北京
3月24日,一批新注冊的域名開始活躍。它們托管在Cloudflare上,用Google Storage做跳板,專門盯著一類人——TikTok企業號持有者。
Push Security的最新報告顯示,這不是隨機掃射,而是一場精密設計的釣魚戰役。攻擊者要的不是普通用戶,而是能花錢投廣告、能觸達百萬流量的商業賬戶。
為什么是企業號?
個人號被盜,損失幾條視頻。企業號淪陷,意味著廣告預算、品牌背書、甚至整個營銷鏈路被劫持。
Push Security在報告中點明:TikTok企業號的"高濫用潛力"讓它成為香餑餑。惡意廣告、虛假推廣、加密貨幣騙局——這些都需要一個看起來合法的發布渠道。企業號的藍V標識和投放權限,恰好提供了這層偽裝。
這并非TikTok首次被盯上。此前平臺已出現過惡意視頻傳播信息竊取木馬、假促銷頁面收割加密貨幣的案例。但針對企業號的定向攻擊,精準度上了個臺階。
攻擊鏈:三層跳轉,機器人繞道
釣魚頁面的設計堪稱"反偵察教科書"。
第一步,受害者收到鏈接。Push Security未能確定最初的投遞渠道,但推測與Sublime Security此前記錄的手法類似——可能是郵件、私信,或偽裝成商務合作的邀請。
第二步,鏈接先跳轉到合法的Google Storage地址。這一步是為了繞過郵件安全網關的域名黑名單,讓鏈接看起來"干凈"。
第三步,Cloudflare Turnstile(人機驗證服務)登場。它像一道安檢門,擋住自動化分析工具和安全爬蟲。只有真人瀏覽器能通過,安全廠商的機器人被攔在外面,無法及時標記惡意頁面。
第四步,通過驗證后,頁面再次跳轉,落到真正的釣魚站點。這些域名結構相似,全部托管在同一Google Storage存儲桶中,注冊時間集中在3月24日,注冊商是NiceNIC——一家被網絡安全研究者頻繁點名的"犯罪友好型"服務商。
整個鏈條的設計思路很清晰:用合法服務做掩護,用驗證機制做過濾,把攻擊藏在正常的網絡流量里。
假頁面長什么樣?
Push Security捕獲了兩個主要模板。
一個是高仿TikTok企業號后臺,另一個是偽裝成Google招聘的"預約通話"頁面。兩者都先用一個簡單的表單收集信息,驗證訪客是否使用企業郵箱——這一步是在篩選高價值目標。
通過篩選后,受害者才會看到偽造的登錄頁。這里藏著真正的殺招:反向代理(Reverse Proxy)。
攻擊者的服務器坐在用戶和真正的TikTok/Google服務之間,實時轉發請求。用戶輸入賬號密碼,代理先截獲一份,再轉發給官方服務器;官方返回的會話Cookie,代理同樣復制留存。
這意味著即使用戶開啟了雙因素認證(2FA),攻擊者依然能劫持會話。因為2FA驗證的是"此刻登錄的人是否合法",而反向代理讓攻擊者以"合法用戶"的身份通過驗證,然后帶著偷來的Cookie直接接管賬戶。
一個被忽視的弱點:Google單點登錄
Push Security特別提到一個細節:大量TikTok企業號用戶習慣用Google單點登錄(SSO)登錄。
「這意味著,任何用Google賬號登錄TikTok的人,會在一次攻擊中同時丟掉兩個賬戶的控制權。」
攻擊者的反向代理同樣適用于Google的OAuth流程。用戶以為自己在授權TikTok訪問Google信息,實際上是把Google賬戶的鑰匙也交給了中間人。企業郵箱、云盤、廣告賬戶——Google生態內的所有資產一并暴露。
這種"一魚兩吃"的設計,讓攻擊的ROI(投資回報率)直接翻倍。
與Google Ad Manager戰役的關聯
Push Security將此次行動與去年的另一場攻擊聯系起來——那一場的目標是Google Ad Manager賬戶。
兩次戰役的技術手法高度重合:Cloudflare托管、機器人過濾、反向代理、針對廣告平臺。攻擊者似乎已經形成了一套可復用的"商業賬戶劫持"方法論,只是在不同平臺間切換目標。
這背后有一個值得警惕的趨勢:廣告平臺的賬戶正在成為網絡犯罪的基礎設施。控制一個歷史清白、有投放記錄的企業號,比從零搭建惡意網站要高效得多。平臺的風控系統對老賬戶更信任,用戶對企業號的推廣內容警惕性更低。
釣魚攻擊正在從"廣撒網"轉向"養號經營"。
防御建議與現實落差
報告給出的建議清單很標準:警惕陌生邀請、核對域名、使用通行密鑰(Passkeys)。
但現實中,商務合作的私信每天都在涌入,域名核對需要用戶記住官方URL的每一個細節,而Passkeys的普及率在企業級SaaS中仍然有限。TikTok企業號后臺是否支持Passkeys,目前未見明確說明。
更實際的困境是:當攻擊者用Cloudflare和Google Storage這類日常可見的服務搭建基礎設施,傳統的"看域名識風險"方法已經失效。用戶看到的可能是turnstile.cloudflare.com的驗證頁面——完全合法,只是被嵌在了惡意流程中。
Push Security的研究人員承認,他們無法確定最初的釣魚鏈接是如何投遞的。這個信息缺口本身就很說明問題:攻擊者的入口渠道可能比我們想象的更多樣,也更隱蔽。
目前,TikTok尚未就此次釣魚戰役公開回應。企業號持有者或許該問自己一個問題:當你的登錄流程被中間人完整復制時,雙因素認證還能保護什么?
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
