Фишинг TikTok for Business крадет корпоративные учетные данные

Недавний анализ выявил целенаправленную phishing-кампанию, нацеленную на аккаунты TikTok for Business. Злоумышленники используют продвинутые методы перехвата учетных данных, а также эксплуатируют популярность платформы для дальнейшего мошенничества с malicious ads и выкачивания рекламных бюджетов.

Кампания строится вокруг группы phishing-страниц, зарегистрированных 24 марта и обнаруженных с интервалом всего в девять секунд. Размещенные в инфраструктуре Cloudflare и зарегистрированные у известного массового регистратора доменов, эти ресурсы применяют сложный механизм обхода средств защиты и анализа.

Как работает схема атаки

Жертв вводят в заблуждение с помощью ссылок, ведущих на клонированные версии интерфейсов TikTok и Google. В основе схемы лежит набор для phishing AITM (Adversary-in-the-Middle), который маскируется под легитимные формы входа и сначала требует базовую информацию о пользователе, прежде чем показать вредоносный интерфейс авторизации.

Последовательность атаки выглядит следующим образом:

• пользователь нажимает на malicious link;
• происходит перенаправление с legitimate Google Storage;
• срабатывает Cloudflare turnstile, чтобы затруднить анализ ботами;
• затем открываются impersonation pages, запрашивающие учетные данные;
• страница-имитация TikTok специально требует business email addresses, повышая вероятность получения корпоративных логинов.

Почему TikTok for Business стал приоритетной целью

Такой сдвиг в сторону TikTok выглядит значимым с учетом того, что платформа уже давно используется злоумышленниками для распространения вредоносного контента и проведения social engineering-атак. Ранее отмечались кампании, в которых через обманные видеоролики продвигались stealer-ы, включая Vidar, StealC и Aura Stealer. Пользователям предлагали выполнять команды в PowerShell для загрузки malware.

Кроме того, TikTok нередко используется в схемах криптовалютного мошенничества: злоумышленники задействуют широкий охват платформы, чтобы находить и вовлекать потенциальных жертв.

Риск для корпоративных аккаунтов и SSO

Особую опасность эта кампания представляет для компаний, использующих TikTok и Google в бизнес-процессах. Злоумышленники делают ставку на business authentication через логины Google, создавая сценарий, при котором компрометация аккаунта TikTok for Business может открыть доступ к другим приложениям через возможности Single Sign-On (SSO).

Это соответствует более широкой тактике, которую уже наблюдали в других phishing-кампаниях: сначала захват одного доверенного сервиса, затем расширение доступа внутри корпоративной инфраструктуры.

По мере развития social engineering таргетинг TikTok подчеркивает необходимость повышения осведомленности и усиления мер безопасности на стыке социальных сетей и платформ digital marketing.

Что это означает для бизнеса

Вектор атаки демонстрирует, что социальные платформы все чаще используются не только для рекламы и коммуникации, но и как точка входа в корпоративную среду. Для компаний это означает рост риска:

• кражи учетных данных;
• несанкционированного доступа к рекламным кабинетам;
• финансовых потерь из-за хищения рекламных бюджетов;
• дальнейшей компрометации через SSO и связанные сервисы.

Специалистам по Cybersecurity следует сохранять повышенную бдительность, отслеживать новые phishing-методы и укреплять защиту аккаунтов, используемых для маркетинга и управления рекламой. В условиях, когда злоумышленники все активнее комбинируют phishing, AITM и инфраструктуру обхода защиты, своевременное обнаружение подобных схем становится критически важным.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.