黑客通過網絡釣魚電子郵件瞄準社交媒體影響者

與 Abnormal Security 合作的研究人員發現了最近一次針對性極強的網絡釣魚活動。運行該活動的黑客的目標是社交媒體影響者，更具體地說是擁有大量粉絲的 TikTok 用戶。

該活動的主旨是一個未遂的騙局，攻擊者會在其中發送網絡釣魚電子郵件。這些電子郵件看起來像是來自 TikTok 本身，並要求受害者驗證他們的登錄憑據。

這次攻擊的目標不是地理上的，而是試圖在全球範圍內網絡釣魚用戶的有影響力的 TikTok 帳戶。研究人員在 2021 年 10 月和 11 月的頭幾天跟踪了源自該特定活動的惡意活動的高峰。目標帳戶不僅是個人，還包括社交媒體製作工作室和管理公司等商業實體。

黑客使用的策略是常見的 - 嚇唬用戶採取會危及他們安全的行為並用虛假獎勵引誘他們。網絡釣魚活動中使用的其中一封電子郵件試圖說服帳戶持有人他們的帳戶以某種方式違反了 TikTok 的版權準則，他們需要回复虛假警告，並在此過程中提供他們的登錄詳細信息。

另一種類型的電子郵件宣傳了帳戶持有人有資格獲得的"經過驗證的徽章"。根據網絡釣魚誘餌，只有在回復電子郵件後才能獲得虛假徽章，以便"正確"驗證帳戶。

研究人員利用正在進行的網絡釣魚活動，假裝是受害者，並回復了電子郵件，結果卻收到了一個指向虛假頁面的縮短 URL 鏈接，該頁面會抓取真實帳戶持有人的憑據並將其傳送給黑客。

可悲的是，該活動相對成功，並且有許多帳戶要么被威脅參與者成功接管，要么被刪除。

瞄準成功的社交媒體人物並不是什麼新鮮事。其中一些賬戶屬於賺很多錢的人和實體，他們的賬戶很有價值，這已經不是什麼秘密了。