根据 SiliconAngle 的报导,威胁行为者已经利用 TikTok 连结来窃取 Microsoft 365 的账户凭证,这是一种新型的 钓鱼 攻击。
这些攻击的开始是通过发送假冒的 Office 365 警告电子邮件,诱惑收件人通过一个包含 TikTok URL 的按钮来取消收件箱邮件删除请求。根据 Cofense 钓鱼防御中心的分析,点击该链接会触发几次重定向,最终目标是一个伪装成 Microsoft 登录页面的钓鱼网站,该网站要求用户输入凭证并包含一个链接,也会重定向到该钓鱼页面。
白鲸加速器破解方法“这次活动凸显了威胁行为者的技术越来越高明,他们利用社交媒体平台来欺骗收件人。通过利用 TikTok 的受欢迎程度来潜在地避免怀疑,并假装成公司的 IT 部门发送虚假的紧急消息,攻击者同时利用了用户的信任和对数据丢失的恐惧。”研究员 Brandon Cook 和 Brooke McLain 表示。
这类钓鱼诈骗的设计愈发复杂,提醒企业用户加强对钓鱼邮件的识别能力以及加强账户的安全性,以应对潜在的数据风险。
攻击特征详细说明利用平台TikTok攻击方式假冒 Office 365 警告电子邮件最终目标窃取 Microsoft 365 的账户凭证
