ผู้โจมตีกำลังมุ่งเป้าไปที่บัญชี TikTok for Business ในแคมเปญฟิชชิ่งที่ป้องกันไม่ให้บอทของอุปกรณ์ด้านความปลอดภัยทำการวิเคราะห์หน้าเว็บที่เป็นอันตรายได้
บัญชี TikTok Business อาจกำลังตกเป็นเป้าหมายเนื่องจากมีศักยภาพสูงในการถูกนำไปใช้ในทางที่ผิดสำหรับแคมเปญโฆษณาที่เป็นอันตราย และการแพร่กระจายเนื้อหาที่เป็นอันตราย
บริษัท Push Security เชื่อมโยงแคมเปญนี้กับแคมเปญที่เคยมีการบันทึกไว้เมื่อปีที่แล้ว ซึ่งมุ่งเป้าไปที่บัญชี Google Ad Manager
ก่อนหน้านี้ TikTok เคยถูกใช้เพื่อแพร่กระจายมัลแวร์เพื่อขโมยข้อมูลผ่านวิดีโอที่เป็นอันตราย รวมถึงการหลอกลวงผ่านสกุลเงินดิจิทัลผ่านโปรโมชันปลอม บัญชี TikTok for Business จึงเหมาะอย่างยิ่งสำหรับวัตถุประสงค์ดังกล่าว เนื่องจากมีการเข้าถึงที่กว้างขวาง และความน่าเชื่อถือที่สูง
ในรายงานที่แชร์กับ BleepingComputer ทาง Push Security ระบุว่า เหยื่อจะถูกหลอกไปยังหน้าฟิชชิ่งที่โฮสต์บน Cloudflare ซึ่งจดทะเบียนเมื่อวันที่ 24 มีนาคม ผ่าน NiceNIC ซึ่งเป็นผู้รับจดทะเบียนที่นักวิจัยด้านความปลอดภัยทางไซเบอร์มักรายงานว่าถูกใช้เพื่อการกระทำผิดทางไซเบอร์
Push Security ไม่สามารถระบุกลไกการส่งข้อมูลในขั้นตอนแรกได้ แต่เชื่อว่าผู้โจมตีใช้วิธีที่คล้ายคลึงกับการโจมตีที่รายงานโดย Sublime Security
ลิงก์เริ่มต้นจะเปลี่ยนเส้นทางผ่าน URL ของ Google Storage ที่ถูกต้อง บล็อกบอทโดยใช้การตรวจสอบ Cloudflare Turnstile จากนั้นจึงเปลี่ยนเส้นทางไปยังหน้าเว็บที่เป็นอันตราย
โดเมนต่าง ๆ มีชื่อที่คล้ายกัน และทั้งหมดโฮสต์อยู่บน Google Storage bucket เดียวกัน ดังนี้ :
- welcome.careerscrews[.]com
- welcome.careerstaffer[.]com
- welcome.careersworkflow[.]com
- welcome.careerstransform[.]com
- welcome.careersupskill[.]com
- welcome.careerssuccess[.]com
- welcome.careersstaffgrid[.]com
- welcome.careersprogress[.]com
- welcome.careersgrower[.]com
- welcome.careersengage[.]com
หน้าเว็บที่เป็นอันตรายเหล่านี้เลียนแบบหน้า "Schedule a Call" (นัดหมายการโทร) ของ TikTok for Business และ Google Careers โดยขอให้ผู้เข้าชมกรอกข้อมูลลงในแบบฟอร์มเพื่อตรวจสอบว่าพวกเขาใช้ที่อยู่อีเมลแบบธุรกิจ
หลังจากขั้นตอนนี้ เหยื่อจะพบกับหน้าเข้าสู่ระบบปลอม ซึ่งเป็น reverse proxy ที่ออกแบบมาเพื่อดักจับข้อมูล credentials และ session cookies เพื่อส่งข้อมูลออกไปยังผู้โจมตี
เนื่องจากหน้าเว็บดังกล่าวทำหน้าที่เป็นตัวกลางระหว่างผู้ใช้จริง และบริการ ผู้โจมตีจึงสามารถโจมตีบัญชีได้แม้ว่าจะมีการป้องกันด้วยการยืนยันตัวตนแบบ 2FA ก็ตาม
Push Security ยังตั้งข้อสังเกตว่าเจ้าของบัญชีแบบธุรกิจมักจะเข้าสู่ระบบ TikTok ผ่านบริการ Google single sign-on (SSO) "ซึ่งหมายความว่าใครก็ตามที่ใช้ Google ในการเข้าสู่ระบบบัญชี TikTok จะถูกแฮ็กทั้งสองบัญชีที่ใช้ในการเผยแพร่โฆษณาไปพร้อมกันในคราวเดียว"
ผู้ใช้ควรใช้ความระมัดระวังกับคำเชิญ และข้อเสนอที่น่าสงสัย และอย่าไว้วางใจลิงก์ที่ส่งมาจากผู้ติดต่อที่ไม่รู้จัก ตรวจสอบโดเมนทุกครั้งก่อนกรอกข้อมูลประจำตัว และใช้ passkeys เพื่อปกป้องบัญชีที่มีความสำคัญ
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.