هجمات التصيد الجديدة لمحفظة Web3.0 المحمولة: خداع نافذة الوضع
مؤخراً، أثارت تقنية جديدة للصيد الاحتيالي تستهدف المحفظة المتنقلة لـ Web3.0 اهتمام خبراء الأمن. تُعرف هذه الطريقة الهجومية بـ "هجوم الصيد الاحتيالي النمطي" (Modal Phishing)، حيث تستغل بشكل رئيسي النوافذ النمطية في تطبيقات المحفظة المتنقلة لخداع المستخدمين.
يستخدم المهاجمون معلومات مزيفة لإرسالها إلى المحفظة المتنقلة، متظاهرين بأنهم تطبيقات لامركزية (DApp) شرعية، ويعرضون محتوى مضلل في نافذة المحفظة، مما يدفع المستخدمين للموافقة على معاملات خبيثة. تم استخدام هذه التقنية للتصيد الاحتيالي على نطاق واسع في العديد من المنصات.
مبدأ هجمات الصيد الاحتيالي المودالي
تعتبر نوافذ النماذج من عناصر واجهة المستخدم الشائعة في تطبيقات الهاتف المحمول، وعادة ما تُستخدم لعرض معلومات مهمة مثل طلبات المعاملات. في المحفظة Web3.0، تعرض هذه النوافذ تفاصيل المعاملة، وهوية الطرف المطلوب، وغيرها من المعلومات الأساسية، لتكون متاحة للمستخدم للمراجعة واتخاذ القرار بشأن الموافقة.
ومع ذلك، أظهرت الأبحاث أن بعض عناصر واجهة المستخدم في نوافذ هذه الأنماط يمكن أن يتحكم بها المهاجمون، مما يؤدي إلى هجمات التصيد. يوجد في الأساس ثغرتان:
عند استخدام بروتوكول Wallet Connect، يمكن للمهاجم التحكم في عرض معلومات DApp، مثل الاسم، والشعار، وما إلى ذلك.
في بعض تطبيقات المحفظة، يمكن للمهاجمين التلاعب بعرض معلومات العقود الذكية.
حالات الهجوم النموذجية
الحالة 1: صيد الاحتيال من خلال DApp باستخدام المحفظة
Wallet Connect هو بروتوكول مفتوح المصدر شائع، يستخدم لربط المحفظة الخاصة بالمستخدم مع DApp. أثناء عملية الاقتران، ستظهر المحفظة معلومات التعريف التي يقدمها DApp، بما في ذلك الاسم، ورابط الموقع، والرمز، وما إلى ذلك. ومع ذلك، لم يتم التحقق من هذه المعلومات.
يمكن للمهاجمين تزوير هذه المعلومات وانتحال هوية DApp المعروف (مثل Uniswap) لإغراء المستخدمين بالاتصال. بمجرد إنشاء الاتصال، يمكن للمهاجمين إرسال طلبات معاملات خبيثة وسرقة أموال المستخدمين.
الحالة 2: معلومات العقد الذكي MetaMask الاحتيال
تظهر محافظ مثل MetaMask اسم طريقة العقد الذكي في واجهة الموافقة على المعاملات. يمكن للمهاجمين تسجيل طرق عقود ذكية تحمل أسماء مضللة (مثل "SecurityUpdate")، مما يجعل طلبات المعاملات تبدو وكأنها تحديثات أمان رسمية من المحفظة.
من خلال دمج معلومات DApp المزيفة، يمكن للمهاجمين إنشاء طلبات معاملات خادعة للغاية، مما يجذب المستخدمين للموافقة على عمليات ضارة.
نصائح للوقاية
يجب على مطوري المحفظة دائمًا اعتبار البيانات المدخلة من الخارج غير موثوقة، والتحقق من جميع المعلومات المعروضة للمستخدم.
يجب أن تأخذ بروتوكولات مثل Wallet Connect في الاعتبار إضافة آلية للتحقق من معلومات DApp.
يجب على تطبيق المحفظة مراقبة وتصنيف الكلمات الحساسة التي قد تُستخدم في التصيد.
يجب على المستخدم أن يكون يقظًا عند الموافقة على أي طلبات معاملات غير معروفة والتحقق بدقة من معلومات المعاملة.
يجب على مزودي المحفظة تعزيز التصميم الأمني لعناصر واجهة المستخدم الأساسية مثل النوافذ النموذجية.
باختصار، مع تطور بيئة Web3.0، يحتاج المستخدمون والمطورون إلى تعزيز الوعي بالأمان لمواجهة التهديدات السيبرانية المتطورة باستمرار. من الضروري الحفاظ على مستوى من الشك والحيطة تجاه كل طلب معاملة.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
تتعرض المحفظة Web3.0 لهجوم تصيد احتيالي مموه، احذر من DApp المقلد الذي يخدعك.
هجمات التصيد الجديدة لمحفظة Web3.0 المحمولة: خداع نافذة الوضع
مؤخراً، أثارت تقنية جديدة للصيد الاحتيالي تستهدف المحفظة المتنقلة لـ Web3.0 اهتمام خبراء الأمن. تُعرف هذه الطريقة الهجومية بـ "هجوم الصيد الاحتيالي النمطي" (Modal Phishing)، حيث تستغل بشكل رئيسي النوافذ النمطية في تطبيقات المحفظة المتنقلة لخداع المستخدمين.
يستخدم المهاجمون معلومات مزيفة لإرسالها إلى المحفظة المتنقلة، متظاهرين بأنهم تطبيقات لامركزية (DApp) شرعية، ويعرضون محتوى مضلل في نافذة المحفظة، مما يدفع المستخدمين للموافقة على معاملات خبيثة. تم استخدام هذه التقنية للتصيد الاحتيالي على نطاق واسع في العديد من المنصات.
مبدأ هجمات الصيد الاحتيالي المودالي
تعتبر نوافذ النماذج من عناصر واجهة المستخدم الشائعة في تطبيقات الهاتف المحمول، وعادة ما تُستخدم لعرض معلومات مهمة مثل طلبات المعاملات. في المحفظة Web3.0، تعرض هذه النوافذ تفاصيل المعاملة، وهوية الطرف المطلوب، وغيرها من المعلومات الأساسية، لتكون متاحة للمستخدم للمراجعة واتخاذ القرار بشأن الموافقة.
ومع ذلك، أظهرت الأبحاث أن بعض عناصر واجهة المستخدم في نوافذ هذه الأنماط يمكن أن يتحكم بها المهاجمون، مما يؤدي إلى هجمات التصيد. يوجد في الأساس ثغرتان:
حالات الهجوم النموذجية
الحالة 1: صيد الاحتيال من خلال DApp باستخدام المحفظة
Wallet Connect هو بروتوكول مفتوح المصدر شائع، يستخدم لربط المحفظة الخاصة بالمستخدم مع DApp. أثناء عملية الاقتران، ستظهر المحفظة معلومات التعريف التي يقدمها DApp، بما في ذلك الاسم، ورابط الموقع، والرمز، وما إلى ذلك. ومع ذلك، لم يتم التحقق من هذه المعلومات.
يمكن للمهاجمين تزوير هذه المعلومات وانتحال هوية DApp المعروف (مثل Uniswap) لإغراء المستخدمين بالاتصال. بمجرد إنشاء الاتصال، يمكن للمهاجمين إرسال طلبات معاملات خبيثة وسرقة أموال المستخدمين.
الحالة 2: معلومات العقد الذكي MetaMask الاحتيال
تظهر محافظ مثل MetaMask اسم طريقة العقد الذكي في واجهة الموافقة على المعاملات. يمكن للمهاجمين تسجيل طرق عقود ذكية تحمل أسماء مضللة (مثل "SecurityUpdate")، مما يجعل طلبات المعاملات تبدو وكأنها تحديثات أمان رسمية من المحفظة.
من خلال دمج معلومات DApp المزيفة، يمكن للمهاجمين إنشاء طلبات معاملات خادعة للغاية، مما يجذب المستخدمين للموافقة على عمليات ضارة.
نصائح للوقاية
يجب على مطوري المحفظة دائمًا اعتبار البيانات المدخلة من الخارج غير موثوقة، والتحقق من جميع المعلومات المعروضة للمستخدم.
يجب أن تأخذ بروتوكولات مثل Wallet Connect في الاعتبار إضافة آلية للتحقق من معلومات DApp.
يجب على تطبيق المحفظة مراقبة وتصنيف الكلمات الحساسة التي قد تُستخدم في التصيد.
يجب على المستخدم أن يكون يقظًا عند الموافقة على أي طلبات معاملات غير معروفة والتحقق بدقة من معلومات المعاملة.
يجب على مزودي المحفظة تعزيز التصميم الأمني لعناصر واجهة المستخدم الأساسية مثل النوافذ النموذجية.
باختصار، مع تطور بيئة Web3.0، يحتاج المستخدمون والمطورون إلى تعزيز الوعي بالأمان لمواجهة التهديدات السيبرانية المتطورة باستمرار. من الضروري الحفاظ على مستوى من الشك والحيطة تجاه كل طلب معاملة.