インフルエンサーが所有する知名度の高いTikTokアカウントを主なターゲットとした新たなフィッシング攻撃が発生していることがわかりました
2021年10月2日と11月1日の2回に分けて125人以上の個人や企業に送られたメール攻撃は、異なる地域の大容量のTikTokアカウントを対象としていると思われます。典型的なタレント事務所やブランドコンサルタント会社に加えて、俳優やソーシャルメディア制作スタジオ、インフルエンサー管理会社、コンテンツ制作者にメッセージを送っていました。
いくつかのケースでは攻撃者はTikTokの従業員になりすまし、プラットフォームの規約に違反している疑いがあるため、受信者にアカウント削除が迫っていると脅しています。
また検証バッジを取得するチャンスを提供するメールもフィッシング攻撃に利用されることもあり、この認証バッジをフィッシングに使用することは非常に効果的とされています。
TikTokの「Verified」バッジは、認証されたアカウントが投稿したコンテンツに重みを与え、プラットフォームのアルゴリズムに信号を送り、これらのアカウントからの投稿の露出率を高めることができるためです
どちらのケースでも、攻撃者はターゲットに対し、埋め込まれたリンクをクリックしてアカウントを確認する方法を行っています。
リンクをクリックすると代わりにWhatsAppのチャットルームにリダイレクトされ、そこにはTikTokの従業員になりすました詐欺師が待ち構えています。
詐欺師は、メールアドレス、電話番号、そして多要素認証を回避してアカウントのパスワードをリセットするために必要なワンタイムコードを聞き出します。
フィッシング業者がこの攻撃で何を目的としているのかは不明ですが、ターゲットのアカウントを乗っ取ろうとしているのか、あるいはアカウントの所有者を恐喝し、コントロールを取り戻すために身代金を払わせようとしているのかのどちらかでしょう。
TikTokの利用規約では、特に多くのフォロワーを持つアカウントがそのサービスに違反した場合、そのアカウントを永久に停止または終了させることを明確にしています。
つまり攻撃者が不適切な投稿をすると簡単に脅して、オーナーが時間とお金をかけて作り上げたプロフィールが削除されてしまうのです。
貴重なソーシャルメディアのアカウントを所有または管理している場合は、すべてのコンテンツとデータを安全な場所にバックアップしましょう
また、2ファクタ認証(2FA)や2ステップ認証、理想的にはハードウェアのセキュリティキーを使って、常にアカウントを保護する必要があります。
安全性の低いSMSベースの2FAオプションしか使えない場合は、誰にも教えていないプライベートな電話番号を選んで、この目的のためだけに使うようにしましょう。
Comments