ChainCatcherのメッセージ、SlowMistの創設者ユシャンがXプラットフォームで暗号業界を対象としたXSS攻撃について公表しました。攻撃者は暗号メディアCointelegraphのウェブサイトのXSS脆弱性を利用して、ターゲットユーザーにCointelegraphの公式リンク(XSS悪意のあるスクリプトを含む)を開かせました。したがって:
悪意のあるスクリプトが読み込まれ、実行されます;
アドレスバーが疑わしいアドレスに設定されています(見た目は公式の未発表のドラフトのように見えます);
次に、Xでサインインするための偽のポップアップが表示されます;
Xでサインインをクリックすると、Xのサードパーティアプリの権限が開かれ、権限リストには大きな空白が残されています。この時、注意を怠って権限を承認してしまうと、あなたのXに関する権限が攻撃者に奪われてしまいます。
このようなやや脆弱性を利用したフィッシングは一般の人々にとって防ぎにくく、注意が必要です。