Podvodníci baží po firemních účtech na TikToku. S pomocí falešných odkazů je vykrádají

Nová phishingová vlna cílí na firemní účty TikTok for Business. Stačí pouze kliknout a získat heslo, dvoufaktor i přístup ke Google účtu.

Zdroj fotografie: Pexels

Bezpečnostní firma Push Security 26. března 2026 zveřejnila analýzu kampaně, která se zaměřuje na marketéry a správce reklam na TikToku. Nejde o primitivní podvodný e-mail s překlepy. Útočníci postavili propracovaný řetězec, který vypadá jako legitimní předběžný proces, a právě proto funguje. Cluster phishingových domén byl sledován 24. března v průměru devíti sekund, což ukazuje na vysoce automatizovanou přípravu. A podle Push Security seznam domén dále poroste, protože útočníci stránky rychle obměňují.

Jak útok funguje krok za krokem

Oběť dostane odkaz, který vede přes legitimně vypadající adresu na Google Storage. Nic podezřelého, prohlížeč zobrazí důvěryhodnou doménu googleapis.com. Následně dochází k přesměrování na stránku chráněnou Cloudflare Turnstile, což je legitimní alternativa k CAPTCHA. Jenže tady neslouží k ochraně uživatele. Útočníci ji nasadili proto, aby odfiltrovali bezpečnostní crawlery a analytické sandboxy dřív, než se dostanou k samotnému phishingu.

Po úspěšném průchodu se zobrazí klonovaná stránka TikTok for Business nebo Google Careers s formulářem, který ověřuje pracovní e-mail. Tím útočníci filtrují oběti, zajímají je firemní účty, ne běžní uživatelé. Kdo formulář vyplní, dostane se na falešnou přihlašovací stránku. Ta běží přes reverzní proxy, takzvaný AiTM kit (Adversary-in-the-Middle). V reálném čase přeposílá zadané údaje na skutečný server TikTok, sebere heslo, odpověď na dvoufaktorové ověření i session cookie. Oběť se přihlásí, nic netuší, a útočník má kompletní přístup.

Proč nejde jen o TikTok profil

Ztráta firemního TikTok účtu je nepříjemná. Ale skutečné riziko leží jinde. Mnoho firem se do TikTok for Business přihlašuje přes Google účet. Pokud útočník zachytí session cookie z tohoto přihlášení, získá potenciálně přístup i ke Google Workspace, reklamnímu účtu Google Ads a dalším aplikacím dostupným přes jednotné přihlášení (SSO).

Co konkrétně hrozí:

• Převzetí reklamního rozpočtu – útočník spustí podvodné kampaně na náklady firmy.
• Malvertising – přes důvěryhodný firemní účet šíření škodlivých reklam, které ohrožují koncového uživatele.
• Kompromitace Google SSO – z jednoho ukradeného přihlášení se útok rozlije do e-mailu, dokumentů i interních nástrojů.
• Reputační škoda – firma ztrácí kontrolu nad svou veřejnou identitou na platformě s miliony uživatelů.

Push Security tuto kampaň nepřiřazuje ke konkrétní hackerské skupině. Poukazuje ale na pokračování dřívějších útoků na účty spravující digitální reklamu, včetně kampaně přes falešné stránky Google Careers, kterou v říjnu 2025 popsala Sublime Security. Ekonomika je stále stejná: převzít účet, zneužít rozpočet, prodat přístup dál.

Dvoufaktor nestačí, a to je klíčový problém

Technika reverzního proxy phishingu není novinkou roku 2026. Microsoft ji popsal už v červenci 2022 a MITRE ji používá jako samostatnou techniku krádeže session cookies od roku 2019. Novost spočívá v kombinaci obfuskačních vrstev (Google Storage, Turnstile, validace firemního e-mailu), které dohromady tvoří iluzi legitimního procesu.

Podle nás je nejslabší místo celého řetězce lidský krok. Zaměstnanec vidí důvěryhodné URL, projde CAPTCHA kontrolou, vyplní pracovní e-mail a přihlásí se. Žádný z těchto kroků nevyvolá poplach, protože každý jednotlivě vypadá normálně. Klasické dvoufaktorové ověření přes SMS nebo autentizační aplikaci nepomůže, reverzní proxy ho zachytí v reálném čase spolu s heslem.

Co pomoci může, jsou hardwarové klíče nebo passkeys. TikTok podporuje přístupové klíče na úrovni uživatelského účtu; nastavit je možné v aplikaci přes Security checkup. Pro Ads Manager a Business Center je aktuálně zdokumentováno hlavně dvoufázové ověření a autentizační aplikace. Pokud se ale firma přihlašuje přes propojený TikTok účet, zabezpečení této identity chrání i obchodní prostředí.

Co dělat, když máte podezření na kompromitaci

České firmy inzerující na TikToku zůstávají stejnému riziku jako zahraniční; kampaň není omezena na konkrétní stát a související starší útoky jsou běžně vícejazyčné. Veřejně potvrzené české oběti sice nejsou, ale to neznamená, že neexistují.

Praktický postup při podezření:

• Okamžitě kontaktovat podporu TikTok nebo account managera; i bez přihlášení existuje formulář pro znovuzískání přístupu.
• Změnit heslo, zkontrolovat obnovovací e-mail a telefon, odstranit neznámá zařízení.
• Vynutit dvoufázové ověření v Ads Manageru i Business Center pro všechny uživatele.
• Prověřit role a oprávnění; útočník mohl přidat vlastní účet jako správce.
• Uchovat logy, snímky obrazovky a časovou osu incidentu.
• Regulované subjekty hlásí incident přes Portál NÚKIB. Ostatní firmy mohou podat hlášení přes CSIRT.CZ.

TikTok ve své nápovědě uvádí, že kompromitovaný účet může dočasně pozastavit, provést šetření a řešit i refundaci neautorizovaných reklamních nákladů. Klíčové je ale jednat rychle; každá hodina, kdy má útočník přístup, znamená potenciálně vyčerpaný rozpočet a rozjetou podvodnou kampaň pod jménem firmy.

Nejúčinnější obrana paradoxně není technická. Je to vědomí, že ani důvěryhodně vyhlížející přihlašovací stránka s CAPTCHA a firemním formulářem nemusí být tím, čím se zdá.