Los influencers de TikTok son el objetivo de una nueva y peligrosa amenaza de phishing

TikTok
(Crédito de imagen: Future)

Investigadores de ciberseguridad han descubierto una nueva campaña de phishing dirigida a creadores de contenido de alto nivel en TikTok para hacerse con el control de su cuenta con fines delictivos.

Descubierta por Abnormal Security, la estafa incluye dos tácticas. En una, los estafadores se hacen pasar por empleados de TikTok y amenazan al destinatario con la eliminación inminente de su cuenta debido a una supuesta violación de las condiciones de la plataforma.

En la otra estafa, los atacantes atraen a los usuarios de TikTok con la oferta de una insignia de Verificado, que trae consigo más credibilidad, popularidad y visibilidad.

¿Robo o extorsión?

Según Abnormal, independientemente de la estrategia empleada, los estafadores invitan a los destinatarios a hacer clic en un enlace para proceder. 

El enlace les redirige a una sala de chat de WhatsApp, donde el estafador, haciéndose pasar por un empleado de TikTok, pide a los creadores de contenido los detalles para iniciar sesión en su cuenta, incluida la contraseña de un solo uso (OTP) para eludir la autenticación multifactorial (MFA) de la plataforma.

En su análisis de la estafa, Abnormal señala que ha detectado dos picos de actividad al supervisar la distribución de los emails de esta campaña, uno el 2 de octubre del 2021 y otro el 1 de noviembre del mismo año.

Dado que los investigadores pudieron conseguir que el estafador se hiciera con su cuenta, no tienen claro el objetivo final de los estafadores. Basándose en campañas de phishing similares en otras plataformas de redes sociales, los investigadores creen que los atacantes podrían quizás hacerse con la cuenta para obligar a los propietarios a pagar un rescate. 

"Las plataformas de redes sociales declaran explícitamente en sus condiciones de servicio que no se responsabilizan de ninguna pérdida de datos y aconsejan a los usuarios que almacenen todo el material de la cuenta de forma externa. Por lo tanto, aunque se pague el rescate, es posible que no se pueda recuperar el acceso a las cuentas de las redes sociales, lo que supondría que quienes dependen de ellas para sus ingresos perdieran todo su sustento de un plumazo", advierte la analista de inteligencia de amenazas de Abnormals, Rachelle Chouinard.

Mayank Sharma

With almost two decades of writing and reporting on Linux, Mayank Sharma would like everyone to think he’s TechRadar Pro’s expert on the topic. Of course, he’s just as interested in other computing topics, particularly cybersecurity, cloud, containers, and coding.