Risiko Keamanan Baru Dompet Mobile Web3.0: Serangan Phishing Modal
Baru-baru ini, para ahli keamanan menemukan teknik phishing baru yang dapat menyesatkan pengguna dalam proses autentikasi aplikasi terdesentralisasi (DApp). Serangan baru ini dinamakan "Modal Phishing" (.
Penyerang dapat mengirimkan informasi palsu ke dompet mobile, menyamar sebagai DApp yang sah, dan menipu pengguna untuk menyetujui transaksi dengan menampilkan informasi yang menyesatkan di jendela modal dompet. Teknik phishing ini sedang digunakan secara luas. Pengembang komponen terkait telah mengkonfirmasi bahwa mereka akan merilis API verifikasi baru untuk mengurangi risiko tersebut.
![Mengungkap Penipuan Baru Dompet Seluler Web3.0: Serangan Phishing Modal])https://img-cdn.gateio.im/webp-social/moments-5e20d7bf94995070ef023d62154c13c2.webp(
Prinsip Serangan Phishing Modus
Dalam sebuah studi tentang keamanan dompet seluler, para ahli telah memperhatikan bahwa antarmuka pengguna tertentu )UI( elemen dompet kripto Web 3.0 dapat dikendalikan oleh penyerang untuk serangan phishing. Ini disebut phishing modal karena penyerang terutama menargetkan jendela modal dompet kripto.
Jendela modal adalah elemen UI yang umum digunakan dalam aplikasi mobile, biasanya ditampilkan di atas jendela utama, untuk memudahkan pengguna melakukan tindakan cepat, seperti menyetujui/menolak permintaan transaksi dari dompet Web3.0. Desain modal dompet Web3.0 yang khas biasanya menyediakan informasi permintaan yang diperlukan untuk diperiksa oleh pengguna, serta tombol untuk menyetujui atau menolak.
Namun, elemen antarmuka pengguna ini dapat dikendalikan oleh penyerang untuk melakukan serangan phishing modalis. Penyerang dapat mengubah detail transaksi, menyamarkan permintaan transaksi sebagai permintaan "pembaruan aman" dari sumber terpercaya, untuk membujuk pengguna agar menyetujui.
![Mengungkap Penipuan Baru Dompet Web3.0: Serangan Memancing Modal Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-dafdce504880b12244d287e60c0fd498.webp(
Kasus Serangan Tipikal
) 1. Serangan phishing DApp melalui Wallet Connect
Protokol Wallet Connect adalah protokol sumber terbuka yang sangat populer, digunakan untuk menghubungkan dompet pengguna dengan DApp melalui kode QR atau tautan dalam. Selama proses pem配an, dompet Web3.0 akan menampilkan jendela modal yang menunjukkan metadata dari permintaan pem配an yang masuk, termasuk nama DApp, alamat situs web, ikon, dan deskripsi.
Namun, informasi ini disediakan oleh DApp, dan Dompet tidak memverifikasi keasliannya. Penyerang dapat menyamar sebagai DApp yang sah, menipu pengguna untuk terhubung dengannya. Selama proses pem配配, jendela modal yang ditampilkan di dalam Dompet akan menyajikan informasi DApp yang tampak sah, meningkatkan kredibilitas serangan.
![Mengungkap Penipuan Baru Dompet Bergerak Web3.0: Serangan Memancing Modal Modal Phishing]###https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp(
![Mengungkap Penipuan Baru Dompet Seluler Web3.0: Serangan Memancing Modal Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-e3d17d2ea42349c1331580d6cc4b919c.webp(
![Mengungkap Penipuan Baru Dompet Seluler Web3.0: Serangan Memancing Modal Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-2de349fc736a88000db66b2238cd5489.webp(
) 2. Melalui dompet kripto tertentu untuk phishing informasi kontrak pintar
Dalam beberapa mode persetujuan dompet kripto, akan ditampilkan sebuah string yang digunakan untuk mengidentifikasi jenis transaksi. Dompet akan membaca byte tanda tangan kontrak pintar dan menggunakan kueri registri metode on-chain untuk mencari nama metode yang sesuai. Namun, ini juga memberikan penyerang elemen UI lain yang dapat mereka kendalikan.
Penyerang dapat membuat kontrak pintar phishing, yang nama fungsinya terdaftar sebagai "SecurityUpdate" atau string menyesatkan lainnya. Ketika dompet menganalisis kontrak pintar phishing ini, ia akan menyajikan nama fungsi yang tampaknya dapat dipercaya ini kepada pengguna dalam modal persetujuan.
![Mengungkap Penipuan Baru Dompet Mobile Web3.0: Serangan Phishing Modal]###https://img-cdn.gateio.im/webp-social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d.webp(
![Mengungkap Penipuan Baru Dompet Seluler Web3.0: Serangan Phishing Modal])https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp(
![Mengungkap Penipuan Baru Dompet Mobile Web3.0: Serangan Phishing Modalis Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-9589d873000950a9132010c1a9323e91.webp(
Saran Pencegahan
Pengembang aplikasi Dompet harus selalu mengasumsikan bahwa data yang masuk dari luar tidak dapat dipercaya, memilih dengan hati-hati informasi apa yang ditampilkan kepada pengguna, dan memverifikasi keabsahan informasi tersebut.
Pengguna harus tetap waspada terhadap setiap permintaan transaksi yang tidak dikenal, jangan mudah percaya pada pembaruan atau permintaan keamanan yang tampak berasal dari sumber yang tepercaya.
Pengembang protokol seperti Wallet Connect harus mempertimbangkan untuk memverifikasi validitas dan legalitas informasi DApp sebelumnya.
Aplikasi Dompet harus mengambil langkah pencegahan untuk menyaring kata-kata yang mungkin digunakan untuk serangan phishing.
Singkatnya, beberapa elemen UI dalam jendela modal dompet kripto Web3.0 dapat dimanipulasi oleh penyerang, menciptakan perangkap phishing yang sangat menipu. Pengguna dan pengembang harus tetap waspada dan bersama-sama menjaga keamanan ekosistem Web3.
![Mengungkap Penipuan Baru Dompet Mobile Web3.0: Serangan Phishing Modus Modal])https://img-cdn.gateio.im/webp-social/moments-8b4186b031ffd019332d79000e6442d9.webp(
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
19 Suka
Hadiah
19
5
Bagikan
Komentar
0/400
MemeKingNFT
· 07-31 21:15
Eh? Umpan sudah turun, kesenangan mulai, suckers masih harus ditanam...
Ancaman baru dompet Web3: serangan phishing modal datang
Risiko Keamanan Baru Dompet Mobile Web3.0: Serangan Phishing Modal
Baru-baru ini, para ahli keamanan menemukan teknik phishing baru yang dapat menyesatkan pengguna dalam proses autentikasi aplikasi terdesentralisasi (DApp). Serangan baru ini dinamakan "Modal Phishing" (.
Penyerang dapat mengirimkan informasi palsu ke dompet mobile, menyamar sebagai DApp yang sah, dan menipu pengguna untuk menyetujui transaksi dengan menampilkan informasi yang menyesatkan di jendela modal dompet. Teknik phishing ini sedang digunakan secara luas. Pengembang komponen terkait telah mengkonfirmasi bahwa mereka akan merilis API verifikasi baru untuk mengurangi risiko tersebut.
![Mengungkap Penipuan Baru Dompet Seluler Web3.0: Serangan Phishing Modal])https://img-cdn.gateio.im/webp-social/moments-5e20d7bf94995070ef023d62154c13c2.webp(
Prinsip Serangan Phishing Modus
Dalam sebuah studi tentang keamanan dompet seluler, para ahli telah memperhatikan bahwa antarmuka pengguna tertentu )UI( elemen dompet kripto Web 3.0 dapat dikendalikan oleh penyerang untuk serangan phishing. Ini disebut phishing modal karena penyerang terutama menargetkan jendela modal dompet kripto.
Jendela modal adalah elemen UI yang umum digunakan dalam aplikasi mobile, biasanya ditampilkan di atas jendela utama, untuk memudahkan pengguna melakukan tindakan cepat, seperti menyetujui/menolak permintaan transaksi dari dompet Web3.0. Desain modal dompet Web3.0 yang khas biasanya menyediakan informasi permintaan yang diperlukan untuk diperiksa oleh pengguna, serta tombol untuk menyetujui atau menolak.
Namun, elemen antarmuka pengguna ini dapat dikendalikan oleh penyerang untuk melakukan serangan phishing modalis. Penyerang dapat mengubah detail transaksi, menyamarkan permintaan transaksi sebagai permintaan "pembaruan aman" dari sumber terpercaya, untuk membujuk pengguna agar menyetujui.
![Mengungkap Penipuan Baru Dompet Web3.0: Serangan Memancing Modal Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-dafdce504880b12244d287e60c0fd498.webp(
Kasus Serangan Tipikal
) 1. Serangan phishing DApp melalui Wallet Connect
Protokol Wallet Connect adalah protokol sumber terbuka yang sangat populer, digunakan untuk menghubungkan dompet pengguna dengan DApp melalui kode QR atau tautan dalam. Selama proses pem配an, dompet Web3.0 akan menampilkan jendela modal yang menunjukkan metadata dari permintaan pem配an yang masuk, termasuk nama DApp, alamat situs web, ikon, dan deskripsi.
Namun, informasi ini disediakan oleh DApp, dan Dompet tidak memverifikasi keasliannya. Penyerang dapat menyamar sebagai DApp yang sah, menipu pengguna untuk terhubung dengannya. Selama proses pem配配, jendela modal yang ditampilkan di dalam Dompet akan menyajikan informasi DApp yang tampak sah, meningkatkan kredibilitas serangan.
![Mengungkap Penipuan Baru Dompet Bergerak Web3.0: Serangan Memancing Modal Modal Phishing]###https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp(
![Mengungkap Penipuan Baru Dompet Seluler Web3.0: Serangan Memancing Modal Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-e3d17d2ea42349c1331580d6cc4b919c.webp(
![Mengungkap Penipuan Baru Dompet Seluler Web3.0: Serangan Memancing Modal Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-2de349fc736a88000db66b2238cd5489.webp(
) 2. Melalui dompet kripto tertentu untuk phishing informasi kontrak pintar
Dalam beberapa mode persetujuan dompet kripto, akan ditampilkan sebuah string yang digunakan untuk mengidentifikasi jenis transaksi. Dompet akan membaca byte tanda tangan kontrak pintar dan menggunakan kueri registri metode on-chain untuk mencari nama metode yang sesuai. Namun, ini juga memberikan penyerang elemen UI lain yang dapat mereka kendalikan.
Penyerang dapat membuat kontrak pintar phishing, yang nama fungsinya terdaftar sebagai "SecurityUpdate" atau string menyesatkan lainnya. Ketika dompet menganalisis kontrak pintar phishing ini, ia akan menyajikan nama fungsi yang tampaknya dapat dipercaya ini kepada pengguna dalam modal persetujuan.
![Mengungkap Penipuan Baru Dompet Mobile Web3.0: Serangan Phishing Modal]###https://img-cdn.gateio.im/webp-social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d.webp(
![Mengungkap Penipuan Baru Dompet Seluler Web3.0: Serangan Phishing Modal])https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp(
![Mengungkap Penipuan Baru Dompet Mobile Web3.0: Serangan Phishing Modalis Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-9589d873000950a9132010c1a9323e91.webp(
Saran Pencegahan
Pengembang aplikasi Dompet harus selalu mengasumsikan bahwa data yang masuk dari luar tidak dapat dipercaya, memilih dengan hati-hati informasi apa yang ditampilkan kepada pengguna, dan memverifikasi keabsahan informasi tersebut.
Pengguna harus tetap waspada terhadap setiap permintaan transaksi yang tidak dikenal, jangan mudah percaya pada pembaruan atau permintaan keamanan yang tampak berasal dari sumber yang tepercaya.
Pengembang protokol seperti Wallet Connect harus mempertimbangkan untuk memverifikasi validitas dan legalitas informasi DApp sebelumnya.
Aplikasi Dompet harus mengambil langkah pencegahan untuk menyaring kata-kata yang mungkin digunakan untuk serangan phishing.
Singkatnya, beberapa elemen UI dalam jendela modal dompet kripto Web3.0 dapat dimanipulasi oleh penyerang, menciptakan perangkap phishing yang sangat menipu. Pengguna dan pengembang harus tetap waspada dan bersama-sama menjaga keamanan ekosistem Web3.
![Mengungkap Penipuan Baru Dompet Mobile Web3.0: Serangan Phishing Modus Modal])https://img-cdn.gateio.im/webp-social/moments-8b4186b031ffd019332d79000e6442d9.webp(