PhishingHackerangriffeDatenschutz

TikTok-Business-Konten im Visier: Neue Phishing-Kampagne umgeht Sicherheitssysteme

TikTok-Business-Konten im Visier: Neue Phishing-Kampagne umgeht Sicherheitssysteme
Zusammenfassung

Eine neue Phishing-Kampagne zielt gezielt auf TikTok-for-Business-Konten ab und nutzt dabei ausgefeilte Techniken, um Sicherheitsbots zu umgehen. Betrüger locken Nutzer über gefälschte Webseiten auf die geschäftlichen TikTok-Profile sowie Google-Karriereseiten, wo sie ihre Anmeldedaten eingeben sollen. Die Angreifer nutzen dabei Reverse-Proxy-Technologie, um Zugangsdaten und Session-Cookies zu stehlen – und können so sogar Zwei-Faktor-Authentifizierung umgehen. Besonders kritisch ist, dass viele Nutzer sich über Google Single Sign-On bei TikTok anmelden, was bedeutet, dass Angreifer mit einem erfolgreichen Phishing-Angriff gleichzeitig beide Konten kompromittieren. Die Kampagne betrifft vor allem Unternehmen und Marketer, die TikTok for Business nutzen, denn gehackte Konten werden anschließend für Malvertising, Betrugswerbung und die Verbreitung von Malware missbraucht. Für deutsche Unternehmen stellt dies ein erhebliches Risiko dar, insbesondere für solche mit internationalen Marketing-Aktivitäten. Experten raten zur erhöhten Vorsicht bei verdächtigen Einladungen und Links sowie zur Nutzung von Passkeys für den zusätzlichen Schutz geschäftskritischer Accounts.

Die Phishing-Kampagne nutzt eine raffinierte Mehrstufenmethode, um sowohl Menschen als auch Bot-basierte Sicherheitssysteme zu überlisten. Die Angreifer registrierten die malicious Domains am 24. März über NiceNIC, einen Registrar, der in der Cybersecurity-Community für seine Verwendung durch Kriminelle bekannt ist. Die Kampagne ähnelt einer bereits dokumentierten Attacke von 2024, die Google-Ad-Manager-Konten ins Visier nahm.

Die technische Ausführung zeigt erhebliche Raffinesse: Die initialen Links werden über legitime Google-Storage-URLs umgeleitet und nutzen Cloudflare Turnstile, um automatisierte Bot-Analysen zu blockieren. Dies ist ein wichtiges Detail – es zeigt, dass die Angreifer bewusst versuchen, vor Sicherheitsanalysen zu verbergen, was auf ihren Seiten passiert. Nach dem Bot-Check folgt die Weiterleitung zu den echten Phishing-Seiten.

Die gefälschten Seiten imitieren sowohl TikTok-Business-Interfaces als auch Google-Careers-Seiten mit “Schedule a Call”-Funktionen. Nutzer werden aufgefordert, ihre Geschäfts-E-Mail-Adresse einzugeben, was Legitimität vortäuscht. Danach präsentiert sich ein Fake-Login-Portal, das tatsächlich ein Reverse-Proxy ist – eine technische Brückenkonstruktion, die alle eingegebenen Anmeldedaten und Session-Cookies abfängt und an die Angreifer weiterleitet.

Ein kritischer Aspekt: Diese Technik funktioniert auch bei aktiviertem Two-Factor-Authentication (2FA). Das Reverse-Proxy-System agiert als Vermittler zwischen Nutzer und echtem Service und kann so auch Session-Cookies übernehmen, wodurch die 2FA-Schutzmaßnahmen unwirksam werden.

Besonders problematisch für deutsche Nutzer: Viele Business-Account-Inhaber nutzen Google Single Sign-On (SSO) zum Login bei TikTok. Das bedeutet, dass ein kompromittierter TikTok-Account gleichzeitig den Google-Account gefährdet – beide Plattformen könnten für Werbe-Missbrauch genutzt werden.

Push Security konnte den ursprünglichen Verteilungsmechanismus nicht vollständig bestimmen, geht aber davon aus, dass ähnliche Methoden wie bei früheren Sublime-Security-Reports verwendet werden. Diese Unklarheit über die initiale Infektionsmethode erschwert es Unternehmen, sich vollständig zu schützen.

Experten empfehlen: Seien Sie extrem vorsichtig bei verdächtigen Einladungen und Job-Angeboten, überprüfen Sie URLs vor der Eingabe von Anmeldedaten und verwenden Sie Passkeys für besonders wertvolle Accounts. Regelmäßige Sicherheitstrainings für Mitarbeiter, die Business-Social-Media-Accounts verwalten, sind essentiell.

Ähnliche Artikel