作者：布兰登·库克 (Brandon Cook) 和布鲁克·麦克莱恩 (Brooke McLain)，Cofense 网络钓鱼防御中心

在瞬息万变的社交媒体世界中，每天都会出现新的威胁，而且它们并不都来自您期望的地方。 Cofense 网络钓鱼防御中心 (PDC) 情报团队最近观察到一次网络钓鱼活动，该活动巧妙地使用 TikTok URL 将用户重定向到恶意网站。网络钓鱼企业邮箱试图通过发送欺骗性通知来获取 Microsoft Office 365 凭据，该通知错误地声称所有用户的邮件都将被删除。这里令人惊讶的元素是使用 TikTok 将受害者重定向到凭证盗窃陷阱。

这种策略并不是全新的，因为我们已经看到网络钓鱼尝试利用流行的社交媒体平台（例如 YouTube 或 Facebook）来分发恶意链接。然而，本案中 TikTok 的使用却很引人注目。通常，这些类型的 URL 出现在 TikTok 个人资料的简介中，其中包含指向外部网站的链接。 TikTok URL 将重定向到个人资料持有者选择的网站。通过使用 TikTok URL，攻击者规避了一些用户的怀疑，并利用了平台中许多地方的信任。这种利用合法网站重定向到恶意网站的方法凸显了网络钓鱼活动的不断演变的性质以及在线持续保持警惕的必要性。

图 1：企业邮箱正文

在这种情况下，威胁行为者将企业邮箱视为来自用户公司 IT 部门的 Office 365 警报，指示他们按照 URL 取消从收件箱中删除企业邮箱的请求，这是一种用于灌输恐惧和恐吓的常见策略如果不采取任何操作，则用户。威胁行为者还尝试使企业邮箱看起来好像来自用户的 IT 部门，但发件人的企业邮箱地址来自不相关的域。提示用户遵循的按钮的颜色从企业邮箱的其余部分中脱颖而出，但除此之外，该按钮非常简单。它还包含使用 TikTok 作为重定向初始域的链接。

图 2：网络钓鱼页面

一旦用户点击包含 TikTok URL 的链接，他们就会经历几次重定向，然后到达最终的网络钓鱼页面，该页面看起来有点像带有该企业徽标的合法 Microsoft 登录页面。它甚至可以自动填写用户的企业邮箱地址。由于这些技巧，用户更有可能相信他们已被发送到真正的转播网站。这是不良行为者通常使用的策略，因为 Microsoft 是最常见的企业邮箱提供商之一。图2中的URL绝对与微软或用户的公司无关。网络钓鱼页面还包括一​​个部分，告诉用户在登录时遇到问题可以点击链接或拨打电话号码寻求帮助。尽管电话号码指向该公司，但 URL 会重定向到网络钓鱼页面，这是诈骗者用来使他们的网络钓鱼页面看起来更真实并建立用户信任的策略。

该活动凸显了利用社交媒体平台欺骗收件人的不良行为者的日益狡猾。攻击者利用 TikTok 的受欢迎程度来规避怀疑，并通过虚假的紧急消息冒充公司的 IT 部门，从而利用了用户的信任和对数据丢失的恐惧。注意企业邮箱的来源并对未知或不相关的 URL 保持警惕对于防范此类不断演变的威胁至关重要。请联系 Cofense PDC 团队了解更多信息。

Cofense 引用的所有第三方商标，无论是徽标、名称或产品形式还是其他形式，仍然是其各自所有者的财产，并且使用此类商标绝不表明 Cofense 与商标所有者之间存在关系。本博客中有关绕过端点保护的所有观察均基于基于一组特定系统配置的时间点观察。后续更新或不同的配置可能会有效阻止这些或类似的威胁。过去的表现并不能保证未来的结果。

Cofense® 和 PhishMe® 名称和徽标，以及本博客上显示的任何其他 Cofense 产品或服务名称或徽标都是 Cofense Inc. 的注册商标或商标。