Egy új adathalász kampány van kibontakozóban a TikTok közösségi videómegosztó platformon, amely elsősorban az influenszereket, azok menedzsereit, a márkatanácsadókat és a produkciós stúdiókat célozza. Az Abnormal Security kutatói két hullámban érzékelték a támadásokat, először október 2-án, majd november 1-én, és valószínűsíthető, hogy hamarosan újabb hullámra lehet számítani.
Az Abnormal Security vizsgálata alapján a támadók a TikTokot megszemélyesítve egyes esetekben a platform felhasználási feltételeinek megsértésére hivatkozva, máskor a “hitelesített fiók”-jel felajánlásának csalijával keresték meg a felhasználókat. Utóbbi módszer igen hatékonynak bizonyult, ugyanis a hitelesített fiók minősítés növeli a feltöltött tartalmak megjelenési arányát, ezért sokan örülnének egy ilyen lehetőségnek. A támadók mindkét típus esetén először egy beágyazott linket küldenek, amely egy olyan WhatsApp chatszobába irányítja át az áldozatokat, ahol a támadók a platform egy alkalmazottjának adják ki magukat, elkérik a felhasználó e-mail címét, telefonszámát és – amennyiben a kétfaktoros azonosítás (2FA) be van kapcsolva a fiókon – az egyszer használatos belépési kódot.
Amennyiben az áldozat megadja ezeket az adatokat, a támadó teljes hozzáférést szerez a fiókhoz, és a jelszó alaphelyzetbe állításával kizárhatja a felhasználót a saját fiókjából. Ez a helyzet könnyen módot adhat zsarolásnak, ugyanis a TikTok Általános Szerződési Feltételei (ÁSZF) szerint, ha egy – különösen a magas követői számmal rendelkező – fiók megsérti a platform irányelveit, felfüggesztésre, vagy akár törlésre is kerülhet.
Az ilyen jellegű támadások elleni védekezés gyanánt javasolt biztonsági másolatot készíteni a feltöltött tartalmakról és adatokról, valamint beállítani a kétfaktoros hitelesítést, annak is leginkább a biztonsági kulcsos verzióját. Amennyiben pedig biztonsági hitelesítő alkalmazás generálta egyszeri kóddal jelentkezünk be, a kódot sose adjuk ki másnak!
