连双重验证都失效了？揭秘TikTok企业号被“洗劫”真相

【吸睛摘要】
最近安全圈炸锅了，一种专门盯着TikTok企业号的“中间人”钓鱼手段被曝光。黑客能在你眼皮子底下偷走登录令牌，连手机验证码都拦不住。如果你在做海外营销，这篇文章一定要看完，关键时刻能保命避坑。

咱说实话，现在做自媒体、搞海外营销的朋友，最怕的不是没流量，而是账号突然“没了”。

就在前两天，3月25号，一家叫Push Security的浏览器安全公司披露了一个挺吓人的事儿。他们发现有一伙黑客，专门盯着TikTok for Business（就是咱常说的TikTok企业广告账户）下死手。这帮人用的手段叫“中间人攻击”（AitM），听着挺高大上，其实说白了，就是黑客在你的电脑和官方服务器之间，偷偷架了一面“双面镜”。

你以为你在跟官方对话，其实你的一举一动，全在黑客的眼皮子底下。

9秒钟的“工业化”收割

这事儿最让研究人员吃惊的，是这帮黑客的效率。

大家平时注册个域名，得想名字、查重、付钱，怎么也得几分钟吧？但这帮黑客在3月24号那天，短短9秒钟之内，就一口气注册了一大堆钓鱼域名。这哪是人工操作啊，这分明是开了全自动化的“收割机”。

这些域名都挂在Cloudflare后面躲着，用的注册商叫Nice International Group。安全专家对这家注册商的评价挺有意思，说它“常年被批量钓鱼域名轰炸”。这帮黑客给域名起名也很有规律，基本都是围绕着“welcome.careers”这种子域名变体来搞。

为啥要用“careers”（职业/招聘）这个词？咱琢磨琢磨，做企业的、做营销的，最关心的不就是招人、合作、找机会吗？黑客这就是精准拿捏了咱的心理。

环环相扣的“夺命连环套”

这套钓鱼流程走下来，简直比电影还精彩，咱一层层拆开看。

第一步，你会收到一个链接。这个链接看着特别正经，它是通过Google存储的URL进行路由的。大家都信任谷歌，一看是谷歌的链接，警惕性立马降了一半。

第二步，你点开链接，页面会跳出一个Cloudflare Turnstile的检查，就是那种让你点一下“我不是机器人”的小方框。咱平时见多了这种检查，觉得挺安全。可讽刺的是，黑客放这个东西，不是为了防黑客，而是为了防那些“安全机器人”。那些专门抓取恶意网页的自动化工具，被这道关卡一拦，就没法分析这个页面了。

第三步，过了关卡，你会看到一个做得跟真的一模一样的TikTok企业页面，或者是伪造的谷歌招聘页面，让你“安排通话”。这时候，你可能觉得是个大客户上门了，兴冲冲地填表单。

最后一步，也是最致命的一步。你会进入一个登录页面。这个页面其实是一个“反向代理”工具包。你在这里输入账号、密码，甚至你手机刚收到的多身份验证（MFA）代码，都会实时传给黑客。

黑客拿到这些东西，不是为了改你密码，而是为了偷走你的“会话Cookie”（Session Cookie）。

验证码为啥不管用了？

很多朋友会说：“我有手机验证码啊，黑客登录不是得要验证码吗？”

这就是这种“中间人”攻击最阴毒的地方。它不是在偷你的密码，它是在“搬运”你的登录状态。

咱打个比方。你进一家高级俱乐部，门口保安查了你的会员卡（账号密码）和身份证（验证码），然后给了你一个手环（Cookie）。只要戴着这个手环，你在俱乐部里怎么玩都没人查你。

现在的黑客，就是趁着你在门口换手环的时候，把你的手环给复刻了一份。他拿着这个复刻的手环，直接从后门溜进去，保安根本不拦他，因为他手里有“通行证”。这就是为什么即便你开了双重验证，账号还是会被瞬间洗劫的原因。

而且，Push Security还提到了一个细节：很多企业用户为了省事，习惯用谷歌账号“一键登录”TikTok。这下可好，黑客只要偷到一个登录权限，你的谷歌全家桶和TikTok广告账户就全交待了。

为什么黑客盯上了TikTok？

有人可能会纳闷，黑客去偷银行卡、偷社交账号我能理解，费这么大劲偷个TikTok企业号干啥？

咱得看这里面的“含金量”。

首先是“信任背书”。一个经过认证的企业账号，发出来的链接，系统审核会松很多。黑客拿了你的号，去发那些带病毒的AI教程视频，或者传播Vidar、StealC这种专门偷信息的木马程序。普通用户一看是企业号发的，点进去的概率极大。

其次是“真金白银”。企业号里通常都绑着信用卡，有广告预算。黑客进去之后，可以用你的钱，给他的恶意链接投流。你辛辛苦苦攒的广告费，可能一夜之间就变成了黑客传播病毒的“助燃剂”。

这种事儿其实不是第一次发生了。早在2025年10月，就有安全公司标记过类似的行动。那时候黑客是伪装成推广消息，配合类似的谷歌招聘页面。现在看来，这帮人是“升级换代”回来了，规模更庞大，手段更隐蔽。

咱该怎么防？

听完这些，大家伙儿可能觉得后背发凉。其实，只要咱不贪小便宜、不乱点链接，大部分坑都能避开。

这里我给大家总结几个实用的“保命”招数：

1. 看清域名，别信“路由”： 哪怕链接里带个google.com，只要最后跳出来的登录页面域名不对劲（比如那些奇奇怪怪的子域名），打死也别输密码。
2. 警惕“招聘”和“合作”： 越是看着像大掉馅饼的好事，越要留个心眼。对方让你填表、登录，先去官网核实一下。
3. 硬件密钥是“终极杀招”： 如果你的账号真的很值钱，建议别用手机短信验证码了，去买个硬件安全密钥（比如YubiKey）。这种物理设备，黑客隔着网线是偷不走的。
4. 定期清理登录状态： 养成个习惯，定期在后台“退出所有已登录设备”。这就相当于把所有的“手环”都作废了，黑客手里那个复刻的也就没用了。

现在的黑客，已经不再是那种躲在地下室敲代码的孤胆游侠了，他们更像是流水线上的工人。9秒钟注册域名，这种工业化的攻击速度，说明网络犯罪已经形成了一套极其成熟的产业链。

咱们不能光低头拉车，还得抬头看路。技术在进步，骗术也在“迭代”。

最后想问问大家，你们在运营账号的过程中，有没有遇到过这种奇奇怪怪的私信或者链接？或者你对这种“连验证码都能绕过”的技术怎么看？欢迎在评论区聊聊，大家一起避坑，守好咱的“钱袋子”。