Web3.0 Mobil Cüzdan Yeni Güvenlik Riskleri: Modal Phishing Saldırıları
Son zamanlarda, güvenlik uzmanları, kullanıcıları merkeziyetsiz uygulama (DApp) kimlik doğrulama sürecinde yanıltabilecek yeni bir kimlik avı tekniği keşfettiler. Bu yeni tür saldırıya "modlar arası kimlik avı saldırısı" (Modal Phishing) adı verilmiştir.
Saldırganlar, mobil cüzdanlara sahte bilgiler göndererek meşru DApp'leri taklit edebilir ve cüzdanın modal penceresinde yanıltıcı bilgiler göstererek kullanıcıları işlemi onaylamaya ikna edebilir. Bu oltalama tekniği yaygın olarak kullanılmaktadır. İlgili bileşen geliştiricileri, bu riski azaltmak için yeni bir doğrulama API'si yayınlayacaklarını onayladılar.
Modüler Phishing Saldırısının Prensibi
Mobil cüzdanların güvenliği üzerine yapılan araştırmalarda, uzmanlar Web3.0 kripto cüzdanlarının bazı kullanıcı arayüzü (UI) öğelerinin saldırganlar tarafından kontrol edilerek kimlik avı saldırıları için kullanılabileceğini fark ettiler. Buna mod modal kimlik avı denmesinin sebebi, saldırganların esasen kripto cüzdanlarının modal pencerelerine saldırmasıdır.
Modal pencereler, mobil uygulamalarda yaygın olarak kullanılan UI öğeleridir ve genellikle ana pencerenin üstünde görüntülenir. Kullanıcıların hızlı işlemler gerçekleştirmesini kolaylaştırmak için, örneğin Web3.0 cüzdanının işlem taleplerini onaylama/redde bulunmak amacıyla kullanılır. Tipik bir Web3.0 cüzdan modal tasarımı, kullanıcıların kontrol etmesi için gerekli talep bilgilerini sağlar ve onaylama veya reddetme butonları içerir.
Ancak, bu kullanıcı arayüzü öğeleri, saldırganlar tarafından modüler phishing saldırıları için kontrol edilebilir. Saldırganlar, işlem ayrıntılarını değiştirebilir ve işlem taleplerini güvenilir bir kaynaktan gelen "güvenlik güncellemesi" talepleri olarak gizleyerek kullanıcıları onay vermeye ikna edebilir.
Tipik Saldırı Örnekleri
1. DApp oltalama saldırısı Wallet Connect aracılığıyla
Cüzdan Connect protokolü, kullanıcıların cüzdanlarını DApp ile QR kodu veya derin bağlantı aracılığıyla bağlamak için yaygın olarak kullanılan açık kaynaklı bir protokoldür. Eşleştirme sürecinde, Web3.0 cüzdanı, gelen eşleştirme isteğinin meta bilgilerini gösteren bir modül penceresi açar; bu bilgiler arasında DApp'ın adı, web sitesi adresi, simgesi ve açıklaması bulunur.
Ancak, bu bilgiler DApp tarafından sağlanmaktadır ve Cüzdan bunların doğruluğunu doğrulamaz. Saldırganlar, meşru DApp'leri taklit ederek kullanıcıları onlarla bağlantı kurmaya ikna edebilir. Eşleştirme sürecinde, Cüzdan içinde gösterilen modal pencere, meşru DApp bilgilerini sunarak saldırının güvenilirliğini artırır.
2. Bir kripto cüzdanı aracılığıyla akıllı sözleşme bilgisi ağ phishing
Bazı kripto Cüzdanlarının onay modlarında, işlem türünü tanımlamak için bir dize görüntülenir. Cüzdan, akıllı sözleşmenin imza baytlarını okur ve zincir üzerindeki yöntem kayıtlarını sorgulayarak ilgili yöntem adını bulur. Ancak, bu durum saldırganlara başka bir kontrol edilebilir UI öğesi sunar.
Saldırganlar, fonksiyon adı "SecurityUpdate" gibi yanıltıcı dizgeleri kayıtlı olarak kullanan bir phishing akıllı sözleşmesi oluşturabilir. Cüzdan bu phishing akıllı sözleşmesini çözdüğünde, onay modunda kullanıcıya bu güvenilir görünen fonksiyon adını sunar.
Önlem Önerileri
Cüzdan uygulaması geliştiricileri, her zaman dışarıdan gelen verilerin güvenilir olmadığını varsaymalı, kullanıcılara hangi bilgilerin gösterileceğini dikkatlice seçmeli ve bu bilgilerin geçerliliğini doğrulamalıdır.
Kullanıcı, her bilinmeyen işlem isteğine karşı dikkatli olmalı ve güvenilir kaynaklardan geliyormuş gibi görünen güncellemeleri veya güvenlik taleplerini kolayca kabul etmemelidir.
Cüzdan Bağlantısı gibi protokol geliştiricileri, DApp bilgilerini önceden doğrulamanın geçerliliğini ve yasalitesini düşünmelidir.
Cüzdan uygulamaları, kimlik avı saldırıları için kullanılabilecek kelimeleri filtrelemek için önlemler almalıdır.
Sonuç olarak, Web3.0 Cüzdan'ın modül penceresindeki bazı UI öğeleri, saldırganlar tarafından manipüle edilebilir ve son derece aldatıcı bir phishing tuzağı oluşturabilir. Kullanıcılar ve geliştiriciler dikkatli olmalı ve Web3 ekosisteminin güvenliğini birlikte sağlamalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
19 Likes
Reward
19
5
Share
Comment
0/400
MemeKingNFT
· 07-31 21:15
Eh? Olta suya atıldı, eğlence başlıyor, enayiler hâlâ ekilecek...
View OriginalReply0
TokenRationEater
· 07-29 15:40
Cüzdanın da nasıl oltaya düşebileceğini anlayamıyorum.
Web3 mobil cüzdan yeni tehdit: Modüler oltalama saldırısı geliyor
Web3.0 Mobil Cüzdan Yeni Güvenlik Riskleri: Modal Phishing Saldırıları
Son zamanlarda, güvenlik uzmanları, kullanıcıları merkeziyetsiz uygulama (DApp) kimlik doğrulama sürecinde yanıltabilecek yeni bir kimlik avı tekniği keşfettiler. Bu yeni tür saldırıya "modlar arası kimlik avı saldırısı" (Modal Phishing) adı verilmiştir.
Saldırganlar, mobil cüzdanlara sahte bilgiler göndererek meşru DApp'leri taklit edebilir ve cüzdanın modal penceresinde yanıltıcı bilgiler göstererek kullanıcıları işlemi onaylamaya ikna edebilir. Bu oltalama tekniği yaygın olarak kullanılmaktadır. İlgili bileşen geliştiricileri, bu riski azaltmak için yeni bir doğrulama API'si yayınlayacaklarını onayladılar.
Modüler Phishing Saldırısının Prensibi
Mobil cüzdanların güvenliği üzerine yapılan araştırmalarda, uzmanlar Web3.0 kripto cüzdanlarının bazı kullanıcı arayüzü (UI) öğelerinin saldırganlar tarafından kontrol edilerek kimlik avı saldırıları için kullanılabileceğini fark ettiler. Buna mod modal kimlik avı denmesinin sebebi, saldırganların esasen kripto cüzdanlarının modal pencerelerine saldırmasıdır.
Modal pencereler, mobil uygulamalarda yaygın olarak kullanılan UI öğeleridir ve genellikle ana pencerenin üstünde görüntülenir. Kullanıcıların hızlı işlemler gerçekleştirmesini kolaylaştırmak için, örneğin Web3.0 cüzdanının işlem taleplerini onaylama/redde bulunmak amacıyla kullanılır. Tipik bir Web3.0 cüzdan modal tasarımı, kullanıcıların kontrol etmesi için gerekli talep bilgilerini sağlar ve onaylama veya reddetme butonları içerir.
Ancak, bu kullanıcı arayüzü öğeleri, saldırganlar tarafından modüler phishing saldırıları için kontrol edilebilir. Saldırganlar, işlem ayrıntılarını değiştirebilir ve işlem taleplerini güvenilir bir kaynaktan gelen "güvenlik güncellemesi" talepleri olarak gizleyerek kullanıcıları onay vermeye ikna edebilir.
Tipik Saldırı Örnekleri
1. DApp oltalama saldırısı Wallet Connect aracılığıyla
Cüzdan Connect protokolü, kullanıcıların cüzdanlarını DApp ile QR kodu veya derin bağlantı aracılığıyla bağlamak için yaygın olarak kullanılan açık kaynaklı bir protokoldür. Eşleştirme sürecinde, Web3.0 cüzdanı, gelen eşleştirme isteğinin meta bilgilerini gösteren bir modül penceresi açar; bu bilgiler arasında DApp'ın adı, web sitesi adresi, simgesi ve açıklaması bulunur.
Ancak, bu bilgiler DApp tarafından sağlanmaktadır ve Cüzdan bunların doğruluğunu doğrulamaz. Saldırganlar, meşru DApp'leri taklit ederek kullanıcıları onlarla bağlantı kurmaya ikna edebilir. Eşleştirme sürecinde, Cüzdan içinde gösterilen modal pencere, meşru DApp bilgilerini sunarak saldırının güvenilirliğini artırır.
2. Bir kripto cüzdanı aracılığıyla akıllı sözleşme bilgisi ağ phishing
Bazı kripto Cüzdanlarının onay modlarında, işlem türünü tanımlamak için bir dize görüntülenir. Cüzdan, akıllı sözleşmenin imza baytlarını okur ve zincir üzerindeki yöntem kayıtlarını sorgulayarak ilgili yöntem adını bulur. Ancak, bu durum saldırganlara başka bir kontrol edilebilir UI öğesi sunar.
Saldırganlar, fonksiyon adı "SecurityUpdate" gibi yanıltıcı dizgeleri kayıtlı olarak kullanan bir phishing akıllı sözleşmesi oluşturabilir. Cüzdan bu phishing akıllı sözleşmesini çözdüğünde, onay modunda kullanıcıya bu güvenilir görünen fonksiyon adını sunar.
Önlem Önerileri
Cüzdan uygulaması geliştiricileri, her zaman dışarıdan gelen verilerin güvenilir olmadığını varsaymalı, kullanıcılara hangi bilgilerin gösterileceğini dikkatlice seçmeli ve bu bilgilerin geçerliliğini doğrulamalıdır.
Kullanıcı, her bilinmeyen işlem isteğine karşı dikkatli olmalı ve güvenilir kaynaklardan geliyormuş gibi görünen güncellemeleri veya güvenlik taleplerini kolayca kabul etmemelidir.
Cüzdan Bağlantısı gibi protokol geliştiricileri, DApp bilgilerini önceden doğrulamanın geçerliliğini ve yasalitesini düşünmelidir.
Cüzdan uygulamaları, kimlik avı saldırıları için kullanılabilecek kelimeleri filtrelemek için önlemler almalıdır.
Sonuç olarak, Web3.0 Cüzdan'ın modül penceresindeki bazı UI öğeleri, saldırganlar tarafından manipüle edilebilir ve son derece aldatıcı bir phishing tuzağı oluşturabilir. Kullanıcılar ve geliştiriciler dikkatli olmalı ve Web3 ekosisteminin güvenliğini birlikte sağlamalıdır.