慢雾：攻击者利用 Cointelegraph 网站的 XSS 漏洞实施钓鱼

ChainCatcher 消息，慢雾创始人余弦在 X 平台披露一起针对加密行业的 XSS 攻击，攻击者利用加密媒体 Cointelegraph 网站的 XSS 漏洞，诱骗目标用户打开 Cointelegraph 官网链接（带 XSS 恶意脚本），于是：

• 恶意脚本加载执行；
• 地址栏被设置成可疑地址（一看还以为是官方未发布的草稿）；
• 接着弹出 Sign in with X 的伪造框；
• 点击 Sign in with X 后打开 X 的第三方应用授权，权限列表那处留了超大段空白，此时如果没留意点击了授权，你的 X 有关权限就被攻击者接管了。

这种稍微带点漏洞利用的钓鱼对应大众来说更是防不胜防，需多加注意。