Bedrohungsakteure zielen aktiv auf **TikTok** for Business-Konten in einer hochentwickelten Phishing-Kampagne ab, die darauf ausgelegt ist, Sicherheitsbots zu umgehen und Anmeldedaten zu sammeln. Diese Konten sind aufgrund ihres Missbrauchspotenzials für Malvertising-Kampagnen, Ad-Betrug und die Verbreitung bösartiger Inhalte sehr wertvoll. **Push Security**, ein Unternehmen für Browser-Bedrohungserkennung und -reaktion, hat diese Kampagne mit ähnlichen Aktivitäten im letzten Jahr in Verbindung gebracht, die auf **Google** Ad Manager-Konten abzielten. ### Phishing-Taktiken Opfer werden auf **Cloudflare**-gehostete Phishing-Seiten gelockt, die am 24. März über NiceNIC, einen Registrar, der häufig mit Cyberkriminalität in Verbindung gebracht wird, registriert wurden. Der anfängliche Zustellmechanismus ist unklar, aber **Push Security** vermutet einen ähnlichen Ansatz wie von **Sublime Security** berichtet, der auf Identitätsdiebstahl basiert. Der Angriffsablauf beinhaltet: 1. Ein anfänglicher Link leitet über eine legitime **Google** Storage-URL weiter. 2. Eine **Cloudflare** Turnstile-Prüfung wird verwendet, um Bot-Analysen zu blockieren. 3. Weiterleitung zu bösartigen Phishing-Seiten. Die verwendeten Domains weisen ähnliche Namen auf und werden alle auf demselben **Google** Storage-Bucket gehostet. Beispiele hierfür sind: * welcome.careerscrews[.]com * welcome.careerstaffer[.]com * welcome.careersworkflow[.]com * welcome.careerstransform[.]com * welcome.careersupskill[.]com * welcome.careerssuccess[.]com * welcome.careersstaffgrid[.]com * welcome.careersprogress[.]com * welcome.careersgrower[.]com * welcome.careersengage[.]com * welcome.careerscrews[.]com ### Erfassung von Anmeldedaten und Umgehung von 2FA Die bösartigen Seiten ahmen **TikTok** for Business und **Google** Careers "Termin vereinbaren"-Seiten nach. Besucher werden aufgefordert, grundlegende Informationen einzugeben, um ihre geschäftliche E-Mail-Adresse zu validieren.  *Erfassung grundlegender Informationen in einem ersten Validierungsschritt* *Quelle: Push Security* Nach diesem ersten Schritt werden den Opfern gefälschte Login-Seiten präsentiert, die als Reverse-Proxy fungieren. Dieser Proxy erfasst Anmeldedaten und Sitzungs-Cookies und exfiltriert sie zum Angreifer. Kritisch ist, dass diese Methode es Angreifern ermöglicht, Konten zu kapern, selbst wenn eine Zwei-Faktor-Authentifizierung (2FA) aktiviert ist.  *Die TikTok-thematisierten (oben) und Google-Phishing-Seiten (unten)* *Quelle: Push Security* ### Kompromittierung von zwei Konten **Push Security** hebt hervor, dass viele Geschäftskontoinhaber sich mit **Google** Single Sign-On (SSO) bei **TikTok** anmelden. Das bedeutet, dass die Kompromittierung des **Google**-Kontos durch den Phishing-Angriff gleichzeitig das zugehörige **TikTok**-Konto kompromittieren kann, was es Angreifern ermöglicht, Anzeigen über beide Plattformen zu schalten. ### Empfehlungen Benutzer sollten bei unerwünschten Einladungen und Stellenangeboten äußerste Vorsicht walten lassen. Verifizieren Sie immer die Domain, bevor Sie Anmeldedaten eingeben, und erwägen Sie die Verwendung von Passkeys für eine verbesserte Kontosicherheit.