Entre nos nossos canais do Telegram e WhatsApp para notícias em primeira mão.
Telegram: [link do Telegram] WhatsApp: [link do WhatsApp]
Com mais de um bilhão de usuários em todo o mundo, era apenas uma questão de tempo até que a popularidade do TikTok atraísse a atenção de agentes mal-intencionados interessados em explorar suas vulnerabilidades. Recentemente, especialistas alertam que essa plataforma pode ser usada para “redirecionar vítimas para uma armadilha de roubo de credenciais”, segundo um relatório citado pela Forbes.
Esse tipo de ataque não é novidade nas redes sociais, mas o uso específico do TikTok para esse fim é alarmante. A empresa de segurança online Cofense destacou que “sempre houve um problema com a segurança dos links nas plataformas de redes sociais”, o que foi confirmado pela concorrente Zimperium. Esta última advertiu que o crescimento exponencial de dispositivos móveis facilitou a exploração de vazamentos de dados devido ao “acesso inadequado de funcionários a informações sensíveis e confidenciais em seus dispositivos móveis”. Criminosos cibernéticos têm aproveitado essa oportunidade no ambiente focado em smartphones.
O ataque identificado pela Cofense utiliza a plataforma TikTok, que é voltada exclusivamente para dispositivos móveis, para disseminar links maliciosos através de URLs que “redirecionam para o site que o titular do perfil escolhe”, informou a Forbes. A confiança que muitos usuários têm na plataforma os torna vulneráveis, uma vez que sites de phishing são difíceis de identificar em telas pequenas, onde informações importantes costumam ficar ocultas.
Uma vez que o usuário clica no link, um processo é ativado para roubar credenciais de contas, principalmente da Microsoft. A Cofense observou que esses e-mails de phishing tentam coletar credenciais do Office 365 por meio de um aviso enganoso que afirma falsamente que todas as mensagens do usuário serão excluídas. Essa tática de intimidação é comum e visa fazer com que a vítima aja rapidamente. Além disso, essas mensagens se apresentam falsamente como alertas do departamento de TI da empresa do usuário, tentando aumentar a credibilidade, embora o formato não seja tão sofisticado quanto deveria.
Embora essas campanhas de phishing nem sempre sejam totalmente refinadas, elas têm um sucesso notável, especialmente entre os usuários mais jovens do TikTok. “Uma página de login da Microsoft aparentemente legítima com o logotipo da empresa” pode convencer muitos usuários desavisados, destacou a Forbes. O site de phishing inclui até um número de telefone da empresa, mas todos os links levam o usuário a uma rede de sites e links maliciosos.
A Zimperium advertiu que “aplicativos pessoais baixados de lojas públicas podem introduzir malware ou explorar vulnerabilidades da plataforma, comprometendo potencialmente aplicativos e dados empresariais”. A Cofense reforça o aumento da sofisticação dos agentes de ameaças que utilizam plataformas de redes sociais para enganar os usuários.
O uso do TikTok em campanhas de phishing demonstra o crescente risco enfrentado pelos usuários de dispositivos móveis hoje e ressalta a importância de estar atento a possíveis fraudes, mesmo em plataformas amplamente confiáveis.
