Une campagne d'hameçonnage a été récemment détectée qui met les comptes de TikTok pour les entreprises, et ce n'est pas seulement une attaque : les responsables ont conçu l'escroquerie pour que les outils de sécurité automatisés ne puissent pas analyser les pages malveillantes et ainsi passer inaperçu plus longtemps.
Selon l'équipe qui a découvert l'opération, la ruse commence par des liens qui redirigent vers des ressources légitimes - dans ce cas, vers le stockage cloud de Google - et de là chaîne aux pages hébergées par l'attaquant lui-même. Cette première étape est importante car elle offre un premier sentiment de confiance à l'utilisateur et cache la trace directement au serveur malveillant. De fausses pages reproduisent des formulaires officiels - comme ceux qui demandent à programmer des appels commerciaux - et demandent des données de base pour « vérifier » que le visiteur utilise un compte d'entreprise.
Le piège devient plus dangereux dans la prochaine étape: Après cette vérification initiale, la victime est présentée avec un écran qui ressemble au formulaire de connexion réel. Cet écran agit en fait comme un mandataire inverse : intermédiaire en temps réel entre l'utilisateur et le service légitime, capture les identifiants et les cookies de session, et les envoie à l'attaquant. Le résultat est que même l'accès protégé par l'authentification de deux facteurs peut être enlevé, parce que l'agresseur peut terminer la session en profitant de la connexion.
Les chercheurs qui ont analysé la campagne ont identifié un modèle familial : les domaines utilisés suivent des variations avec des noms similaires et partagent le même conteneur de stockage en nuage. De plus, des dossiers de domaine ont été établis par l'entremise d'un registraire qui, dans d'autres cas, a participé à des activités criminelles. Pour développer l'analyse technique et les résultats vérifiés, le rapport technique publié par les découvreurs de la campagne sur le blog de Poussez la sécurité qui relie cette opération aux tactiques observées lors des campagnes précédentes.
Une autre partie clé du modus operandi est l'utilisation de contrôles anti-bot intégrés dans la chaîne de redirection. Technologies comme Toursile nuageux permettre de distinguer entre navigateurs humains et outils de numérisation automatique; les attaquants les utilisent pour empêcher les défenses automatiques et les chercheurs d'accéder à des pages malveillantes, ce qui complique la détection précoce.
Il y a aussi un lien dangereux entre les services : de nombreux comptes TikTok for Business vous permettent de vous connecter en commençant une session Google (SSO). Si un utilisateur gère son compte TikTok avec les identifiants de Google, compromettre l'accès de Google peut permettre à l'attaquant de contrôler simultanément le compte publicitaire et de contenu de TikTok. Ce vecteur amplifie les dégâts, car les comptes d'entreprise sont particulièrement précieux pour les campagnes de fraisage, la fraude publicitaire et la propagation d'escroqueries avec apparence légitime.
Le modèle observé dans cette campagne rappelle d'autres suplantations qui ont utilisé des pages qui imitent les processus de programmation d'appels ou de recrutement pour tromper les gens. Une analyse détaillée d'un cas similaire qui abuse des pages d'offres d'emploi et de la chaîne de redirection peut être lue dans le rapport publié par sublime sécurité qui montre comment les variantes peuvent être constamment multipliées et ajustées pour éviter les détections.
Pour les gestionnaires et les gestionnaires de comptes publicitaires et de médias sociaux, cela soulève plusieurs signaux d'alarme. Les comptes d'entreprise ont plus de portée et de crédibilité publique, donc ils sont un objectif naturel pour ceux qui cherchent à distribuer du contenu malveillant ou manipuler des campagnes publicitaires. Les agresseurs ne cherchent pas seulement à voler des mots de passe : ils cherchent à prendre le contrôle des canaux qu'ils peuvent ensuite utiliser dans les systèmes de fraude à grande échelle.
En ce qui concerne les recommandations pratiques, des mesures simples mais énergiques devraient être prises: maintenir une attitude sceptique à l'égard des liens inattendus, vérifier soigneusement le domaine avant d'introduire des communications d'identification et de méfiance qui demandent à vérifier des comptes ou à planifier des appels par des formulaires non vérifiés. En outre, les organisations devraient prioriser les méthodes d'authentification résistantes au phishing, comme les identifiants fondés sur les mots de passe et les clés FIDO/WebAuthn, ce qui réduit considérablement l'efficacité des procurations inversées. Google et d'autres plateformes offrent déjà des guides pour adopter des paskeys et d'autres mécanismes d'authentification modernes; la documentation de Google sur les passkeys peut être un bon point de départ: comment utiliser les mots de passe.
Il est également recommandé de segmenter les rôles et les autorisations dans les comptes publicitaires afin de minimiser l'impact si un titre de compétence est compromis, de surveiller avec des outils de détection de sessions anormales et d'éduquer les équipes sur les pièges les plus courants dans les offres d'emploi et les « invitations commerciales ». Pour les ressources générales sur la façon d'éviter l'hameçonnage et les mesures à prendre après la détection d'une tentative, les guides des agences officielles fournissent des conseils utiles et à jour, par exemple les publications des CISA.
Bref, nous sommes confrontés à une campagne qui combine l'ingénierie sociale avec des techniques techniques pour bloquer l'inspection automatisée et voler des sessions en temps réel. La recommandation la plus solide est de combiner la prudence humaine avec les politiques modernes d'authentification et de sécurité sur les plateformes publicitaires parce que cela réduit considérablement la zone d'attaque et rend difficile l'exploitation de comptes de grande valeur pour les criminels.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...