Фишинг-мошенничество направлено на взлом аккаунтов влиятельных лиц TikTok

Злоумышленники использовали вредоносные электронные письма, чтобы атаковать более 125 человек с известными учетными записями TikTok, пытаясь украсть информацию и заблокировать их.

Недавно обнаруженная фишинговая афиша попыталась захватить более 125 известных учетных записей пользователей в TikTok . По словам исследователей, эта кампания знаменует собой одну из первых серьезных атак на «влиятельных лиц», обнаруженных на платформе социальных сетей TikTok.

Исследователи облачной службы безопасности электронной почты Abnormal Security обнаружили мошенничества, которые пытались захватить учетные записи людей, отправляя электронные письма, выдавая себя за TikTok, и прося пользователей подтвердить свои данные для входа в систему.

Кампания, отслеживаемая 2 октября и 1 ноября, была разослана людям по всему миру. Согласно отчету, опубликованному во вторник, подготовленному Abnormal Security, у каждой цели был большой объем учетных записей TikTok «всех видов и в разных регионах» .

«Среди типичных агентств по поиску талантов и фирм-консультантов по брендам, которые мы ожидаем увидеть, этот актер отправлял сообщения в студии по производству социальных сетей, влиятельные фирмы и производителей контента всех типов», — сказала Рашель Шуинар, аналитик по анализу угроз в Abnormal Security, написал в отчете.

Игра за выдачу себя за другое лицо

Электронные письма пытались обманом заставить пользователей отправить информацию о входе в систему злоумышленникам одним из двух способов, каждый из которых требовал дальнейших действий со стороны цели. В обоих случаях злоумышленники сделали вид, что связываются с пользователями из TikTok, принадлежащего китайской компании ByteDance.

Одно из электронных писем, отправленных в рамках кампании, проинформировало пользователя о том, что его или ее учетная запись нарушила авторские права TikTok, и попросило пользователя ответить на электронное письмо, чтобы подтвердить учетную запись, пригрозив удалить учетную запись в течение 48 часов, если не будут приняты меры.

Во втором электронном письме, в котором ложно утверждается, что оно отправлено «официальными лицами TikTok», владельцы учетных записей проинформировали, что учетная запись имеет право на «проверенный значок», и попросили их ответить на это письмо, чтобы учетная запись могла быть должным образом проверена.

«Кампания охватила всех, от известных цифровых медиа-каналов до отдельных актеров, моделей и фокусников, до создателей контента по всему миру», — написал Шуинар. «Несколько электронных писем были отправлены не в ту компанию с тем же названием в той же стране, и многие из использованных адресов электронной почты, похоже, были взяты непосредственно из социальных сетей».

Связь с злоумышленниками

Исследователи повернули тактику злоумышленников против них, выдав себя за влиятельных лиц, ответив на фишинговое письмо, на которое был получен ответ электронной почты, содержащий сокращенную ссылку под названием «Подтвердить мою учетную запись», которая направила исследователей в чат в WhatsApp, объяснила она.

«Во время разговора в WhatsApp нас попросили подтвердить номер телефона и адрес электронной почты, связанные с целевой учетной записью TikTok», — написал Шуинар.

Затем злоумышленник, выдающий себя за «должностных лиц TikTok», попросил исследователей подтвердить свое право собственности на учетную запись, предоставив отправленный им шестизначный код, демонстрируя, как они обходят многофакторную аутентификацию, чтобы получить доступ к учетной записи.

После этого связь с злоумышленниками прекратилась, поскольку злоумышленники, вероятно, проверили учетную запись TikTok, которую использовали исследователи, что показало, что «наша вовлеченность аудитории была ниже номинальной», — написал Шуинар. Abnormal Security пыталась найти влиятельного человека, который разрешил бы использовать его или ее учетную запись для эксперимента, но безуспешно, сказала она.

Мотив неясен

По сообщениям исследователей, в результате кампании у некоторых из них были удалены или захвачены их учетные записи, а их данные украдены. Однако, помимо этого, исследователи не видели явных мотивов для кампании, которая могла бы принести пользу злоумышленникам, пишет Шуинар.

Однако злоумышленники нередко нацелены на высокопоставленных пользователей учетных записей социальных сетей — чаще всего на людей, которые являются так называемыми «влиятельными лицами » в Instagram и Facebook, — чтобы вымогать деньги у владельцев учетных записей, чтобы вернуть их, отметила она.

«Прошлый таргетинг на учетные записи социальных сетей на других платформах предлагает несколько вариантов», — написал Шуинар. «Аккаунты в социальных сетях становятся все более ценными в последние годы, создавая стимул для выкупа их первоначальным владельцам за изрядную плату».

Пользователи Instagram действительно были целью кампании угроз со стороны турецкоязычных киберпреступников, раскрытой в августе 2020 года. Злоумышленники нацелились на сотни знаменитостей, владельцев стартапов и других лиц, у которых на платформе было много подписчиков, в попытке украсть учетные данные Instagram и электронной почты.

Этот вид деятельности стимулировал «подпольную экономику», предлагающую запрет как услугу, манипулируя механизмами сообщения о злоупотреблениях для преследования и цензуры других пользователей, в первую очередь в Instagram, добавил Шуинар.