Serangan Phishing Baru pada Dompet Mobile Web3: Phishing Modus
Baru-baru ini, peneliti keamanan menemukan teknik phishing baru yang menargetkan dompet seluler Web3, yang disebut "serangan phishing modal" ( Modal Phishing ). Metode serangan ini terutama memanfaatkan jendela modal dalam aplikasi dompet seluler, dengan menampilkan informasi yang menyesatkan untuk memperdaya pengguna agar menyetujui transaksi berbahaya.
Prinsip Serangan Phishing Modal
Jendela modal adalah elemen UI yang umum dalam aplikasi seluler, biasanya digunakan untuk menampilkan permintaan transaksi dan informasi penting lainnya. Dalam dompet Web3, jendela modal akan menampilkan detail transaksi dan memberikan opsi untuk menyetujui atau menolak. Namun, penelitian menemukan bahwa beberapa elemen UI dalam jendela ini dapat dikendalikan oleh penyerang, yang dapat melakukan serangan phishing.
Terdapat dua jenis cara serangan utama:
Mengoperasikan informasi DApp melalui protokol Wallet Connect
Manipulasi informasi kontrak pintar ditampilkan
Kerentanan protokol Wallet Connect
Wallet Connect adalah protokol sumber terbuka yang banyak digunakan untuk menghubungkan dompet pengguna dengan DApp. Selama proses pem配配,dompet akan menampilkan nama DApp, URL, dan ikon informasi lainnya. Namun, informasi ini disediakan oleh DApp, dan dompet tidak memverifikasi keasliannya. Penyerang dapat memalsukan informasi ini untuk menipu pengguna dengan menyamar sebagai DApp terkenal.
manipulasi informasi kontrak pintar
Sebagai contoh dompet terkenal, antarmuka persetujuan transaksi akan menampilkan nama metode kontrak pintar. Informasi ini berasal dari registri metode di blockchain, dan dapat dimanfaatkan oleh penyerang. Dengan mendaftarkan metode kontrak yang memiliki nama yang menyesatkan, penyerang dapat menampilkan teks menipu seperti "pembaruan keamanan" di antarmuka persetujuan transaksi.
Saran Pencegahan
Untuk menghadapi jenis serangan ini, pengembang dompet harus mengambil langkah-langkah berikut:
Melakukan verifikasi ketat terhadap data yang masuk dari luar, tidak mudah percaya pada informasi yang belum terverifikasi.
Pilih dengan hati-hati informasi yang ditampilkan kepada pengguna, dan verifikasi legalitasnya.
Menyaring kata-kata sensitif yang mungkin digunakan untuk serangan phishing.
Bagi pengguna, harus waspada terhadap setiap permintaan transaksi yang tidak diketahui, memeriksa rincian transaksi dengan cermat, dan tidak dengan mudah menyetujui permintaan yang tidak jelas asal-usulnya.
Seiring perkembangan ekosistem Web3, ancaman keamanan serupa mungkin akan terus muncul. Pengembang dompet dan pengguna perlu meningkatkan kesadaran keamanan untuk bersama-sama menjaga keamanan lingkungan Web3.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
7 Suka
Hadiah
7
5
Posting ulang
Bagikan
Komentar
0/400
ImpermanentSage
· 14jam yang lalu
Hari ini ada penambahan mesin pemanen suckers baru lagi.
Lihat AsliBalas0
GateUser-5854de8b
· 16jam yang lalu
Tidak heran aset dibersihkan dua hari yang lalu..
Lihat AsliBalas0
GasWhisperer
· 16jam yang lalu
pola gas tidak pernah bohong... masih ada eksploitasi lain yang mengintai di mempool smh
Lihat AsliBalas0
DaisyUnicorn
· 16jam yang lalu
Ada mesin pemotong baru untuk para suckers lagi~ Jika ladang tradisional sulit untuk ditanam, apakah kita beralih menanam bunga?
Lihat AsliBalas0
CryptoAdventurer
· 16jam yang lalu
Sekali lagi, pajak kecerdasan para suckers telah datang.
Dompet Web3遭遇新型模ada钓鱼攻击 用户需提高警惕
Serangan Phishing Baru pada Dompet Mobile Web3: Phishing Modus
Baru-baru ini, peneliti keamanan menemukan teknik phishing baru yang menargetkan dompet seluler Web3, yang disebut "serangan phishing modal" ( Modal Phishing ). Metode serangan ini terutama memanfaatkan jendela modal dalam aplikasi dompet seluler, dengan menampilkan informasi yang menyesatkan untuk memperdaya pengguna agar menyetujui transaksi berbahaya.
Prinsip Serangan Phishing Modal
Jendela modal adalah elemen UI yang umum dalam aplikasi seluler, biasanya digunakan untuk menampilkan permintaan transaksi dan informasi penting lainnya. Dalam dompet Web3, jendela modal akan menampilkan detail transaksi dan memberikan opsi untuk menyetujui atau menolak. Namun, penelitian menemukan bahwa beberapa elemen UI dalam jendela ini dapat dikendalikan oleh penyerang, yang dapat melakukan serangan phishing.
Terdapat dua jenis cara serangan utama:
Kerentanan protokol Wallet Connect
Wallet Connect adalah protokol sumber terbuka yang banyak digunakan untuk menghubungkan dompet pengguna dengan DApp. Selama proses pem配配,dompet akan menampilkan nama DApp, URL, dan ikon informasi lainnya. Namun, informasi ini disediakan oleh DApp, dan dompet tidak memverifikasi keasliannya. Penyerang dapat memalsukan informasi ini untuk menipu pengguna dengan menyamar sebagai DApp terkenal.
manipulasi informasi kontrak pintar
Sebagai contoh dompet terkenal, antarmuka persetujuan transaksi akan menampilkan nama metode kontrak pintar. Informasi ini berasal dari registri metode di blockchain, dan dapat dimanfaatkan oleh penyerang. Dengan mendaftarkan metode kontrak yang memiliki nama yang menyesatkan, penyerang dapat menampilkan teks menipu seperti "pembaruan keamanan" di antarmuka persetujuan transaksi.
Saran Pencegahan
Untuk menghadapi jenis serangan ini, pengembang dompet harus mengambil langkah-langkah berikut:
Bagi pengguna, harus waspada terhadap setiap permintaan transaksi yang tidak diketahui, memeriksa rincian transaksi dengan cermat, dan tidak dengan mudah menyetujui permintaan yang tidak jelas asal-usulnya.
Seiring perkembangan ekosistem Web3, ancaman keamanan serupa mungkin akan terus muncul. Pengembang dompet dan pengguna perlu meningkatkan kesadaran keamanan untuk bersama-sama menjaga keamanan lingkungan Web3.