Web3.0 Mobil Cüzdan Yeni Kimlik Avı Teknolojisi: Modal Phishing Saldırısı

Son zamanlarda, Web3.0 mobil cüzdanlarına yönelik yeni bir kimlik avı tekniği keşfettik. Bu teknik, kullanıcıların merkeziyetsiz uygulama (DApp) ile bağlantı kurarken kimlik bilgilerini ifşa etmelerini yanıltabilir. Bu yeni saldırı türüne "moda kimlik avı saldırısı" (Modal Phishing) adını verdik.

Saldırganlar, mobil cüzdana sahte bilgiler göndererek meşru DApp'leri taklit eder ve cüzdanın modal penceresinde yanıltıcı içerikler göstererek kullanıcıları işlem onaylamaya kandırır. Bu kimlik avı tekniği yaygın olarak kullanılmaktadır. İlgili bileşen geliştiricileri, riski azaltmak için yeni bir doğrulama API'si yayımlayacaklarını doğrulamıştır.

Modül Avı Saldırısının Prensibi

Mobil cüzdanların güvenlik araştırmalarında, Web3.0 cüzdanlarının bazı kullanıcı arayüzü (UI) öğelerinin saldırganlar tarafından kimlik avı için kontrol edilebileceğini fark ettik. Bu tekniğe modal kimlik avı denir çünkü saldırganlar esas olarak kripto cüzdanların modal pencerelerine yönelik işlemler yapar.

Modal pencereler, mobil uygulamalarda sıkça karşılaşılan UI öğeleridir ve genellikle ana pencerenin üstünde görünür, onaylama/red etme gibi hızlı işlemler için kullanılır. Web3.0 cüzdanının tipik modal tasarımı, kullanıcıların kontrol etmesi ve işlem yapması için işlem detaylarını ve onaylama/red etme düğmelerini içerir.

Ancak, bu UI öğeleri saldırganlar tarafından kontrol edilebilir. Örneğin, saldırganlar işlem ayrıntılarını değiştirebilir, isteği "Metamask"'tan gelen "güvenlik güncellemesi" gibi giydirerek kullanıcıyı onay vermeye ikna edebilir.

Tipik Saldırı Vaka Çalışmaları

1. Wallet Connect ile DApp Kimlik Avı

Cüzdan Connect, kullanıcı cüzdanlarını DApp ile bağlamak için popüler bir açık kaynak protokolüdür. Eşleştirme sürecinde, cüzdan DApp adı, web sitesi ve simge gibi bilgileri içeren bir modül penceresi gösterir. Ancak, bu bilgiler DApp tarafından sağlanır ve cüzdan bunların doğruluğunu doğrulamaz.

Saldırganlar, meşru DApp'leri taklit ederek sahte bilgiler sunabilir. Örneğin, saldırgan Uniswap olduklarını iddia edebilir, kullanıcıların Metamask cüzdanlarına bağlanarak kullanıcıları işlemi onaylamaya ikna edebilir. Gösterilen bilgiler meşru gibi göründüğünden, kullanıcılar kolayca kandırılabilir.

2. Metamask ile akıllı sözleşme bilgilerini Kimlik Avı

Metamask, işlem onay modülünde akıllı sözleşmenin yöntem adını gösterir. Saldırganlar, "SecurityUpdate" gibi yanıltıcı isimlere sahip kimlik avı akıllı sözleşmeleri oluşturabilir ve bu ismi zincir üzerinde kaydedebilir. Metamask sözleşmeyi çözdüğünde, bu isim modül penceresinde gösterilir ve işlem isteğini daha güvenilir hale getirir.

Bu kontrol edilebilir UI öğelerini birleştirerek, saldırganlar kullanıcıları onaylamaya ikna eden "Metamask"'tan geliyormuş gibi görünen bir "güvenlik güncellemesi" isteği oluşturabilir.

Önlem Önerileri

1. Cüzdan geliştiricileri, dış verilerin güvenilir olmadığını varsaymalı, kullanıcılara sunulan bilgileri dikkatlice seçmeli ve bunların yasallığını doğrulamalıdır.

2. Cüzdan Connect gibi protokoller, DApp bilgilerin geçerliliğini önceden doğrulamalıdır.

3. Cüzdan uygulamaları, kimlik avı için kullanılabilecek terimleri izlemeli ve filtrelemelidir.

4. Kullanıcı, her bilinmeyen işlem isteğine karşı dikkatli olmalı ve işlem detaylarını dikkatlice doğrulamalıdır.

Modal kimlik avı saldırıları, kullanıcıların cüzdan UI'sine olan güvenini kullanarak, bazı UI öğelerini manipüle ederek son derece ikna edici bir kimlik avı tuzağı yaratır. Bu tehdidi tanımak ve uygun önlemleri almak, Web3.0 ekosisteminin güvenliğini sağlamak açısından kritik önem taşır.