Uma nova campanha de phishing está atacando contas do TikTok para Empresas, utilizando páginas falsas que imitam a plataforma. De acordo com um relatório da Push Security, os atacantes estão usando links maliciosos que redirecionam as vítimas para páginas que se parecem com o TikTok para Empresas ou Google Careers, onde são solicitadas credenciais. O objetivo final é realizar uma verificação do Cloudflare Turnstile para bloquear bots e, em seguida, exibir uma página de login de phishing para roubar informações. Além disso, a campanha também se aproveita de infostealers como Vidar e Aura Stealer, entregues através de vídeos gerados por IA que se disfarçam como guias de ativação. Os domínios utilizados para hospedar essas páginas de phishing incluem uma série de endereços que começam com ‘welcome.careers’. Outra campanha observada recentemente utiliza arquivos SVG maliciosos para entregar malware, destacando a versatilidade dos métodos de ataque. Essa situação ressalta a necessidade de vigilância constante e educação sobre segurança cibernética, especialmente para empresas que operam em plataformas sociais populares como o TikTok.
Fonte: https://thehackernews.com/2026/03/aitm-phishing-targets-tiktok-business.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
27/03/2026 • Risco: ALTO
PHISHING
Campanha de phishing compromete contas do TikTok para Empresas
RESUMO EXECUTIVO
A campanha de phishing em andamento representa um risco significativo para empresas que utilizam o TikTok para marketing. A possibilidade de roubo de credenciais e uso indevido de contas pode resultar em danos financeiros e legais, exigindo atenção imediata dos líderes de segurança.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido a fraudes e comprometimento de contas.
Operacional
Roubo de credenciais e potencial uso de contas para malvertising.
Setores vulneráveis
['Marketing digital', 'E-commerce', 'Tecnologia']
📊 INDICADORES CHAVE
Diversos infostealers como Vidar e Aura Stealer estão envolvidos.
Indicador
Várias páginas de phishing hospedadas em domínios específicos.
Contexto BR
Campanha de phishing com métodos de engenharia social sofisticados.
Urgência
⚡ AÇÕES IMEDIATAS
1
Auditar contas do TikTok para Empresas e verificar atividades suspeitas.
2
Implementar autenticação de dois fatores (2FA) para todas as contas corporativas.
3
Monitorar continuamente atividades de login e acessos não autorizados.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança das contas corporativas em plataformas sociais, que são alvos frequentes de ataques. A proteção de dados e a conformidade com a LGPD são cruciais.
⚖️ COMPLIANCE
Implicações de conformidade com a LGPD em caso de vazamento de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
