Risiko Keamanan Baru Dompet Mobile Web3.0: Serangan Phishing Modus
Belakangan ini, sebuah teknik phishing baru menarik perhatian di bidang Web3. Teknik serangan ini menargetkan tahap otentikasi identitas aplikasi terdesentralisasi (DApp), yang dapat menyesatkan pengguna untuk membuat keputusan yang salah.
Para peneliti keamanan menamai teknik phishing baru yang muncul ini sebagai "serangan phishing modal" (Modal Phishing).
Dalam serangan ini, peretas dapat mengirimkan informasi palsu ke dompet seluler, berpura-pura menjadi DApp yang sah. Dengan menampilkan konten yang menyesatkan di jendela modal dompet, mereka menggoda pengguna untuk menyetujui transaksi yang bermasalah. Saat ini, metode phishing ini sudah mulai muncul secara luas. Tim pengembang terkait telah mengonfirmasi akan meluncurkan API verifikasi baru untuk mengurangi risiko.
Prinsip Serangan Phishing Modal
Dalam penelitian tentang keamanan dompet mobile, para ahli menemukan bahwa beberapa elemen antarmuka pengguna dari dompet Web3 dapat dimanfaatkan oleh penyerang untuk melakukan phishing. Disebut "phishing modal" karena serangan ini terutama menargetkan jendela modal dari dompet kripto.
Jendela modal adalah elemen UI yang umum dalam aplikasi mobile, biasanya ditampilkan di atas antarmuka utama. Desain ini memudahkan pengguna untuk melakukan tindakan cepat, seperti menyetujui atau menolak permintaan transaksi dari Dompet Web3.0. Jendela modal Dompet Web3.0 yang khas akan menyediakan rincian transaksi untuk diperiksa pengguna dan dilengkapi dengan tombol untuk menyetujui atau menolak.
Namun, elemen antarmuka pengguna ini dapat dimanipulasi oleh peretas untuk serangan phishing modal. Penyerang dapat mengubah rincian transaksi, menyamarkan permintaan sebagai "pembaruan keamanan" yang tampaknya berasal dari sumber tepercaya, sehingga mendorong pengguna untuk menyetujui.
Kasus Serangan Tipikal
1. Memancing DApp menggunakan protokol Wallet Connect
Wallet Connect adalah protokol sumber terbuka yang banyak digunakan untuk menghubungkan dompet pengguna dengan DApp melalui kode QR atau tautan dalam. Selama proses pemasangan, dompet Web3 akan menampilkan jendela modal yang menunjukkan nama DApp, alamat situs, ikon, dan informasi lainnya.
Masalahnya adalah, Dompet tidak memverifikasi keaslian informasi tersebut. Penyerang dapat memberikan informasi palsu, menyamar sebagai DApp terkenal. Misalnya, aplikasi jahat dapat menyamar sebagai Uniswap, menggoda pengguna untuk terhubung dan menyetujui transaksi.
Pengujian nyata menunjukkan bahwa penyerang dapat mengendalikan nama, URL, dan ikon DApp yang ditampilkan di jendela modal. Karena menggunakan protokol https, bahkan akan menampilkan ikon kunci, meningkatkan kepercayaan. Begitu pengguna melakukan tindakan di situs palsu, penyerang dapat mengganti parameter transaksi dan mencuri dana.
2. Phishing informasi kontrak pintar melalui MetaMask
Dompet seperti MetaMask akan menampilkan nama metode kontrak pintar di antarmuka persetujuan transaksi, seperti "Confirm" atau "Unknown Method". Fitur ini awalnya dimaksudkan untuk membantu pengguna mengenali jenis transaksi, tetapi juga bisa dimanfaatkan oleh penyerang.
Penyerang dapat membuat kontrak pintar phishing dengan nama metode yang terdaftar sebagai "SecurityUpdate" dan string menyesatkan lainnya. Ketika pengguna melihat rincian transaksi, mereka akan melihat permintaan "pembaruan keamanan" yang tampaknya berasal dari MetaMask, yang meningkatkan kemungkinan persetujuan pengguna.
Saran Pencegahan
Pengembang Dompet harus selalu mengasumsikan bahwa data eksternal tidak dapat dipercaya, dengan hati-hati memilih informasi yang ditampilkan kepada pengguna, dan memverifikasi keabsahannya.
Pertimbangkan untuk memfilter kata sensitif yang mungkin digunakan untuk phishing di UI.
Pengguna harus waspada terhadap setiap permintaan transaksi yang tidak diketahui dan memeriksa rincian transaksi dengan cermat.
Protokol seperti Wallet Connect dapat mempertimbangkan untuk menambahkan mekanisme verifikasi informasi DApp.
Aplikasi Dompet harus memperbaiki logika tampilan nama metode kontrak pintar, untuk menghindari penampilan informasi yang mungkin disalahgunakan.
Seiring dengan perkembangan teknologi Web3, ancaman keamanan baru terus muncul. Pengguna dan pengembang perlu tetap waspada untuk bersama-sama menjaga keamanan ekosistem.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
8 Suka
Hadiah
8
4
Posting ulang
Bagikan
Komentar
0/400
GateUser-2fce706c
· 08-15 11:11
Saya sudah memperingatkan bahwa saat menimbun koin, harus lebih berhati-hati.
Lihat AsliBalas0
FallingLeaf
· 08-14 05:43
Ini lagi memancing, kapan ini akan berakhir?
Lihat AsliBalas0
PermabullPete
· 08-14 05:35
Oh ho, hacker ini sekarang sudah bermain psikologi.
Serangan Phishing Modal: Ancaman Keamanan Baru bagi Dompet Seluler Web3
Risiko Keamanan Baru Dompet Mobile Web3.0: Serangan Phishing Modus
Belakangan ini, sebuah teknik phishing baru menarik perhatian di bidang Web3. Teknik serangan ini menargetkan tahap otentikasi identitas aplikasi terdesentralisasi (DApp), yang dapat menyesatkan pengguna untuk membuat keputusan yang salah.
Para peneliti keamanan menamai teknik phishing baru yang muncul ini sebagai "serangan phishing modal" (Modal Phishing).
Dalam serangan ini, peretas dapat mengirimkan informasi palsu ke dompet seluler, berpura-pura menjadi DApp yang sah. Dengan menampilkan konten yang menyesatkan di jendela modal dompet, mereka menggoda pengguna untuk menyetujui transaksi yang bermasalah. Saat ini, metode phishing ini sudah mulai muncul secara luas. Tim pengembang terkait telah mengonfirmasi akan meluncurkan API verifikasi baru untuk mengurangi risiko.
Prinsip Serangan Phishing Modal
Dalam penelitian tentang keamanan dompet mobile, para ahli menemukan bahwa beberapa elemen antarmuka pengguna dari dompet Web3 dapat dimanfaatkan oleh penyerang untuk melakukan phishing. Disebut "phishing modal" karena serangan ini terutama menargetkan jendela modal dari dompet kripto.
Jendela modal adalah elemen UI yang umum dalam aplikasi mobile, biasanya ditampilkan di atas antarmuka utama. Desain ini memudahkan pengguna untuk melakukan tindakan cepat, seperti menyetujui atau menolak permintaan transaksi dari Dompet Web3.0. Jendela modal Dompet Web3.0 yang khas akan menyediakan rincian transaksi untuk diperiksa pengguna dan dilengkapi dengan tombol untuk menyetujui atau menolak.
Namun, elemen antarmuka pengguna ini dapat dimanipulasi oleh peretas untuk serangan phishing modal. Penyerang dapat mengubah rincian transaksi, menyamarkan permintaan sebagai "pembaruan keamanan" yang tampaknya berasal dari sumber tepercaya, sehingga mendorong pengguna untuk menyetujui.
Kasus Serangan Tipikal
1. Memancing DApp menggunakan protokol Wallet Connect
Wallet Connect adalah protokol sumber terbuka yang banyak digunakan untuk menghubungkan dompet pengguna dengan DApp melalui kode QR atau tautan dalam. Selama proses pemasangan, dompet Web3 akan menampilkan jendela modal yang menunjukkan nama DApp, alamat situs, ikon, dan informasi lainnya.
Masalahnya adalah, Dompet tidak memverifikasi keaslian informasi tersebut. Penyerang dapat memberikan informasi palsu, menyamar sebagai DApp terkenal. Misalnya, aplikasi jahat dapat menyamar sebagai Uniswap, menggoda pengguna untuk terhubung dan menyetujui transaksi.
Pengujian nyata menunjukkan bahwa penyerang dapat mengendalikan nama, URL, dan ikon DApp yang ditampilkan di jendela modal. Karena menggunakan protokol https, bahkan akan menampilkan ikon kunci, meningkatkan kepercayaan. Begitu pengguna melakukan tindakan di situs palsu, penyerang dapat mengganti parameter transaksi dan mencuri dana.
2. Phishing informasi kontrak pintar melalui MetaMask
Dompet seperti MetaMask akan menampilkan nama metode kontrak pintar di antarmuka persetujuan transaksi, seperti "Confirm" atau "Unknown Method". Fitur ini awalnya dimaksudkan untuk membantu pengguna mengenali jenis transaksi, tetapi juga bisa dimanfaatkan oleh penyerang.
Penyerang dapat membuat kontrak pintar phishing dengan nama metode yang terdaftar sebagai "SecurityUpdate" dan string menyesatkan lainnya. Ketika pengguna melihat rincian transaksi, mereka akan melihat permintaan "pembaruan keamanan" yang tampaknya berasal dari MetaMask, yang meningkatkan kemungkinan persetujuan pengguna.
Saran Pencegahan
Pengembang Dompet harus selalu mengasumsikan bahwa data eksternal tidak dapat dipercaya, dengan hati-hati memilih informasi yang ditampilkan kepada pengguna, dan memverifikasi keabsahannya.
Pertimbangkan untuk memfilter kata sensitif yang mungkin digunakan untuk phishing di UI.
Pengguna harus waspada terhadap setiap permintaan transaksi yang tidak diketahui dan memeriksa rincian transaksi dengan cermat.
Protokol seperti Wallet Connect dapat mempertimbangkan untuk menambahkan mekanisme verifikasi informasi DApp.
Aplikasi Dompet harus memperbaiki logika tampilan nama metode kontrak pintar, untuk menghindari penampilan informasi yang mungkin disalahgunakan.
Seiring dengan perkembangan teknologi Web3, ancaman keamanan baru terus muncul. Pengguna dan pengembang perlu tetap waspada untuk bersama-sama menjaga keamanan ekosistem.