Web3.0 Mobil Cüzdan Yeni Kimlik Avı Teknolojisi: Modül Avı Saldırısı

Son günlerde, kullanıcıları merkeziyetsiz uygulama (DApp) ile bağlantı kurarken kimlik doğrulama konusunda yanıltabilecek yeni bir Kimlik Avı teknolojisi keşfedildi. Bu yeni Kimlik Avı teknolojisine "modüle av saldırısı" (Modal Phishing) adını verdik.

Saldırganlar, mobil cüzdana sahte bilgiler göndererek, meşru DApp'leri taklit ediyor ve cüzdanın modal penceresinde yanıltıcı içerik gösteriyor, kullanıcıları işlemi onaylamaya ikna ediyor. Bu teknik yaygın olarak kullanılmaktadır. İlgili geliştiriciler, riskleri azaltmak için yeni bir doğrulama API'sı sunacaklarını doğruladılar.

Modül Kimlik Avı Saldırısı Nedir?

Mobil cüzdanların güvenlik araştırmasında, Web3.0 kripto cüzdanının bazı kullanıcı arayüzü (UI) öğelerinin saldırganlar tarafından Kimlik Avı için manipüle edilebileceğini fark ettik. Buna modal phishing denmesinin sebebi, saldırıların esasen kripto cüzdanın modal pencerelerine yönelik olmasıdır.

Mod ( veya mod penceresi ), mobil uygulamalarda sıkça kullanılan UI öğeleridir ve genellikle ana pencerenin üst kısmında görünür, onaylama/red etme gibi hızlı işlemler için kullanılır, örneğin Web3.0 cüzdanının işlem taleplerini onaylamak/red etmek. Tipik bir Web3.0 cüzdanı mod tasarımı genellikle işlem detayları ve onaylama/red etme butonları sunar.

Ancak, bu UI öğeleri saldırganlar tarafından kontrol edilerek modal kimlik avı saldırıları için kullanılabilir. Saldırganlar, işlem ayrıntılarını değiştirebilir, isteği güvenilir bir kaynaktan gelen bir güvenlik güncellemesi olarak gizleyebilir ve kullanıcıları onay vermeye ikna edebilir.

Tipik Vaka

Örnek 1: Wallet Connect aracılığıyla DApp Kimlik Avı saldırısı

Cüzdan Connect, kullanıcı cüzdanlarını DApp ile QR kodu veya derin bağlantı aracılığıyla bağlamak için popüler bir açık kaynak protokolüdür. Eşleştirme sürecinde, cüzdan bir modal pencere gösterir ve DApp'in adı, web sitesi, simgesi gibi bilgileri sergiler.

Ancak bu bilgiler DApp tarafından sağlanmaktadır ve Cüzdan bunların doğruluğunu doğrulamaz. Saldırganlar tanınmış DApp'leri taklit edebilir ve kullanıcıları bağlantı kurmaya ve işlemi onaylamaya kandırabilir.

Farklı cüzdanların modül tasarımı farklı olabilir, ancak saldırganlar her zaman meta bilgileri kontrol edebilir. Saldırganlar, işlem onay modülünde tanınmış uygulamaları taklit eden sahte DApp'ler oluşturabilir.

Örnek 2: MetaMask ile akıllı sözleşme bilgisi kimlik avı

MetaMask'ın işlem onay modalında, DApp bilgileri dışında işlem türü de gösterilir, örneğin "Onayla" veya "Bilinmeyen Metod". Bu UI elemanı, akıllı sözleşmenin imza baytlarını okuyarak ve zincir üzerindeki metod kayıt defterini sorgulayarak elde edilir.

Saldırganlar bu mekanizmayı kullanarak yanıltıcı yöntem adlarına sahip kimlik avı akıllı sözleşmeleri oluşturabilirler. Örneğin, yöntem adını "SecurityUpdate" olarak kaydederek, işlem isteğinin MetaMask'tan gelen bir güvenlik güncellemesi gibi görünmesini sağlayabilirler.

Önleme Önerileri

1. Cüzdan geliştiricileri, her zaman harici verilerin güvenilir olmadığını varsaymalı, kullanıcılara sunulan bilgileri dikkatlice seçmeli ve bunların geçerliliğini doğrulamalıdır.

2. Cüzdan Connect protokolü, DApp bilgilerin geçerliliğini ve yasallığını önceden doğrulamayı düşünebilir.

3. Cüzdan uygulamaları, kimlik avı saldırıları için kullanılabilecek kelimeleri izlemeli ve filtrelemelidir.

4. Kullanıcı, her bilinmeyen işlem talebine karşı dikkatli olmalı ve işlem detaylarını dikkatlice doğrulamalıdır.

Modüler kimlik avı saldırıları, Web3.0 cüzdan UI tasarımındaki potansiyel güvenlik açıklarını ortaya koymaktadır. Geliştiriciler ve kullanıcılar dikkatli olmalı, Web3 ekosisteminin güvenliğini birlikte sağlamalıdır.