TikTok Shop用户警惕！新型骗局“ClickTok”正盗走你的加密钱包

安全研究机构 CTM360 近日发布报告指出，一种被命名为「ClickTok」的诈骗正透过人工智慧（AI）、恶意软体与社交工程交织的攻击链，大举锁定全球 TikTok Shop 用户，且首要目标是窃取用户的加密货币。
（前情提要：你的电脑正在帮骇客挖比特币！3,500个网站遭植入「挖矿脚本」，隐形劫持让用户毫无察觉）

你怀疑过你使用的 TikTok 是否安全吗？安全研究机构 CTM360 近日发布报告指出，一种被命名为「ClickTok」的诈骗，正透过人工智慧（AI）、恶意软体与社交工程交织的攻击链，大举锁定全球 TikTok Shop 用户，且首要目标是窃取用户的加密货币。短短数周，调查人员已追踪到逾 15,000 个伪装网域、5,000 个恶意下载连结，攻击规模与精准度刷新了既有纪录。

新型「ClickTok」如何诱捕 TikTok Shop 用户

报告指出，骇客先以 .top、.shop、.icu 等网域复制 TikTok Shop 介面，再利用 AI 生成的广告、短片，模仿知名网红或品牌，引导受害者点击「大折扣」、「限时优惠」等连结。用户在看似属于官方的页面中输入钱包资讯后，资产便会被直接转往攻击者控制的地址。

此外，更隐蔽的一步是诱使用户下载假冒的行动 App。这些 App 通常会潜藏后门，在用户安装后便会等待骇客的下一阶段指令，或在后台悄然开启浏览器分页，进一步收集用户的浏览器与指纹数据，为后续盗取用户资产做足准备。

从钓鱼到植入恶意程式的完整路径

在伪装页面的背后，关键在于 SparkKitty。CTM360 指出，骇客透过至少 5,000 个 URL 散布了 SparkKitty，SparkKitty 安装后会启用光学字符辨识 (OCR) 功能，扫描用户手机里的截圖，并锁定助记词、私钥等资料。用户的隐私资料一旦被辨识出来，SparkKitty 将会立即把这些资料加密传送到骇客控制的远端伺服器。

同时，若受害者尝试用信箱登入，骇客则会让用户无法登入，然后再引导用户使用 Google 帐户。过程中，攻击者会劫持用户的 OAuth 会话令牌，并借此直接获得帐户控制权，然后再绕过 MFA 验证。

「ClickFix」进一步扩张攻击面

值得一提的是，另一支「ClickFix」攻击脚本还为这类诈骗注入了新火力。在这种诈骗手段中，骇客会在页面嵌入假的 CAPTCHA，使用者点击后，网站就会把恶意 JavaScript 程式复制到剪贴簿，并引导受害者贴到本机终端机或 Windows Run 对话框。

此举能在系统层级安装远端存取木马 (RAT) 与窃密程式，如 AsyncRAT、Lumma Stealer、DarkGate 等，让攻击者长期掌握受害者的电子设备萤幕、键盘与加密钱包活动。

由于这一流程被包装成「常见浏览器操作」，让许多受害者深信不疑。骇客再结合 AI 生成内容，把传统钓鱼升级为无需下载也能植入恶意软体的混合式诈骗，令人防不胜防。

个人资产自保守则

对一般使用者来说，多层防御仍是最佳策略。首先，下载任何购物 App 或插件前，务必比对官方公告或商店页面；涉及金流操作时，应该尽量使用硬体或冷钱包并启用多重验证。其次，安装可信赖的安全软体并保持自动更新，可及时阻挡新变种木马。最后，面对「AI 智慧投资」、「保证高报酬」等宣传，应直接向平台客服或专业社群查证，避免因自己的贪念而落入陷阱。

「ClickTok」把 AI 伪装、社交工程与恶意程式整合成了前所未见的攻击矩阵，再一次提醒投资人与消费者：数位经济的便利与风险并存。唯有养成安全思维，建立多层防护，才能在瞬息万变的诈骗战场中，守住手上的加密货币与个人资料。