Des chercheurs en cybersécurité viennent d’identifier une nouvelle campagne de phishing qui cible des créateurs de contenus très en vue sur TikTok, afin d'arracher le contrôle de leur compte à des fins néfastes.
Découverte par Abnormal Security, l'arnaque implique deux stratagèmes. Dans le premier, les escrocs se font passer pour des employés de TikTok et menacent le destinataire d'une suppression imminente de son compte en raison d'une prétendue violation des conditions d'utilisation de la plateforme.
Dans l'autre processus, les hackers appâtent les utilisateurs de TikTok en leur proposant un badge "Verifié", qui apporte une crédibilité supplémentaire et une exposition accrue.
- Comment supprimer votre compte TikTok définitivement ?
- Quels sont les meilleurs smartphones pour enregistrer une vidéo ?
- Vie privée : comment rester anonyme sur Internet et les réseaux sociaux ?
Prise de contrôle ou extorsion ?
Selon Abnormal Security, quel que soit l'appât, les escrocs invitent les destinataires à cliquer sur un lien pour poursuivre la conversation.
Le lien les redirige vers un salon de discussion WhatsApp, où le cybercriminel, se prétendant salarié de TikTok, demande aux influenceurs différents détails liés à leurs identifiants - dont le mot de passe à usage unique (OTP) qui contourne l'authentification multifactorielle (MFA) de la plateforme.
Abnormal Security a repéré deux pics d'activité en surveillant la distribution des e-mails de cette campagne, l'un le 2 octobre 2021 et l'autre le 1er novembre 2021.
Les chercheurs ont vu leur compte TikTok tomber entre les mains des cybercriminels, sans réussir pour autant à déterminer précisément l'objectif final de ces derniers. Sur la base de campagnes de phishing similaires menées sur d'autres plateformes de réseaux sociaux, les chercheurs pensent que les pirates informatiques prennent probablement le contrôle d’un compte influenceur pour forcer ses propriétaires à payer une rançon.
"Les plateformes sociales indiquent explicitement dans leurs conditions générales d'utilisation qu'elles ne sont pas responsables de la perte de données et conseillent aux utilisateurs de stocker tous les éléments de leur compte à l'extérieur... Ainsi, même si la rançon est payée, il se peut qu'il soit impossible de retrouver l'accès à vos comptes - ce qui fait que ceux qui en dépendent financièrement perdent l’intégralité de leur gagne-pain instantanément", prévient Rachelle Chouinard, spécialiste des menaces en ligne chez Abnormal Security.
