تصيد AitM يستهدف حسابات تيك توك للأعمال عبر صفحات مزيفة تتجاوز فحص Cloudflare Turnstile، ما يهدد الحملات الإعلانية وسمعة العلامات.
ما الذي نعرفه عن حملة استهداف تيك توك للأعمال؟
كشف باحثون عن حملة تستولي على حسابات TikTok for Business باستخدام صفحات تشبه الواجهة الرسمية وتستهدف فرق التسويق والإعلانات في الشركات الصغيرة والكبيرة.
تاريخياً تم استغلال تيك توك لنشر روابط خبيثة وتعليمات هندسة اجتماعية تتخفى داخل فيديوهات مولدة بالذكاء الاصطناعي.
وبحسب متابعة تيكبامين، التركيز ينصب على الحسابات ذات الميزانيات الأعلى لأنها تمنح المهاجمين قدرة أكبر على نشر الإعلانات الخبيثة بسرعة وتحقيق انتشار واسع.
لماذا الحسابات التجارية هدف جذاب؟
اختراق حساب واحد يكفي لتحويله إلى منصة نشر لروابط ضارة أو تعليمات خداعية تنتشر على نطاق واسع خلال ساعات.
- استغلال ميزانية الإعلانات لترويج حملات مضللة
- توزيع برمجيات سرقة المعلومات عبر روابط مختصرة
- جمع بيانات الوصول إلى مدير الإعلانات والحملات
- نشر محتوى يضر بسمعة العلامة التجارية
كيف يعمل تصيد AitM ضد حسابات تيك توك للأعمال؟
يعتمد الهجوم على هجمات AitM أو «الخصم في المنتصف»، حيث تتوسط الصفحة المزيفة بين الضحية والخدمة الحقيقية لالتقاط بيانات الدخول والرموز المؤقتة.
الروابط تقود إما لصفحة مقلدة لتيك توك للأعمال أو لواجهة تبدو كقسم وظائف مع خيار جدولة مكالمة لزيادة المصداقية.
بعد الوصول للصفحة، يتم تنفيذ اختبار Cloudflare Turnstile لإبعاد الروبوتات وأدوات التحليل قبل عرض نموذج تسجيل الدخول الخبيث.
- رسالة تصيّد عبر البريد أو الرسائل تحمل رابطاً مغرياً
- صفحة تشبه TikTok for Business أو صفحة وظائف مزيفة
- فحص Turnstile يمنع أدوات الحماية من رؤية المحتوى
- التقاط كلمة المرور ورمز المصادقة في الوقت الفعلي
كما أن نسخة سابقة من الحملة اعتمدت رسائل تواصل مزعومة في أكتوبر 2025، ما يوضح تطور أساليب الخداع مع الوقت.
ما المؤشرات التي تساعد على كشف الصفحات المزيفة؟
تم رصد استضافة الصفحات على نطاقات متعددة تبدو رسمية لكنها تنحرف عن الرابط الأصلي بحروف إضافية أو امتدادات غير مألوفة.
غالباً ما تفتقر هذه الصفحات إلى سياسات الخصوصية، وتطلب إدخال رموز تحقق لحظية خارج القنوات الرسمية.
- روابط تبدأ باسم قريب من TikTok لكن مع أخطاء إملائية
- نماذج تسجيل دخول بلا شعار رسمي أو دعم فني واضح
- تحويلات متعددة قبل الوصول لنموذج الدخول
- طلب مشاركة رمز التحقق في نفس الشاشة
يفيد تفعيل تنبيهات تسجيل الدخول ومراجعة سجلات الوصول، إضافة إلى الاعتماد على مدير كلمات المرور لكشف النطاقات المقلدة.
ماذا عن حملة ملفات SVG في فنزويلا؟
في حملة موازية، استُخدمت ملفات SVG بأسماء إسبانية توحي بأنها فواتير أو إيصالات أو ميزانيات لإقناع المستخدمين بفتحها.
عند فتح الملف، يتصل بعنوان URL يعيد التوجيه عبر خدمة اختصار لاستغلال ثغرات تسمح بتحويل المستخدم لأي موقع.
كيف تتم سلسلة العدوى؟
- فتح ملف SVG مرفق في رسالة تصيّد محلية
- الاتصال برابط مختصر يعيد التوجيه إلى خادم خبيث
- تنزيل حمولة مكتوبة بلغة Go على الجهاز
- تشابه في السلوك مع عينات مرتبطة بعصابة BianLian
تؤكد هذه الحملة أن أنواع الملفات «الآمنة» قد تتحول إلى قناة هجوم فعالة إذا تم استغلالها داخل سلسلة تصيّد مدروسة.
في النهاية، يوضح تصيد AitM أن حماية حسابات تيك توك للأعمال تبدأ بمراجعة الروابط، وتدريب الفرق على اكتشاف الصفحات المقلدة، وتفعيل التحقق متعدد العوامل باستمرار.
