你的TikTok Shop還安全嗎？AI＋假App＋釣魚頁，新型詐騙「ClickTok」正鎖定你的加密錢包

安全研究機構 CTM360 近日發佈報告指出，一種被命名為「ClickTok」的詐騙正透過人工智慧（AI）、惡意軟體與社交工程交織的攻擊鏈，大舉鎖定全球 TikTok Shop 用戶，且首要目標是竊取用戶的加密貨幣。 （前情提要：你的電腦正在幫駭客挖比特幣！3,500個網站遭植入「挖礦腳本」，隱形劫持讓用戶毫無察覺） （背景補充：微軟聯手FBI打擊北韓駭客詐騙！凍結3,000個帳號，抓出美國「打工仔共犯」） 你懷疑過你使用的 TikTok 是否安全嗎？安全研究機構 CTM360 近日發佈報告指出，一種被命名為「ClickTok」的詐騙，正透過人工智慧（AI）、惡意軟體與社交工程交織的攻擊鏈，大舉鎖定全球 TikTok Shop 用戶，且首要目標是竊取用戶的加密貨幣。短短數周，調查人員已追蹤到逾 15,000 個偽裝網域、5,000 個惡意下載連結，攻擊規模與精準度刷新了既有紀錄。 新型「ClickTok」如何誘捕 TikTok Shop 用戶 報告指出，駭客先以 .top、.shop、.icu 等網域複製 TikTok Shop 介面，再利用 AI 生成的廣告、短片，模仿知名網紅或品牌，引導受害者點擊「大折扣」、「限時優惠」等連結。用戶在看似屬於官方的頁面中輸入錢包資訊後，資產便會被直接轉往攻擊者控制的地址。 此外，更隱蔽的一步是誘使用戶下載假冒的行動 App。這些 App 通常會潛藏後門，在用戶安裝後便會等待駭客的下一階段指令，或在後台悄然開啟瀏覽器分頁，進一步收集用戶的瀏覽器與指紋數據，為後續盜取用戶資產做足準備。 從釣魚到植入惡意程式的完整路徑 在偽裝頁面的背後，關鍵在於 SparkKitty。CTM360 指出，駭客透過至少 5,000 個 URL 散布了 SparkKitty，SparkKitty 安裝後會啟用光學字符辨識 (OCR) 功能，掃描用戶手機裡的截圖，並鎖定助記詞、私鑰等資料。用戶的隱私資料一旦被辨識出來，SparkKitty 將會立即把這些資料加密傳送到駭客控制的遠端伺服器。 同時，若受害者嘗試用信箱登入，駭客則會讓用戶無法登入，然後再引導用戶使用 Google 帳戶。過程中，攻擊者會劫持用戶的 OAuth 會話令牌，並藉此直接獲得帳戶控制權，然後再繞過 MFA 驗證。 「ClickFix」進一步擴張攻擊面 值得一提的是，另一支「ClickFix」攻擊腳本還為這類詐騙注入了新火力。在這種詐騙手段中，駭客會在頁面嵌入假的 CAPTCHA，使用者點擊後，網站就會把惡意 JavaScript 程式複製到剪貼簿，並引導受害者貼到本機終端機或 Windows Run 對話框。 此舉能在系統層級安裝遠端存取木馬 (RAT) 與竊密程式，如 AsyncRAT、Lumma Stealer、DarkGate 等，讓攻擊者長期掌握受害者的電子設備螢幕、鍵盤與加密錢包活動。 由於這一流程被包裝成「常見瀏覽器操作」，讓許多受害者深信不疑。駭客再結合 AI 生成內容，把傳統釣魚升級為無需下載也能植入惡意軟體的混合式詐騙，令人防不勝防。 個人資產自保守則 對一般使用者來說，多層防禦仍是最佳策略。首先，下載任何購物 App 或插件前，務必比對官方公告或商店頁面；涉及金流操作時，應該盡量使用硬體或冷錢包並啟用多重驗證。其次，安裝可信賴的安全軟體並保持自動更新，可及時阻擋新變種木馬。最後，面對「AI 智慧投資」、「保證高報酬」等宣傳，應直接向平台客服或專業社群查證，避免因自己的貪念而落入陷阱。 「ClickTok」把 AI 偽裝、社交工程與惡意程式整合成了前所未見的攻擊矩陣，再一次提醒投資人與消費者：數位經濟的便利與風險並存。唯有養成安全思維，建立多層防護，才能在瞬息萬變的詐騙戰場中，守住手上的加密貨幣與個人資料。 相關報導 巴西央行1.4億鎂儲備金被駭！贓款換成比特幣、駭客成本僅2,760美元，服務供應商成破口 冷錢包Trezor警告：駭客假冒官方信進行釣魚攻擊，切勿分享錢包私鑰 DeFi協議ResupplyFi慘遭駭客攻擊損失960萬美元，原生穩定幣reUSD一度脫錨至0.969美元〈你的TikTok Shop還安全嗎？AI＋假App＋釣魚頁，新型詐騙「ClickTok」正鎖定你的加密錢包〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。