#Web3モバイルウォレットの新しい詐欺の謎を解き明かしました:モーダルフィッシング攻撃最近、Web3モバイルウォレットを標的とした新しいフィッシング手法がセキュリティ研究者の注目を集めています。 「モーダルフィッシング」と呼ばれるこの手法は、主にモバイルウォレットのモーダルウィンドウを操作することでユーザーを誤解させます。攻撃者は、モバイルウォレットに偽のメッセージを送信したり、正規の分散型アプリケーション(DApp)になりすましたり、ウォレットのモーダルウィンドウに誤解を招くコンテンツを表示して、ユーザーを騙して取引を承認させたりすることができます。 この釣り技術は、現在広く使われています。 関連するコンポーネント開発者は、リスクを軽減するために新しい検証APIがリリースされることを確認しました。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-5e20d7bf94995070ef023d62154c13c2)## モーダルフィッシング攻撃の原理モーダルフィッシング攻撃は、暗号ウォレットのモーダルウィンドウを主にターゲットにします。モーダルウィンドウは、モバイルアプリケーションで一般的に使用されるUI要素で、通常はメインウィンドウの上部に表示され、承認または拒否の取引リクエストなどの迅速な操作に使用されます。典型的なWeb3ウォレットのモーダルデザインは、取引情報と承認/拒否ボタンを提供します。 ただし、これらのUI要素は、フィッシング攻撃に対して攻撃者によって制御される可能性があります。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-dafdce504880b12244d287e60c0fd498)## 攻撃事例### 1. Wallet Connectを通じてDAppフィッシングを行うWallet Connectは、ユーザーウォレットをDAppsに接続するための一般的なオープンソースプロトコルです。 ペアリングプロセス中、ウォレットにはDAppから提供されたメタ情報(名前、URL、アイコンなど)が表示されます。 しかし、この情報は未確認であり、攻撃者は正規のDAppsの情報を偽造することができます。例えば、攻撃者は有名なDAppになりすまして、ユーザーを騙してウォレットに接続し、取引を承認させることができます。 ペアリングプロセス中、ウォレットによって表示されるモーダルウィンドウには、一見正当なDApp情報が表示され、攻撃の信頼性が高まります。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-90000878c07a1333bd873500154af36d)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング](https://img-cdn.gateio.im/social/moments-e3d17d2ea42349c1331580d6cc4b919c)### 2. スマートコントラクト情報を通じてフィッシングを行う一部のウォレットアプリケーションは、トランザクション承認モードでスマートコントラクトのメソッド名を表示します。 攻撃者は、「SecurityUpdate」などの特定のメソッド名を登録することで、ユーザーを誤解させることができます。たとえば、攻撃者は「SecurityUpdate」という機能を含むフィッシングスマートコントラクトを作成する可能性があります。 ユーザーがトランザクションリクエストを表示すると、ウォレットの公式機関からのように見える「セキュリティアップデート」リクエストが表示されるため、ユーザーが悪意のあるトランザクションを承認する可能性が高くなります。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-2de349fc736a88000db66b2238cd5489)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d)## 予防に関する推奨事項1. ウォレットの開発者は常に外部からの入力データの合法性を検証し、未確認の情報を盲目的に信頼すべきではありません。2. 開発者は、ユーザーに表示する情報を慎重に選択し、フィッシング攻撃に使用される可能性のあるコンテンツをフィルタリングする必要があります。3. ユーザーは未知の取引要求に注意を払い、取引の詳細を慎重に確認し、出所が不明な要求を簡単に承認しないようにするべきです。4. 関連するプロトコルとプラットフォームは、ユーザーに表示される情報が本物で信頼できるものであることを確認するために、より厳格な検証メカニズムの導入を検討すべきです。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/social/moments-966a54698e22dacfc63bb23c2864959e)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-9589d873000950a9132010c1a9323e91)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング](https://img-cdn.gateio.im/social/moments-8b4186b031ffd019332d79000e6442d9)Web3テクノロジーが進化し続ける中、ユーザーと開発者の両方にとってセキュリティ意識の向上が不可欠です。 警戒を怠らず、セキュリティ対策を常に改善することによってのみ、これらの新しいタイプのフィッシング攻撃を効果的に防ぐことができます。
モーダルフィッシング:Web3モバイルウォレットに対する新たなセキュリティ脅威
#Web3モバイルウォレットの新しい詐欺の謎を解き明かしました:モーダルフィッシング攻撃
最近、Web3モバイルウォレットを標的とした新しいフィッシング手法がセキュリティ研究者の注目を集めています。 「モーダルフィッシング」と呼ばれるこの手法は、主にモバイルウォレットのモーダルウィンドウを操作することでユーザーを誤解させます。
攻撃者は、モバイルウォレットに偽のメッセージを送信したり、正規の分散型アプリケーション(DApp)になりすましたり、ウォレットのモーダルウィンドウに誤解を招くコンテンツを表示して、ユーザーを騙して取引を承認させたりすることができます。 この釣り技術は、現在広く使われています。 関連するコンポーネント開発者は、リスクを軽減するために新しい検証APIがリリースされることを確認しました。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
モーダルフィッシング攻撃の原理
モーダルフィッシング攻撃は、暗号ウォレットのモーダルウィンドウを主にターゲットにします。モーダルウィンドウは、モバイルアプリケーションで一般的に使用されるUI要素で、通常はメインウィンドウの上部に表示され、承認または拒否の取引リクエストなどの迅速な操作に使用されます。
典型的なWeb3ウォレットのモーダルデザインは、取引情報と承認/拒否ボタンを提供します。 ただし、これらのUI要素は、フィッシング攻撃に対して攻撃者によって制御される可能性があります。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
攻撃事例
1. Wallet Connectを通じてDAppフィッシングを行う
Wallet Connectは、ユーザーウォレットをDAppsに接続するための一般的なオープンソースプロトコルです。 ペアリングプロセス中、ウォレットにはDAppから提供されたメタ情報(名前、URL、アイコンなど)が表示されます。 しかし、この情報は未確認であり、攻撃者は正規のDAppsの情報を偽造することができます。
例えば、攻撃者は有名なDAppになりすまして、ユーザーを騙してウォレットに接続し、取引を承認させることができます。 ペアリングプロセス中、ウォレットによって表示されるモーダルウィンドウには、一見正当なDApp情報が表示され、攻撃の信頼性が高まります。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング
2. スマートコントラクト情報を通じてフィッシングを行う
一部のウォレットアプリケーションは、トランザクション承認モードでスマートコントラクトのメソッド名を表示します。 攻撃者は、「SecurityUpdate」などの特定のメソッド名を登録することで、ユーザーを誤解させることができます。
たとえば、攻撃者は「SecurityUpdate」という機能を含むフィッシングスマートコントラクトを作成する可能性があります。 ユーザーがトランザクションリクエストを表示すると、ウォレットの公式機関からのように見える「セキュリティアップデート」リクエストが表示されるため、ユーザーが悪意のあるトランザクションを承認する可能性が高くなります。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
予防に関する推奨事項
ウォレットの開発者は常に外部からの入力データの合法性を検証し、未確認の情報を盲目的に信頼すべきではありません。
開発者は、ユーザーに表示する情報を慎重に選択し、フィッシング攻撃に使用される可能性のあるコンテンツをフィルタリングする必要があります。
ユーザーは未知の取引要求に注意を払い、取引の詳細を慎重に確認し、出所が不明な要求を簡単に承認しないようにするべきです。
関連するプロトコルとプラットフォームは、ユーザーに表示される情報が本物で信頼できるものであることを確認するために、より厳格な検証メカニズムの導入を検討すべきです。
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング
Web3テクノロジーが進化し続ける中、ユーザーと開発者の両方にとってセキュリティ意識の向上が不可欠です。 警戒を怠らず、セキュリティ対策を常に改善することによってのみ、これらの新しいタイプのフィッシング攻撃を効果的に防ぐことができます。