Chiến dịch Phishing TikTok Business: Kỹ thuật bypass 2FA và giải pháp bảo mật 2026
- 4 ngày trước
- 5 phút đọc
Chiến dịch lừa đảo (Phishing) nhắm vào tài khoản TikTok Business đang sử dụng chuỗi tấn công phức tạp qua Google Storage và Cloudflare Turnstile để né tránh các hệ thống phòng thủ. Điểm nguy hiểm nhất là kỹ thuật Adversary-in-the-Middle (AiTM) giúp tin tặc chiếm đoạt Session Cookies, từ đó vượt qua xác thực hai yếu tố (2FA) mà không cần mật khẩu hay mã OTP.
Người dùng được khuyến cáo tuyệt đối không đăng nhập qua link email và chỉ sử dụng website chính thức của TikTok.
1. Chuỗi tấn công "đa tầng" (Multi-stage Attack Chain)
Theo phân tích từ Push Security, mặc dù cơ chế phân phối ban đầu chưa được xác định chắc chắn, nhưng các dấu hiệu cho thấy tin tặc đang sử dụng phương thức tương tự như báo cáo của Sublime Security. Điểm đặc biệt nằm ở khả năng ẩn mình trước các hệ thống quét mã độc:
Chuyển hướng qua Google Storage: Liên kết ban đầu trong email dẫn đến một URL lưu trữ trên Google Storage hợp lệ. Điều này giúp email dễ dàng vượt qua các bộ lọc danh tiếng (Reputation filters) của hệ thống bảo mật email.
Lá chắn Cloudflare Turnstile: Trước khi đến trang đích, người dùng phải vượt qua bước kiểm tra bot của Cloudflare. Đây là một thủ thuật "gậy ông đập lưng ông", dùng công cụ bảo mật để chặn các công cụ quét mã độc tự động (security crawlers) tiếp cận trang web độc hại.
Trang đích giả mạo (Impersonation): Tin tặc không chỉ giả danh TikTok for Business mà còn tạo ra các trang Google Careers "Schedule a Call". Tại đây, chúng yêu cầu người dùng điền thông tin vào biểu mẫu với lý do "xác thực email doanh nghiệp" để thu thập dữ liệu nhạy cảm.
2. Tại sao TikTok Business là mục tiêu "béo bở"?
Tài khoản doanh nghiệp (Business Accounts) không chỉ chứa dữ liệu nhạy cảm mà còn liên kết trực tiếp với các phương thức thanh toán quốc tế. Việc chiếm đoạt các tài khoản này cho phép tin tặc:
Chạy quảng cáo trái phép: Sử dụng ngân sách của doanh nghiệp để quảng bá sản phẩm độc hại hoặc lừa đảo.
Đánh cắp dữ liệu khách hàng: Thu thập thông tin từ các chiến dịch Lead Generation.
Tống tiền doanh nghiệp: Đòi tiền chuộc để trả lại quyền truy cập tài khoản.
3. Bảng đánh giá mức độ rủi ro (Rate Attribute)
Dưới đây là bảng phân tích chi tiết mức độ nguy hại của chiến dịch này đối với các doanh nghiệp đang vận hành quảng cáo trên nền tảng TikTok:
Tiêu chí đánh giá | Mức độ rủi ro | Phân tích chi tiết của chuyên gia |
Mức độ phức tạp (Complexity) | Rất Cao | Sử dụng hạ tầng Proxy ngược để đánh chặn dữ liệu thời gian thực thay vì các trang web tĩnh đơn giản. |
Khả năng bypass 2FA | Nghiêm trọng | Kỹ thuật AiTM vô hiệu hóa hoàn toàn các phương thức 2FA truyền thống như SMS OTP hay ứng dụng Authenticator. |
Khả năng phát hiện (Detection) | Thấp | Trang web giả mạo có chứng chỉ SSL hợp lệ và giao diện giống 100% trang gốc, khó nhận biết bằng mắt thường. |
Thiệt hại tài chính | Rất Cao | Tin tặc có thể ngay lập tức rút cạn ngân sách quảng cáo liên kết với thẻ tín dụng của doanh nghiệp. |
Rò rỉ dữ liệu (Data Breach) | Trung bình | Nguy cơ mất thông tin khách hàng từ các chiến dịch Lead Generation đang triển khai. |
4. Dấu hiệu nhận biết và các tên miền độc hại (IoC)
Toàn bộ các tên miền dưới đây đều được lưu trữ trên cùng một Google Storage bucket, cho thấy sự nhất quán và quy mô của chiến dịch. Quản trị viên hệ thống cần chặn ngay các domain này:
welcome.careerscrews[.]com
welcome.careerstaffer[.]com
welcome.careersworkflow[.]com
welcome.careerstransform[.]com
welcome.careersupskill[.]com
welcome.careerssuccess[.]com
welcome.careersstaffgrid[.]com
welcome.careersprogress[.]com
welcome.careersgrower[.]com
welcome.careersengage[.]com
5. Khuyến cáo trực tiếp từ TikTok
Để bảo vệ tài khoản doanh nghiệp, người dùng và bộ phận IT cần tuân thủ nghiêm ngặt các nguyên tắc sau:
Truy cập trực tiếp: Tuyệt đối không nhấp vào liên kết đăng nhập từ email. Luôn truy cập TikTok Ads Manager trực tiếp qua website chính thức: ads.tiktok.com.
Nguyên tắc "3 Không" từ TikTok: TikTok khẳng định KHÔNG BAO GIỜ yêu cầu mật khẩu, mã xác minh (OTP) hoặc thông tin nhạy cảm qua tin nhắn hoặc các trang web bên thứ ba.
Cẩn trọng với yêu cầu xác minh: Hãy cảnh giác với bất kỳ liên kết nào yêu cầu bạn đăng nhập lại hoặc "xác minh tài khoản" một cách đột ngột, ngay cả khi nó có vẻ chuyên nghiệp.
Sử dụng FIDO2/WebAuthn: Đây là biện pháp kỹ thuật hiệu quả nhất để chống lại Session Hijacking. Khóa bảo mật vật lý (như YubiKey) sẽ không cho phép xác thực nếu tên miền trang web không khớp hoàn toàn với tên miền đã đăng ký.
6. Giải pháp bảo mật bền vững cho doanh nghiệp Việt Nam
Để bảo vệ doanh nghiệp trước các cuộc tấn công lợi dụng hạ tầng đám mây (Cloud-native phishing), IPSIP đề xuất các biện pháp:
Chặn truy cập URL lạ từ Google Storage: Thiết lập quy tắc tường lửa nghiêm ngặt đối với các file lạ thực thi từ các bucket lưu trữ công cộng nếu không có nhu cầu công việc.
Xác thực không mật khẩu (Passwordless): Triển khai FIDO2 với các thiết bị như YubiKey để ngăn chặn triệt để kỹ thuật AiTM/Session Hijacking.
Giám sát Email nâng cao: Sử dụng các giải pháp như Dịch vụ bảo mật IPSIP có tích hợp AI để phân tích sâu hành vi của các link chuyển hướng đa tầng.
Rà soát lỗ hổng định kỳ: Thực hiện đánh giá Pentest cho hệ thống tài khoản doanh nghiệp để phát hiện các điểm yếu trong quản lý phiên làm việc (Session Management).
Khuyến nghị từ IPSIP: Nếu phát hiện dấu hiệu bị xâm nhập, quản trị viên cần thực hiện ngay lập tức lệnh "Revoke all active sessions" trong cài đặt bảo mật của TikTok để vô hiệu hóa tất cả các cookie mà tin tặc đang nắm giữ.
Sự kết hợp giữa kỹ thuật lừa đảo tâm lý (Social Engineering) và việc lợi dụng các dịch vụ uy tín như Google/Cloudflare cho thấy tin tặc đang ngày càng tinh vi hơn. Doanh nghiệp cần cập nhật ngay các IoC trên vào hệ thống phòng thủ và nâng cao nhận thức cho đội ngũ nhân sự vận hành quảng cáo.
-----
Nguồn tham khảo:
CyberNews: TikTok Business Phishing Attack Bypasses 2FA
BleepingComputer: TikTok for Business accounts targeted in new phishing campaign.
Bình luận