新發現二波針對 TikTok 網紅的釣魚郵件攻擊，意在竊取帳號控制權

資安廠商 Abnormal Security 日前在其官方部落格中發文，指出該公司旗下的資安研究人員，近日發現一起針對 TikTok 網紅、品牌等知名帳號的釣魚攻擊活動；駭侵者假扮為 TikTok 工作人員發送釣魚信件給知名帳號，可能意圖騙取帳號權限，或發動進一步攻擊。

Abnormal Security 的研究人員指出，在 2021 年 10 月 2 日和 11 月 1 日時，偵到兩波針對 TikTok 上知名帳號的釣魚郵件攻擊活動；駭侵者發送釣魚郵件的對象，以 TikTok 上頗具知名度的網紅、名人、知名品牌、製作公司、經紀人等為主。

在 Abnormal Security 截獲的釣魚攻擊信件共有兩類，都是由駭侵者假扮為 TikTok 的客服人員，分別對潛在受害者發送假冒的客服信件；其中一類是指稱收信人的帳號涉嫌盜用其他人創作的版權作品；如不在 48 小時內回覆「Confirm my account」，就會刪除受害者的 TikTok 帳號，藉以讓受害人因害怕帳號被刪除而回信。

另一類信件則是假冒為 TikTok 帳號認證（即俗稱的「小藍勾」）通過的通知信件；信件假稱該帳號在 TikTok 有許多深受用戶喜愛的原創作品，官方因而決定主動頒給帳號認證標誌（verification badge），要求用戶回覆信件以確認。

在這兩類釣魚信中，駭侵者都放置一個看似用以確認的連結，受害者點按後，會開啟一個 WhatsApp 聊天室；此時駭侵者會要求受害者提供其註冊 TikTok 使用的 Email 地址、手機號碼，以及 TikTok 系統提供的帳號重設二階段登入驗證碼；受害者如果真的提供這些資料，其登入密碼就會被駭侵者竄改，導致帳號存取權被盜。

本文轉載自TWCERT/CC。