Atores de ameaças estão visando ativamente contas do **TikTok** for Business em uma campanha de phishing sofisticada projetada para contornar bots de segurança e coletar credenciais. Essas contas são de alto valor devido ao seu potencial de abuso em campanhas de malvertising, fraude de anúncios e distribuição de conteúdo malicioso. A **Push Security**, uma empresa de detecção e resposta a ameaças de navegador, associou esta campanha a atividades semelhantes observadas no ano passado, que visavam contas do **Google** Ad Manager. ### Táticas de Phishing As vítimas são atraídas para páginas de phishing hospedadas na **Cloudflare**, registradas em 24 de março via NiceNIC, um registrador frequentemente associado a atividades criminosas cibernéticas. O mecanismo inicial de entrega permanece incerto, mas a **Push Security** suspeita de uma abordagem semelhante à relatada pela **Sublime Security**, envolvendo impersonação. O fluxo do ataque envolve: 1. Um link inicial redireciona através de um URL legítimo do **Google** Storage. 2. Um check do **Cloudflare** Turnstile é usado para bloquear a análise por bots. 3. Redirecionamento para páginas de phishing maliciosas. Os domínios utilizados compartilham nomes semelhantes e todos são hospedados no mesmo bucket do **Google** Storage. Exemplos incluem: * welcome.careerscrews[.]com * welcome.careerstaffer[.]com * welcome.careersworkflow[.]com * welcome.careerstransform[.]com * welcome.careersupskill[.]com * welcome.careerssuccess[.]com * welcome.careersstaffgrid[.]com * welcome.careersprogress[.]com * welcome.careersgrower[.]com * welcome.careersengage[.]com * welcome.careerscrews[.]com ### Coleta de Credenciais e Bypass de 2FA As páginas maliciosas imitam páginas de "Agendar uma Chamada" do **TikTok** for Business e do **Google** Careers. Os visitantes são solicitados a inserir informações básicas para validar seu endereço de e-mail comercial.  *Coleta de informações básicas em uma primeira etapa de validação* *Fonte: Push Security* Após esta etapa inicial, as vítimas são apresentadas a uma página de login falsa, funcionando como um proxy reverso. Este proxy captura credenciais e cookies de sessão, exfiltrando-os para o atacante. Criticamente, este método permite que os atacantes sequestrem contas mesmo quando a autenticação de dois fatores (2FA) está ativada.  *As páginas de phishing com tema TikTok (topo) e Google (inferior)* *Fonte: Push Security* ### Comprometimento Duplo de Contas A **Push Security** destaca que muitos titulares de contas comerciais fazem login no **TikTok** usando o single sign-on (SSO) do **Google**. Isso significa que comprometer a conta do **Google** através do ataque de phishing pode simultaneamente comprometer a conta associada do **TikTok**, permitindo que os atacantes distribuam anúncios através de ambas as plataformas. ### Recomendações Os usuários devem ter extrema cautela com convites e ofertas de emprego não solicitados. Sempre verifique o domínio antes de inserir credenciais e considere usar passkeys para segurança aprimorada da conta.