安全研究機構 CTM360 近日發佈報告指出,一種被命名為「ClickTok」的詐騙正透過人工智慧(AI)、惡意軟體與社交工程交織的攻擊鏈,大舉鎖定全球 TikTok Shop 用戶,且首要目標是竊取用戶的加密貨幣。
(前情提要:你的電腦正在幫駭客挖比特幣!3,500個網站遭植入「挖礦腳本」,隱形劫持讓用戶毫無察覺)
(背景補充:微軟聯手FBI打擊北韓駭客詐騙!凍結3,000個帳號,抓出美國「打工仔共犯」)
你懷疑過你使用的 TikTok 是否安全嗎?安全研究機構 CTM360 近日發佈報告指出,一種被命名為「ClickTok」的詐騙,正透過人工智慧(AI)、惡意軟體與社交工程交織的攻擊鏈,大舉鎖定全球 TikTok Shop 用戶,且首要目標是竊取用戶的加密貨幣。短短數周,調查人員已追蹤到逾 15,000 個偽裝網域、5,000 個惡意下載連結,攻擊規模與精準度刷新了既有紀錄。
新型「ClickTok」如何誘捕 TikTok Shop 用戶
報告指出,駭客先以 .top、.shop、.icu 等網域複製 TikTok Shop 介面,再利用 AI 生成的廣告、短片,模仿知名網紅或品牌,引導受害者點擊「大折扣」、「限時優惠」等連結。用戶在看似屬於官方的頁面中輸入錢包資訊後,資產便會被直接轉往攻擊者控制的地址。
此外,更隱蔽的一步是誘使用戶下載假冒的行動 App。這些 App 通常會潛藏後門,在用戶安裝後便會等待駭客的下一階段指令,或在後台悄然開啟瀏覽器分頁,進一步收集用戶的瀏覽器與指紋數據,為後續盜取用戶資產做足準備。
從釣魚到植入惡意程式的完整路徑
在偽裝頁面的背後,關鍵在於 SparkKitty。CTM360 指出,駭客透過至少 5,000 個 URL 散布了 SparkKitty,SparkKitty 安裝後會啟用光學字符辨識 (OCR) 功能,掃描用戶手機裡的截圖,並鎖定助記詞、私鑰等資料。用戶的隱私資料一旦被辨識出來,SparkKitty 將會立即把這些資料加密傳送到駭客控制的遠端伺服器。
同時,若受害者嘗試用信箱登入,駭客則會讓用戶無法登入,然後再引導用戶使用 Google 帳戶。過程中,攻擊者會劫持用戶的 OAuth 會話令牌,並藉此直接獲得帳戶控制權,然後再繞過 MFA 驗證。
「ClickFix」進一步擴張攻擊面
值得一提的是,另一支「ClickFix」攻擊腳本還為這類詐騙注入了新火力。在這種詐騙手段中,駭客會在頁面嵌入假的 CAPTCHA,使用者點擊後,網站就會把惡意 JavaScript 程式複製到剪貼簿,並引導受害者貼到本機終端機或 Windows Run 對話框。
此舉能在系統層級安裝遠端存取木馬 (RAT) 與竊密程式,如 AsyncRAT、Lumma Stealer、DarkGate 等,讓攻擊者長期掌握受害者的電子設備螢幕、鍵盤與加密錢包活動。
由於這一流程被包裝成「常見瀏覽器操作」,讓許多受害者深信不疑。駭客再結合 AI 生成內容,把傳統釣魚升級為無需下載也能植入惡意軟體的混合式詐騙,令人防不勝防。
個人資產自保守則
對一般使用者來說,多層防禦仍是最佳策略。首先,下載任何購物 App 或插件前,務必比對官方公告或商店頁面;涉及金流操作時,應該盡量使用硬體或冷錢包並啟用多重驗證。其次,安裝可信賴的安全軟體並保持自動更新,可及時阻擋新變種木馬。最後,面對「AI 智慧投資」、「保證高報酬」等宣傳,應直接向平台客服或專業社群查證,避免因自己的貪念而落入陷阱。
「ClickTok」把 AI 偽裝、社交工程與惡意程式整合成了前所未見的攻擊矩陣,再一次提醒投資人與消費者:數位經濟的便利與風險並存。唯有養成安全思維,建立多層防護,才能在瞬息萬變的詐騙戰場中,守住手上的加密貨幣與個人資料。
📍相關報導📍
巴西央行1.4億鎂儲備金被駭!贓款換成比特幣、駭客成本僅2,760美元,服務供應商成破口
