你怀疑过你使用的TikTok是否安全吗？安全研究机构CTM360近日发布报告指出，一种被命名为「ClickTok」的诈骗，正透过人工智能(AI)、恶意软件与社交工程交织的攻击链，大举锁定全球TikTok Shop用户，且首要目标是窃取用户的加密货币。短短数周，调查人员已追踪到逾15,000个伪装域名、5,000个恶意下载链接，攻击规模与精准度刷新了既有纪录。

报告指出，黑客先以.top、.shop、.icu等网域复制TikTok Shop界面，再利用AI生成的广告、短片，模仿知名网红或品牌，引导受害者点击「大折扣」、「限时优惠」等链接。用户在看似属于官方的页面中输入钱包信息后，资产便会被直接转往攻击者控制的地址。

此外，更隐蔽的一步是诱使用户下载假冒的移动App。这些App通常会潜藏后门，在用户安装后便会等待黑客的下一阶段指令，或在后台悄然开启浏览器分页，进一步收集用户的浏览器与指纹数据，为后续盗取用户资产做足准备。

在伪装页面的背后，关键在于Spark Kitty。CTM360指出，黑客透过至少5,000个URL散布了Spark Kitty，Spark Kitty安装后会启用光学字符辨识(OCR)功能，扫描用户手机里的截图，并锁定助记词、私钥等资料。用户的隐私资料一旦被辨识出来，SparkKitty将会立即把这些资料加密传送到黑客控制的远端服务器。

同时，若受害者尝试用信箱登入，黑客则会让用户无法登入，然后再引导用户使用Google帐户。过程中，攻击者会劫持用户的OAuth会话令牌，并借此直接获得帐户控制权，然后再绕过MFA验证。

值得一提的是，另一支「ClickFix」攻击脚本还为这类诈骗注入了新火力。在这种诈骗手段中，黑客会在页面嵌入假的CAPTCHA，使用者点击后，网站就会把恶意JavaScript程序复制到剪贴簿，并引导受害者贴到本机终端机或Windows Run对话框。

此举能在系统层级安装远端存取木马(RAT)与窃密程序，如Async RAT、Lumma Stealer、Dark Gate等，让攻击者长期掌握受害者的电子设备屏幕、键盘与加密钱包活动。

由于这一流程被包装成「常见浏览器操作」，让许多受害者深信不疑。黑客再结合AI生成内容，把传统钓鱼升级为无需下载也能植入恶意软件的混合式诈骗，令人防不胜防。

对一般使用者来说，多层防御仍是最佳策略。首先，下载任何购物App或插件前，务必比对官方公告或商店页面；涉及金流操作时，应该尽量使用硬件或冷钱包并启用多重验证。其次，安装可信赖的安全软件并保持自动更新，可及时阻挡新变种木马。最后，面对「AI智能投资」、「保证高报酬」等宣传，应直接向平台客服或专业社群查证，避免因自己的贪念而落入陷阱。

「ClickTok」把AI伪装、社交工程与恶意程序整合成了前所未见的攻击矩阵，再一次提醒投资人与消费者：数字经济的便利与风险并存。唯有养成安全思维，建立多层防护，才能在瞬息万变的诈骗战场中，守住手上的加密货币与个人资料。