Phishing Canggih Incar TikTok Bisnis, Bisa Curi Data Login

Serangan siber kembali menunjukkan evolusinya yang semakin canggih. Kali ini, pelaku kejahatan dunia maya dilaporkan menargetkan akun TikTok for Business menggunakan teknik phishing Adversary-in-the-Middle (AitM). Laporan dari Push Security mengungkap bahwa kampanye ini dirancang secara sistematis untuk mengambil alih akun bisnis dan memanfaatkannya untuk aktivitas ilegal.

Akun bisnis di platform media sosial seperti TikTok memang menjadi target yang sangat menggiurkan. Selain memiliki jangkauan audiens yang luas, akun tersebut juga sering digunakan untuk menjalankan iklan digital. Jika jatuh ke tangan pelaku, akun ini dapat dimanfaatkan untuk menyebarkan malware, menjalankan iklan berbahaya (malvertising), hingga melakukan penipuan skala besar.

Menurut Push Security, TikTok bukanlah platform baru dalam konteks penyalahgunaan. Dalam beberapa tahun terakhir, platform ini kerap dimanfaatkan untuk menyebarkan tautan berbahaya melalui berbagai teknik rekayasa sosial. Bahkan, pelaku diketahui menggunakan video berbasis kecerdasan buatan (AI) untuk mengelabui korban. Video tersebut biasanya menyamar sebagai panduan aktivasi aplikasi populer seperti Windows, Spotify, atau CapCut.

Tak hanya itu, sejumlah malware pencuri data seperti Vidar, StealC, dan Aura Stealer juga dilaporkan turut disebarkan melalui metode yang dikenal sebagai “ClickFix”. Teknik ini memanfaatkan kepercayaan pengguna terhadap konten visual yang tampak meyakinkan.

Modus Penipuan yang Terstruktur

Serangan ini dimulai dari langkah sederhana namun efektif: memancing korban untuk mengklik tautan berbahaya. Tautan tersebut biasanya disamarkan sedemikian rupa agar terlihat kredibel dan profesional.

Korban kemudian diarahkan ke salah satu dari dua jenis halaman palsu. Pertama, halaman yang meniru tampilan TikTok for Business secara detail. Kedua, halaman yang menyamar sebagai portal lowongan kerja Google Careers. Bahkan, halaman tersebut sering dilengkapi fitur tambahan seperti opsi untuk menjadwalkan panggilan terkait peluang kerja, sehingga semakin meningkatkan tingkat kepercayaan korban.

Menariknya, kampanye serupa sebenarnya sudah pernah terdeteksi sebelumnya. Pada Oktober 2025, Sublime Security melaporkan adanya serangan phishing dengan pola yang hampir sama. Saat itu, pelaku menggunakan email yang menyamar sebagai pesan profesional atau undangan kerja untuk menarik perhatian target.

Mengelabui Sistem Keamanan

Salah satu aspek paling berbahaya dari serangan ini adalah kemampuannya menghindari deteksi. Pelaku memanfaatkan sistem verifikasi Cloudflare Turnstile sebagai bagian dari strategi mereka.

Secara umum, Turnstile adalah sistem keamanan yang dirancang untuk membedakan antara manusia dan bot. Namun dalam kampanye ini, teknologi tersebut justru dimanfaatkan sebagai “tameng” oleh pelaku. Dengan adanya verifikasi ini, halaman phishing terlihat lebih sah dan sulit dideteksi oleh sistem keamanan otomatis.

Setelah korban melewati tahap verifikasi, mereka akan diarahkan ke halaman login palsu berbasis AitM. Di sinilah serangan utama terjadi. Teknik AitM memungkinkan pelaku mencegat data login secara langsung saat dimasukkan oleh korban. Bahkan, dalam beberapa kasus, metode ini juga mampu menangkap kode autentikasi dua faktor (MFA), yang seharusnya menjadi lapisan keamanan tambahan.

Akibatnya, meskipun pengguna merasa sudah menggunakan sistem keamanan berlapis, akun mereka tetap dapat diambil alih.

Domain Palsu yang Meyakinkan

Untuk mendukung aksinya, pelaku menggunakan sejumlah domain yang dirancang agar terlihat profesional. Nama-nama domain tersebut umumnya mengandung kata-kata seperti “career”, “success”, atau “progress” yang identik dengan dunia kerja.

Beberapa di antaranya adalah:

• welcome.careerscrews[.]com
• welcome.careerstaffer[.]com
• welcome.careersworkflow[.]com
• welcome.careerstransform[.]com
• welcome.careersupskill[.]com
• welcome.careerssuccess[.]com
• welcome.careersstaffgrid[.]com
• welcome.careersprogress[.]com
• welcome.careersgrower[.]com
• welcome.careersengage[.]com

Penggunaan domain semacam ini bertujuan untuk mengurangi kecurigaan korban, terutama bagi mereka yang sedang mencari pekerjaan atau peluang bisnis.

Ancaman Lain: Malware Lewat File SVG

Selain kampanye yang menargetkan akun TikTok bisnis, peneliti juga menemukan serangan lain yang tidak kalah berbahaya. Laporan dari WatchGuard mengungkap adanya kampanye phishing yang menggunakan file SVG sebagai media penyebaran malware.

Serangan ini terutama menyasar korban di Venezuela. Pelaku mengirimkan email dengan lampiran file SVG yang diberi nama dalam bahasa Spanyol. File tersebut disamarkan sebagai dokumen umum seperti invoice, kuitansi, atau anggaran.

Sekilas, file SVG tampak tidak berbahaya karena merupakan format gambar berbasis vektor. Namun ketika dibuka, file tersebut justru menjalankan skrip tersembunyi yang terhubung ke URL tertentu. Dari sana, malware akan diunduh secara otomatis ke perangkat korban.

Untuk menyamarkan jejak, pelaku juga menggunakan layanan pemendek URL seperti ja.cat. Teknik ini memanfaatkan celah pada domain sah agar dapat mengarahkan pengguna ke situs berbahaya tanpa terdeteksi.

Malware Berbasis Go dan Kaitan dengan BianLian

Malware yang digunakan dalam kampanye ini ditulis menggunakan bahasa pemrograman Go. Menariknya, kode malware tersebut memiliki kemiripan dengan ransomware BianLian yang sebelumnya dianalisis oleh SecurityScorecard pada Januari 2024.

Hal ini mengindikasikan kemungkinan adanya keterkaitan antara kampanye phishing ini dengan kelompok kejahatan siber yang lebih besar dan terorganisir.

Para pakar keamanan menilai bahwa serangan ini menjadi bukti bahwa metode phishing terus berkembang. Tidak lagi sekadar email mencurigakan, kini pelaku menggabungkan berbagai teknik canggih seperti:

• Halaman tiruan yang sangat realistis
• Pemanfaatan layanan keamanan untuk menghindari deteksi
• Penggunaan AI untuk membuat konten yang meyakinkan
• Distribusi malware melalui file yang tampak aman

WatchGuard menegaskan bahwa file yang selama ini dianggap tidak berbahaya, seperti SVG, kini bisa menjadi pintu masuk serangan serius.

Pentingnya Kewaspadaan Pengguna

Melihat kompleksitas serangan ini, pengguna internet—terutama pemilik akun bisnis—perlu meningkatkan kewaspadaan. Jangan mudah percaya pada tautan yang diterima melalui email atau pesan, meskipun terlihat resmi. Selalu periksa alamat domain dengan teliti dan hindari memasukkan data login di halaman yang mencurigakan.

Selain itu, penggunaan autentikasi berlapis tetap penting, meskipun tidak sepenuhnya kebal terhadap serangan AitM. Edukasi dan kesadaran pengguna menjadi kunci utama dalam menghadapi ancaman siber yang terus berkembang.

Pada akhirnya, kampanye ini menjadi pengingat bahwa dunia digital yang semakin maju juga membawa risiko yang semakin kompleks. Tanpa kewaspadaan yang cukup, siapa pun bisa menjadi target berikutnya.