ChainCatcher Nachrichten, der Gründer von Slow Mist, Yuxian, hat auf der X-Plattform einen XSS-Angriff auf die Krypto-Industrie offengelegt. Der Angreifer nutzte die XSS-Schwachstelle der Krypto-Medien-Website Cointelegraph, um das Ziel zu verleiten, den offiziellen Link von Cointelegraph (mit einem XSS-Malwareskript) zu öffnen, und somit:
Das bösartige Skript wird geladen und ausgeführt;
Die Adresszeile wurde auf eine verdächtige Adresse eingestellt (man könnte denken, es handelt sich um einen unveröffentlichten Entwurf der offiziellen Seite);
Daraufhin erscheint ein gefälschtes Fenster 'Mit X anmelden';
Nachdem Sie auf 'Mit X anmelden' geklickt haben, öffnet sich die Drittanbieteranwendung von X zur Genehmigung, wobei die Berechtigungsliste einen riesigen leeren Bereich enthält. Wenn Sie in diesem Moment nicht aufpassen und die Genehmigung erteilen, hat der Angreifer die Berechtigungen für Ihr X übernommen.
Diese Art von Phishing, die leicht exploitable Schwachstellen aufweist, ist für die Öffentlichkeit besonders schwer zu erkennen und erfordert besondere Vorsicht.