Message de ChainCatcher, le fondateur de Slow Fog, Yu Jian, a révélé sur la plateforme X une attaque XSS ciblant l'industrie de la cryptographie, l'attaquant a profité d'une vulnérabilité XSS sur le site Cointelegraph pour inciter les utilisateurs ciblés à ouvrir le lien officiel de Cointelegraph (avec un script malveillant XSS), donc :
Le script malveillant est chargé et exécuté ;
La barre d'adresse a été configurée sur une adresse suspecte (on pourrait même croire qu'il s'agit d'un brouillon non publié par l'officiel) ;
Ensuite, une fausse boîte de connexion avec X apparaît ;
Après avoir cliqué sur Connexion avec X, l'autorisation de l'application tierce X s'ouvre, la liste des permissions comporte une grande section vide, à ce moment-là, si vous ne faites pas attention et cliquez sur autoriser, les permissions liées à votre X seront prises en charge par l'attaquant.
Cette tentative de phishing légèrement exploitante est particulièrement difficile à détecter pour le grand public, il faut donc faire preuve de vigilance.