Web3.0 Ví tiền di động hình thức trò lừa bịp: tấn công lừa đảo mô hình
Gần đây, một công nghệ lừa đảo mới trong lĩnh vực Web3.0 đã thu hút sự chú ý của các chuyên gia an ninh. Phương pháp được gọi là "tấn công lừa đảo theo mô hình" (Modal Phishing) này, chủ yếu nhắm vào người dùng Ví tiền di động, thông qua việc thao túng cửa sổ mô hình của ứng dụng để đánh lừa người dùng phê duyệt các giao dịch độc hại.
Tâm điểm của cuộc tấn công lừa đảo mô hình là việc lợi dụng các yếu tố giao diện người dùng phổ biến trong ứng dụng di động - cửa sổ mô hình. Những cửa sổ này thường được sử dụng để hiển thị thông tin quan trọng như yêu cầu giao dịch và yêu cầu người dùng xác nhận. Tuy nhiên, kẻ tấn công có thể kiểm soát một số yếu tố trong những cửa sổ này để giả mạo các yêu cầu có vẻ hợp pháp, từ đó lừa đảo người dùng phê duyệt các giao dịch có hại.
Cụ thể, kẻ tấn công có thể thao túng hai khía cạnh chính sau đây:
Thông tin DApp: Nếu sử dụng giao thức Wallet Connect, kẻ tấn công có thể kiểm soát tên, biểu tượng và các thông tin khác của ứng dụng phi tập trung (DApp) được hiển thị.
Thông tin hợp đồng thông minh: Trong một số ứng dụng ví tiền, kẻ tấn công có thể thao túng tên phương thức hợp đồng thông minh và các thông tin khác được hiển thị.
Một kịch bản tấn công lừa đảo mô hình điển hình như sau: Kẻ tấn công tạo ra một DApp giả mạo, tuyên bố rằng mình là một nền tảng nổi tiếng (như một sàn giao dịch lớn). Khi người dùng cố gắng kết nối Ví tiền, kẻ tấn công có thể hiển thị thông tin DApp giả mạo trong cửa sổ mô hình, bao gồm tên, biểu tượng và địa chỉ trang web đúng, làm cho nó trông hoàn toàn hợp pháp. Khi kết nối được thiết lập, kẻ tấn công có thể gửi yêu cầu giao dịch độc hại và trong cửa sổ mô hình giả mạo là cập nhật bảo mật hoặc các thao tác khác có vẻ vô hại.
Hơn nữa, một số ứng dụng ví tiền có thể hiển thị trực tiếp tên phương thức của hợp đồng thông minh. Kẻ tấn công có thể đăng ký các phương thức có tên gây hiểu lầm (như "SecurityUpdate"), làm tăng thêm độ tin cậy của chúng.
Cách tấn công này hiệu quả chủ yếu là do nhiều ứng dụng ví tiền không xác minh đầy đủ tính xác thực của thông tin được hiển thị. Ví dụ, giao thức Wallet Connect bản thân nó không xác minh thông tin do DApp cung cấp, trong khi các ứng dụng ví tiền lại tin tưởng và hiển thị những dữ liệu chưa được xác minh này.
Để đối phó với mối đe dọa này, các nhà phát triển ví tiền cần thực hiện các biện pháp xác thực nghiêm ngặt hơn, giữ thái độ nghi ngờ đối với tất cả dữ liệu nhập từ bên ngoài và cẩn thận lọc thông tin hiển thị cho người dùng. Đồng thời, người dùng cũng nên cảnh giác với mỗi yêu cầu giao dịch không xác định, không nên dễ dàng tin tưởng vào thông tin hiển thị trong cửa sổ mô hình.
Với sự phát triển không ngừng của hệ sinh thái Web3.0, những thách thức an ninh tương tự có thể ngày càng gia tăng. Do đó, việc nâng cao giáo dục người dùng, cải thiện nhận thức về an ninh, đồng thời liên tục hoàn thiện cơ chế an toàn của ứng dụng Ví tiền sẽ là yếu tố then chốt để bảo vệ an toàn tài sản của người dùng.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Tấn công lừa đảo mô hình: Trò lừa bịp mới của ví tiền di động Web3.0
Web3.0 Ví tiền di động hình thức trò lừa bịp: tấn công lừa đảo mô hình
Gần đây, một công nghệ lừa đảo mới trong lĩnh vực Web3.0 đã thu hút sự chú ý của các chuyên gia an ninh. Phương pháp được gọi là "tấn công lừa đảo theo mô hình" (Modal Phishing) này, chủ yếu nhắm vào người dùng Ví tiền di động, thông qua việc thao túng cửa sổ mô hình của ứng dụng để đánh lừa người dùng phê duyệt các giao dịch độc hại.
Tâm điểm của cuộc tấn công lừa đảo mô hình là việc lợi dụng các yếu tố giao diện người dùng phổ biến trong ứng dụng di động - cửa sổ mô hình. Những cửa sổ này thường được sử dụng để hiển thị thông tin quan trọng như yêu cầu giao dịch và yêu cầu người dùng xác nhận. Tuy nhiên, kẻ tấn công có thể kiểm soát một số yếu tố trong những cửa sổ này để giả mạo các yêu cầu có vẻ hợp pháp, từ đó lừa đảo người dùng phê duyệt các giao dịch có hại.
Cụ thể, kẻ tấn công có thể thao túng hai khía cạnh chính sau đây:
Thông tin DApp: Nếu sử dụng giao thức Wallet Connect, kẻ tấn công có thể kiểm soát tên, biểu tượng và các thông tin khác của ứng dụng phi tập trung (DApp) được hiển thị.
Thông tin hợp đồng thông minh: Trong một số ứng dụng ví tiền, kẻ tấn công có thể thao túng tên phương thức hợp đồng thông minh và các thông tin khác được hiển thị.
Một kịch bản tấn công lừa đảo mô hình điển hình như sau: Kẻ tấn công tạo ra một DApp giả mạo, tuyên bố rằng mình là một nền tảng nổi tiếng (như một sàn giao dịch lớn). Khi người dùng cố gắng kết nối Ví tiền, kẻ tấn công có thể hiển thị thông tin DApp giả mạo trong cửa sổ mô hình, bao gồm tên, biểu tượng và địa chỉ trang web đúng, làm cho nó trông hoàn toàn hợp pháp. Khi kết nối được thiết lập, kẻ tấn công có thể gửi yêu cầu giao dịch độc hại và trong cửa sổ mô hình giả mạo là cập nhật bảo mật hoặc các thao tác khác có vẻ vô hại.
Hơn nữa, một số ứng dụng ví tiền có thể hiển thị trực tiếp tên phương thức của hợp đồng thông minh. Kẻ tấn công có thể đăng ký các phương thức có tên gây hiểu lầm (như "SecurityUpdate"), làm tăng thêm độ tin cậy của chúng.
Cách tấn công này hiệu quả chủ yếu là do nhiều ứng dụng ví tiền không xác minh đầy đủ tính xác thực của thông tin được hiển thị. Ví dụ, giao thức Wallet Connect bản thân nó không xác minh thông tin do DApp cung cấp, trong khi các ứng dụng ví tiền lại tin tưởng và hiển thị những dữ liệu chưa được xác minh này.
Để đối phó với mối đe dọa này, các nhà phát triển ví tiền cần thực hiện các biện pháp xác thực nghiêm ngặt hơn, giữ thái độ nghi ngờ đối với tất cả dữ liệu nhập từ bên ngoài và cẩn thận lọc thông tin hiển thị cho người dùng. Đồng thời, người dùng cũng nên cảnh giác với mỗi yêu cầu giao dịch không xác định, không nên dễ dàng tin tưởng vào thông tin hiển thị trong cửa sổ mô hình.
Với sự phát triển không ngừng của hệ sinh thái Web3.0, những thách thức an ninh tương tự có thể ngày càng gia tăng. Do đó, việc nâng cao giáo dục người dùng, cải thiện nhận thức về an ninh, đồng thời liên tục hoàn thiện cơ chế an toàn của ứng dụng Ví tiền sẽ là yếu tố then chốt để bảo vệ an toàn tài sản của người dùng.