مؤخراً، تم اكتشاف تقنية جديدة للتصيد الاحتيالي، والتي قد تُضلل المستخدمين في الاتصال بهويات التطبيقات اللامركزية (DApp). تُعرف هذه التقنية الجديدة للتصيد الاحتيالي باسم "هجوم التصيد الاحتيالي النمطي" (Modal Phishing).
يمكن للمهاجمين إرسال معلومات مزيفة إلى المحفظة المحمولة، متظاهرين بأنهم DApp شرعي، وإغراء المستخدمين بالموافقة على الصفقة من خلال عرض معلومات مضللة في نافذة الوضع للمحفظة المحمولة. لقد بدأ استخدام هذه التقنية في التصيد على نطاق واسع. وقد تواصل باحثو الأمن مع مطوري المكونات ذات الصلة، وأكدوا أنهم سيصدرون واجهة برمجة تطبيقات جديدة للتحقق للحد من هذه المخاطر.
ما هي هجمات صيد النماذج؟
في دراسة أمان المحفظة المحمولة، لاحظ الباحثون أن بعض عناصر واجهة المستخدم (UI) لمحافظ العملات المشفرة Web3.0 يمكن أن يتم السيطرة عليها من قبل المهاجمين لاستخدامها في هجمات التصيد. وقد تم تسمية هذه التقنية التصيدية بتصيد الوضع، لأن المهاجمين يستهدفون بشكل رئيسي نوافذ الوضع الخاصة بالمحفظة المشفرة.
النموذج (أو نافذة النموذج) هو عنصر واجهة مستخدم شائع في تطبيقات الهواتف المحمولة، وعادة ما يظهر في الجزء العلوي من نافذة التطبيق الرئيسية. يتم استخدام هذا التصميم عادة لتسهيل على المستخدمين تنفيذ الإجراءات السريعة، مثل الموافقة أو الرفض لطلبات معاملات المحفظة المتعلقة بـ Web3.0.
تصميم نموذج محفظة العملات المشفرة Web3.0 النموذجي يوفر عادةً المعلومات الضرورية لمراجعة المستخدم لطلبات التوقيع وما إلى ذلك، بالإضافة إلى أزرار للموافقة أو الرفض على الطلبات.
ومع ذلك، قد يتمكن المهاجمون من التحكم في عناصر واجهة المستخدم هذه لتنفيذ هجمات تصيد احتيالي نمطي. يمكن للمهاجمين تغيير تفاصيل المعاملة وتزييف طلبات المعاملات على أنها طلبات "تحديث آمن" من مصادر موثوقة لخداع المستخدمين للموافقة.
الحالات النموذجية
الحالة 1: هجوم تصيد DApp عبر المحفظة المتصلة
بروتوكول Wallet Connect هو بروتوكول مفتوح المصدر يحظى بشعبية كبيرة، يُستخدم لربط محفظة المستخدم مع تطبيقات اللامركزية (DApp) عبر رموز الاستجابة السريعة أو الروابط العميقة. خلال عملية الاقتران بين محافظ العملات المشفرة DApp في Web3.0، ستعرض المحفظة نافذة نمطية تُظهر معلومات الوصف الواردة في طلب الاقتران، بما في ذلك اسم DApp، عنوان الموقع، الرمز، والوصف.
ومع ذلك، فإن هذه المعلومات مقدمة من DApp، والمحفظة لا تتحقق من صحتها. في هجمات التصيد الاحتيالي، يمكن للمهاجمين انتحال صفة DApp شرعي، لخداع المستخدمين للاتصال بهم.
عرض باحثو الأمن كيف يمكن للمهاجمين انتحال صفة DApp الخاصة بـ Uniswap وربط المحفظة Metamask، لخداع المستخدمين للموافقة على المعاملات الواردة. خلال عملية الاقتران، عرضت نافذة الوضع التي تظهر داخل المحفظة اسم DApp الخاصة بـ Uniswap وعنوان الموقع ورمزه، والتي تبدو شرعية.
حالة 2: التصيد الاحتيالي لمعلومات العقد الذكي من خلال MetaMask
في نموذج الموافقة على Metamask، هناك عنصر واجهة مستخدم للتعرف على نوع المعاملة المقابل. ستقوم Metamask بقراءة بايت التوقيع للعقد الذكي، واستخدام سجل طرق السلسلة للاستعلام عن اسم الطريقة المقابل. ومع ذلك، سيؤدي ذلك أيضًا إلى إنشاء عنصر واجهة مستخدم آخر يمكن أن يتحكم فيه المهاجم.
يمكن للمهاجم إنشاء عقد ذكي مخادع يحتوي على دالة دفع تسمى "SecurityUpdate"، ويسمح للضحايا بتحويل الأموال إلى هذا العقد الذكي. يمكن للمهاجم أيضًا استخدام SignatureReg لتسجيل توقيع الطريقة كسلسلة نصية قابلة للقراءة البشرية "SecurityUpdate". عندما يقوم Metamask بتحليل هذا العقد الذكي المخادع، فإنه يعرض اسم الدالة الذي يبدو قانونيًا للمستخدم في نموذج الموافقة.
نصائح للوقاية
يجب على مطوري تطبيقات المحفظة أن يفترضوا دائمًا أن البيانات الواردة من الخارج غير موثوقة.
يجب على المطورين اختيار المعلومات التي سيتم عرضها للمستخدمين بعناية والتحقق من شرعية هذه المعلومات.
يجب على المستخدم أن يكون حذرًا تجاه كل طلب تداول غير معروف، وأن يتحقق بعناية من تفاصيل التداول.
يمكن اعتبار بروتوكول Wallet Connect التحقق من صحة وشرعية معلومات DApp مقدمًا.
يجب على مطوري تطبيقات المحفظة مراقبة المحتوى الذي سيظهر للمستخدمين واتخاذ تدابير وقائية لتصفية الكلمات التي قد تستخدم في هجمات التصيد.
من خلال زيادة اليقظة وتحسين تدابير الأمن، يمكننا العمل معًا لتقليل مخاطر هجمات التصيد الاحتيالي الجديدة هذه، وحماية أمان نظام Web3.0 البيئي.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تهديدات جديدة لمحافظ Web3 المحمولة: هجمات التصيد الاحتيالي من نوع مودال قادمة
Web3.0المحفظة الجديدة: تضليل الصيد من خلال النمط
مؤخراً، تم اكتشاف تقنية جديدة للتصيد الاحتيالي، والتي قد تُضلل المستخدمين في الاتصال بهويات التطبيقات اللامركزية (DApp). تُعرف هذه التقنية الجديدة للتصيد الاحتيالي باسم "هجوم التصيد الاحتيالي النمطي" (Modal Phishing).
يمكن للمهاجمين إرسال معلومات مزيفة إلى المحفظة المحمولة، متظاهرين بأنهم DApp شرعي، وإغراء المستخدمين بالموافقة على الصفقة من خلال عرض معلومات مضللة في نافذة الوضع للمحفظة المحمولة. لقد بدأ استخدام هذه التقنية في التصيد على نطاق واسع. وقد تواصل باحثو الأمن مع مطوري المكونات ذات الصلة، وأكدوا أنهم سيصدرون واجهة برمجة تطبيقات جديدة للتحقق للحد من هذه المخاطر.
ما هي هجمات صيد النماذج؟
في دراسة أمان المحفظة المحمولة، لاحظ الباحثون أن بعض عناصر واجهة المستخدم (UI) لمحافظ العملات المشفرة Web3.0 يمكن أن يتم السيطرة عليها من قبل المهاجمين لاستخدامها في هجمات التصيد. وقد تم تسمية هذه التقنية التصيدية بتصيد الوضع، لأن المهاجمين يستهدفون بشكل رئيسي نوافذ الوضع الخاصة بالمحفظة المشفرة.
النموذج (أو نافذة النموذج) هو عنصر واجهة مستخدم شائع في تطبيقات الهواتف المحمولة، وعادة ما يظهر في الجزء العلوي من نافذة التطبيق الرئيسية. يتم استخدام هذا التصميم عادة لتسهيل على المستخدمين تنفيذ الإجراءات السريعة، مثل الموافقة أو الرفض لطلبات معاملات المحفظة المتعلقة بـ Web3.0.
تصميم نموذج محفظة العملات المشفرة Web3.0 النموذجي يوفر عادةً المعلومات الضرورية لمراجعة المستخدم لطلبات التوقيع وما إلى ذلك، بالإضافة إلى أزرار للموافقة أو الرفض على الطلبات.
ومع ذلك، قد يتمكن المهاجمون من التحكم في عناصر واجهة المستخدم هذه لتنفيذ هجمات تصيد احتيالي نمطي. يمكن للمهاجمين تغيير تفاصيل المعاملة وتزييف طلبات المعاملات على أنها طلبات "تحديث آمن" من مصادر موثوقة لخداع المستخدمين للموافقة.
الحالات النموذجية
الحالة 1: هجوم تصيد DApp عبر المحفظة المتصلة
بروتوكول Wallet Connect هو بروتوكول مفتوح المصدر يحظى بشعبية كبيرة، يُستخدم لربط محفظة المستخدم مع تطبيقات اللامركزية (DApp) عبر رموز الاستجابة السريعة أو الروابط العميقة. خلال عملية الاقتران بين محافظ العملات المشفرة DApp في Web3.0، ستعرض المحفظة نافذة نمطية تُظهر معلومات الوصف الواردة في طلب الاقتران، بما في ذلك اسم DApp، عنوان الموقع، الرمز، والوصف.
ومع ذلك، فإن هذه المعلومات مقدمة من DApp، والمحفظة لا تتحقق من صحتها. في هجمات التصيد الاحتيالي، يمكن للمهاجمين انتحال صفة DApp شرعي، لخداع المستخدمين للاتصال بهم.
عرض باحثو الأمن كيف يمكن للمهاجمين انتحال صفة DApp الخاصة بـ Uniswap وربط المحفظة Metamask، لخداع المستخدمين للموافقة على المعاملات الواردة. خلال عملية الاقتران، عرضت نافذة الوضع التي تظهر داخل المحفظة اسم DApp الخاصة بـ Uniswap وعنوان الموقع ورمزه، والتي تبدو شرعية.
حالة 2: التصيد الاحتيالي لمعلومات العقد الذكي من خلال MetaMask
في نموذج الموافقة على Metamask، هناك عنصر واجهة مستخدم للتعرف على نوع المعاملة المقابل. ستقوم Metamask بقراءة بايت التوقيع للعقد الذكي، واستخدام سجل طرق السلسلة للاستعلام عن اسم الطريقة المقابل. ومع ذلك، سيؤدي ذلك أيضًا إلى إنشاء عنصر واجهة مستخدم آخر يمكن أن يتحكم فيه المهاجم.
يمكن للمهاجم إنشاء عقد ذكي مخادع يحتوي على دالة دفع تسمى "SecurityUpdate"، ويسمح للضحايا بتحويل الأموال إلى هذا العقد الذكي. يمكن للمهاجم أيضًا استخدام SignatureReg لتسجيل توقيع الطريقة كسلسلة نصية قابلة للقراءة البشرية "SecurityUpdate". عندما يقوم Metamask بتحليل هذا العقد الذكي المخادع، فإنه يعرض اسم الدالة الذي يبدو قانونيًا للمستخدم في نموذج الموافقة.
نصائح للوقاية
يجب على مطوري تطبيقات المحفظة أن يفترضوا دائمًا أن البيانات الواردة من الخارج غير موثوقة.
يجب على المطورين اختيار المعلومات التي سيتم عرضها للمستخدمين بعناية والتحقق من شرعية هذه المعلومات.
يجب على المستخدم أن يكون حذرًا تجاه كل طلب تداول غير معروف، وأن يتحقق بعناية من تفاصيل التداول.
يمكن اعتبار بروتوكول Wallet Connect التحقق من صحة وشرعية معلومات DApp مقدمًا.
يجب على مطوري تطبيقات المحفظة مراقبة المحتوى الذي سيظهر للمستخدمين واتخاذ تدابير وقائية لتصفية الكلمات التي قد تستخدم في هجمات التصيد.
من خلال زيادة اليقظة وتحسين تدابير الأمن، يمكننا العمل معًا لتقليل مخاطر هجمات التصيد الاحتيالي الجديدة هذه، وحماية أمان نظام Web3.0 البيئي.