TikTokビジネスアカウントがフィッシングキャンペーンの標的に — 身を守る方法

TikTokとGoogleの両方を窃取

ログインページは実は、リバースプロキシとして機能し、ログイン情報とセッションクッキーをリアルタイムでキャプチャする中間者攻撃（AITM）フィッシングキットです。さらに、このキットにより、攻撃者はMFAコードを窃取し、これらを回避し、ユーザーのアカウントへの完全なアクセスを獲得することができます。

Googleのシングルサインオン機能を使用するユーザーの場合、問題はさらに深刻です。なぜなら、両方のプラットフォームへのアクセスが与えられ、攻撃者が（検証済みの）アカウントを通じて不正広告キャンペーンを実行し、彼らの資金を使用することができるからです：

「多くのまたはほとんどのビジネスユーザーが「Googleでログイン」を選択することも注目すべき点です。

これは、GoogleでTikTokアカウントにログインしているユーザーが、事実上、広告配信に使用される両方のアカウントが一度に侵害されることを意味し、典型的なGoogle Ad Managerの悪用プレイブックを開き、さらにSSO経由でアクセス可能なアプリケーションにアクセスしてデータ窃取と恐喝が可能になります。」とPushは説明しました。

「これは、今年初めのScattered Lapsus$ Hunters AITMフィッシング活動やその最近のデバイスコードフィッシング攻撃など、攻撃者の標準的なMOとなってきました。」

奇妙な選択

研究者たちはまた、Googleアカウントをターゲットにすることは理にかなっていますが、TikTokは「一目見ただけでは奇妙な選択」だと述べました。しかし、TikTokが歴史的にどのように悪用されてきたか、そして大きな成功をもたらしたかを知ることで、彼らの見方が変わりました。

彼らが言及しているのは、TikTok上に多くの偽の指示動画があるという事実です。プラットフォーム上に数え切れないほどのAIが生成した、またはその他の方法で操作されたクリップが存在し、ユーザーがWindowsを「アクティベーション」したり、Spotify、CapCut、およびその他のアプリケーション、ツール、サービスの「隠れた」「プレミアム」またはボーナス機能をオンにするよう説明されています。

これらの偽の指示動画の説明には、被害者がこれらのプレミアムツールを無料で取得できると思ってダウンロードリンクが付属していることがよくあります。しかし、実際に取得しているのはinfostealer（Vidar、StealC、Aura Stealer、およびその他多くのもの）です。これらは、ログイン認証情報、暗号資産ウォレットデータ、Cookie、セッショントークンなど、多くの情報を流出させることができる強力なツールです。

Push Securityによると、そのようなビデオの1つは50万回以上のビュー数と2万回以上のいいねを持っています。

TikTokを悪用するもう1つの方法は、Elon MuskやMichael Saylorのような「インフルエンサー」や他の有名人を通じて偽のキャンペーンを促進することです。これらのキャンペーンは、多くの場合、詐欺的な暗号資産交換所にアカウントを登録するよう人々に招待したり、またはスキャムプロジェクトに彼らのお金を「投資」するよう招待したりします。