Cercetători în securitate au descoperit o campanie de phishing care vizează conturi TikTok for Business folosind tehnici adversary-in-the-middle (AitM) capabile să fure acreditări, cookie-uri de sesiune și coduri de autentificare multi-factor în timp real. Campania, detaliată de firma de securitate pentru browsere Push Security pe 25 martie, reprezintă o amenințare tot mai mare pentru companiile care gestionează publicitate și marketing pe TikTok, unde conturile compromise pot fi transformate în arme pentru fraudă și distribuire de malware.
Cum funcționează atacul
Cercetătorii de la Push Security au identificat un grup de domenii de phishing înregistrate toate pe 24 martie într-un interval de nouă secunde, găzduite prin Cloudflare și folosind același registrator, Nicenic International Group, pe care firma l-a descris ca fiind „frecvent abuzat pentru înregistrarea în masă a domeniilor de phishing”. Domeniile urmează un model comun de denumire construit în jurul variațiilor subdomeniilor „welcome.careers”.
Lanțul de atac începe când o victimă dă click pe un link malițios care trece printr-un URL legitim Google Storage pentru a părea demn de încredere. O verificare Cloudflare Turnstile blochează apoi roboții de securitate de la analizarea paginii. Odată trecută de această barieră, victimele văd fie o pagină clonată TikTok for Business, fie o pagină falsă Google Careers „Schedule a Call”, sunt invitate să completeze un formular, apoi sunt redirecționate către o pagină de autentificare care funcționează ca un kit de phishing AitM prin reverse proxy.
Acest kit capturează datele de autentificare și cookie-urile de sesiune pe măsură ce victima se autentifică, permițând atacatorilor să ocolească protecțiile MFA și să obțină acces complet la cont. Push Security a remarcat că mulți utilizatori de afaceri se bazează pe autentificarea unică Google pentru a accesa TikTok, ceea ce înseamnă că o singură autentificare compromisă poate expune ambele platforme simultan.
De ce TikTok este o țintă
Deși TikTok poate părea o țintă neobișnuită pentru phishing în comparație cu platforme precum Microsoft sau Google, Push Security a explicat logica: „TikTok a fost abuzat în mod istoric pentru a distribui link-uri malițioase și instrucțiuni de inginerie socială”, inclusiv infostealers precum Vidar, StealC și Aura Stealer, livrate prin videoclipuri tutorial generate de AI care au adunat sute de mii de vizualizări. Conturile de afaceri compromise oferă atacatorilor acces pentru a derula campanii publicitare frauduloase folosind statutul verificat și bugetele publicitare ale victimei.
Legături cu operațiuni anterioare
Campania pare să fie legată de o operațiune similară de phishing pentruCredențiale semnalată de Sublime Security în octombrie 2025, care a folosit e-mailuri generate dinamic ce se dădeau drept mesaje de contactare profesională, alături de pagini clonate Google Careers similare. Push Security a declarat că se așteaptă ca numărul de domenii malițioase legate de această campanie să „crească semnificativ pe măsură ce campania se intensifică”.
Surse:
https://pushsecurity.com/blog/tiktok-phishing/
https://thehackernews.com/2026/03/aitm-phishing-targets-tiktok-business.html
https://www.computing.co.uk/news/2026/security/new-campaign-targets-tiktok-for-business-accounts