Các chuyên gia an ninh mạng vừa phát hiện một chiến dịch lừa đảo (phishing) mới nhắm trực tiếp vào người dùng TikTok Business. Đây là loại tài khoản có giá trị cao, thường được doanh nghiệp sử dụng để triển khai chiến dịch quảng cáo, quản lý nội dung và tiếp cận khách hàng. Việc bị chiếm quyền kiểm soát không chỉ gây thiệt hại tài chính mà còn ảnh hưởng đến uy tín thương hiệu.
Thủ đoạn tinh vi, qua mặt cả xác thực hai lớp
Theo thông tin từ các chuyên gia, chiến dịch này sử dụng kỹ thuật phishing hiện đại với nhiều lớp ngụy trang nhằm đánh lừa người dùng. Cụ thể, kẻ tấn công gửi các đường link giả mạo, thường được lưu trữ trên những nền tảng hợp pháp để tạo độ tin cậy. Khi truy cập, nạn nhân sẽ bị chuyển hướng tới các trang đăng nhập giả có giao diện gần như giống hoàn toàn với TikTok Business hoặc các dịch vụ quen thuộc.
Điểm nguy hiểm nằm ở việc các trang giả mạo này sử dụng kỹ thuật tấn công trung gian (Adversary-in-the-Middle - AiTM), cho phép tin tặc:
- Thu thập tài khoản và mật khẩu
- Đánh cắp phiên đăng nhập
- Vượt qua cả lớp bảo mật hai yếu tố (2FA)
Điều này đồng nghĩa với việc ngay cả những tài khoản đã bật bảo mật nâng cao vẫn có thể bị xâm nhập nếu người dùng mất cảnh giác.
Vì sao tài khoản TikTok Business trở thành mục tiêu?
Tài khoản TikTok Business đang trở thành “miếng mồi” hấp dẫn đối với tin tặc do mang lại nhiều lợi ích nếu bị chiếm quyền. Khi kiểm soát được tài khoản, kẻ xấu có thể:
- Sử dụng ngân sách quảng cáo của doanh nghiệp
- Phát tán nội dung lừa đảo đến lượng lớn người dùng
- Chạy quảng cáo độc hại hoặc dẫn dụ đến website giả mạo
- Thu thập thêm dữ liệu phục vụ các chiến dịch tấn công khác
Ngoài ra, các tài khoản doanh nghiệp thường có độ tin cậy cao, khiến người dùng dễ bị thuyết phục hơn khi tiếp cận các nội dung do tài khoản này đăng tải.
Công nghệ AI khiến lừa đảo ngày càng khó nhận diện
Một yếu tố khiến các chiến dịch lừa đảo trở nên nguy hiểm hơn là sự hỗ trợ của AI. Hiện nay, AI có thể tạo ra giao diện website, nội dung và hình ảnh với độ chân thực rất cao. Trong nhiều trường hợp, người dùng gần như không thể phân biệt bằng mắt thường đâu là trang thật và đâu là trang giả. Các đối tượng có thể tận dụng AI để:
- Tạo trang đăng nhập giả giống gần như hoàn toàn bản gốc
- Soạn email, thông báo lừa đảo chuyên nghiệp
- Tự động hóa kịch bản tấn công với quy mô lớn
Sự kết hợp giữa kỹ thuật phishing truyền thống và công nghệ AI đang khiến các cuộc tấn công mạng trở nên tinh vi, khó phát hiện và dễ gây thiệt hại hơn.
Hệ lụy không chỉ dừng ở mất tài khoản
Việc bị chiếm quyền tài khoản TikTok Business không chỉ ảnh hưởng đến cá nhân mà còn kéo theo nhiều rủi ro nghiêm trọng cho doanh nghiệp. Ngoài thiệt hại tài chính, các doanh nghiệp còn có thể đối mặt với:
- Mất dữ liệu liên quan đến khách hàng và chiến dịch quảng cáo
- Bị lợi dụng để lừa đảo người khác
- Suy giảm uy tín thương hiệu trên môi trường số
Trong một số trường hợp, tài khoản bị chiếm quyền còn có thể trở thành “bàn đạp” để tấn công sang các hệ thống khác có liên kết.
Khuyến cáo từ chuyên gia an ninh mạng
Trước nguy cơ gia tăng của các chiến dịch phishing, người dùng và doanh nghiệp cần nâng cao cảnh giác:
- Không truy cập các đường link lạ, đặc biệt từ email hoặc tin nhắn không rõ nguồn gốc
- Kiểm tra kỹ tên miền trước khi đăng nhập tài khoản
- Không nhập thông tin cá nhân vào các trang đáng ngờ
- Sử dụng các phương thức xác thực an toàn hơn như passkey
- Theo dõi và phát hiện sớm các hoạt động bất thường
Chiến dịch tấn công nhắm vào TikTok Business cho thấy tội phạm mạng đang ngày càng chuyên nghiệp và có tổ chức hơn. Điều này đặt ra yêu cầu cấp thiết về việc nâng cao nhận thức an toàn thông tin, không chỉ với cá nhân mà cả doanh nghiệp, nhằm tránh trở thành nạn nhân của các cuộc tấn công trên không gian mạng.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview