行業新聞與部落格

網路犯罪分子最近部署了一系列新的釣魚頁面，旨在利用 TikTok 或 Google 主題內容攻擊 TikTok 企業帳戶。

Push Security 表示，他們發現了一波新的中間人攻擊 (AiTM) 網路釣魚頁面，這些頁面於 3 月 24 日在短短九秒內註冊。

這組頁面全部託管在 Cloudflare 後面，並且都由同一註冊商 Nicenic International Group 註冊，Push Security 表示，該註冊商經常被濫用於批次網路釣魚網域名稱註冊。 

這些頁面採用相同的命名規則，都是 welcome.careers*[.] com 的各種衍生形式。據 Push Security 的研究人員稱，隨著攻擊活動的升級，這種風格的惡意網域名稱列表預計還會增加。

雖然最初的投放機制尚未得到證實，但 Push Security 表示，它可能與 Sublime 在 10 月份報道的一起攻擊活動類似，該活動使用了動態生成的電子信箱，幷包含一個克隆的 Google 招聘頁面。

點選該連結後，使用者首先會透過合法的 Google Cloud Storage 網站進行重定向，然後再載入惡意頁面。

該網站採用 Cloudflare Turnstile 檢查來防止安全機器人分析頁面。

受害者會看到與 TikTok 或谷歌相關的內容。隨著使用者按照流程操作，最終會被引導至 AiTM 釣魚頁面。

在這種情況下，受害者需要填寫一份基本資訊表，然後才會看到一個惡意登入頁面，而該頁面實際上是反向代理 AiTM 網路釣魚工具包的偽裝。

為什麼威脅行為者將目標對準 TikTok

TikTok for Business 賬號通常被公司營銷團隊用於管理廣告活動。

Push Security 表示，針對 TikTok 的攻擊發展“值得關注”，因為威脅研究人員攔截的大多數釣魚頁面都是為了模仿 Google 和 Microsoft 等 SSO 平臺。

Push Security 在 3 月 26 日發表的一篇部落格文章中表示：“乍一看，TikTok 似乎是一個奇怪的選擇。但考慮到 TikTok 歷史上曾被濫用以傳播惡意連結和社會工程指令，選擇它就更有意義了。”

該平臺已被用於透過類似 ClickFix 的說明，利用人工智慧生成的影片，偽裝成 Windows 、 Spotify 和 CapCut 的啟用指南，來傳播資訊竊取程式。 

該社交媒體平臺也是加密貨幣詐騙者的“常見狩獵場” 。

值得注意的是，由於大多數使用者會選擇“使用 Google 登入”，因此任何使用 Google 登入 TikTok 帳戶的使用者，其用於投放廣告的兩個帳戶實際上都會同時被盜用。這可能會引發 Google 廣告管理器漏洞利用鏈，網路犯罪分子會以廣告管理器帳戶為目標，實施惡意廣告詐騙。