TikTok 企業帳號遭大規模釣魚攻擊鎖定，駭客以中間人手法即時竊取憑證

2026 / 04 / 08

編輯部

資安研究機構 Push Security 近期揭露一波針對 TikTok for Business 帳號的新型網路釣魚攻擊活動。攻擊者採用中間人攻擊（AitM）技術架設釣魚頁面，並利用 Cloudflare Turnstile 驗證機制躲避自動化資安掃描工具的偵測，使惡意頁面更難被及早發現。

九秒內完成大量網域註冊，自動化部署能力驚人

根據 Push Security 調查，這批惡意網域於 2025 年 3 月 24 日在九秒內集中完成註冊，顯示攻擊者具備高度自動化的部署能力。這些頁面皆架設於 Cloudflare 背後，並一致使用 Nicenic International Group 作為網域註冊商。該機構長期被視為大規模釣魚網域常見的濫用管道。

目前已確認的惡意網域包括 welcome.careerscrews[.]com、welcome.careerstaffer[.]com、welcome.careersworkflow[.]com 等多個以「welcome.careers*」為命名規則的網址。研究人員預估，隨著攻擊規模擴大，相關網域數量將持續增加。

攻擊流程：多層跳轉搭配反向代理即時攔截

攻擊流程始於誘導受害者點擊惡意連結。連結會先透過合法的 Google Cloud Storage 網址跳轉，藉此降低受害者警戒心，接著將使用者導向仿冒 TikTok for Business 或 Google Careers 的假冒頁面。部分頁面甚至提供「預約通話」功能，偽裝成招募流程以提高可信度。

進入頁面後，系統會先觸發 Cloudflare Turnstile 驗證，過濾掉自動化的資安爬蟲與掃描機器人，確保只有真實使用者才能看到後續的惡意內容。一旦通過驗證，受害者將被要求填寫基本資料表單，最終被引導至一個以反向代理技術架設的 AitM 釣魚登入頁面，讓攻擊者得以即時攔截帳號憑證與工作階段令牌（Session Token）。

為何鎖定 TikTok 企業帳號？廣告投放權限成高價值目標

TikTok for Business 帳號通常由企業行銷團隊用來管理廣告活動。一旦遭到入侵，攻擊者便可利用這些帳號投放惡意廣告或散布惡意程式。專家指出，此類攻擊目標的選擇「相當值得關注」，因為多數釣魚攻擊通常會仿冒 Google 或 Microsoft 等單一登入（SSO）平台，TikTok 乍看之下反而是不尋常的選擇。

然而，考量 TikTok 平台過去屢遭濫用的紀錄，攻擊者選擇此目標便不難理解。該平台曾被用來散布多款資訊竊取程式，包括 Vidar、StealC 與 Aura Stealer。攻擊者也會透過 ClickFix 風格的操作指示，搭配 AI 生成影片，偽裝成 Windows、Spotify 與 CapCut 的啟動教學，誘使使用者執行惡意程式。此外，TikTok 也是加密貨幣詐騙的常見狩獵場域。

許多使用者習慣以「Google 帳號登入」TikTok。一旦攻擊得逞，Google 與 TikTok 帳號都可能同時落入駭客手中，進一步觸發 Google Ad Manager 的利用鏈，使攻擊者取得廣告管理帳號，進而大規模發動惡意廣告詐騙。

類似的憑證釣魚手法早在 2024 年 10 月便由 Sublime Security 率先發現，當時攻擊者以動態生成的假冒招募信件作為社交工程誘餌。本次攻擊被認為是同一系列活動的延伸與升級。

同期威脅：SVG 圖形檔案成為新型攻擊載體

在另一起同期揭露的攻擊活動中，資安廠商 WatchGuard 發現針對委內瑞拉用戶的釣魚郵件會夾帶以西班牙文命名的可縮放向量圖形（SVG）檔案，並偽裝成發票、收據或報價單。

受害者一旦開啟這類惡意 SVG 檔案，檔案就會自動向外部網址發出請求並下載惡意程式。攻擊者利用 ja.cat 縮短網址服務，並搭配具有重新導向漏洞的合法網域進行跳轉，讓惡意流量更難被過濾。下載的惡意程式以 Go 語言撰寫，且與 BianLian 勒索軟體的樣本高度重疊。後者曾於 2024 年 1 月由 SecurityScorecard 詳細記錄。

WatchGuard 強調，這起事件再次提醒業界：即便看似無害的 SVG 圖形檔案，也可能成為發動攻擊的跳板。