ウェブ3.0モバイルウォレットは新たなフィッシングの脅威に直面しています：モーダルフィッシング攻撃

最近、安全研究者はウェブ3.0ウォレットを対象とした新しいフィッシング技術を発見しました。これを「モーダルフィッシング攻撃」と呼びます(Modal Phishing)。この攻撃方法は、モバイルウォレットアプリのモーダルウィンドウを利用し、誤解を招く情報を表示することでユーザーに悪意のある取引を承認させようとします。

モーダルフィッシング攻撃とは?

モーダルフィッシング攻撃は主に暗号通貨ウォレットアプリケーションのモーダルウィンドウを操作することを目的としています。モーダルウィンドウはモバイルアプリで一般的に使用されるUI要素で、通常はメインインターフェースの上に表示され、取引リクエストの承認/拒否などの迅速な操作に使用されます。

通常、モーダルウィンドウは取引の発起者の身分情報を表示します。例えば、ウェブサイトのアドレスやアイコンなどです。しかし、攻撃者はこれらのUI要素を操作して、合法的なアプリの身分情報を偽造し、ユーザーに悪意のある取引を承認させることができます。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

2つの典型的な攻撃ケース

1. ウォレットコネクトプロトコルを通じてDAppフィッシングを行う

ウォレットコネクトは、ユーザーのウォレットと分散型アプリ(DApp)を接続するために広く使用されているプロトコルです。研究によると、ペアリングプロセス中に、ウォレットアプリはDAppが提供するメタ情報(、例えば名前、ウェブサイト、アイコンなど)を表示しますが、これらの情報の真偽を検証することはありません。

攻撃者はこの脆弱性を利用して、有名なDAppの身分情報を偽造できます。例えば、攻撃者はUniswapアプリを装って、ユーザーを騙してウォレットを接続し、悪意のある取引を承認させることができます。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング

2. MetaMaskを通じてスマートコントラクト情報フィッシング

一部のウォレットアプリ(、例えばMetaMask)は、取引承認画面にスマートコントラクトの関数名を表示します。攻撃者は "SecurityUpdate "のような誤解を招く名前のスマートコントラクト関数を登録し、取引がウォレットの公式なセキュリティ更新からのものであるかのように見せかけることができます。

DAppのID情報を操作することで、攻撃者は「MetaMask」の「セキュリティ更新」からのものであるかのように見える非常に欺瞞的な取引リクエストを作成することができます。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

セキュリティの提案

この新しい脅威に対処するため、専門家は次のように提案しています：

1. ウォレットアプリの開発者は常に外部から受信したデータが信頼できないと仮定し、ユーザーに表示されるすべての情報の正当性を検証する必要があります。

2. ウォレットコネクトなどのプロトコルは、DApp情報検証メカニズムの追加を検討する必要があります。

3. ユーザーは未知の取引リクエストを承認する際に警戒を怠らず、取引の詳細を慎重に確認するべきです。

4. ウォレットアプリはフィッシング攻撃に使用される可能性のあるキーワードをフィルタリングすることを考慮すべきです。

総じて、ウェブ3.0技術の発展に伴い、ユーザーと開発者は共に進化し続けるネットワークの脅威に対処するために、安全意識を高める必要があります。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング