Digitalna Srpska

Hakeri vrebaju poslovne korisnike: TikTok Business nalozi na meti fišing prevare koja zaobilazi 2FA

TikTok Business nalozi našli su se na meti nove fišing prevare koja koristi „protivnik u sredini“ (adversary-in-the-middle, AiTM) tehnike za krađu kredencijala i preuzimanje naloga, čak i kada je uključena dvofaktorska autentifikacija (2FA), upozoravaju istraživači kompanije Push Security.

Hakeri vrebaju poslovne korisnike: TikTok Business nalozi na meti fišing prevare koja zaobilazi 2FA
FOTO: GORAN ŠURLAN/RINGIER

Napadi se oslanjaju na sofisticirane fišing alate koji vjerno imitiraju stranice za prijavu velikih SSO platformi poput Google-a i Microsoft-a. Umjesto klasične krađe lozinke, AiTM pristup omogućava napadačima da u realnom vremenu presretnu i kredencijale i kolačiće sesije, čime praktično zaobilaze 2FA zaštitu.

Napad počinje slanjem fišing linka koji korisnika prvo preusmjerava na legitimnu Google stranicu, a zatim na lažnu stranicu za prijavu koja izgleda kao TikTok ili Google. Istraživači su identifikovali dvije varijante: kloniranu TikTok Business stranicu za prijavu i lažnu Google “Schedule a call” stranicu.

Prije nego što se prikaže lažna stranica za prijavu, stranica pokreće Cloudflare Turnstile provjeru, čime otežava detekciju od strane bezbjednosnih alata i botova.

Nakon unosa podataka, presreću se korisnički kredencijali i autentifikacioni tokeni, omogućavajući napadačima trenutni pristup nalogu. U nekim slučajevima, standardno “Prijavite se sa TikTok-om” dugme zamijenjeno je opcijom “Prijavite se sa Google-om”, dodatno povećavajući vjerovatnoću uspjeha napada.

Pročitajte još

Kampanja je ciljano usmjerena na poslovne korisnike. Lažne stranice zahtijevaju unos poslovne email adrese, a istraživači su identifikovali grupu fišing domena registrovanih u roku od samo devet sekundi, sa sličnim obrascima imenovanja i infrastrukturom.

Kada napadači preuzmu nalog, mogu pristupiti oglašivačkim kampanjama, porukama, sadržaju brenda i finansijskim podacima povezanim sa TikTok Business platformom.

Poseban rizik predstavlja činjenica da mnogi korisnici koriste Google SSO za prijavu. U tom slučaju, kompromitacija jednog naloga može dovesti do kompromitacije više servisa povezanih preko istog naloga.

Stručnjaci upozoravaju da su poslovni nalozi posebno atraktivna meta, jer nude veći finansijski i operativni potencijal za napadače.

Korisnicima se savjetuje da izbjegavaju prijavljivanje putem linkova iz email poruka i da pristupaju TikTok-u isključivo preko zvaničnog sajta. Takođe, treba imati u vidu da fišing infrastruktura često brzo mijenja domene i URL-ove, što dodatno otežava detekciju.

TikTok naglašava da nikada neće tražiti lozinke ili verifikacione kodove putem poruka ili eksternih sajtova, te poziva korisnike na dodatni oprez pri svakom zahtjevu za prijavu ili verifikaciju naloga, piše Informacija.