Ancaman Keamanan Baru Dompet Mobile Web3.0: Serangan Phishing Jendela Modal

Baru-baru ini, peneliti keamanan menemukan teknik phishing baru yang ditargetkan pada dompet seluler Web3.0, yang disebut "serangan phishing modal". Serangan ini terutama memanfaatkan jendela modal dalam aplikasi dompet seluler untuk menyesatkan pengguna, sehingga menipu mereka untuk menyetujui transaksi berbahaya.

Prinsip Serangan Phishing Modal

Serangan phishing modal terutama menargetkan elemen antarmuka pengguna dalam dompet cryptocurrency Web3.0, terutama jendela modal. Penyerang dapat memanipulasi informasi yang ditampilkan dalam jendela ini sehingga terlihat berasal dari aplikasi terdesentralisasi (DApp) yang sah, sehingga menipu pengguna untuk menyetujui transaksi.

Metode serangan ini efektif karena banyak aplikasi Dompet gagal memverifikasi keabsahan informasi yang disajikan. Misalnya, beberapa Dompet langsung mempercayai metadata dari SDK eksternal tanpa melakukan verifikasi tambahan.

Kasus Serangan

1. Phishing Protokol Wallet Connect: Penyerang dapat mengendalikan informasi seperti nama DApp, ikon, dan alamat situs web, sehingga situs phishing tampak seperti DApp yang sah. Ketika pengguna menghubungkan dompet menggunakan Wallet Connect, informasi palsu ini akan ditampilkan di jendela modal dompet.

2. Penipuan informasi kontrak pintar: Beberapa Dompet (seperti MetaMask) akan menampilkan nama fungsi kontrak pintar di jendela modal. Penyerang dapat membuat kontrak jahat dengan nama menyesatkan, misalnya menamai fungsi transfer menjadi "SecurityUpdate", untuk menipu pengguna agar menyetujui transaksi.

Saran Pencegahan

1. Pengembang Dompet:
   • Selalu anggap data yang masuk dari luar sebagai tidak tepercaya.
   • Pilih dengan cermat informasi yang ditampilkan kepada pengguna dan verifikasi legalitasnya.
   • Pertimbangkan untuk memfilter kata kunci yang mungkin digunakan untuk serangan phishing.

2. Pengguna:
   • Waspadai setiap permintaan transaksi yang tidak dikenal.
   • Periksa dengan cermat rincian transaksi, jangan hanya menyetujui transaksi berdasarkan informasi yang ditampilkan di jendela modal.
   • Gunakan saluran resmi untuk mengunduh dan memperbarui Dompet.

3. Pengembang protokol:
   • Pertimbangkan untuk menambahkan mekanisme verifikasi di tingkat protokol, seperti Wallet Connect yang dapat memverifikasi kevalidan informasi DApp sebelumnya.

Seiring dengan perkembangan teknologi Web3.0, jenis ancaman keamanan baru ini juga terus berevolusi. Pengguna dan pengembang perlu meningkatkan kesadaran keamanan untuk bersama-sama menjaga keamanan ekosistem Web3.0.