慢霧：攻擊者利用 Cointelegraph 網站的 XSS 漏洞實施釣魚

ChainCatcher 消息，慢霧創始人餘弦在 X 平台披露一起針對加密行業的 XSS 攻擊，攻擊者利用加密媒體 Cointelegraph 網站的 XSS 漏洞，誘騙目標用戶打開 Cointelegraph 官網鏈接（帶 XSS 惡意腳本），於是：

• 惡意腳本加載執行；
• 地址欄被設置成可疑地址（一看還以為是官方未發布的草稿）；
• 接著彈出 Sign in with X 的偽造框；
• 點擊 Sign in with X 後打開 X 的第三方應用授權，權限列表那處留了超大段空白，此時如果沒留意點擊了授權，你的 X 有關權限就被攻擊者接管了。

這種稍微帶點漏洞利用的釣魚對應大眾來說更是防不勝防，需多加注意。