느린 안개: 공격자가 Cointelegraph 웹사이트의 XSS 취약점을 이용해 피싱을 수행함

ChainCatcher 메시지, 느슨한 창립자 유선이 X 플랫폼에서 암호화 산업을 겨냥한 XSS 공격에 대해 공개했습니다. 공격자는 암호화 미디어 Cointelegraph 웹사이트의 XSS 취약점을 이용하여 목표 사용자가 Cointelegraph 공식 웹사이트 링크(악성 XSS 스크립트 포함)를 열도록 유도했습니다. 그래서:

• 악성 스크립트가 로드되어 실행됩니다;
• 주소창이 의심스러운 주소로 설정됩니다(한눈에 보기에도 공식 미발표 초안으로 보입니다);
• 이어서 Sign in with X의 위조 창이 팝업됩니다;
• Sign in with X를 클릭하면 X의 제3자 애플리케이션 권한 부여가 열리며, 권한 목록에는 큰 공백이 남아 있습니다. 이때 주의하지 않고 권한을 클릭하면, 당신의 X 관련 권한이 공격자에게 장악됩니다.

이런 약간의 취약점 이용 피싱은 대중에게 더욱 방어하기 어려우므로, 각별한 주의가 필요합니다.