Messaggio di ChainCatcher, il fondatore di Slow Fog, Yu Xian, ha rivelato sulla piattaforma X un attacco XSS contro l'industria delle criptovalute, l'attaccante ha sfruttato la vulnerabilità XSS del sito di media criptografici Cointelegraph, ingannando gli utenti target ad aprire il link ufficiale di Cointelegraph (con script malevolo XSS), quindi:
Esecuzione di script malevoli;
La barra degli indirizzi è stata impostata su un indirizzo sospetto (a prima vista sembra una bozza non pubblicata ufficialmente);
Quindi appare un falso riquadro per Accedi con X;
Cliccando su Accedi con X si apre l'autorizzazione dell'app di terze parti di X, nella lista dei permessi c'è una grande porzione di spazio vuoto, se non si presta attenzione e si clicca su autorizza, i permessi relativi a X vengono presi in carico dall'attaccante.
Questo tipo di phishing con un po' di vulnerabilità è ancora più difficile da prevenire per il pubblico, è necessario prestare maggiore attenzione.