri onaylamaya kandırır.
Modül Kimlik Avı Saldırısı Nedir?
Modüler kimlik avı saldırıları, kripto para cüzdan uygulamalarındaki modül pencerelerini manipüle etmeyi hedefler. Modül pencereleri, mobil uygulamalarda yaygın olarak kullanılan UI öğeleridir ve genellikle ana ekranın üzerinde görünür, onaylama/red etme gibi hızlı işlemler için kullanılır.
Normal şartlarda, modül penceresi işlem başlatıcısının kimlik bilgilerini, örneğin web sitesi adresi, simgesi vb. gösterir. Ancak, saldırganlar bu UI öğelerini manipüle ederek, meşru uygulamaların kimlik bilgilerini taklit edebilir ve kullanıcıları kötü niyetli işlemleri onaylamaya teşvik edebilir.
İki Tipik Saldırı Vakası
1. Wallet Connect protokolü ile DApp Kimlik Avı
Cüzdan Connect, kullanıcı cüzdanlarını merkeziyetsiz uygulama(DApp) ile bağlamak için yaygın olarak kullanılan bir protokoldür. Araştırmalar, eşleştirme sürecinde, cüzdan uygulamasının DApp tarafından sağlanan meta bilgileri( (isim, web sitesi, simge vb.) gösterdiğini, ancak bu bilgilerin doğruluğunu doğrulamadığını ortaya koymuştur.
Saldırganlar bu açığı kullanarak tanınmış DApp'in kimlik bilgilerini taklit edebilirler. Örneğin, saldırganlar Uniswap uygulamasını taklit ederek kullanıcıları cüzdanlarını bağlamaya ve kötü niyetli işlemleri onaylamaya ikna edebilir.
![Web3.0 Mobil Cüzdanın Yeni Dolandırıcılığı: Modal Phishing Saldırılarını Açıklamak])https://img-cdn.gateio.im/webp-social/moments-dafdce504880b12244d287e60c0fd498.webp(
![Web3.0 Cüzdan Yeni Dolandırıcılığı: Modal Phishing Saldırısı])https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp(
![Web3.0 Mobil Cüzdan Yeni Dolandırıcılığını Ortaya Çıkarma: Modal Phishing Saldırısı])https://img-cdn.gateio.im/webp-social/moments-e3d17d2ea42349c1331580d6cc4b919c.webp(
) 2. MetaMask ile akıllı sözleşme bilgisi Kimlik Avı
Bazı cüzdan uygulamaları ###, MetaMask ( gibi, işlem onay ekranında akıllı sözleşmenin fonksiyon adını gösterir. Saldırganlar, işlemin cüzdanın resmi güvenlik güncellemesinden geliyormuş gibi görünmesini sağlamak için yanıltıcı isimlere sahip akıllı sözleşme fonksiyonları kaydedebilir, örneğin "SecurityUpdate".
DApp kimlik bilgilerini manipüle ederek, saldırganlar "MetaMask"'ten gelen "güvenlik güncellemesi" gibi görünen son derece aldatıcı bir işlem talebi oluşturabilir.
![Web3.0 mobil cüzdan yeni dolandırıcılığı: Modal Phishing saldırısı])https://img-cdn.gateio.im/webp-social/moments-2de349fc736a88000db66b2238cd5489.webp(
![Web3.0 Cüzdan yeni dolandırıcılığı: Modal Kimlik Avı saldırısı])https://img-cdn.gateio.im/webp-social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d.webp(
![Web3.0 Cüzdan yeni dolandırıcılık türünü ortaya çıkarma: Modal Kimlik Avı])https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp(
![Web3.0 Cüzdan yeni dolandırıcılık türünü ortaya çıkarma: Modül Kimlik Avı Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-9589d873000950a9132010c1a9323e91.webp(
Güvenlik Önerileri
Bu yeni tehdit ile başa çıkmak için uzmanlar öneriyor:
Cüzdan uygulama geliştiricileri, her zaman dışarıdan gelen verilerin güvenilmez olduğunu varsaymalı ve kullanıcıya sunulan tüm bilgilerin geçerliliğini doğrulamalıdır.
Cüzdan Bağlantısı gibi protokollerin DApp bilgi doğrulama mekanizmasını eklemeyi düşünmesi gerekmektedir.
Kullanıcı, herhangi bir bilinmeyen işlem talebini onaylarken dikkatli olmalı ve işlem ayrıntılarını dikkatlice doğrulamalıdır.
Sonuç olarak, Web3 teknolojisinin gelişimiyle birlikte, kullanıcılar ve geliştiriciler güvenlik bilincini artırmalı ve sürekli evrilen siber tehditlerle birlikte mücadele etmelidir.
![Web3.0 Cüzdan Yeni Dolandırıcılığı: Modal Phishing Saldırısı])https://img-cdn.gateio.im/webp-social/moments-8b4186b031ffd019332d79000e6442d9.webp(
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
12 Likes
Reward
12
3
Repost
Share
Comment
0/400
TestnetScholar
· 08-10 16:13
İşçiler yeni tuzaklara karşı dikkatli olmalılar.
View OriginalReply0
IronHeadMiner
· 08-10 16:13
Yine yeni bir tuzak geldi, cüzdanım daha dikkatli olmalı.
Web3.0 mobil cüzdan kimlik avı saldırısına uğradı, yeni bir kimlik avı tehdidi ortaya çıkıyor.
Web3.0 Mobil Cüzdan Yeni Bir Kimlik Avı Tehditiyle Karşı Karşıya: Modül Avı Saldırısı
Son zamanlarda, güvenlik araştırmacıları Web3.0 mobil cüzdanlarına karşı yeni bir kimlik avı tekniği keşfetti. Bu tekniğe "modal kimlik avı saldırısı"(Modal Phishing) denir. Bu saldırı yöntemi, mobil cüzdan uygulamalarındaki modal pencereleri kullanarak, yanıltıcı bilgiler göstererek kullanıcıları kötü niyetli işlemleri onaylamaya kandırır.
Modül Kimlik Avı Saldırısı Nedir?
Modüler kimlik avı saldırıları, kripto para cüzdan uygulamalarındaki modül pencerelerini manipüle etmeyi hedefler. Modül pencereleri, mobil uygulamalarda yaygın olarak kullanılan UI öğeleridir ve genellikle ana ekranın üzerinde görünür, onaylama/red etme gibi hızlı işlemler için kullanılır.
Normal şartlarda, modül penceresi işlem başlatıcısının kimlik bilgilerini, örneğin web sitesi adresi, simgesi vb. gösterir. Ancak, saldırganlar bu UI öğelerini manipüle ederek, meşru uygulamaların kimlik bilgilerini taklit edebilir ve kullanıcıları kötü niyetli işlemleri onaylamaya teşvik edebilir.
İki Tipik Saldırı Vakası
1. Wallet Connect protokolü ile DApp Kimlik Avı
Cüzdan Connect, kullanıcı cüzdanlarını merkeziyetsiz uygulama(DApp) ile bağlamak için yaygın olarak kullanılan bir protokoldür. Araştırmalar, eşleştirme sürecinde, cüzdan uygulamasının DApp tarafından sağlanan meta bilgileri( (isim, web sitesi, simge vb.) gösterdiğini, ancak bu bilgilerin doğruluğunu doğrulamadığını ortaya koymuştur.
Saldırganlar bu açığı kullanarak tanınmış DApp'in kimlik bilgilerini taklit edebilirler. Örneğin, saldırganlar Uniswap uygulamasını taklit ederek kullanıcıları cüzdanlarını bağlamaya ve kötü niyetli işlemleri onaylamaya ikna edebilir.
![Web3.0 Mobil Cüzdanın Yeni Dolandırıcılığı: Modal Phishing Saldırılarını Açıklamak])https://img-cdn.gateio.im/webp-social/moments-dafdce504880b12244d287e60c0fd498.webp(
![Web3.0 Cüzdan Yeni Dolandırıcılığı: Modal Phishing Saldırısı])https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp(
![Web3.0 Mobil Cüzdan Yeni Dolandırıcılığını Ortaya Çıkarma: Modal Phishing Saldırısı])https://img-cdn.gateio.im/webp-social/moments-e3d17d2ea42349c1331580d6cc4b919c.webp(
) 2. MetaMask ile akıllı sözleşme bilgisi Kimlik Avı
Bazı cüzdan uygulamaları ###, MetaMask ( gibi, işlem onay ekranında akıllı sözleşmenin fonksiyon adını gösterir. Saldırganlar, işlemin cüzdanın resmi güvenlik güncellemesinden geliyormuş gibi görünmesini sağlamak için yanıltıcı isimlere sahip akıllı sözleşme fonksiyonları kaydedebilir, örneğin "SecurityUpdate".
DApp kimlik bilgilerini manipüle ederek, saldırganlar "MetaMask"'ten gelen "güvenlik güncellemesi" gibi görünen son derece aldatıcı bir işlem talebi oluşturabilir.
![Web3.0 mobil cüzdan yeni dolandırıcılığı: Modal Phishing saldırısı])https://img-cdn.gateio.im/webp-social/moments-2de349fc736a88000db66b2238cd5489.webp(
![Web3.0 Cüzdan yeni dolandırıcılığı: Modal Kimlik Avı saldırısı])https://img-cdn.gateio.im/webp-social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d.webp(
![Web3.0 Cüzdan yeni dolandırıcılık türünü ortaya çıkarma: Modal Kimlik Avı])https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp(
![Web3.0 Cüzdan yeni dolandırıcılık türünü ortaya çıkarma: Modül Kimlik Avı Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-9589d873000950a9132010c1a9323e91.webp(
Güvenlik Önerileri
Bu yeni tehdit ile başa çıkmak için uzmanlar öneriyor:
Cüzdan uygulama geliştiricileri, her zaman dışarıdan gelen verilerin güvenilmez olduğunu varsaymalı ve kullanıcıya sunulan tüm bilgilerin geçerliliğini doğrulamalıdır.
Cüzdan Bağlantısı gibi protokollerin DApp bilgi doğrulama mekanizmasını eklemeyi düşünmesi gerekmektedir.
Kullanıcı, herhangi bir bilinmeyen işlem talebini onaylarken dikkatli olmalı ve işlem ayrıntılarını dikkatlice doğrulamalıdır.
Cüzdan uygulamaları, kimlik avı saldırıları için kullanılabilecek anahtar kelimeleri filtrelemeyi düşünmelidir.
Sonuç olarak, Web3 teknolojisinin gelişimiyle birlikte, kullanıcılar ve geliştiriciler güvenlik bilincini artırmalı ve sürekli evrilen siber tehditlerle birlikte mücadele etmelidir.
![Web3.0 Cüzdan Yeni Dolandırıcılığı: Modal Phishing Saldırısı])https://img-cdn.gateio.im/webp-social/moments-8b4186b031ffd019332d79000e6442d9.webp(