行業新聞與博客

網絡犯罪分子最近部署了一系列新的釣魚頁面，旨在利用 TikTok 或 Google 主題內容攻擊 TikTok 企業帳户。

Push Security 表示，他們發現了一波新的中間人攻擊 (AiTM) 網絡釣魚頁面，這些頁面於 3 月 24 日在短短九秒內註冊。

這組頁面全部託管在 Cloudflare 後面，並且都由同一註冊商 Nicenic International Group 註冊，Push Security 表示，該註冊商經常被濫用於批量網絡釣魚域名註冊。 

這些頁面採用相同的命名規則，都是 welcome.careers*[.] com 的各種衍生形式。據 Push Security 的研究人員稱，隨着攻擊活動的升級，這種風格的惡意域名列表預計還會增加。

雖然最初的投放機制尚未得到證實，但 Push Security 表示，它可能與 Sublime 在 10 月份報道的一起攻擊活動類似，該活動使用了動態生成的電郵，幷包含一個克隆的 Google 招聘頁面。

點擊該鏈接後，用户首先會通過合法的 Google Cloud Storage 網站進行重定向，然後再加載惡意頁面。

該網站採用 Cloudflare Turnstile 檢查來防止安全機器人分析頁面。

受害者會看到與 TikTok 或谷歌相關的內容。隨着用户按照流程操作，最終會被引導至 AiTM 釣魚頁面。

在這種情況下，受害者需要填寫一份基本信息表，然後才會看到一個惡意登錄頁面，而該頁面實際上是反向代理 AiTM 網絡釣魚工具包的偽裝。

為什麼威脅行為者將目標對準 TikTok

TikTok for Business 賬號通常被公司營銷團隊用於管理廣告活動。

Push Security 表示，針對 TikTok 的攻擊發展“值得關注”，因為威脅研究人員攔截的大多數釣魚頁面都是為了模仿 Google 和 Microsoft 等 SSO 平台。

Push Security 在 3 月 26 日發表的一篇博客文章中表示：“乍一看，TikTok 似乎是一個奇怪的選擇。但考慮到 TikTok 歷史上曾被濫用以傳播惡意鏈接和社會工程指令，選擇它就更有意義了。”

該平台已被用於通過類似 ClickFix 的説明，利用人工智能生成的視頻，偽裝成 Windows 、 Spotify 和 CapCut 的激活指南，來傳播信息竊取程序。 

該社交媒體平台也是加密貨幣詐騙者的“常見狩獵場” 。

值得注意的是，由於大多數用户會選擇“使用 Google 登錄”，因此任何使用 Google 登錄 TikTok 帳户的用户，其用於投放廣告的兩個帳户實際上都會同時被盜用。這可能會引發 Google 廣告管理器漏洞利用鏈，網絡犯罪分子會以廣告管理器帳户為目標，實施惡意廣告詐騙。