網路詐騙猖獗,詐騙者多利用人們對資訊的不熟悉或急迫心理,誘使受害者提供個資或匯款,民眾必須提高警覺,避免點擊不明連結或輕信陌生訊息,近日社群平台 TikTok上出現冒稱「免費使用 Microsoft或 Spotify等付費服務」的影片,實際上是誘導使用者安裝惡意程式,盜取被害者的帳密、信用卡資料、虛擬貨幣錢包。
最新TikTok詐騙!已經很多人上當
綜合外媒《朝日新聞》、《bleepingcomputer》報導,資安公司趨勢科技最新發現,社群平台TikTok上,近日出現冒稱「免費使用 Microsoft、 CapCut 或 Spotify等付費服務」的影片,但實際上是誘導使用者安裝惡意程式(malware)的詐騙手法。
假「免費技巧」誘用戶執行命令,實為惡意下載
影片號稱提供「免費使用技巧」,內容指示使用者在Windows作業系統中輸入特定命令如來執行下載程序。看似是解鎖付費功能的秘技,實際上卻是下載安裝惡意軟體。
影片由AI生成語音說明,受害者以年輕族群為主
這類影片多半使用由生成式 AI製作的語音說明,缺乏明確文字內容,使得平台較難偵測異常,而受害對象以學生等年輕族群為主。
根據《bleepingcomputer》報導,趨勢科技發現,這些駭客透過社交工程手法,在 TikTok上傳播疑似由 AI 生成的影片,利用 TikTok 影片,誘導用戶執行 PowerShell指令,進而在電腦上安裝為 Vidar和 StealC的資訊竊取惡意程式,這類攻擊被稱為「ClickFix」。
Vidar與StealC功能強大,可竊取多項個資
安裝完成後,Vidar 能夠擷取桌面截圖,並竊取用戶的帳號密碼、信用卡資料、Cookie、加密貨幣錢包、文字檔案,以及 Authy 雙重驗證器資料庫;StealC 則能鎖定多種網頁瀏覽器與加密錢包,擴大竊取用戶電腦中的隱私資料。
趨勢科技指出,其中一支聲稱能「立即提升你的 Spotify 體驗」的影片,觀看次數將近 50 萬,按讚超過 2 萬,留言數也破百。
趨勢科技補充,這些影片的拍攝風格幾乎相同,只有攝影角度與 PowerShell 所連結的下載網址略有不同,顯示這些影片很可能是透過自動化方式製作,影片中的語音也疑似為 AI 生成。
TikTok曾多次淪為惡意程式散布平台
事實上,這並非 TikTok首次淪為惡意程式散布平台,先前駭客曾藉由名為「Invisible Challenge」的 TikTok熱門挑戰活動,引誘大量用戶安裝偽冒應用程式,植入名為 WASP Stealer的惡意程式,可竊取 Discord帳號、密碼、信用卡及虛擬貨幣錢包。
近年 TikTok也屢遭詐騙集團濫用,用於散播假冒以馬斯克、特斯拉或 SpaceX為名的加密貨幣贈獎活動。
一旦裝置中毒,駭客可能會竊取儲存在瀏覽器中的登入資料、密碼,甚至是信用卡資訊,也可能進一步讓攻擊者取得學校內部網路的登入憑證,衍生更大的資安風險。
多帳號散播詐騙影片,影響力驚人
調查顯示,至少有6個TikTok帳號散佈這類內容,其中一個帳號平均每支影片有5萬次播放、2000個讚,顯示其影響力驚人。
如何防詐?
專家提醒,對於社群平台上流傳的所謂「破解秘技」或「免費解鎖教學」,務必要提高警覺,尤其當內容要求輸入特定指令或下載不明檔案時,更應慎重以對。平時也應養成定期更新防毒程式的習慣,並啟用雙重驗證功能,以強化帳號與個人資料的安全防護。
資料來源:《朝日新聞》、《bleepingcomputer》、《Joel來談日本》
責任編輯/陳得馥 (相關報導: 台灣又出現詐騙新招!點進1連結「銀行存款一夕蒸發」,這些平台超多人在用 | 更多文章 )
