Uma nova campanha de phishing está a colocar em risco as contas do TikTok for Business, utilizando técnicas avançadas para impedir que sistemas automáticos de segurança analisem as páginas maliciosas. Segundo um relatório partilhado pela Push Security, este ataque partilha semelhanças com operações detetadas no ano passado que visavam o Google Ad Manager, focando-se agora no potencial de abuso publicitário da rede social de vídeos.
As contas de negócios são alvos prioritários para os atacantes devido à sua legitimidade inerente e ao alcance alargado. Ao assumirem o controlo destes perfis, os criminosos podem facilitar campanhas de "malvertising" (publicidade maliciosa), fraudes publicitárias ou a distribuição de software nocivo. Historicamente, o TikTok já foi utilizado para espalhar malware e esquemas de criptomoedas, e estas contas "Business" conferem uma camada de confiança extra a esses ataques.
O esquema das páginas de verificação falsas
Os atacantes atraem as vítimas para páginas de phishing alojadas no serviço Cloudflare, muitas delas registadas através da NiceNIC, um registrador frequentemente associado a atividades cibercriminosas. O processo de infeção começa com um redirecionamento através de um URL legítimo do Google Storage, seguido por uma verificação de segurança (Cloudflare Turnstile) que serve, ironicamente, para bloquear o acesso de bots de segurança e investigadores.
Uma vez ultrapassada esta barreira, o utilizador é confrontado com páginas que imitam o TikTok for Business ou o Google Careers. Nestas interfaces, solicita-se o preenchimento de formulários com informações básicas sob o pretexto de validar se o ecrã pertence a um endereço de correio eletrónico empresarial. Este passo serve para filtrar os alvos e garantir que apenas contas com valor comercial avançam no processo.
Roubo de sessões e contorno da autenticação de dois fatores
O perigo real surge no passo seguinte, onde é apresentada uma página de login falsa que funciona como um "proxy" inverso. Este sistema atua como intermediário em tempo real entre o utilizador e o serviço legítimo, permitindo aos atacantes capturar não só as credenciais de acesso, mas também os cookies de sessão.
Esta técnica é particularmente eficaz porque permite o roubo de contas mesmo quando a autenticação de dois fatores (2FA) está ativa. Como o atacante interseta a sessão em direto, o código de segurança introduzido pelo utilizador é utilizado instantaneamente pelo criminoso para validar o acesso.
Além disso, a Push Security alerta para o risco acrescido dos utilizadores que utilizam o login social da Google para aceder ao TikTok. Nestes casos, um único ataque bem-sucedido pode comprometer ambas as contas simultaneamente, amplificando os danos para a empresa afetada. Para mitigar estes riscos, recomenda-se vigilância extrema com convites ou propostas de emprego inesperadas e a utilização de chaves de segurança físicas (passkeys) sempre que possível.
Nenhum comentário
Seja o primeiro!