Una nueva ola de ataques de phishing sofisticados se está centrando en un objetivo lucrativo: las cuentas de TikTok Business. Analistas de seguridad reportan una campaña activa que utiliza técnicas de Adversario-en-el-Medio (AitM) para secuestrar cuentas, con un giro notable: los kits de phishing evaden con éxito el sistema de mitigación de bots Turnstile de Cloudflare, lo que marca una escalada significativa en la evolución del robo de credenciales.
La campaña opera atrayendo a gestores de cuentas de TikTok Business, a menudo especialistas en marketing de redes sociales o propietarios de pequeñas empresas, hacia páginas de inicio de sesión falsificadas. Estas páginas son clones meticulosamente elaborados del portal oficial de TikTok for Business. El señuelo inicial suele llegar por correo electrónico o mensaje directo, haciéndose pasar por una notificación sobre el rendimiento de los anuncios, una violación de políticas o una tentadora oferta promocional que requiere verificación de la cuenta.
El núcleo del ataque radica en su arquitectura AitM. A diferencia del phishing tradicional que simplemente recolecta nombres de usuario y contraseñas, un ataque AitM posiciona el servidor del atacante entre la víctima y el servicio legítimo (TikTok). Cuando la víctima introduce sus credenciales en la página falsa, el proxy AitM las reenvía al inicio de sesión real de TikTok en tiempo real. Esto logra dos objetivos críticos: valida las credenciales robadas al instante y, lo que es más importante, captura la cookie de sesión resultante. Esta cookie permite al atacante eludir los requisitos de contraseña y, en muchos casos, la autenticación multifactor (MFA), otorgándole acceso persistente y autenticado a la cuenta de la víctima sin necesidad de la contraseña nuevamente.
La sofisticación técnica se demuestra aún más con la evasión de Cloudflare Turnstile. Turnstile está diseñado para presentar desafíos interactivos a los bots automatizados, protegiendo sitios web del relleno de credenciales y el scraping. Los actores de amenazas detrás de esta campaña han integrado funcionalidad en sus kits de phishing que resuelve o sortea estos desafíos de Turnstile, permitiendo que sus páginas maliciosas se carguen sin problemas para la víctima. Esta evasión elimina una señal de alerta común que podría advertir a un usuario cauteloso y aumenta la legitimidad percibida de la página de phishing.
Los motivos para secuestrar cuentas de TikTok Business son principalmente financieros. Las cuentas comprometidas otorgan acceso al presupuesto publicitario asociado y a los métodos de pago. Los atacantes pueden agotar rápidamente estos fondos ejecutando anuncios maliciosos (malvertising) que promueven estafas, productos fraudulentos o malware. Alternativamente, la credibilidad establecida y la base de seguidores de la cuenta pueden ser weaponizadas para distribuir infostealers u otro malware a través de mensajes directos o enlaces publicados, aprovechando la confianza de la audiencia de la cuenta. También existe el potencial de sabotaje de marca o amenazas al estilo ransomware contra la empresa para restaurar el acceso a la cuenta.
Esta campaña subraya un cambio estratégico por parte de los cibercriminales hacia plataformas donde es posible obtener ganancias financieras directas. Las cuentas de publicidad en redes sociales son objetivos atractivos debido a sus saldos prepagos o tarjetas de crédito vinculadas. El uso de técnicas AitM y de evasión de antibots muestra que estos actores están invirtiendo en infraestructura de calidad para mejorar las tasas de éxito contra objetivos más conscientes de la seguridad.
Recomendaciones para la Defensa:
- Aplicar MFA Resistente al Phishing: Siempre que sea posible, utilice claves de seguridad FIDO2 o aplicaciones de autenticación. Aunque AitM a veces puede interceptar códigos de un solo uso, los métodos resistentes al phishing son mucho más seguros.
- Escudriñar las URL de Inicio de Sesión: Escriba siempre manualmente la URL oficial de TikTok Business o use un marcador de confianza. Pase el cursor sobre los enlaces en los correos electrónicos para inspeccionar el destino real.
- Monitorear la Actividad de la Cuenta: Revise regularmente las sesiones activas, las campañas publicitarias y el gasto dentro de su TikTok Ads Manager en busca de cambios no autorizados.
- Segmentar y Limitar el Acceso Financiero: Utilice métodos de pago separados con límites bajos o tarjetas prepagas para cuentas publicitarias para minimizar pérdidas potenciales.
- Capacitación en Concienciación de Seguridad: Eduque a los miembros del equipo que gestionan cuentas sociales sobre las características del phishing sofisticado, incluidas las amenazas AitM y la importancia de verificar HTTPS y los nombres de dominio.
La aparición de kits de phishing AitM capaces de derrotar protecciones avanzadas contra bots como Cloudflare Turnstile es una tendencia preocupante. Señala que las herramientas para el phishing de alta tasa de éxito son cada vez más accesibles y efectivas, lo que requiere que los defensores vayan más allá de la seguridad basada en contraseñas y cultiven una vigilancia continua.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.