Eine Phishing-Kampagne wurde kürzlich entdeckt, die die Konten von TikTok für Unternehmen, und es ist nicht nur ein Angriff: Die Verantwortlichen haben den Betrug entworfen, so dass die automatisierten Sicherheitstools die bösartigen Seiten nicht analysieren können und somit unbemerkt länger gehen.
Laut dem Team, das die Operation entdeckte, beginnt die Trickery mit Links, die auf legitime Ressourcen umleiten - in diesem Fall, auf Googles Cloud-Speicher - und von dort auf Seiten, die vom Angreifer selbst gehostet werden. Dieser erste Schritt ist wichtig, weil er dem Benutzer ein anfängliches Vertrauen bietet und die Spur direkt auf den schädlichen Server versteckt. Fake-Seiten vervielfältigen offizielle Formulare - wie z.B. diejenigen, die an das Programm von kommerziellen Anrufen - und bitten, grundlegende Daten zu "verifizieren", dass der Besucher ein Firmenkonto verwendet.
Im nächsten Schritt wird die Falle gefährlicher: Nach dieser ersten Überprüfung wird das Opfer mit einem Bildschirm präsentiert, der wie das eigentliche Anmeldeformular aussieht. Dieser Bildschirm fungiert tatsächlich als inverse Proxy: Echtzeit-Zwischen zwischen dem Benutzer und dem legitimen Service, erfasst Anmeldeinformationen und Sitzungs-Cookies und sendet sie an den Angreifer. Das Ergebnis ist, dass auch durch Authentifizierung zweier Faktoren geschützter Zugriff entführt werden kann, da der Angreifer die Sitzung unter Ausnutzung der Verbindung abschließen kann.
Die Forscher, die die Kampagne analysiert haben, haben ein Familienmuster identifiziert: Die verwendeten Domains folgen Variationen mit ähnlichen Namen und teilen den gleichen Cloud-Speicherbehälter. Darüber hinaus wurden Domain-Aufzeichnungen durch einen Registrar gemacht, der in anderen Vorfällen in kriminellen Aktivitäten erschienen ist. Um die technische Analyse und die verifizierten Ergebnisse zu erweitern, veröffentlichte der technische Bericht der Entdecker der Kampagne auf dem Blog von Push-Sicherheit die diese Operation mit Taktiken verbindet, die in früheren Kampagnen beobachtet werden.
Ein weiterer wesentlicher Bestandteil des Modus operandi ist die Verwendung von in die Umleitungskette integrierten Anti-Bot-Kontrollen. Technologien wie Cloudflare Turnstile erlauben, zwischen menschlichen Browsern und automatischen Scan-Tools zu unterscheiden; Angreifer verwenden sie, um automatische Abwehrkräfte und Forscher zu verhindern, auf bösartige Seiten zugreifen, die die Früherkennung erschwert.
Es gibt auch eine gefährliche Verbindung zwischen den Dienstleistungen: viele TikTok für Business-Konten ermöglichen es Ihnen, sich einzuloggen, indem Sie eine einzelne Google-Session (SSO) starten. Wenn ein Benutzer sein TikTok-Konto mit Googles Anmeldeinformationen verwaltet, kann es dem Angreifer erlauben, gleichzeitig das Anzeigen- und Inhaltskonto von TikTok zu kontrollieren. Dieser Vektor verstärkt den Schaden, denn Firmenkonten sind besonders wertvoll für Fräskampagnen, Werbebetrug und die Verbreitung von Betrug mit legitimem Aussehen.
Das in dieser Kampagne beobachtete Muster erinnert an andere Suplantationen, die Seiten verwendet haben, die Call-Programmierung Prozesse oder Rekrutierung zu täuschen Menschen. Eine ausführliche Analyse eines ähnlichen Falles, dass missbrauchte Seiten von Stellenangeboten und die Umleitungskette in dem von sublime Sicherheit die zeigt, wie die Varianten ständig multipliziert und angepasst werden können, um Detektionen zu vermeiden.
Für Manager und Manager von Werbe- und Social-Media-Konten erhöht dies mehrere Alarmsignale. Unternehmenskonten haben mehr Umfang und öffentliche Glaubwürdigkeit, so sind sie ein natürliches Ziel für diejenigen, die schädliche Inhalte verbreiten oder Werbekampagnen manipulieren wollen. Die Angreifer versuchen nicht nur, Passwörter zu stehlen: sie versuchen, die Kontrolle der Kanäle zu übernehmen, die sie dann in großen Betrugssystemen verwenden können.
Was die praktischen Empfehlungen anbelangt, so sollten einfache, aber starke Maßnahmen ergriffen werden: eine skeptische Haltung gegenüber unerwarteten Links, sorgfältige Überprüfung der Domain vor der Einführung von Anmelde- und Misstrauenskommunikationen, die die Überprüfung von Konten oder Terminabrufen durch nicht verifizierte Formulare verlangen. Darüber hinaus sollten Organisationen phishing-resistente Authentifizierungsmethoden wie passwortbasierte Anmeldeinformationen und FIDO / WebAuthn Schlüssel priorisieren, die die Wirksamkeit von Reverse-Proxies drastisch reduzieren. Google und andere Plattformen bieten bereits Anleitungen, um Paskeys und andere moderne Authentifizierungsmechanismen zu übernehmen; Googles Dokumentation über Passkeys kann ein guter Ausgangspunkt sein: Wie man Passkeys verwendet.
Es wird auch empfohlen, Rollen und Berechtigungen in Werbekonten zu segmentieren, um Auswirkungen zu minimieren, wenn ein Anmeldeschluss beeinträchtigt wird, mit anormalen Session-Detektionstools überwachen und Teams über die häufigsten Fallen in Stellenangeboten und "kommerzielle Einladungen" erziehen. Für allgemeine Ressourcen zur Vermeidung von Phishing und welche Schritte nach dem Erkennen eines Versuches zu ergreifen, bieten die offiziellen Agenturführer nützliche und aktuelle Beratung, zum Beispiel die Veröffentlichungen der CISA.
Kurz gesagt, wir stehen vor einer Kampagne, die Social Engineering mit technischen Techniken kombiniert, um automatisierte Inspektionen zu blockieren und Sitzungen in Echtzeit zu stehlen. Die solideste Empfehlung ist, menschliche Vorsicht mit modernen Authentifizierungs- und Sicherheitsrichtlinien auf Ad-Plattformen zu kombinieren weil dies den Angriffsbereich erheblich reduziert und es schwierig macht, hochwertige Konten für Kriminelle auszunutzen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...