Les acteurs de la menace ciblent activement les comptes **TikTok** for Business dans le cadre d'une campagne de phishing sophistiquée conçue pour contourner les bots de sécurité et collecter des identifiants. Ces comptes sont très précieux en raison de leur potentiel d'abus dans les campagnes de malvertising, la fraude publicitaire et la distribution de contenu malveillant. **Push Security**, une entreprise spécialisée dans la détection et la réponse aux menaces dans les navigateurs, a lié cette campagne à une activité similaire observée l'année dernière, qui ciblait les comptes **Google** Ad Manager. ### Tactiques de Phishing Les victimes sont attirées vers des pages de phishing hébergées sur **Cloudflare**, enregistrées le 24 mars via NiceNIC, un registrar souvent associé aux activités cybercriminelles. Le mécanisme de livraison initial reste flou, mais **Push Security** suspecte une approche similaire à celle rapportée par **Sublime Security**, impliquant l'usurpation d'identité. Le déroulement de l'attaque comprend : 1. Un lien initial redirige via une URL légitime de **Google** Storage. 2. Un contrôle **Cloudflare** Turnstile est utilisé pour bloquer l'analyse par les bots. 3. Redirection vers des pages de phishing malveillantes. Les domaines utilisés partagent des noms similaires et sont tous hébergés sur le même bucket **Google** Storage. Exemples : * welcome.careerscrews[.]com * welcome.careerstaffer[.]com * welcome.careersworkflow[.]com * welcome.careerstransform[.]com * welcome.careersupskill[.]com * welcome.careerssuccess[.]com * welcome.careersstaffgrid[.]com * welcome.careersprogress[.]com * welcome.careersgrower[.]com * welcome.careersengage[.]com * welcome.careerscrews[.]com ### Collecte d'Identifiants et Contournement de la 2FA Les pages malveillantes usurpent l'identité des pages **TikTok** for Business et **Google** Careers "Schedule a Call". Les visiteurs sont invités à saisir des informations de base pour valider leur adresse e-mail professionnelle.  *Collecte d'informations de base lors d'une première étape de validation* *Source : Push Security* Après cette première étape, les victimes se voient présenter une fausse page de connexion, fonctionnant comme un proxy inversé. Ce proxy capture les identifiants et les cookies de session, les exfiltrant vers l'attaquant. De manière critique, cette méthode permet aux attaquants de détourner des comptes même lorsque l'authentification à deux facteurs (2FA) est activée.  *Les pages de phishing à thème TikTok (en haut) et Google (en bas)* *Source : Push Security* ### Compromission Double de Comptes **Push Security** souligne que de nombreux détenteurs de comptes professionnels se connectent à **TikTok** en utilisant l'authentification unique (**SSO**) de **Google**. Cela signifie que la compromission du compte **Google** via l'attaque de phishing peut simultanément compromettre le compte **TikTok** associé, permettant aux attaquants de distribuer des publicités via les deux plateformes. ### Recommandations Les utilisateurs doivent faire preuve d'une extrême prudence avec les invitations et les offres d'emploi non sollicitées. Vérifiez toujours le domaine avant de saisir vos identifiants et envisagez d'utiliser des passkeys pour une sécurité renforcée des comptes.