慢雾：攻撃者がCointelegraphのウェブサイトのXSS脆弱性を利用してフィッシングを実施

ChainCatcher のメッセージ、SlowMist の創設者である余弦が X プラットフォームで暗号業界に対する XSS 攻撃について明らかにしました。攻撃者は暗号メディア Cointelegraph のウェブサイトの XSS 脆弱性を利用し、ターゲットユーザーを Cointelegraph の公式リンク（XSS 悪意のあるスクリプトを含む）を開かせるように仕向けました。すると：

• 悪意のあるスクリプトが読み込まれ実行される；
• アドレスバーが疑わしいアドレスに設定される（見た目は公式に未公開の草稿のように見える）；
• 次に、Sign in with X の偽のポップアップが表示される；
• Sign in with X をクリックすると、X のサードパーティアプリの認可が開き、権限リストには大きな空白が残されている。この時、注意を払わずに認可をクリックすると、あなたの X に関する権限が攻撃者に奪われてしまいます。

このような少しの脆弱性を利用したフィッシングは一般の人々にとって非常に防ぎにくく、注意が必要です。