Web3 Mobil Cüzdan Yeni Tür Eyewash: Modal Phishing Saldırısı
Son zamanlarda, Web3 mobil cüzdanlarını hedef alan yeni bir kimlik avı tekniği, güvenlik araştırmacılarının dikkatini çekti. "Kalıcı Kimlik Avı" olarak adlandırılan teknik, esas olarak mobil cüzdanların kalıcı pencerelerini manipüle ederek kullanıcıları yanıltıyor.
Bir saldırgan, bir mobil cüzdana sahte bir mesaj gönderebilir, meşru bir merkezi olmayan uygulamanın (DApp) kimliğine bürünebilir ve kullanıcıları işlemi onaylamaları için kandırmak için cüzdanın kalıcı penceresinde yanıltıcı içerik görüntüleyebilir. Bu balıkçılık tekniği artık yaygın olarak kullanılmaktadır. İlgili bileşen geliştiricileri, riski azaltmak için yeni bir doğrulama API'sinin yayınlanacağını onayladı.
Modal kimlik avı saldırıları esas olarak kripto cüzdanlarının modal pencerelerine karşı gerçekleştirilir. Kalıcı pencere, mobil uygulamalarda yaygın olarak kullanılan bir UI öğesidir ve bir alım satım talebini onaylama veya reddetme gibi hızlı eylemler için genellikle ana pencerenin üst kısmında görüntülenir.
Tipik bir Web3 cüzdan modal tasarımı, işlem bilgileri ve bir onayla/reddet düğmesi sağlayacaktır. Ancak, bu UI öğeleri kimlik avı saldırıları için saldırganlar tarafından kontrol edilebilir.
Saldırı Vakaları
1. Wallet Connect aracılığıyla DApp kimlik avı
Wallet Connect, kullanıcı cüzdanlarını DApp'lere bağlamak için popüler bir açık kaynaklı protokoldür. Eşleştirme işlemi sırasında cüzdan, ad, URL ve simge dahil olmak üzere DApp tarafından sağlanan meta bilgileri görüntüler. Ancak bu bilgiler doğrulanmamıştır ve saldırganlar meşru DApp'lerin bilgilerini taklit edebilir.
Örneğin, bir saldırgan, kullanıcıları bir cüzdana bağlanmaları ve işlemleri onaylamaları için kandırmak için tanınmış bir DApp'in kimliğine bürünebilir. Eşleştirme işlemi sırasında, cüzdan tarafından görüntülenen kalıcı pencere, görünüşte meşru DApp bilgilerini sunacak ve bu da saldırının güvenilirliğini artıracaktır.
2. Akıllı sözleşme bilgileri aracılığıyla oltalama
Bazı cüzdan uygulamaları, işlem onay modunda akıllı sözleşmenin yöntem adını görüntüler. Saldırganlar, "SecurityUpdate" gibi belirli bir yöntem adı kaydederek kullanıcıları yanıltabilir.
Örneğin, bir saldırgan "SecurityUpdate" adlı bir işlev içeren bir kimlik avı akıllı sözleşmesi oluşturabilir. Bir kullanıcı bir işlem talebini görüntülediğinde, cüzdanın resmi yetkilisinden geliyormuş gibi görünen bir "güvenlik güncellemesi" talebi görür ve bu da kullanıcının kötü niyetli işlemi onaylama olasılığını artırır.
Cüzdan geliştiricileri her zaman harici gelen verilerin meşruiyetini doğrulamalı ve doğrulanmamış bilgilere körü körüne güvenmemelidir.
Geliştiriciler, kullanıcılara gösterdikleri bilgileri dikkatli bir şekilde seçmeli ve kimlik avı saldırıları için kullanılabilecek içeriği filtrelemelidir.
Kullanıcılar, bilinmeyen her işlem talebine karşı tetikte olmalı, işlem ayrıntılarını dikkatlice kontrol etmeli ve bilinmeyen kaynaklardan gelen istekleri kolayca onaylamamalıdır.
İlgili protokoller ve platformlar, kullanıcılara gösterilen bilgilerin gerçek ve güvenilir olduğundan emin olmak için daha katı doğrulama mekanizmaları getirmeyi düşünmelidir.
! [Web3.0 Mobil Cüzdan Yeni Dolandırıcılığının Gizemini Çözmek: Modal Kimlik Avı Saldırısı] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
Web3 teknolojisi gelişmeye devam ettikçe, hem kullanıcılar hem de geliştiriciler için artan güvenlik bilinci çok önemlidir. Yalnızca tetikte kalarak ve güvenlik önlemlerinizi sürekli iyileştirerek bu yeni tür kimlik avı saldırılarını etkili bir şekilde önleyebilirsiniz.
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Kalıcı kimlik avı: Web3 mobil cüzdanları için yeni bir güvenlik tehdidi
Web3 Mobil Cüzdan Yeni Tür Eyewash: Modal Phishing Saldırısı
Son zamanlarda, Web3 mobil cüzdanlarını hedef alan yeni bir kimlik avı tekniği, güvenlik araştırmacılarının dikkatini çekti. "Kalıcı Kimlik Avı" olarak adlandırılan teknik, esas olarak mobil cüzdanların kalıcı pencerelerini manipüle ederek kullanıcıları yanıltıyor.
Bir saldırgan, bir mobil cüzdana sahte bir mesaj gönderebilir, meşru bir merkezi olmayan uygulamanın (DApp) kimliğine bürünebilir ve kullanıcıları işlemi onaylamaları için kandırmak için cüzdanın kalıcı penceresinde yanıltıcı içerik görüntüleyebilir. Bu balıkçılık tekniği artık yaygın olarak kullanılmaktadır. İlgili bileşen geliştiricileri, riski azaltmak için yeni bir doğrulama API'sinin yayınlanacağını onayladı.
! Web3.0 Mobil Cüzdan Yeni Dolandırıcılığının Gizemini Çözmek: Modal Kimlik Avı Saldırısı
Modül Balığı Saldırısının Prensibi
Modal kimlik avı saldırıları esas olarak kripto cüzdanlarının modal pencerelerine karşı gerçekleştirilir. Kalıcı pencere, mobil uygulamalarda yaygın olarak kullanılan bir UI öğesidir ve bir alım satım talebini onaylama veya reddetme gibi hızlı eylemler için genellikle ana pencerenin üst kısmında görüntülenir.
Tipik bir Web3 cüzdan modal tasarımı, işlem bilgileri ve bir onayla/reddet düğmesi sağlayacaktır. Ancak, bu UI öğeleri kimlik avı saldırıları için saldırganlar tarafından kontrol edilebilir.
Saldırı Vakaları
1. Wallet Connect aracılığıyla DApp kimlik avı
Wallet Connect, kullanıcı cüzdanlarını DApp'lere bağlamak için popüler bir açık kaynaklı protokoldür. Eşleştirme işlemi sırasında cüzdan, ad, URL ve simge dahil olmak üzere DApp tarafından sağlanan meta bilgileri görüntüler. Ancak bu bilgiler doğrulanmamıştır ve saldırganlar meşru DApp'lerin bilgilerini taklit edebilir.
Örneğin, bir saldırgan, kullanıcıları bir cüzdana bağlanmaları ve işlemleri onaylamaları için kandırmak için tanınmış bir DApp'in kimliğine bürünebilir. Eşleştirme işlemi sırasında, cüzdan tarafından görüntülenen kalıcı pencere, görünüşte meşru DApp bilgilerini sunacak ve bu da saldırının güvenilirliğini artıracaktır.
! Web3.0 Mobil Cüzdan Yeni Dolandırıcılığının Gizemini Çözmek: Modal Kimlik Avı Saldırısı
! Web3.0 Mobil Cüzdan Yeni Dolandırıcılığının Gizemini Çözmek: Modal Kimlik Avı Saldırısı Modal Kimlik Avı
2. Akıllı sözleşme bilgileri aracılığıyla oltalama
Bazı cüzdan uygulamaları, işlem onay modunda akıllı sözleşmenin yöntem adını görüntüler. Saldırganlar, "SecurityUpdate" gibi belirli bir yöntem adı kaydederek kullanıcıları yanıltabilir.
Örneğin, bir saldırgan "SecurityUpdate" adlı bir işlev içeren bir kimlik avı akıllı sözleşmesi oluşturabilir. Bir kullanıcı bir işlem talebini görüntülediğinde, cüzdanın resmi yetkilisinden geliyormuş gibi görünen bir "güvenlik güncellemesi" talebi görür ve bu da kullanıcının kötü niyetli işlemi onaylama olasılığını artırır.
! Web3.0 Mobil Cüzdan Yeni Dolandırıcılığının Gizemini Çözmek: Modal Kimlik Avı Saldırısı
! Web3.0 Mobil Cüzdan Yeni Dolandırıcılığının Gizemini Çözmek: Modal Kimlik Avı Saldırısı
Önleme Önerileri
Cüzdan geliştiricileri her zaman harici gelen verilerin meşruiyetini doğrulamalı ve doğrulanmamış bilgilere körü körüne güvenmemelidir.
Geliştiriciler, kullanıcılara gösterdikleri bilgileri dikkatli bir şekilde seçmeli ve kimlik avı saldırıları için kullanılabilecek içeriği filtrelemelidir.
Kullanıcılar, bilinmeyen her işlem talebine karşı tetikte olmalı, işlem ayrıntılarını dikkatlice kontrol etmeli ve bilinmeyen kaynaklardan gelen istekleri kolayca onaylamamalıdır.
İlgili protokoller ve platformlar, kullanıcılara gösterilen bilgilerin gerçek ve güvenilir olduğundan emin olmak için daha katı doğrulama mekanizmaları getirmeyi düşünmelidir.
! [Web3.0 Mobil Cüzdan Yeni Dolandırıcılığının Gizemini Çözmek: Modal Kimlik Avı Saldırısı] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
! Web3.0 Mobil Cüzdan Yeni Dolandırıcılığının Gizemini Çözmek: Modal Kimlik Avı Saldırısı
! Web3.0 Mobil Cüzdan Yeni Dolandırıcılığının Gizemini Çözmek: Modal Kimlik Avı Saldırısı: Modal Kimlik Avı
Web3 teknolojisi gelişmeye devam ettikçe, hem kullanıcılar hem de geliştiriciler için artan güvenlik bilinci çok önemlidir. Yalnızca tetikte kalarak ve güvenlik önlemlerinizi sürekli iyileştirerek bu yeni tür kimlik avı saldırılarını etkili bir şekilde önleyebilirsiniz.