Веб 3.0 мобільний гаманець стикається з новими загрозами фішингу: модальні фішингові атаки
Нещодавно безпекові дослідники виявили новий тип фішинг-технології, націленої на мобільні гаманці Web3.0, що називається "модальними фішинг-атаками" ( Modal Phishing ). Цей тип атаки використовує модальні вікна в мобільних гаманцях, показуючи оманливу інформацію, щоб спонукати користувачів затвердити шкідливі транзакції.
Що таке модальні фішингові атаки?
Атаки типу модального фішингу переважно націлені на маніпуляцію модальними вікнами в додатках для криптовалютних гаманець. Модальні вікна є поширеними елементами інтерфейсу користувача у мобільних додатках, які зазвичай відображаються поверх головного інтерфейсу для швидкого виконання дій, таких як затвердження/відхилення запитів на транзакції.
У нормальних умовах модальне вікно відображає ідентифікаційну інформацію ініціатора угоди, таку як адреса веб-сайту, значок тощо. Проте зловмисники можуть маніпулювати цими елементами інтерфейсу, підробляючи ідентифікаційну інформацію легітимних додатків, спонукаючи користувачів затверджувати шкідливі угоди.
Два типових випадки атаки
1. Через протокол Wallet Connect фішинг DApp
Wallet Connect є широко використовуваним протоколом для підключення гаманців користувачів до децентралізованих додатків (DApp). Дослідження показали, що під час процесу парування додаток гаманця відображає метадані, надані DApp, такі як назва, веб-сайт, значок тощо (, але не перевіряє їх достовірність.
Зловмисники можуть скористатися цією вразливістю, підробляючи ідентифікаційні дані відомих DApp. Наприклад, зловмисник може видати себе за додаток Uniswap, спокушаючи користувачів підключити гаманець та погодитися на шкідливі транзакції.
![Розкриття нової схеми шахрайства з мобільними гаманецьами Web3.0: модальна фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-dafdce504880b12244d287e60c0fd498.webp(
![Розкриття нових схем шахрайства з мобільними гаманцями Web3.0: модальна фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp(
![Розкриття нових схем шахрайства з мобільними гаманецьами Веб 3.0: модальна фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-e3d17d2ea42349c1331580d6cc4b919c.webp(
) 2. Фішинг інформації про смарт-контракти через MetaMask
Деякі гаманець додатки ###, такі як MetaMask (, відображатимуть назву функції смарт-контракту на екрані підтвердження транзакції. Зловмисники можуть зареєструвати смарт-контракт з оманливою назвою функції, наприклад "SecurityUpdate", щоб транзакція виглядала так, ніби вона походить від офіційного безпекового оновлення гаманця.
Поєднуючи маніпуляції з ідентифікаційною інформацією DApp, зловмисник може створити дуже оманливий запит на транзакцію, що виглядає так, ніби він походить від "MetaMask" як "безпечне оновлення".
![Розкриття нової схеми шахрайства з мобільними гаманцями Веб 3.0: модальна фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-2de349fc736a88000db66b2238cd5489.webp(
![Розкриття нової схеми шахрайства з мобільними гаманецьми Web3.0: модальне фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d.webp(
![Розкриття нової схеми шахрайства з мобільним гаманець у Веб 3.0: модальна фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp(
![Розкриття нової схеми шахрайства з мобільними гаманцями Веб 3.0: модальні фішингові атаки Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-9589d873000950a9132010c1a9323e91.webp(
Рекомендації з безпеки
Для протидії цій новій загрозі експерти радять:
Розробники додатків для гаманеців завжди повинні вважати, що зовнішні дані, що надходять, є ненадійними, і перевіряти легітимність усієї інформації, що надається користувачеві.
Протоколи, такі як Wallet Connect, повинні розглянути можливість додавання механізму верифікації інформації DApp.
Користувачі повинні бути обережними при затвердженні будь-яких невідомих запитів на транзакції та уважно перевіряти деталі транзакції.
Гаманець застосунок повинен враховувати фільтрацію можливих ключових слів, які можуть бути використані для фішинг-атак.
Загалом, з розвитком технологій Веб 3.0, користувачі та розробники повинні підвищити обізнаність про безпеку та спільно протистояти постійно змінюючим загрозам в мережі.
![Розкриття нових шахрайств з мобільними гаманець у Веб 3.0: модальні фішингові атаки Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-8b4186b031ffd019332d79000e6442d9.webp(
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
12 лайків
Нагородити
12
3
Репост
Поділіться
Прокоментувати
0/400
TestnetScholar
· 08-10 16:13
Працівникам знову потрібно бути обережними з новими пастками.
Переглянути оригіналвідповісти на0
IronHeadMiner
· 08-10 16:13
Знову нова пастка, мій гаманець має бути обережнішим.
Веб 3.0 мобільний гаманець зазнав модального фішинг-атаки новий тип фішинг-загрози наступає
Веб 3.0 мобільний гаманець стикається з новими загрозами фішингу: модальні фішингові атаки
Нещодавно безпекові дослідники виявили новий тип фішинг-технології, націленої на мобільні гаманці Web3.0, що називається "модальними фішинг-атаками" ( Modal Phishing ). Цей тип атаки використовує модальні вікна в мобільних гаманцях, показуючи оманливу інформацію, щоб спонукати користувачів затвердити шкідливі транзакції.
Що таке модальні фішингові атаки?
Атаки типу модального фішингу переважно націлені на маніпуляцію модальними вікнами в додатках для криптовалютних гаманець. Модальні вікна є поширеними елементами інтерфейсу користувача у мобільних додатках, які зазвичай відображаються поверх головного інтерфейсу для швидкого виконання дій, таких як затвердження/відхилення запитів на транзакції.
У нормальних умовах модальне вікно відображає ідентифікаційну інформацію ініціатора угоди, таку як адреса веб-сайту, значок тощо. Проте зловмисники можуть маніпулювати цими елементами інтерфейсу, підробляючи ідентифікаційну інформацію легітимних додатків, спонукаючи користувачів затверджувати шкідливі угоди.
Два типових випадки атаки
1. Через протокол Wallet Connect фішинг DApp
Wallet Connect є широко використовуваним протоколом для підключення гаманців користувачів до децентралізованих додатків (DApp). Дослідження показали, що під час процесу парування додаток гаманця відображає метадані, надані DApp, такі як назва, веб-сайт, значок тощо (, але не перевіряє їх достовірність.
Зловмисники можуть скористатися цією вразливістю, підробляючи ідентифікаційні дані відомих DApp. Наприклад, зловмисник може видати себе за додаток Uniswap, спокушаючи користувачів підключити гаманець та погодитися на шкідливі транзакції.
![Розкриття нової схеми шахрайства з мобільними гаманецьами Web3.0: модальна фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-dafdce504880b12244d287e60c0fd498.webp(
![Розкриття нових схем шахрайства з мобільними гаманцями Web3.0: модальна фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp(
![Розкриття нових схем шахрайства з мобільними гаманецьами Веб 3.0: модальна фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-e3d17d2ea42349c1331580d6cc4b919c.webp(
) 2. Фішинг інформації про смарт-контракти через MetaMask
Деякі гаманець додатки ###, такі як MetaMask (, відображатимуть назву функції смарт-контракту на екрані підтвердження транзакції. Зловмисники можуть зареєструвати смарт-контракт з оманливою назвою функції, наприклад "SecurityUpdate", щоб транзакція виглядала так, ніби вона походить від офіційного безпекового оновлення гаманця.
Поєднуючи маніпуляції з ідентифікаційною інформацією DApp, зловмисник може створити дуже оманливий запит на транзакцію, що виглядає так, ніби він походить від "MetaMask" як "безпечне оновлення".
![Розкриття нової схеми шахрайства з мобільними гаманцями Веб 3.0: модальна фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-2de349fc736a88000db66b2238cd5489.webp(
![Розкриття нової схеми шахрайства з мобільними гаманецьми Web3.0: модальне фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d.webp(
![Розкриття нової схеми шахрайства з мобільним гаманець у Веб 3.0: модальна фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp(
![Розкриття нової схеми шахрайства з мобільними гаманцями Веб 3.0: модальні фішингові атаки Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-9589d873000950a9132010c1a9323e91.webp(
Рекомендації з безпеки
Для протидії цій новій загрозі експерти радять:
Розробники додатків для гаманеців завжди повинні вважати, що зовнішні дані, що надходять, є ненадійними, і перевіряти легітимність усієї інформації, що надається користувачеві.
Протоколи, такі як Wallet Connect, повинні розглянути можливість додавання механізму верифікації інформації DApp.
Користувачі повинні бути обережними при затвердженні будь-яких невідомих запитів на транзакції та уважно перевіряти деталі транзакції.
Гаманець застосунок повинен враховувати фільтрацію можливих ключових слів, які можуть бути використані для фішинг-атак.
Загалом, з розвитком технологій Веб 3.0, користувачі та розробники повинні підвищити обізнаність про безпеку та спільно протистояти постійно змінюючим загрозам в мережі.
![Розкриття нових шахрайств з мобільними гаманець у Веб 3.0: модальні фішингові атаки Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-8b4186b031ffd019332d79000e6442d9.webp(