网络钓鱼防御公司Cofense近日发布的最新报告显示，一种新型网络钓鱼策略正在利用TikTok URL对用户进行攻击，其主要目的是指向Microsoft 365凭据上的恶意站点。

在YouTube和Facebook等社交媒体平台进行的网络钓鱼活动并不罕见，并且它们的主题往往包括欺骗用户点击链接。吸引人的是TikTok URL的使用。通常这些URL仅存在于包含外部URL链接的TikTok个人资料简历中，然而，在这种情况下，它们却出现在了试图进行网络钓鱼的电子邮件之中。

值得注意的是，TikTok URL 虽然被误认为是合法的网站，但它实际上会引导用户跳转到恶意网站。这种技巧通过绕过用户对平台的信任，并利用该信任来实施网络钓鱼行为显示了钓鱼攻击不断发展的性质以及在线安全警惕的重要性。

网络钓鱼活动牵涉到威胁行为者，这些威胁行为者使用电子邮件向用户发出通知称是来自他们公司的信息技术部门发布的Office 365警报，私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596并劝导用户按照URL点击以取消删除收件箱中的电子邮件请求，以此来煽动恐惧，鼓励采取行动。

这些邮件附加了一个彩色的链接，可以指引用户将他们浏览的页面指向TikTok，并以此来解决他们因误点击而被重定向到该网站的问题。

一旦用户点击包含TikTok链接，则会通过各种重定向，然后进入最终的网络钓鱼页面。该页面类似于带有公司徽标的合法Microsoft登录页面。为了增加合法性，最终页面还会自动填充用户的电子邮件地址，以试图诱骗他们相信他们已被发送到合法的登录站点。

网络钓鱼页面还会包含一栏指引，告知用户在使用时若出现任何问题，可点击私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596链接或是拨打电话求助。然而，网址并非如此容易被直接访问，而是会被指向诈骗者准备好的假页面。

这项活动突出了社交媒体平台欺诈者的越来越复杂的威胁手段，Cofense 网络钓鱼防御中心的 Brandon Cook 和 Brooke McLain 说道。“通过利用 TikTok 的受欢迎程度来潜在地绕过怀疑，并通过虚假的紧急消息冒充公司的 IT 部门，攻击者成功利用用户的信任和对数据丢失的恐惧。”

本报告提出的见解为，在利用电邮时须特别留意发信人的身份和地址，并切忌轻信来自未知或是无关联网址。这等做法乃对抗快速变化网络安全威胁的关键所在。