TIP#3221: Jak na Tiktoku (a dalších sítích) můžete chytit malware nebo jinou pohromu

Oblíbenost TikToku (ale i Instagramu) je dost dobrým důvodem k tomu, proč se zloději a útočníci vyskytují právě tam. A jakkoliv jde jen o síť s videem, měli byste leccos vědět.

Vedle chycení malware (infikování počítače či mobilu) je široce rozšířená okrádání v různých podobách a krádeže účtů – ty jsou potom využití pro kontaktování vašich přátel/sledujících a další okrádání. 

Pamatujte, nikdy si neinstalujte do počítače či mobilu aplikace, které vám někdo neznámý či neověřitelný “dohodil” na sociálních sítích. Stejně tak nikdy nedávejte či nevkládejte svá přihlašovací údaje kamkoliv jinam, než do konkrétní aplikace/webu dané sociální sítě.

Právě krádež účtů je velmi častá a oběť tak vlastně dobrovolně předá svůj účet někomu cizímu. Vedle zneužití identity pak může hrozit třeba i zneužití připojené platební metody. Právě pro tvůrce, správce stránek a firmy jsou krádeže osobních účtů zásadní riziko. 

Všechno tohle špatné se na TIkToku (i inde) nešíří jen přes samotné video. Často důležitější je komentář: „link v bio“, „napiš mi“, „návod zde“, „funguje 100 %“, „download“, „Telegram skupina“, „WhatsApp kontakt“.  A soukromé zprávy jsou ještě rizikovější, protože útočník může reagovat osobně a postupně budovat důvěru.

Nejčastější cesty jak vás přimět k chybě

Falešné soutěže
stále frčí, už od doby Facebooku (kde ostatně frčí stále). Slibují dárky, výhry či něco za fantastickou cenu (třeba poslední iPhone). Odvedou vás na web a zpravidla z vás dostanou citlivé údaje, údaje z platební karty, přesvědčí k instalace škodlivé aplikace. A oblibené stále je ti to, že musíte volat na zpoplatněná čísla. 

Pamatujete třeba na Falešný Lidl na Facebooku pořádá „soutěž“. A stovky lidí „soutěží“, není to tak dávno, rok 2021. O dva roky předtím Podvodná soutěž o poukázku na 20 000 Kč do Penny Marketu. Češi to opět masově sdílí na sociálních sítích

Podvody s QR kódy
jsou také známá metoda, široce rozšířená po Internetu. Za naskenování kódu je nabízeno leccos, ale reálně vás pouze přesměrují na škodlivý web. Může jít i o podvržené platební QR kódy. Ostatně viz Jsou QR kódy bezpečné? Co hrozí při používání?

Falešné nástroje „Unfilter“ nebo „Reveal“,
tedy něco co slibuje, že odstraní filtry, zviditelní začerněné či rozmazané části ve video. Nejčastěji uvidíte video, kde se nabízí právě takové  řešení, včetně toho jak funguje. Jenže háček je, že budete muset stáhnout aplikaci, která na váš mobil či počítač dopraví malware. 

Rozšíření prohlížeče a „nástroje pro stahování videí“
jsou jedním z extrémně oblíbených nástroju, zejména to druhé – protože kdo by něchtěl umět “stáhnout video z Instagramu”, ale těch různých slibných věíc je mnohem více. 

„Tajné“ nebo „Pro“ TikTok aplikace pro přístup k exkluzivním funkcím
je reinkarnace “placeného WhatsApp” a dalších podobných. Tiktok nic takového nemá a jediné ci můžete je přepínat mezi osobním účtem a účtem Business – což je možné kdykoliv a zadarmo. A patří sem i „můžete získat ověřený účet“, viz aktuální příklad vpravo.

TIP: Užitečné čtení najdete i v Jak nenaletět podvodníkům, když něco prodáváte přes Internet. Co nikdy nedělat

Zprávy z falešných účtů celebrit/influencerů
jsou extrémně nebezpečné, protože zcela běžně vedou k tak často se vyskytujícím následkům v podobě okradení oběti, která (zcela nepochopitelně) věří v něco jako že ji píše Brad Pitt či snad Andrej Babiš. Pozor i na to, že dnes se aktivně používají deepfake, AI hlasy a falešné autority. 

Aktivita popsaná v Podvody s kryptoměnou a Petrem Kellnerem už ve velkém i na Linkedin (rok 2021) se v záplavě podob vyskytuje neustále a připravuje lidí i o miliony korun.

Falešná oznámení o porušení autorských práv
je také hodně dlouho staré schéma a na Facebooku stále jede ve velkém (viz ostatně starší Jak vám může někdo ukrást Stránku na Facebooku? A jak tomu zabránit? a příklad v 𝐅𝐮𝐧𝐜𝐭𝐢𝐨𝐧 𝐏𝐚𝐠𝐞𝐬 𝐂𝐨𝐧𝐟𝐢𝐫𝐦𝐚𝐭𝐢𝐨𝐧. Na Facebooku opět jede snaha o krádeže stránek. V češtině.). Přímá zpráva o tom, že jste porušili něčí autorská práva a že musíte reagovat, aby váš účet nebyl zrušen. A pokračování je klasické, okradení, ukradení účtu, infikování počítače či mobilu. Tváří se jako když vám píše Facebook či Tiktok, nebo pravník či právní kanceláře, ale účty co takto píší jsou falešné nebo kradené. 

POZOR: Malware a okrádačky na socilních sítích jedou ve velkém i přes reklamu.

„Návody“, které vás donutí spustit příkaz jsou relativně nové a v zásadě je to nějaký užitečně vypadající návod, případně něco co vám umožní například získat WIndows či Office zdarma. A součástí je zkopírování nějakého příkazu, otevření příkazové řádky a spuštění tohot příkazu. Bezpečnostní firmy tyto útoky často označují jako ClickFix a budete to vlastně vy, kdo si zaviruje počítač.

Falešné aplikace, APK soubory a „stahujte mimo obchod“
a opět něco jako vylepšený TikTok, TikTok pro dospělé, TikTok Shop aplikace, CapCut Pro zdarma, AI generátor, VPN, downloader, přehrávač, cheat, modifikovaná/odemčená hra, „odblokování regionu“ nebo nástroj na získání sledujících. Na Androidu jde typicky o APK soubory. Na iPhonu může jít o konfigurační profily, alternativní tržiště, podvodné návody, testovací instalace nebo „ověřovací“ postupy

Falešný TikTok Shop, falešné obchody a podvodné slevy.
Krátká videa, falešné recenze, AI obsah, ukradené fotky produktů, obří slevy a falešné domény. The Hacker News v roce 2025 psal o kampani s tisíci falešných TikTok Shop domén, které kombinovaly phishing a malware, a napodobovaly TikTok Shop nebo affiliate prostředí. 

Infostealery: aneb proč je krádež cookies horší než „jen heslo“.
Infostealer je malware, který sbírá uložená hesla, cookies, tokeny, data prohlížeče, kryptopeněženky, soubory a někdy i screenshoty. Nebezpečné je, že útočník se někdy dostane do účtu i bez znalosti hesla, protože ukradne aktivní přihlášenou relaci.

Oprávnění aplikací: kamera, mikrofon, fotky, kontakty, oznámení
je asi poslední věc, na kterou je nutné upozornit. I aplikace, která není klasický virus, může být riziková, pokud jí dáte příliš mnoho oprávnění. Podvodné aplikace často žádají přístup k SMS, oznámením, kontaktům, fotkám, poloze, mikrofonu, kameře, přístupnosti nebo správě zařízení.

Co dělat, když jste naletěli

1. Zastavte další škody: odpojte zařízení od internetu, pokud jste něco spustili nebo instalovali.
2. Neměňte hesla z podezřelého zařízení: použijte jiné, čisté zařízení.
3. Změňte hesla: e-mail, TikTok, Google/Apple účet, Facebook/Instagram, banka, správce hesel.
4. Odhlaste všechny relace: v nastavení účtů najít „zařízení“, „aktivní relace“, „přihlášená zařízení“.
5. Zapněte 2FA: zejména e-mail a sociální sítě.
6. Zkontrolujte obnovovací údaje: jestli útočník nepřidal svůj e-mail, telefon, aplikaci nebo záložní kódy.
7. Odinstalujte podezřelé aplikace a rozšíření.
8. Zkontrolujte oprávnění.
9. Zkontrolujte banku a platby.
10. Varujte kontakty, pokud z vašeho účtu odcházely zprávy.
11. Nahlaste účet/video/reklamu/platformě. Byť, nutno dodat, to moc nepomůže.
12. U firemních účtů okamžitě kontaktujte IT nebo správce bezpečnosti.

Tipy týkající se Bezpečného Internetu

Bezpečnost Facebook Instagram Jak na bezpečný Internet Jak na TikTok Podvod Scam Soukromí TikTok