Sicherheitsforscher warnen vor einer hochprofessionellen Phishing-Kampagne gegen TikTok-Business-Accounts. Die Angreifer umgehen herkömmliche Sicherheitsbarrieren mit einer raffinieren Taktik und stehlen so Zugriff auf Werbebudgets und Unternehmensdaten.
Die aktuelle Phishing-Welle zeigt, wie schnell herkömmliche Schutzmaßnahmen an ihre Grenzen stoßen. Dieser Experten-Guide unterstützt Sie in 4 Schritten bei der erfolgreichen Hacker-Abwehr und zeigt, wie Sie Ihr Unternehmen effektiv vor Phishing schützen. Anti-Phishing-Paket kostenlos herunterladen
Bot-Checks als Tarnkappe für Schadseiten
Die aktuelle Welle setzt auf zwei clevere Tricks: Zunächst lenken die Täter ihre Opfer über legitime Google-Cloud-URLs. Diese wirken für E-Mail-Scanner vertrauenswürdig. Der eigentliche Clou folgt beim Klick.
Dort schaltet sich ein Cloudflare Turnstile Check vor die Phishing-Seite. Dieser Bot-Check hat hier einen kriminellen Zweck: Er hält automatische Sicherheitsscanner fern. Nur menschliche Besucher gelangen zur betrügerischen Login-Maske. Für Schutzsoftware bleibt die Bedrohung damit unsichtbar.
Die Infrastruktur dafür wurde blitzschnell aufgebaut. Elf Domains – alle nach Schema welcome.careers[...].com – registrierten die Angreifer innerhalb von nur neun Sekunden. Gehostet werden sie bei einem Registrar aus Hongkong, der bereits mit Phishing-Aktivitäten in Verbindung gebracht wurde.
Wenn die Zwei-Faktor-Authentifizierung versagt
Besonders gefährlich macht die Kampagne der Einsatz sogenannter Adversary-in-the-Middle (AiTM)-Kits. Diese fungieren als Echtzeit-Proxys zwischen Opfer und echter TikTok-Seite.
Das Verfahren ist tückisch: Geben Nutzer ihre Login-Daten und sogar den Bestätigungscode der Zwei-Faktor-Authentifizierung (2FA) ein, leitet das Kit sie sofort an TikTok weiter. Im Gegenzug erbeuten die Täter das gültige Sitzungs-Cookie. Mit diesem Token loggen sie sich später selbst ein – die 2FA ist damit wirkungslos umgangen.
Besonders riskant wird es für Firmen, die Google Single-Sign-On (SSO) nutzen. Einige Phishing-Seiten imitieren Google-Karriereseiten. Kompromittieren Angreifer hier die Zugangsdaten, erlangen sie potenziell Zugriff auf das gesamte Google-Ökosystem des Unternehmens.
Warum Business-Accounts im Visier stehen
Die gezielte Jagd auf TikTok-Business-Konten ist kein Zufall. Sie bergen zwei lukrative Ziele: direkten Zugriff auf Werbebudgets und wertvolle Unternehmensdaten.
Erbeutete Accounts missbrauchen die Täter für betrügerische Werbekampagnen. Da diese von verifizierten Business-Konten stammen, wirken sie für die Plattform legitim. Zusätzlich nutzen sie die Zugänge, um im Namen der Marke weitere Phishing-Nachrichten an Partner und Kunden zu versenden.
Der Schaden ist doppelt: Neben den finanziellen Verlusten durch missbräuchliche Werbeausgaben leidet vor allem die Reputation der betroffenen Firma. Der Angriff ähnelt Kampagnen, die im vergangenen Jahr den Google Ad Manager ins Visier nahmen – ein Trend zur Professionalisierung von Angriffen auf Marketing-Plattformen.
Hacker nutzen immer raffiniertere psychologische Angriffsmuster, um selbst erfahrene Mitarbeiter zu täuschen. Erfahren Sie in diesem kostenlosen Report, welche Methoden aktuell zu Rekordschäden führen und wie Sie die IT-Sicherheit in Ihrem Betrieb stärken. Kostenlosen Cyber-Security-Report anfordern
Die neue Bedrohungslage erfordert neue Abwehr
Die Nutzung von Bot-Checks markiert eine neue Eskalationsstufe. Einfache URL-Blocklisten reichen nicht mehr aus. Erforderlich ist jetzt eine verhaltensbasierte Analyse des Netzwerkverkehrs.
Was können Unternehmen tun? Sicherheitsexperten raten, über reine 2FA hinauszugehen. Hardware-Sicherheitsschlüssel nach FIDO2-Standard gelten als robuste Alternative. Sie erfordern eine physische Interaktion und lassen sich nicht durch abgefangene Codes kompromittieren.
TikTok hat zwar eigene Sicherheitstools wie den „Security Checkup“ eingeführt. Die aktuelle Kampagne zeigt jedoch: Technische Maßnahmen allein genügen nicht. Kontinuierliche Mitarbeiterschulungen im Umgang mit verdächtigen Nachrichten bleiben eine entscheidende Verteidigungslinie.
