【吸睛摘要】
最近安全圈炸鍋了,一種專門盯著TikTok企業號的「中間人」釣魚手段被曝光。黑客能在你眼皮子底下偷走登錄令牌,連手機驗證碼都攔不住。如果你在做海外營銷,這篇文章一定要看完,關鍵時刻能保命避坑。
咱說實話,現在做自媒體、搞海外營銷的朋友,最怕的不是沒流量,而是賬號突然「沒了」。
就在前兩天,3月25號,一家叫Push Security的瀏覽器安全公司披露了一個挺嚇人的事兒。他們發現有一夥黑客,專門盯著TikTok for Business(就是咱常說的TikTok企業廣告賬戶)下死手。這幫人用的手段叫「中間人攻擊」(AitM),聽著挺高大上,其實說白了,就是黑客在你的電腦和官方伺服器之間,偷偷架了一面「雙面鏡」。
你以為你在跟官方對話,其實你的一舉一動,全在黑客的眼皮子底下。
9秒鐘的「工業化」收割
這事兒最讓研究人員吃驚的,是這幫黑客的效率。
大家平時註冊個域名,得想名字、查重、付錢,怎麼也得幾分鐘吧?但這幫黑客在3月24號那天,短短9秒鐘之內,就一口氣註冊了一大堆釣魚域名。這哪是人工操作啊,這分明是開了全自動化的「收割機」。
這些域名都掛在Cloudflare後面躲著,用的註冊商叫Nice International Group。安全專家對這家註冊商的評價挺有意思,說它「常年被批量釣魚域名轟炸」。這幫黑客給域名起名也很有規律,基本都是圍繞著「welcome.careers」這種子域名變體來搞。
為啥要用「careers」(職業/招聘)這個詞?咱琢磨琢磨,做企業的、做營銷的,最關心的不就是招人、合作、找機會嗎?黑客這就是精準拿捏了咱的心理。
環環相扣的「奪命連環套」
這套釣魚流程走下來,簡直比電影還精彩,咱一層層拆開看。
第一步,你會收到一個鏈接。這個鏈接看著特別正經,它是通過Google存儲的URL進行路由的。大家都信任谷歌,一看是谷歌的鏈接,警惕性立馬降了一半。
第二步,你點開鏈接,頁面會跳出一個Cloudflare Turnstile的檢查,就是那種讓你點一下「我不是機器人」的小方框。咱平時見多了這種檢查,覺得挺安全。可諷刺的是,黑客放這個東西,不是為了防黑客,而是為了防那些「安全機器人」。那些專門抓取惡意網頁的自動化工具,被這道關卡一攔,就沒法分析這個頁面了。
第三步,過了關卡,你會看到一個做得跟真的一模一樣的TikTok企業頁面,或者是偽造的谷歌招聘頁面,讓你「安排通話」。這時候,你可能覺得是個大客戶上門了,興沖沖地填表單。
最後一步,也是最致命的一步。你會進入一個登錄頁面。這個頁面其實是一個「反向代理」工具包。你在這裡輸入賬號、密碼,甚至你手機剛收到的多身份驗證(MFA)代碼,都會實時傳給黑客。
黑客拿到這些東西,不是為了改你密碼,而是為了偷走你的「會話Cookie」(Session Cookie)。
驗證碼為啥不管用了?
很多朋友會說:「我有手機驗證碼啊,黑客登錄不是得要驗證碼嗎?」
這就是這種「中間人」攻擊最陰毒的地方。它不是在偷你的密碼,它是在「搬運」你的登錄狀態。
咱打個比方。你進一家高級俱樂部,門口保安查了你的會員卡(賬號密碼)和身份證(驗證碼),然後給了你一個手環(Cookie)。只要戴著這個手環,你在俱樂部里怎麼玩都沒人查你。
現在的黑客,就是趁著你在門口換手環的時候,把你的手環給復刻了一份。他拿著這個復刻的手環,直接從後門溜進去,保安根本不攔他,因為他手裡有「通行證」。這就是為什麼即便你開了雙重驗證,賬號還是會被瞬間洗劫的原因。
而且,Push Security還提到了一個細節:很多企業用戶為了省事,習慣用谷歌賬號「一鍵登錄」TikTok。這下可好,黑客只要偷到一個登錄許可權,你的谷歌全家桶和TikTok廣告賬戶就全交待了。
為什麼黑客盯上了TikTok?
有人可能會納悶,黑客去偷銀行卡、偷社交賬號我能理解,費這麼大勁偷個TikTok企業號幹啥?
咱得看這裡面的「含金量」。
首先是「信任背書」。一個經過認證的企業賬號,發出來的鏈接,系統審核會松很多。黑客拿了你的號,去發那些帶病毒的AI教程視頻,或者傳播Vidar、StealC這種專門偷信息的木馬程序。普通用戶一看是企業號發的,點進去的概率極大。
其次是「真金白銀」。企業號里通常都綁著信用卡,有廣告預算。黑客進去之後,可以用你的錢,給他的惡意鏈接投流。你辛辛苦苦攢的廣告費,可能一夜之間就變成了黑客傳播病毒的「助燃劑」。
這種事兒其實不是第一次發生了。早在2025年10月,就有安全公司標記過類似的行動。那時候黑客是偽裝成推廣消息,配合類似的谷歌招聘頁面。現在看來,這幫人是「升級換代」回來了,規模更龐大,手段更隱蔽。
咱該怎麼防?
聽完這些,大傢伙兒可能覺得後背發涼。其實,只要咱不貪小便宜、不亂點鏈接,大部分坑都能避開。
這裡我給大家總結幾個實用的「保命」招數:
- 看清域名,別信「路由」: 哪怕鏈接裡帶個google.com,只要最後跳出來的登錄頁面域名不對勁(比如那些奇奇怪怪的子域名),打死也別輸密碼。
- 警惕「招聘」和「合作」: 越是看著像大掉餡餅的好事,越要留個心眼。對方讓你填表、登錄,先去官網核實一下。
- 硬體密鑰是「終極殺招」: 如果你的賬號真的很值錢,建議別用手機簡訊驗證碼了,去買個硬體安全密鑰(比如YubiKey)。這種物理設備,黑客隔著網線是偷不走的。
- 定期清理登錄狀態: 養成個習慣,定期在後台「退出所有已登錄設備」。這就相當於把所有的「手環」都作廢了,黑客手裡那個復刻的也就沒用了。
現在的黑客,已經不再是那種躲在地下室敲代碼的孤膽遊俠了,他們更像是流水線上的工人。9秒鐘註冊域名,這種工業化的攻擊速度,說明網路犯罪已經形成了一套極其成熟的產業鏈。
咱們不能光低頭拉車,還得抬頭看路。技術在進步,騙術也在「迭代」。
最後想問問大家,你們在運營賬號的過程中,有沒有遇到過這種奇奇怪怪的私信或者鏈接?或者你對這種「連驗證碼都能繞過」的技術怎麼看?歡迎在評論區聊聊,大家一起避坑,守好咱的「錢袋子」。
