Los investigadores de ciberseguridad se han encontrado con una nueva campaña de phishing dirigida a los creadores de contenido más importantes en TikTok. Esta “trampa” pretende robarles el control de su cuenta con fines ilícitos.
La estafa, descubierta por Abnormal Security, consiste en dos tácticas. En una, los estafadores se hacen pasar por empleados de TikTok y amenazan al destinatario con la eliminación inmediata de su cuenta. La razón que dan es una supuesta violación de las normas de la plataforma.
En la otra modalidad de estafa, los atacantes engañan a los usuarios de TikTok con la oferta de una insignia de verificado. Cabe destacar que esto es muy tentador, ya que trae consigo una credibilidad adicional y una mayor exposición.
¿Apropiación o extorsión a TikTokers?
De acuerdo con Abnormal, independientemente del engaño, los estafadores invitan a los TikTokers (creadores de contenido) a dar clic en un enlace para continuar con el proceso.
El enlace los redirige a una ventana de chat de WhatsApp, donde el estafador, se hace pasar por un empleado de TikTok. Después pide a los TikTokers los datos para acceder a su cuenta, incluida la contraseña de un sólo uso (OTP). De esta forma se saltan la autenticación multifactor (MFA) de la plataforma.
En su informe sobre la estafa, Abnormal señala que ha detectado dos picos de actividad al monitorizar la distribución de los correos de esta campaña. Uno el 2 de octubre de 2021 y otro el 1 de noviembre de 2021.
Puesto que los investigadores pudieron conseguir que el estafador se apoderara de su cuenta, no tienen claro el objetivo final de los responsables. Tomando como base campañas de phishing similares, en otras redes sociales, los expertos creen que los atacantes podrían tomar el control de la cuenta para obligar a los TikTokers a pagar un “rescate”. Es decir, dar una cantidad de dinero para que les regresen su cuenta.
“Las plataformas de redes sociales declaran explícitamente en sus condiciones de uso que no se responsabilizan de ninguna pérdida de datos y aconsejan a los usuarios que almacenen todo el material de la cuenta de forma externa. Por tanto, aunque se pague el rescate, es posible que no se pueda recuperar el acceso a las cuentas de las redes sociales, lo que supondrá que quienes dependen de ellas para sus ingresos pierdan todo su sustento de un plumazo”.
Rachelle Chouinard, analista de inteligencia de amenazas
