Web3.0 Carteira móvel enfrenta novas ameaças de Phishing: ataques de phishing modal
Recentemente, uma nova técnica de phishing direcionada a carteiras móveis Web3.0 foi descoberta, esta ataque utiliza principalmente janelas modais de carteiras móveis para enganar os usuários. Os pesquisadores nomearam essa nova técnica de ataque de "Modal Phishing".
Neste tipo de ataque, os hackers conseguem enviar informações falsificadas para carteiras móveis, fazendo-se passar por aplicações descentralizadas (DApp) legítimas. Ao exibir informações enganosas na janela modal da carteira, os atacantes tentam enganar os usuários para que aprovem transações maliciosas. Atualmente, esta técnica de phishing já está amplamente utilizada em várias plataformas.
Como funciona um ataque de phishing modal
Os ataques de phishing modal visam principalmente os elementos da interface do usuário (UI) dos carteiras de criptomoedas Web3.0. Os atacantes conseguem controlar esses elementos da UI, especialmente as janelas modais, para realizar ataques de phishing.
As janelas modais são elementos de UI comumente usados em aplicativos móveis, geralmente exibidas no topo da janela principal, para operações rápidas, como aprovar ou rejeitar solicitações de transação. O design modal típico de uma carteira Web3.0 geralmente inclui detalhes da transação e botões de aprovar/rejeitar.
No entanto, esses elementos de UI podem ser manipulados por atacantes. Por exemplo, os atacantes podem alterar os detalhes da transação, disfarçando o pedido de transação como uma atualização de segurança de uma fonte confiável, levando os usuários a aprovar.
Principais métodos de ataque
Ataque de phishing em DApp através do protocolo Wallet Connect:
Os atacantes podem controlar os elementos da interface do usuário da informação DApp (como nome, ícone, etc.), falsificando DApps conhecidos. Como o protocolo Wallet Connect não verifica a legitimidade das informações do DApp, essas informações falsificadas são apresentadas diretamente ao usuário pelo aplicativo de Carteira.
Informação sobre contratos inteligentes de Phishing:
Algumas aplicações de Carteira podem ler os bytes de assinatura de contratos inteligentes e usar métodos de consulta da cadeia para verificar os nomes dos métodos correspondentes. Os atacantes podem explorar esse mecanismo para registrar métodos com nomes enganosos (como "SecurityUpdate"), tornando os pedidos de transação mais convincentes.
Sugestões de Prevenção
Para desenvolvedores de Carteira:
Sempre assuma que os dados recebidos de fontes externas não são confiáveis.
Selecione cuidadosamente as informações a serem exibidas ao usuário e verifique a legalidade dessas informações.
Tomar precauções, filtrando palavras que possam ser usadas em ataques de phishing
Para os usuários:
Mantenha-se alerta para cada solicitação de transação desconhecida
Verifique atentamente os detalhes da transação, não confie nas informações exibidas na janela modal.
Antes de aprovar qualquer transação, confirme a autenticidade da origem da transação
Com o contínuo desenvolvimento da tecnologia Web3.0, este tipo de novas técnicas de ataque pode aumentar. Os usuários e desenvolvedores precisam estar mais atentos e juntos manter a segurança dos ativos digitais.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
12 gostos
Recompensa
12
6
Partilhar
Comentar
0/400
ChainChef
· 07-31 11:22
apenas mais um esquema mal feito... a segurança está a parecer muito crua estes dias, para ser honesto
Ver originalResponder0
FlatlineTrader
· 07-30 03:02
Recentemente há realmente muitas armadilhas.
Ver originalResponder0
just_another_wallet
· 07-29 20:15
Hacker é realmente irritante, sem fim.
Ver originalResponder0
OnChainDetective
· 07-28 15:39
hmm... o padrão corresponde a 4 outras campanhas de phishing rastreadas este mês. hackers amadores a ficarem preguiçosos fr
Ver originalResponder0
0xOverleveraged
· 07-28 15:26
Já disse que era para fazer uma cópia da frase mnemónica.
Web3.0 Carteira遭遇模态钓鱼攻击 用户需警惕新型网络威胁
Web3.0 Carteira móvel enfrenta novas ameaças de Phishing: ataques de phishing modal
Recentemente, uma nova técnica de phishing direcionada a carteiras móveis Web3.0 foi descoberta, esta ataque utiliza principalmente janelas modais de carteiras móveis para enganar os usuários. Os pesquisadores nomearam essa nova técnica de ataque de "Modal Phishing".
Neste tipo de ataque, os hackers conseguem enviar informações falsificadas para carteiras móveis, fazendo-se passar por aplicações descentralizadas (DApp) legítimas. Ao exibir informações enganosas na janela modal da carteira, os atacantes tentam enganar os usuários para que aprovem transações maliciosas. Atualmente, esta técnica de phishing já está amplamente utilizada em várias plataformas.
Como funciona um ataque de phishing modal
Os ataques de phishing modal visam principalmente os elementos da interface do usuário (UI) dos carteiras de criptomoedas Web3.0. Os atacantes conseguem controlar esses elementos da UI, especialmente as janelas modais, para realizar ataques de phishing.
As janelas modais são elementos de UI comumente usados em aplicativos móveis, geralmente exibidas no topo da janela principal, para operações rápidas, como aprovar ou rejeitar solicitações de transação. O design modal típico de uma carteira Web3.0 geralmente inclui detalhes da transação e botões de aprovar/rejeitar.
No entanto, esses elementos de UI podem ser manipulados por atacantes. Por exemplo, os atacantes podem alterar os detalhes da transação, disfarçando o pedido de transação como uma atualização de segurança de uma fonte confiável, levando os usuários a aprovar.
Principais métodos de ataque
Sugestões de Prevenção
Com o contínuo desenvolvimento da tecnologia Web3.0, este tipo de novas técnicas de ataque pode aumentar. Os usuários e desenvolvedores precisam estar mais atentos e juntos manter a segurança dos ativos digitais.