Thought Leadership
Sicherheitsforscher haben eine Phishing-Kampagne aufgedeckt, die es auf Werbekonten bei TikTok abgesehen hat.
Das Unternehmen Push Security, das auf browserbasierte Bedrohungen spezialisiert ist, hat die Angriffe analysiert und sieht Parallelen zu einer Kampagne aus dem vergangenen Jahr, bei der Google-Ad-Manager-Konten ins Visier genommen wurden.
Für Angreifer sind TikTok-Business-Konten wertvoller als normale Nutzerprofile. Mit ihnen lassen sich Werbekampagnen schalten, was sie zu einem attraktiven Ziel für Betrug und die Verbreitung von Schadsoftware macht. TikTok wurde in der Vergangenheit bereits mehrfach für solche Zwecke missbraucht, etwa zur Verteilung von Infostealer-Malware oder für Kryptowährungsbetrug.
Mehrstufige Weiterleitung verschleiert den Angriff
Erstaunlich an der Kampagne ist der technische Aufwand, mit dem die Angreifer eine Entdeckung zu verhindern versuchen. Opfer gelangen zunächst über eine legitime Google-Storage-Adresse auf die Phishing-Seite. Dort müssen sie eine Cloudflare-Turnstile-Prüfung bestehen, die automatisierte Sicherheitstools herausfiltert. Nur echte Nutzer sehen die eigentliche Angriffsseite. Die dafür genutzten Domains wurden kurz vor Bekanntwerden der Kampagne über den Registrar NiceNIC angemeldet, der Forschern zufolge häufig für kriminelle Infrastruktur genutzt wird.
Auch Zwei-Faktor-Schutz greift nicht
Die gefälschten Seiten ahmen Anmeldeseiten von TikTok for Business sowie Google Careers nach. In einem ersten Schritt werden harmlos wirkende Informationen abgefragt, etwa eine geschäftliche E-Mail-Adresse. Danach erscheint eine Login-Maske, die jedoch keine echte Anmeldeseite ist, sondern als Reverse Proxy zwischen Opfer und dem legitimen Dienst sitzt. Auf diese Weise werden Passwörter und Sitzungscookies in Echtzeit abgefangen.
Weil die Angreifer den Datenverkehr in beide Richtungen kontrollieren, funktioniert dieser Angriff auch gegen Konten mit aktiver Zwei-Faktor-Authentifizierung. Push Security weist außerdem darauf hin, dass viele Nutzer sich bei TikTok über ihre Google-Konten anmelden. In solchen Fällen können beide Konten gleichzeitig kompromittiert werden.
Unverlangte Nachrichten mit Links sollten grundsätzlich mit Misstrauen behandelt werden, insbesondere wenn sie vermeintliche Jobangebote oder Einladungen enthalten. Vor dem Einloggen lohnt sich ein genauer Blick auf die Adresszeile des Browsers. Passkeys bieten gegenüber klassischen Passwörtern mit 2FA einen robusteren Schutz, da sie gegen Phishing dieser Art strukturell resistent sind.
