近期,Push Security的研究人员发现了一波针对TikTok Business(TikTok企业版)账户的中间人钓鱼攻击(AiTM)浪潮。这不仅是针对特定平台的攻击,更是网络犯罪分子利用企业数字化转型痛点,将“信任”转化为“武器”的典型案例。本文将深入剖析这一发生在当下的真实威胁,从技术底层逻辑到企业防御策略,为您构建一道坚固的数字防线。
一、看不见的战场,真实的损失
在这个万物互联的时代,社交媒体不仅是信息传播的渠道,更是企业营销的核心战场。TikTok作为全球最受欢迎的短视频平台之一,其企业账号承载着巨额的广告预算和商业机密。然而,正如硬币有两面,高价值往往伴随着高风险。
2026年3月27日,Security Affairs等权威媒体披露,一场精心策划的网络风暴正在席卷TikTok的企业用户。攻击者利用伪装成Google招聘页面和TikTok登录界面的钓鱼网站,通过先进的AiTM技术,不仅窃取账号密码,更意图接管企业的广告预算进行恶意广告投放。这不仅仅是一次简单的密码泄露,而是一场有组织、高技术的商业掠夺。
图:攻击者利用托管在Cloudflare的新注册域名,在加载假的TikTok商务版或谷歌“预约通话”页面之前,会将受害者从合法服务中重定向。
二、一场针对TikTok的“声东击西”
让我们还原这场发生在2026年3月的真实攻击事件。
(一)伪装与诱导:利用“求职”心理的Google伪装
攻击者非常狡猾,他们深知企业员工(尤其是负责营销和广告的人员)的日常行为模式。在这次攻击中,受害者首先接收到的并不是一个粗劣的“钓鱼链接”,而是一个看似来自Google的“Schedule a Call”(预约通话)页面。
场景构建:页面诱导用户填写“姓名”“商务邮箱”“电话号码”等信息。这利用了受害者对Google品牌的信任,以及求职或商务合作的心理惯性。
技术细节:根据调查,当受害者点击链接时,页面会先静默重定向到一个合法的Google Storage站点。这种“合法跳板”技术(Redirect from legitimate service)极大地增加了安全软件的检测难度,因为最初的URL看起来是无害的。
(二)信任的崩塌:TikTok Business的“精准狩猎”
在获取了初步信息后,受害者会被引导至一个精心伪造的TikTok for Business登录页面。这个页面的逼真程度极高,甚至连“Ads Manager”(广告管理)和“Business Center”(企业中心)的UI都完美复刻。
攻击目标:攻击者的目标非常明确——TikTok企业账号。一旦得手,他们就能控制企业的广告预算(Budget)。
后果:账号被劫持后,攻击者会利用企业的资金投放恶意广告,或者进行广告欺诈,将企业的钱装进自己的口袋,同时导致企业账号因违规被封禁。
三、技术深潜:什么是AiTM Phishing?
为什么这次攻击被称为“新型”且“难以防御”?核心在于它使用了AiTM(Adversary-in-the-Middle)技术。
(一)传统钓鱼vs. AiTM钓鱼
传统钓鱼:攻击者伪造一个网页,你输入账号密码,他记录下来,然后告诉你“登录失败”。几天后,他拿着你的密码去尝试登录。这种攻击容易被多因素认证(MFA)拦截。
AiTM钓鱼:攻击者不再只记录密码,而是在你和真实服务器之间搭建了一个“透明代理”。当你输入密码时,他不仅看到了密码,还实时将你的请求转发给真实的TikTok服务器。服务器验证通过后,会返回一个“会话Cookie”,这个Cookie相当于你进入系统的“临时通行证”。AiTM工具会截获这个Cookie,并发送给攻击者。
(二)攻击者的核心武器:Cloudflare与Turnstile
在这次针对TikTok的攻击中,攻击者使用了合法的基础设施来掩盖罪行:
基础设施:攻击者注册了大量短生命周期的域名,并将其隐藏在Cloudflare之后。Cloudflare是一个广泛使用的CDN和安全服务,这让钓鱼网站看起来像是一个正常、受保护的网站。
反检测机制:攻击者使用了Cloudflare Turnstile验证。这听起来很讽刺,因为Turnstile本是用来区分人类和机器人的,但在这里,它被用来阻止安全研究人员的“爬虫”和“自动化分析工具”访问钓鱼页面。只有真实的人类受害者才能看到钓鱼页面,这大大延缓了安全厂商生成黑名单的速度。
(三)连锁反应:Google登录带来的“一石二鸟”
值得注意的是,许多TikTok用户习惯使用“Google账号登录”。在这次攻击中,如果受害者使用了这种方式:
1. 受害者被重定向到Google进行认证。
2. AiTM工具截获Google返回的Token。
后果:攻击者不仅获得了TikTok账号的控制权,还顺带窃取了受害者的Google Workspace账号。这可能导致企业邮箱、云端硬盘等核心数据的全面泄露。
四、为什么是TikTok?网络犯罪的经济学
我们不禁要问,为什么攻击者从传统的银行、邮箱转向了TikTok Business?
变现速度快:TikTok企业账号通常绑定了广告账户,里面有预存的现金。攻击者劫持账号后,可以立即创建广告投放任务,将资金消耗在自己的推广项目上。这种变现方式比窃取信用卡信息更直接、更隐蔽。
防御意识薄弱:相比于企业邮箱系统,许多企业对社交媒体账号的安全投入不足。员工往往在个人设备上登录企业社交媒体,且缺乏严格的权限管理和审计机制。
社交工程的沃土:TikTok本身就是一个充满链接和互动的平台。攻击者可以利用平台内的私信、评论区甚至伪造的“官方合作邮件”进行传播。
五、防御体系:企业如何构建“铜墙铁壁”
面对如此高明的攻击,企业和个人应该如何自保?基于这次事件的教训,我们需要建立一个多维度的防御体系。
(一)技术层面的“硬防御”
强制实施多因素认证(MFA):虽然AiTM可以截获Cookie,但如果企业强制要求使用FIDO2安全密钥(如YubiKey)或基于推送通知的验证,攻击者的难度将呈指数级上升,因为AiTM很难在没有物理密钥的情况下通过生物识别或物理按键的验证。
设备管理与端点检测:部署MDM(移动设备管理)或EDR(端点检测与响应)解决方案。如果员工的设备感染了信息窃取木马(如Vidar或StealC),这些工具可以检测并阻止敏感数据的外泄。
网络层过滤:利用DNS过滤服务阻止对已知恶意域名的访问。虽然攻击者使用短生命周期域名,但结合信誉评分系统,仍能拦截大部分已知的恶意IP和域名。
(二)管理层面的“软实力”
权限最小化原则:不要给所有员工“管理员”权限。对于TikTok广告账户,应区分“查看者”“广告投放者”和“财务管理者”。即使账号被盗,攻击者也无法修改支付方式或消耗大额预算。
独立账号体系:严禁使用个人Google账号登录企业业务系统。企业应建立独立的Google Workspace或Microsoft 365租户,并严格管理SSO(单点登录)策略。
供应链审计:检查所有第三方应用的授权情况。定期清理不再使用的第三方授权,防止攻击者通过OAuth令牌长期潜伏。
(三)人防:反钓鱼意识培训
技术再好,也抵不过员工的一次误点击。
警惕“重定向”:教育员工,即使是从Google Storage等合法网站跳转出来的链接,也可能是钓鱼网站。
检查URL结构:虽然这次攻击使用了复杂的域名,但培训员工识别可疑的域名依然是基础。
建立报告机制:鼓励员工在遇到可疑邮件或网站时,立即向IT部门报告,而不是自己尝试解决。
六、结语:安全是一场永不停歇的马拉松
本案针对TikTok Business的这波AiTM钓鱼攻击,是一个时代的缩影。它告诉我们,网络犯罪已经从“脚本小子”的恶作剧,演变成了高度产业化、技术化的“正规军”作战。
攻击者利用Cloudflare、Google Storage等合法服务作为掩护,利用人性的弱点(求职、合作)作为突破口,利用AiTM技术绕过传统的防御。这不仅是技术的较量,更是心理的博弈。
记住:在互联网上,每一次“登录”都是一次信任的托付。请务必确认,你托付的对象,是真实的服务器,而不是躲在幕后的攻击者。
作者:芦笛、张鑫 中国互联网络信息中心
编辑:芦笛(公共互联网反网络钓鱼工作组)
