พบร้านปลอมบน TikTok กว่าหมื่นร้าน ถูกใช้เป็นเครื่องมือในการปล่อยมัลแวร์เพื่อขโมยเงินคริปโต

ในปัจจุบันช่องทางการซื้อของออนไลน์นั้นได้ไปไกลมากกว่าการขายแบบส่งข้อความส่วนตัวผ่านตัวกลางอย่าง Markerplace บน Facebook หรือวางขายให้กดซื้อโดยตรงบนแพลตฟอร์มอย่าง Shopee หลังจากที่มีการเข้ามาของ TikTok ที่ช่วยให้ผู้ขายวางกลยุทธ์การขายได้หลากหลายมากขึ้น แต่ตอนนี้แฮกเกอร์ก็ได้ใช้กระแสนี้ในการหลอกลวงปล่อยมัลแวร์ผ่านทางร้านขายของปลอม ๆ แล้วเช่นเดียวกัน

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบแคมเปญแพร่กระจายมัลแวร์ SparkKitty ด้วยวิธีการ Phishing ผ่านทางร้านค้าปลอมบนเครือข่ายโซเชียลยอดนิยม TikTok ซึ่งมัลแวร์ตัวนี้มีประสิทธิภาพในการขโมยข้อมูลบนโทรศัพท์มือถือทั้งที่ทำงานบนระบบ iOS และ Android โดยมัลแวร์ตัวนี้นั้นมีประสิทธิภาพในการขโมยข้อมูลบนเครื่องของเหยื่อที่หลากหลาย รวมไปถึงมีความสามารถในการถอดข้อความจากรูปภาพด้วยเทคโนโลยี Optical Character Recognition หรือ OCR ซึ่งช่วยให้มัลแวร์ทำการถอดตัวอักษรที่อยู่ในรูปภาพที่บันทึกอยู่บน Gallery ของเครื่อง โดยจะมุ่งเน้นไปยังข้อมูลสำคัญเกี่ยวกับเงินคริปโตเคอร์เรนซี เช่น รหัส Seed Phrase (รหัสสำหรับกู้ข้อมูลกระเป๋าเงินคริปโตเคอร์เรนซี) เพื่อยกเค้าขโมยเงินของเหยื่อ เป็นต้น

ภาพจาก : https://thehackernews.com/2025/08/15000-fake-tiktok-shop-domains-deliver.html

สำหรับแคมเปญดังกล่าวนี้มีชื่อว่า FraudOnTok ซึ่งถูกตรวจพบจากทีมวิจัยแห่งบริษัท CTM360 บริษัทจากประเทศบาห์เรนผู้เชี่ยวชาญด้านการจัดการกับภัยไซเบอร์ โดยทางทีมวิจัยได้อธิบายถึงแคมเปญนี้ว่า แฮกเกอร์ที่อยู่เบื้องหลังแคมเปญดังกล่าวนั้นได้มีการใช้งานหลากกลยุทธ์เพื่อหลอกลวงให้เหยื่อเข้ามาติดกับแล้วดาวน์โหลดมัลแวร์ไปติดตั้งบนเครื่อง อย่าง การใช้โฆษณาปลอมบน Facebook ผ่านทางเครื่องมืออย่าง META Ads และ การใช้วิธีโอปลอมบน TikTok ซึ่งถูกสร้างผ่านการใช้งาน AI สำหรับการสร้างสื่อ หรือ Generative AI โดยลอกเลียนแบบผู้ที่เป็นพรีเซนเตอร์ หรือ Brand Ambassador ของแบรนด์ดัง

และในส่วนที่สำคัญที่สุดนั่นคือ การใช้งานโดเมนที่ปลอมตัวให้เหมือนกับโดเมนสำหรับร้านค้าบน TikTok ซึ่งโดเมนที่ถูกสร้างขึ้นมานั้นมีมากกว่า 15,000 โดเมน โดยมักใช้งาน Top-Level Domain อย่าง .top, .shop, และ .icu เป็นต้น ซึ่งโดเมนเหล่านี้เมื่อเหยื่อเผลอกดเข้า ตัวโดเมนก็จะนำพาเหยื่อไปยังเว็บไซต์ปลอมที่แฮกเกอร์สร้างเอาไว้ โดยตัวเว็บไซต์ก็มีหลากรูปแบบไม่ว่าจะเป็นการใช้กลเม็ดเพื่อหลอกขโมยรหัสผ่านของเหยื่อโดยตรง หรืออาจเป็นการแจกแอปพลิเคชันปลอมที่จะนำพาเหยื่อไปสู่การติดมัลแวร์ที่กล่าวไว้ข้างต้น ซึ่งอย่างหลังนั้น ทางทีมวิจัยพบว่ามีมากกว่า 5,000 โดเมนบนแคมเปญนี้ที่ใช้กลยุทธ์ดังกล่าว

เมื่อรวมทุกอย่างเข้าด้วยการ ทางทีมวิจัยจึงได้ทำการสรุปขั้นตอนการหลอกลวงเหยื่อของแฮกเกอร์ออกเป็น 3 รูปแบบดังนี้

• หลอกลวงเหยื่อทั้งที่เป็นผู้ซื้อ (Buyers) และ ผู้ขายที่เข้าร่วมโครงการคู่ค้าตัวแทน (Affiliate Sellers) ด้วยข้อเสนอสุดพิเศษอย่างเช่น สินค้าลดราคาแบบลดกระหน่ำ ที่มีข้อจำกัดว่าต้องจ่ายเงินค่าสินค้าด้วยเงินคริปโตเคอร์เรนซีเท่านั้น
• หลอกลวงให้เหล่า Affiliate Seller ทำงานเติมเงินคริปโตเคอร์เรนซี บนกระเป๋าเงินปลอมที่อยู่บนเว็บไซต์ปลายทาง โดยอ้างว่า เป็นการเติมเงินเพื่อลงทุนในการรับค่าคอมมิชชัน (Commission) หรือ ค่าโบนัสการถอนเงินในอนาคต
• ใช้หน้าล็อกอินเข้า TikTok Shop (ปลอม) เพื่อหลอกขโมยรหัสผ่าน หรือดาวน์โหลดให้ติดตั้งแอปพลิเคชันปลอมที่ทำได้ทั้งการขโมยรหัสผ่านและแทรกมัลแวร์ลงเครื่อง

โดยตัวแอปพลิเคชันปลอมนั้นหลังจากติดตั้งลงบนเครื่องแล้ว ก็จะขึ้นหน้าจอให้เหยื่อทำการล็อกอินบัญชีที่ต้องใช้อีเมลให้การล็อกอินเท่านั้นเพื่อหลอกขโมยรหัสผ่านขั้นหนึ่งก่อน หลังจากที่ล็อกอินล้มเหลว ตัวแอปพลิเคชันก็จะนำเสนอให้เหยื่อทำการล็อกอินด้วยการใช้บัญชี Google แทนเพื่อหลอกขโมย Token สำหรับใช้ฝ่าระบบการยืนยันตัวตน Google OAuTH หลังจากนั้นจึงจะเป็นการฝังมัลแวร์ลงไปเพื่อขโมยข้อมูลสำคัญและข้อมูลที่เกี่ยวข้องกับคริปโตเคอร์เรนซีตามที่กล่าวไว้ในข้อที่ผ่านมา

เห็นดังนี้แล้ว เหล่านักช็อปคงต้องมีความระมัดระวังตัวมากขึ้นเมื่อซื้อของกับร้านที่ไม่ใช่ร้านอย่างเป็นทางการบน TikTok รวมไปถึงเหล่าผู้ขายนั้นก็จำเป็นต้องมีการควบคุมความโลภให้ดี เพื่อที่จะได้ไม่ตกเป็นเหยื่อของแคมเปญหลอกลวงที่นอกจากจะเสียทรัพย์ อาจเสียทั้งร้านเพราะมอบรหัสผ่านให้แฮกเกอร์ไปแล้ว