Des influenceurs mais aussi leurs managers, des consultants pour des marques et des studios de production ont été visés.
Plus de 125 comptes importants visés
Les chercheurs d'Abnormal Security ont observé une campagne de phishing visant les comptes importants sur TikTok. Elle n'est pas continue comme peuvent l'être certaines mais concentre son activité sur des jours en particulier, ici le 2 octobre 2021 et le 1er novembre 2021, ce qui laisse penser qu'elle se reproduira dans quelques jours. Plus de 125 comptes ont été visés dans cette campagne, appartenant à des influenceurs, à des agences de talents, des firmes de consultants pour des marques mais aussi des studios de production.
Pour réaliser leur scam, les attaquants ont envoyé des mails en se faisant passer pour TikTok, dans lesquels ils écrivaient que les comptes de leurs victimes seraient supprimés dans 48 heures à cause d'une violation de copyright. D'autres indiquaient que les victimes étaient éligibles à un badge de vérification. Dans les deux cas, il leur était demandé de vérifier leur compte en répondant au mail.
Une fois la réponse envoyée, les victimes recevaient un lien. S'il était cliqué, elles étaient redirigées vers une discussion WhatsApp, où l'un des scammers se faisait passer pour un employé de TikTok. Il leur demandait des informations nécessaires pour obtenir un accès à leur compte, comme leur adresse mail et leur numéro de téléphone. Il demandait aussi aux victimes de fournir le code de vérification à 6 chiffres envoyé sur leur appareil, permettant aux attaquants de passer outre l'authentification multi-facteurs.
Une campagne dont le but reste indéterminé
Malgré plusieurs erreurs de grammaire dans les mails trahissant l'arnaque, des utilisateurs peuvent être piégés par peur de perdre leur compte ou en étant attirés par la possibilité d'être vérifiés sur la plateforme. De plus, l'utilisation d'un lien menant vers une conversation WhatsApp au lieu de se contenter de créer un site de phishing montre que les attaquants essaient de nouvelles tactiques pour espérer passer outre l'authentification multi-facteurs.
Les chercheurs n'ont pas réussi à déterminer quel était le but final de cette campagne. Dans la plupart des cas, les acteurs malveillants essaient soit de revendre le compte, soit de demander une rançon à son propriétaire, en menaçant de le faire bannir si elle n'est pas payée. Sur la plupart des réseaux sociaux, il n'est pas possible de récupérer un compte banni, ce qui rend la tactique très efficace quand elle est utilisée contre des créateurs et créatrices de contenus.
Pour protéger vos comptes sur les réseaux sociaux, il est conseillé d'activer l'authentification multi-facteurs et de ne communiquer ni votre code personnel, ni les éléments liés à votre compte.
Sources : BleepingComputer, Abnormal Security
