Tiktok

Uma nova campanha de phishing está atacando contas do TikTok para Empresas, utilizando páginas falsas que imitam a plataforma. De acordo com um relatório da Push Security, os atacantes estão usando links maliciosos que redirecionam as vítimas para páginas que se parecem com o TikTok para Empresas ou Google Careers, onde são solicitadas credenciais. O objetivo final é realizar uma verificação do Cloudflare Turnstile para bloquear bots e, em seguida, exibir uma página de login de phishing para roubar informações. Além disso, a campanha também se aproveita de infostealers como Vidar e Aura Stealer, entregues através de vídeos gerados por IA que se disfarçam como guias de ativação. Os domínios utilizados para hospedar essas páginas de phishing incluem uma série de endereços que começam com ‘welcome.careers’. Outra campanha observada recentemente utiliza arquivos SVG maliciosos para entregar malware, destacando a versatilidade dos métodos de ataque. Essa situação ressalta a necessidade de vigilância constante e educação sobre segurança cibernética, especialmente para empresas que operam em plataformas sociais populares como o TikTok.

Recentemente, contas do TikTok for Business estão sendo alvo de uma campanha de phishing que dificulta a análise por bots de segurança. Os atacantes visam essas contas devido ao seu potencial para fraudes publicitárias e distribuição de conteúdo malicioso. A empresa Push Security relaciona essa campanha a uma anterior que afetou contas do Google Ad Manager. Os criminosos utilizam páginas de phishing hospedadas no Cloudflare, registradas em um domínio frequentemente associado a atividades cibernéticas ilícitas. Os usuários são atraídos por links que redirecionam para páginas falsas que imitam o TikTok e o Google Careers, solicitando informações básicas para validar o uso de e-mails corporativos. Após essa validação, uma página de login falsa captura credenciais e cookies de sessão, permitindo que os atacantes acessem contas, mesmo com a autenticação de dois fatores (2FA) ativada. É crucial que os usuários estejam atentos a convites e ofertas de emprego suspeitas e verifiquem sempre os domínios antes de inserir credenciais. A campanha destaca a vulnerabilidade das contas de negócios e a necessidade de medidas de segurança robustas.

Um documentário da BBC, intitulado ‘Inside the Rage Machine’, revelou que Meta e TikTok estariam permitindo a disseminação de conteúdos nocivos em suas plataformas para aumentar o engajamento dos usuários. Ex-funcionários das empresas relataram que, sob pressão para melhorar a interação, as direções das companhias incentivaram a inclusão de conteúdos como violência, misoginia e teorias da conspiração nos feeds. Um engenheiro da Meta mencionou que recebeu ordens para permitir esses conteúdos de forma ‘controlada’, justificando que a queda nas ações da empresa exigia tal abordagem. No TikTok, um funcionário destacou que as prioridades políticas estavam sendo priorizadas em detrimento de denúncias de conteúdos violentos, especialmente envolvendo crianças. O documentário também apontou que o Instagram, através do Reels, concentrou uma quantidade maior de discursos de ódio e assédio, com 75% a mais de bullying em comparação ao feed principal. Em resposta, Meta e TikTok negaram as acusações, afirmando que não promovem intencionalmente conteúdos nocivos. Essa situação levanta preocupações sobre a segurança digital e a responsabilidade das plataformas em moderar o conteúdo que promovem.

Um estudo da Jscrambler revelou que as plataformas Meta e TikTok estão coletando dados sensíveis dos usuários sem o devido consentimento, utilizando pixels de rastreamento de anúncios. Entre as informações coletadas estão dados sobre cartões de crédito, nomes completos, comportamentos online e geolocalização, mesmo quando os usuários optam por não compartilhar essas informações. A coleta ocorre no momento em que o usuário interage com anúncios ou visita sites de anunciantes, o que pode configurar uma violação das leis de privacidade de dados, como a LGPD no Brasil. Em resposta, representantes da Meta e do TikTok negaram as acusações, alegando que as práticas estão em conformidade com as políticas de privacidade e as leis locais. A utilização de pixels de rastreamento, que são pequenos trechos de código JavaScript, é uma prática comum entre empresas que buscam maximizar o retorno sobre investimento em publicidade, mas levanta sérias preocupações sobre a privacidade dos usuários. O estudo também aponta que 9% dos sites utilizam o pixel de rastreamento da Meta, enquanto 0,7% usam o do TikTok, evidenciando a amplitude do problema.

Um recente artigo da BBC revelou que os funcionários do TikTok têm a capacidade de acessar mensagens privadas dos usuários, uma vez que a plataforma não utiliza criptografia ponta-a-ponta. Diferentemente de aplicativos como WhatsApp e Signal, que protegem as comunicações de forma que nem mesmo a empresa pode acessá-las, o TikTok opta por uma abordagem que permite o acesso a mensagens por parte de sua equipe de segurança. Essa decisão é justificada pela empresa como uma necessidade para cumprir a lei e garantir a segurança dos usuários. No entanto, essa prática levanta preocupações sobre a privacidade dos dados dos usuários, especialmente considerando que muitos usuários podem não estar cientes dessa vulnerabilidade. A falta de criptografia ponta-a-ponta significa que, embora as mensagens sejam criptografadas, elas podem ser acessadas por funcionários treinados, o que contrasta com a abordagem de outras plataformas que priorizam a privacidade do usuário. Essa situação é particularmente relevante em um contexto onde a proteção de dados é uma preocupação crescente, especialmente com a implementação da Lei Geral de Proteção de Dados (LGPD) no Brasil.

A Comissão Europeia anunciou que o TikTok enfrenta a possibilidade de uma multa devido a características viciantes em sua plataforma, como rolagem infinita, reprodução automática e notificações personalizadas, que estariam infringindo a Lei de Serviços Digitais (DSA) da UE. As investigações preliminares indicam que a empresa não avaliou adequadamente os riscos que essas funcionalidades podem representar para o bem-estar físico e mental dos usuários, especialmente crianças e adultos vulneráveis. A Comissão destacou que o TikTok incentiva o comportamento compulsivo ao manter os usuários em um ‘modo automático’, reduzindo o autocontrole. Além disso, a plataforma não considerou indicadores importantes de uso compulsivo, como o tempo que menores passam no aplicativo à noite. Se as violações forem confirmadas, o TikTok poderá ser multado em até 6% de sua receita global anual. Para evitar sanções, a Comissão recomenda que a empresa implemente pausas de uso, adapte seu sistema de recomendações e desative características viciantes. A comissária de tecnologia da UE, Henna Virkkunen, enfatizou a responsabilidade das plataformas em proteger seus usuários, especialmente crianças. O TikTok já enfrentou investigações e multas anteriores relacionadas à proteção de dados e privacidade infantil.

Na última sexta-feira, 23 de janeiro de 2026, o TikTok anunciou a formação de uma joint venture chamada TikTok USDS Joint Venture LLC, permitindo que a popular plataforma de compartilhamento de vídeos continue suas operações nos Estados Unidos. A criação da joint venture está em conformidade com uma ordem executiva assinada pelo ex-presidente Donald Trump em setembro de 2025, que exigia que a empresa chinesa ByteDance, proprietária do TikTok, vendesse a maior parte de sua participação para investidores majoritariamente americanos, mantendo apenas 19,9% do negócio.

O TikTok Shop, recurso de vendas da plataforma, tem se tornado um alvo para golpistas que utilizam anúncios falsos, links disfarçados e páginas clonadas para enganar os consumidores. Desde seu lançamento no Brasil em maio de 2023, o comércio nas redes sociais tem atraído tanto usuários quanto criminosos. Especialistas alertam que os golpistas aproveitam a popularidade de produtos nas redes sociais, criando anúncios que geram o medo de perder uma oportunidade (FOMO) para induzir compras. Os usuários são frequentemente redirecionados para sites falsos que imitam a interface do TikTok, onde podem ter seus dados pessoais roubados. Para evitar fraudes, recomenda-se que os consumidores verifiquem se o vendedor possui o selo de verificação do TikTok, analisem o histórico da conta, confirmem informações de contato e desconfiem de preços excessivamente baixos. Influenciadores também têm um papel importante em denunciar o uso indevido de suas imagens e nomes. A conscientização e a precaução são essenciais para garantir uma experiência de compra segura na plataforma.

Cibercriminosos estão utilizando vídeos do TikTok para disseminar malware sofisticado através de uma campanha de engenharia social que promete ativação gratuita de softwares, como o Photoshop. Pesquisadores de segurança identificaram diversos vídeos na plataforma, alguns com mais de 500 curtidas, que atraem vítimas com promessas de ativação gratuita. O ataque utiliza uma cadeia de infecção em múltiplas etapas, entregando o AuroStealer, um malware projetado para roubar informações sensíveis. A campanha instrui as vítimas a executar um comando PowerShell que baixa e executa um script malicioso. Este script, com uma pontuação de detecção de 17/63 no VirusTotal, baixa um segundo payload, o updater.exe, que é identificado como AuroStealer. O malware se torna persistente através de tarefas agendadas que se disfarçam como serviços legítimos do Windows. Além disso, uma técnica avançada de auto-compilação é utilizada, onde o código malicioso é compilado diretamente na máquina da vítima, dificultando a detecção por soluções antivírus. Pesquisadores descobriram vídeos adicionais promovendo ferramentas de ativação falsas para outros softwares populares, alertando os usuários a não executarem comandos PowerShell de fontes não confiáveis e a manterem suas proteções atualizadas.

Um novo golpe no TikTok está chamando a atenção por vender dispositivos que imitam a AirTag da Apple, prometendo rastreamento indetectável de pessoas. Esses localizadores GPS, que custam cerca de US$ 10 (R$ 55), são promovidos em vídeos que incentivam a perseguição a parceiros supostamente infiéis. No entanto, o dispositivo não funciona como anunciado e é detectável pela ferramenta ‘Buscar’ da Apple, além de emitir alertas quando se afasta do proprietário. A Apple já advertiu que acessórios que utilizam sua rede não devem ser usados para rastrear pessoas sem consentimento. O TikTok, por sua vez, possui políticas que proíbem a promoção de atividades criminosas, mas muitos vídeos ainda estão disponíveis na plataforma, com mais de 100 mil unidades vendidas até o momento. A situação levanta preocupações sobre a segurança e privacidade dos usuários, além de evidenciar a necessidade de uma maior fiscalização sobre conteúdos que promovem comportamentos de stalking, que é crime em diversos países.