Wprowadzenie do problemu / definicja
Badacze bezpieczeństwa zaobserwowali kampanię phishingową typu Adversary-in-the-Middle (AitM), której celem są konta TikTok for Business wykorzystywane przez zespoły marketingowe do obsługi reklam. Tego rodzaju atak nie kończy się na wyłudzeniu loginu i hasła — może prowadzić także do przejęcia aktywnej sesji, obejścia części zabezpieczeń oraz uzyskania dostępu do kont biznesowych i powiązanych usług logowania jednokrotnego.
W praktyce oznacza to, iż cyberprzestępcy koncentrują się już nie tylko na skrzynkach pocztowych czy panelach administracyjnych, ale również na narzędziach reklamowych, które można gwałtownie zmonetyzować poprzez malvertising, oszustwa i dystrybucję złośliwego oprogramowania.
W skrócie
Kampania wykorzystuje fałszywe strony podszywające się pod TikTok for Business oraz proces rekrutacyjny Google Careers. Ofiara po kliknięciu odnośnika trafia najpierw na etap weryfikacji oparty o Cloudflare Turnstile, co utrudnia automatyczną analizę przez systemy bezpieczeństwa.
- Atak bazuje na technice reverse proxy AitM.
- Celem są konta biznesowe powiązane z budżetami reklamowymi.
- Przestępcy próbują przejąć dane logowania, tokeny sesyjne i kontekst MFA.
- Kampania wykorzystuje przynęty rekrutacyjne i fałszywe strony „schedule a call”.
- Przejęte konta mogą posłużyć do malvertisingu i dalszych oszustw.
Kontekst / historia
Przejęcia kont związanych z platformami reklamowymi od dawna pozostają atrakcyjnym celem dla cyberprzestępców. Dostęp do narzędzi marketingowych i budżetów kampanii pozwala prowadzić sponsorowane działania kierujące użytkowników do stron phishingowych, infostealerów lub innych oszustw monetyzujących ruch.
Obecna kampania wpisuje się w szerszy trend nadużywania rozpoznawalnych marek i legalnie wyglądających procesów biznesowych jako przynęty socjotechnicznej. Wcześniejsze obserwacje dotyczyły między innymi fałszywych scenariuszy związanych z Google Careers. Nowa odsłona rozszerza ten model o TikTok for Business, co sugeruje rozwój istniejących zestawów phishingowych pod kątem bardziej dochodowych celów.
Na szczególną uwagę zasługuje profil ofiar. Konta biznesowe TikToka są cenne nie tylko ze względu na samą platformę, ale także dlatego, iż często pozostają powiązane z tożsamością Google używaną do logowania. W efekcie kompromitacja jednego przepływu uwierzytelniania może otworzyć drogę do kolejnych usług SaaS korzystających z tego samego mechanizmu SSO.
Analiza techniczna
Zaobserwowany łańcuch ataku składa się z kilku etapów zaprojektowanych tak, aby zwiększyć skuteczność wobec użytkowników biznesowych i jednocześnie utrudnić wykrycie. Atak rozpoczyna się od dostarczenia linku prowadzącego do spreparowanej infrastruktury, powiązanej z nowo zarejestrowanymi domenami wykorzystującymi schematy nazewnicze odnoszące się do kariery zawodowej i komunikacji powitalnej.
Po wejściu na stronę użytkownik nie widzi od razu formularza logowania. Najpierw uruchamiany jest etap weryfikacji „czy jesteś człowiekiem” z użyciem Cloudflare Turnstile. W tym scenariuszu mechanizm ten pełni funkcję warstwy antyanalitycznej, utrudniając sandboxom, skanerom URL i botom bezpieczeństwa pobranie pełnej zawartości strony.
Następnie ofiara trafia na jedną z dwóch wersji strony lądowania: klon TikTok for Business albo spreparowaną stronę „Schedule a Call” podszywającą się pod Google Careers. W obu przypadkach użytkownik przechodzi przez formularz zbierający podstawowe dane, takie jak imię, adres e-mail i numer telefonu. Taki etap zwiększa wiarygodność scenariusza i pozwala atakującym wstępnie profilować ofiarę.
Dopiero po przejściu formularza wyświetlana jest adekwatna strona phishingowa działająca w modelu reverse proxy AitM. Ruch użytkownika jest wtedy pośredniczony przez infrastrukturę przestępcy między ofiarą a prawdziwą usługą uwierzytelniającą. Dzięki temu możliwe staje się przechwycenie:
- loginu i hasła,
- tokenów sesyjnych,
- artefaktów związanych z MFA,
- kontekstu sesji potrzebnego do przejęcia zalogowanego konta.
Badacze zwrócili również uwagę na walidację adresów e-mail, która wymusza użycie konta biznesowego. To wskazuje na celowe zawężenie grupy ofiar do pracowników firm i osób zarządzających wydatkami reklamowymi. Dodatkowym elementem operacyjnym jest wykorzystanie legalnie wyglądającej infrastruktury pośredniczącej na etapie przekierowania, co pomaga ukryć finalny cel ataku i utrudnia blokowanie na podstawie reputacji domeny.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem kampanii jest przejęcie konta TikTok for Business i wykorzystanie go do publikacji złośliwych reklam. Może to prowadzić do promowania malware, stron wyłudzających dane, oszustw inwestycyjnych oraz innych kampanii przestępczych finansowanych z budżetu ofiary.
Drugie istotne ryzyko dotyczy kompromitacji tożsamości federacyjnej. o ile użytkownik loguje się do TikToka przy użyciu konta Google, incydent może wykraczać poza jedną platformę i objąć inne aplikacje SaaS, pocztę, dokumenty, narzędzia chmurowe czy systemy reklamowe powiązane z tym samym dostawcą tożsamości.
Przejęte konta mogą zostać wykorzystane również do dalszych działań ofensywnych. Konta marek i zespołów marketingowych cieszą się zaufaniem odbiorców, dlatego dobrze nadają się do rozsyłania kolejnych przynęt, publikacji złośliwych treści i budowania wiarygodności następnych etapów kampanii. Problem pogłębia łatwa rotacja infrastruktury — krótkotrwałe domeny i szybkie przełączanie hostów powodują, iż statyczne listy IOC gwałtownie tracą wartość operacyjną.
Rekomendacje
Organizacje korzystające z TikTok for Business, Google Workspace i innych platform reklamowych powinny traktować takie kampanie jako zagrożenie dla tożsamości cyfrowej, a nie wyłącznie klasyczny phishing. Obrona musi obejmować zarówno ochronę poświadczeń, jak i sesji użytkownika.
- Wdrażać odporne na phishing metody MFA, w szczególności klucze sprzętowe.
- Ograniczać logowanie do platform reklamowych do zarządzanych urządzeń i zaufanych przeglądarek.
- Monitorować anomalie logowania, nowe urządzenia i nietypowe działania administracyjne.
- Rozdzielać tożsamości używane do zarządzania reklamami od kont do codziennej pracy biurowej.
- Stosować polityki warunkowego dostępu dla aplikacji wysokiego ryzyka.
- Szkolić zespoły marketingowe z rozpoznawania przynęt rekrutacyjnych i fałszywych stron logowania.
- Analizować ruch pod kątem phishingu reverse proxy, a nie tylko znanych adresów URL.
- Regularnie przeglądać role, uprawnienia i integracje SaaS powiązane z kontami biznesowymi.
- Przygotować procedurę szybkiej reakcji obejmującą reset sesji, unieważnienie tokenów i audyt kampanii reklamowych.
W praktyce to właśnie detekcja behawioralna może okazać się skuteczniejsza niż poleganie wyłącznie na wskaźnikach kompromitacji. Nietypowe przekierowania, ekrany SSO poprzedzone antybotem i próby przejęcia tokenów sesyjnych powinny być traktowane jako sygnały ostrzegawcze wysokiego priorytetu.
Podsumowanie
Kampania wymierzona w TikTok for Business pokazuje, iż cyberprzestępcy coraz częściej skupiają się na kontach marketingowych i reklamowych jako źródle szybkiej monetyzacji. Połączenie techniki AitM, scenariuszy socjotechnicznych opartych o fałszywe procesy biznesowe oraz osłony w postaci Cloudflare Turnstile znacząco zwiększa skuteczność ataku i utrudnia jego automatyczne wykrywanie.
Dla zespołów bezpieczeństwa to wyraźny sygnał, iż ochrona tożsamości powinna obejmować także platformy reklamowe, konta social media i federacyjne mechanizmy logowania. najważniejsze znaczenie mają odporne na phishing MFA, monitoring przejęć sesji oraz ścisła kontrola dostępu do aplikacji biznesowych wysokiego ryzyka.
