کمیته رکن چهارم – یک کمپین فیشینگ جدید حسابهای TikTok for Business را هدف قرار داده و با استفاده از تکنیکهای پیشرفته، موفق به دور زدن برخی مکانیزمهای امنیتی شده است.
به گزارش کمیته رکن چهارم، در این حمله سایبری، مهاجمان تلاش میکنند با هدایت کاربران به صفحات جعلی، اطلاعات ورود و دادههای نشست آنها را سرقت کنند. این کمپین بهگونهای طراحی شده که از شناسایی توسط ابزارهای امنیتی نیز جلوگیری کند.
بررسیها نشان میدهد کاربران ابتدا از طریق لینکهایی که روی سرویس Google Storage میزبانی شدهاند هدایت میشوند. سپس با استفاده از مکانیزم Cloudflare Turnstile، از تحلیل خودکار توسط ابزارهای امنیتی جلوگیری شده و در نهایت کاربر به صفحه فیشینگ منتقل میشود.
این صفحات با تقلید از رابطهای رسمی TikTok for Business یا صفحات کاریابی، کاربران را ترغیب میکنند اطلاعات اولیه خود را وارد کنند. در ادامه، یک صفحه ورود جعلی که بهصورت reverse proxy عمل میکند نمایش داده میشود. این صفحه علاوه بر نام کاربری و رمز عبور، کوکیهای نشست کاربر را نیز سرقت میکند.
در چنین شرایطی، حتی در صورت فعال بودن احراز هویت دومرحلهای، مهاجم میتواند به حساب دسترسی پیدا کند، زیرا فرآیند ورود بهصورت زنده بین کاربر و سرویس واقعی انجام میشود.
همچنین با توجه به اینکه بسیاری از کاربران از ورود از طریق Google استفاده میکنند، موفقیت این حمله میتواند منجر به دسترسی همزمان به حسابهای Google و TikTok شود. این دسترسی میتواند برای اجرای کمپینهای تبلیغاتی مخرب یا سوءاستفادههای مالی مورد استفاده قرار گیرد.
دامنههای مورد استفاده در این کمپین ساختار مشابهی دارند و همگی با هدف فریب کاربران طراحی شدهاند. این موضوع نشاندهنده سازمانیافتگی و برنامهریزی دقیق در اجرای حمله است.
پیشزمینه
در سالهای اخیر، حسابهای تبلیغاتی و تجاری در پلتفرمهای بزرگ به هدفی ارزشمند برای مهاجمان تبدیل شدهاند. پیشتر نیز حملات مشابهی علیه سیستمهای تبلیغاتی دیگر گزارش شده بود. این حسابها بهدلیل دسترسی گسترده و اعتبار بالا، میتوانند برای انتشار بدافزار، کلاهبرداری و تبلیغات مخرب مورد سوءاستفاده قرار گیرند.
