Сообщение ChainCatcher, основатель Slow Mist Юсин на платформе X раскрыл случай XSS-атаки на криптоиндустрию, злоумышленник использовал уязвимость XSS сайта криптомедиа Cointelegraph, чтобы обманом заставить целевых пользователей открыть ссылку на официальный сайт Cointelegraph (с вредоносным скриптом XSS), и тогда:
Вредоносный скрипт загружается и выполняется;
Адресная строка была установлена на подозрительный адрес (на первый взгляд, можно было подумать, что это официальный неопубликованный черновик);
Затем всплывает поддельное окно Войти с X;
После нажатия Войти с X открывается авторизация стороннего приложения X, в списке разрешений оставлена большая пустая область, в этот момент, если не обратить внимания и нажать на разрешение, ваши разрешения на X будут захвачены злоумышленником.
Такое фишинг-атака с небольшим использованием уязвимостей для большинства людей становится еще более трудной для предотвращения, требует повышенного внимания.
