Cảnh báo chiến dịch lừa đảo mới nhắm vào tài khoản TikTok Business dù đã bật xác thực đa yếu tố
Cảnh báo lừa đảo TikTok Business dù đã bật xác thực đa yếu tố

Cảnh báo chiến dịch lừa đảo mới nhắm vào tài khoản TikTok Business dù đã bật xác thực đa yếu tố

Công an tỉnh Bắc Ninh vừa đưa ra cảnh báo khẩn cấp vào ngày 31/3 về một chiến dịch lừa đảo mới, nhắm trực tiếp vào người dùng TikTok Business. Điều đáng chú ý là thủ đoạn này có thể chiếm đoạt tài khoản ngay cả khi người dùng đã bật xác thực đa yếu tố (2FA), một biện pháp bảo mật thường được cho là an toàn. Các chuyên gia an ninh mạng đã phát hiện chiến dịch phishing này, nhấn mạnh rằng nó đặc biệt nguy hiểm vì nhắm vào các tài khoản có giá trị cao, thường được doanh nghiệp sử dụng để triển khai chiến dịch quảng cáo, quản lý nội dung và tiếp cận khách hàng.

Kịch bản tấn công tinh vi và nguy hiểm

Theo các chuyên gia, kịch bản tấn công bắt đầu bằng việc dụ nạn nhân truy cập vào các đường link giả mạo, thường được gửi qua email hoặc tin nhắn không rõ nguồn gốc. Khi người dùng truy cập đường link này, họ sẽ được dẫn đến các trang web được thiết kế tinh vi, giả mạo giao diện giống với trang TikTok for Business hoặc Google Careers. Tại đây, nạn nhân được yêu cầu nhập thông tin cơ bản, với lý do “xác minh email doanh nghiệp”.

Sau bước này, hệ thống tiếp tục chuyển sang trang đăng nhập giả khác. Thực chất, đây là một kỹ thuật tấn công nâng cao được gọi là reverse proxy phishing, đóng vai trò trung gian giữa người dùng và dịch vụ thật của TikTok. Kỹ thuật này cho phép kẻ tấn công thu thập thông tin đăng nhập tài khoản người dùng, bao gồm tên tài khoản, mật khẩu và mã xác thực đa yếu tố (2FA) theo thời gian thực, từ đó chiếm quyền kiểm soát tài khoản một cách dễ dàng.

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

Rủi ro lan rộng và thiệt hại nghiêm trọng

Việc bị chiếm quyền kiểm soát tài khoản TikTok Business không chỉ gây thiệt hại tài chính trực tiếp, mà còn ảnh hưởng nghiêm trọng đến uy tín thương hiệu của doanh nghiệp. Ngoài ra, một số doanh nghiệp sử dụng đăng nhập một lần (SSO) qua Google cho TikTok, khiến rủi ro lan rộng hơn. Chỉ cần một lần lộ thông tin tài khoản dùng chung, các hệ thống thông tin khác có thể bị xâm nhập trái phép, dẫn đến hậu quả khôn lường.

Khuyến cáo phòng tránh từ chuyên gia

Để phòng tránh thủ đoạn trên, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao đã đưa ra các khuyến cáo quan trọng cho người dùng và doanh nghiệp khi sử dụng ứng dụng TikTok:

  • Không truy cập các đường link lạ, đặc biệt từ email hoặc tin nhắn không rõ nguồn gốc.
  • Kiểm tra kỹ tên miền trước khi đăng nhập tài khoản để đảm bảo đó là trang web chính thức.
  • Không nhập thông tin cá nhân, tài khoản đăng nhập vào các trang web đáng ngờ.
  • Sử dụng các phương thức xác thực an toàn hơn như passkey để tăng cường bảo mật.
  • Theo dõi và phát hiện sớm các hoạt động bất thường trên tài khoản để kịp thời ứng phó.

Theo chuyên gia Trang Anh, việc nâng cao nhận thức và thực hiện các biện pháp phòng ngừa là chìa khóa để bảo vệ tài khoản khỏi các chiến dịch lừa đảo tinh vi như thế này.

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình