Estafas de TikTok LIVE: Imágenes en vivo robadas que se utilizan para obtener obsequios de TikTok y promover estafas para ganar dinero
Las imágenes de video robadas de celebridades, creadores de contenido y otros están siendo utilizadas por estafadores en transmisiones de TikTok LIVE para obtener obsequios de TikTok, vender productos dudosos y conducir a los usuarios a sitios web de citas para adultos.
Antecedentes
Desde abril de 2021, he seguido a estafadores altamente motivados que han estado explotando la simpatía de los usuarios de TikTok y utilizando contenido de video robado para acumular suficientes seguidores para estar EN VIVO en TikTok. El contenido del video está siendo robado de celebridades bien conocidas como Dwayne "The Rock" Johnson, creadores de contenido como Charli D’Amelio (abajo) y un sinnúmero de otros para despojar a los usuarios de TikTok y a la propia plataforma, abusando de la funcionalidad EN VIVO de TikTok.
@charlidamelio esta cuenta está activa en tiktok con lo que creo es una disculpa que pediste en el pasado y que se subió de nuevo por alguien que te está suplantando y tus seguidores están realizando donaciones pensando que eres tú. pic.twitter.com/m5ybtjkgsB
— Amber (@indecisivetuber) 2 mayo de 2021
Los estafadores explotan imágenes robadas de estas celebridades y creadores de contenido usando los clips robados en sus propias transmisiones de TikTok LIVE para ganar dinero a través de tres acciones:
- Obsequios de TikTok LIVE - obsequios digitales que los fans dan a los creadores y que pueden ser canjeados por efectivo.
- Promoción de productos dudosos - comúnmente vendidos con un marcado margen de ganancias a través de servicios de dropshipping.
- Enlaces de afiliados a sitios web de citas para adultos - los estafadores ganan dinero por cada referencia.
A continuación, detallaré cómo cada una de estas tácticas es utilizada por los estafadores para aprovechar la plataforma de TikTok para obtener ingresos incrementales. Si bien estas estafas difícilmente son esquemas de "enriquecerse rápidamente", pueden equivaler a un flujo constante de ingresos para los estafadores a través de diferentes métodos, y en el caso de los obsequios EN VIVO, es una forma de robar poco a poco a los usuarios de TikTok mientras permanecen ocultos para los moderadores del sitio. Sin embargo, antes de hacerlo, revisemos las funcionalidades básicas de TikTok que explotan estas estafas.
Fuente: Tenable, October 2021
Two years ago, I published research highlighting how growing platforms like TikTok can become havens for scammers, and how the rise of impersonation accounts on the platform were being fueled by the social currency of likes and followers. Desde entonces, TikTok ha alcanzado la meta de mil millones de usuarios activos mensuales y ha superado a YouTube en tiempo promedio de visualización por usuario en los Estados Unidos y el Reino Unido. Por lo tanto, no es de extrañar que las estafas estén aumentando en formas nuevas y creativas.
La página TikTok’s For You sigue siendo el santo grial para los estafadores
El año pasado, destaqué cómo el algoritmo que impulsa la página de TikTok 's For You se convirtió en un eje para las estafas publicitarias en la plataforma, donde los estafadores pagaban por la colocación en la página de TikTok' s For You. Ahora, los estafadores se han abierto paso a la codiciada página de For You al abusar de la funcionalidad TikTok’s LIVE, una función designada para aquellos TikToks que han acumulado un mínimo de 1000 seguidores. .
Al igual que con otras plataformas sociales, como Instagram, cuando un creador popular publica, los usuarios que están ansiosos por interactuar directamente con ellos él. Los estafadores llevan esta interacción en vivo al siguiente nivel mediante el uso de imágenes de video robadas de fuentes como Instagram y el uso de cuentas falsas que terminan en la página For You, como muestro a detalle en la siguiente sección.
Suplantación de identidad: Celebridades, creadores de contenido destacado y otros
Fuente: Tenable, octubre de 2021
Los estafadores han activado cuentas falsas de TikTok, aprovechando imágenes de video robadas y probablemente grabadas en pantalla obtenidas de Instagram Live u otras fuentes de celebridades como Dwayne "The Rock" Johnson, Avril Lavigne y Chris Pratt, así como creadores populares de TikTok como Charli D’Amelio, que tiene el mayor número de seguidores en TikTok, y Bella Poarch, que tiene el video más popular en TikTok.
Fuente: Tenable, octubre de 2021
Los famosos no son los únicos blancos de los suplantadores de identidad. Los estafadores también han estado usando una serie de imágenes en vivo robadas de otros creadores que atraen a una audiencia significativa como Jeremiah Warlick (Rubber Band Man), imitadores de Michael Jackson, así como otros tipos de contenidos que llaman la atención, como niñas no identificadas llorando, contenido relacionado con la respuesta al meridiano sensorial autónomo (ASMR), artistas de caricaturas dibujando personas, imágenes de máquinas trituradoras de chatarra siendo alimentadas con diversos materiales y persecuciones a alta velocidad con audio no relacionado.
Fuente: Tenable, octubre de 2021
Los estafadores explotan la solidaridad, emplean videos robados para burlar el sistema
Como se mencionó anteriormente, una cuenta de TikTok sólo es capaz de estar EN VIVO una vez que haya alcanzado el requisito de 1000 seguidores. Si bien hay mil millones de usuarios activos mensuales en la plataforma, los creadores de contenido legítimos tardan tiempo en obtener dichos seguidores. Al estudiar su comportamiento, descubrí cómo los estafadores emplean dos métodos para burlar el sistema con el fin de obtener suficientes seguidores para estar EN VIVO: aprovechan la simpatía de los usuarios de TikTok y utilizan videos robados de otros creadores. Explotan la simpatía de los usuarios de TikTok y utilizan videos robados para burlar al sistema .
Generalmente, cuando los usuarios encuentran una de estas estafas de TikTok LIVE en su página For You, ya se ha borrado de las cuentas falsas cualquier contenido en un esfuerzo por enmascarar cómo se obtuvieron los seguidores, lo que se puede ver en el primer panel de la imagen de abajo. Sin embargo, he encontrado cuentas que no pudieron eliminar los videos, como se observa en el segundo panel de la imagen de abajo, lo que me dio una idea de cómo se utiliza la simpatía para obtener seguidores.
Fuente: Tenable, octubre de 2021
Muchas de estas cuentas falsas utilizan imágenes de video de animales, como perros o gatos que parecen haber sido maltratados o son discapacitados. Los estafadores superponen las imágenes de estos animales con texto como:
- “¿Me matarías gor(sic) USD 5?”
- “¿Cuánto me amas?”
- “Ignora si odias a los gatos discapacitados”
- “Ignórame si te asusto”
Fuente: Tenable, octubre de 2021
El texto está destinado a desafiar al usuario a interactuar con el contenido en lugar de alejarse de él. Le pide al usuario que le de un "me gusta, seguir y cuidar (sic)" al video. . En algunos de los videos, los estafadores usan superposición de texto para asignar valores arbitrarios a los botones de seguir, comentar y compartir y piden al usuario que exprese cuánto ama al animal haciendo clic en ellos. Los estafadores también pueden publicar videos con superposición de texto hablando de que los animales "no son bonitos" o "son feos".”
Fuente: Tenable, octubre de 2021
Al explotar la simpatía de los usuarios de TikTok para incrementar la interacción, los estafadores están entrenando de manera efectiva el algoritmo de TikTok para mostrar las cuentas de estafa a aún más usuarios de TikTok. El efecto de volante de inercia ayuda a impulsar estas cuentas a ganar más "me gusta" y cumplir con el requisito de 1000 seguidores necesarios para entrar EN VIVO en TikTok.
Fuente: Tenable, octubre de 2021
Alternativamente, los estafadores pueden lograr el mismo objetivo de 1000 seguidores mediante el uso de imágenes robadas de los desafíos de baile de TikTok con mujeres atractivas. Al igual que con los videos de animales, los usuarios que se encuentren con estos videos robados e interactúen con ellos entrenarán el algoritmo para ayudar a mejorar el alcance de estas cuentas falsas.
Fuente: Tenable, octubre de 2021
Una vez que obtienen 1000 seguidores y pueden usar TikTok LIVE, la verdadera estafa inicia.
Obsequios de TikTok: Cómo los estafadores monetizan su actividad a través de recompensas para creadores
TikTok ofrece múltiples formas para que los creadores moneticen su contenido, incluido su fondo de creadores su mercado de creadores y sus obsequios EN VIVO. Para este estudio, me enfoqué en cómo los estafadores están usando los regalos EN VIVO.
Los obsequios EN VIVO son una función de TikTok que permite a los fans y seguidores enviar regalos virtuales a los creadores durante una transmisión de TikTok LIVE. Los fans utilizan la moneda del mundo real para comprar “monedas” en TikTok que luego pueden canjear por regalos digitales, que son esencialmente fichas, como una rosa, un regalo o regalos más extravagantes como un espectáculo de fuegos artificiales o estrellas fugaces, que luego pueden enviar a sus creadores favoritos. Cuando los creadores reciben "obsequios", se pueden cambiar por créditos virtuales, llamados "diamantes", que luego se pueden cambiar por moneda local y depositarse en una cuenta de PayPal. Por ejemplo, la imagen a continuación muestra varias transmisiones de estafa EN VIVO durante las cuales los fans están regalando a los creadores regalos virtuales como rosas.
Fuente: Tenable, octubre de 2021
Para aprovechar esta fuente de ingresos legítima dentro de TikTok, los estafadores utilizan imágenes robadas de otras fuentes, como Instagram, o de otros creadores en TikTok cuando están EN VIVO. Ninguno de los videos que usan los estafadores pide explícitamente a los usuarios que envíen regalos EN VIVO, pero los espectadores de TikTok de estas transmisiones fraudulentas a menudo envían regalos a los estafadores con la esperanza de llamar la atención de las supuestas celebridades o creadores de contenido.
Fuente: Tenable, octubre de 2021
En la imagen de arriba, una cuenta de TikTok falsa está usando imágenes en vivo robadas que han sido reutilizadas para su transmisión. El panel de la izquierda muestra la transmisión en vivo, durante la cual reciben cientos de regalos virtuales en forma de rosas, regalos envueltos y otros. TikTok anima a los usuarios a mostrar su apoyo enviando un regalo. El panel en el centro muestra cuántas monedas de TikTok se necesitan para comprar cada tipo de regalo virtual. El panel de la derecha muestra el valor en dólares de las monedas; en dólares estadounidenses, las monedas TikTok cuestan aproximadamente 1,5 centavos cada una.
| Ítem | Precio de compra - USD (cada uno) | Valor de la plataforma | Comisión de TikTok |
|---|---|---|---|
| Moneda de TikTok | $0.015 | $0.01 | 33 % |
| Obsequio virtual | USD 0,01- USD 50,00 | USD 0,01- USD 50,00 | - |
| Diamante. | n/c | $0.005 | 50 % |
Los usuarios pueden gastar desde una moneda hasta 5 000 monedas para comprar regalos virtuales para los creadores Cuando un creador acumula suficientes obsequios, puede intercambiarlos por diamantes, que valen aproximadamente la mitad que una moneda, o, básicamente, fracciones de un centavo. Cada vez que un creador cambia por efectivo un diamante, parece que TikTok recibe el 50 %.
Acabo de terminar mi evento en vivo en TikTok para recaudar dinero para el fondo de ayuda para los incendios forestales en Australia. Recaudamos USD 376 y yo pondré otros USD 124 para tener un total de USD 500. ¿A qué organización de ayuda para los aniamles lo debemos donar? Añadir el enlace a continuación. pic.twitter.com/XKOiCPYRMO
— Marc D'Amelio (@marcdamelio) 8 de enero de 2020
El ejemplo anterior de un TikTok legítimo EN VIVO de Marc D’Amelio, el padre de Charli D’Amelio, muestra que un saldo de 75,328 diamantes es igual a USD 376, que valora cada diamante en USD 0,005, o la mitad de un centavo.
Mi estudio de estas actividades sugiere que los estafadores están abusando de la función de TikTok LIVE para recibir obsequios con el fin de convertirlos en diamantes y, en última instancia, retirarlos en moneda fiduciaria. Dado que las monedas de TikTok sólo valen fracciones de un centavo, esto puede parecer un arduo método para aprovecharse del sistema, pero los obsequios se pueden acumular rápidamente. Por ejemplo, las transmisiones EN VIVO típicas de media hora que he estudiado pueden ganar conservadoramente entre 50 y 200 obsequios; cuanto más larga sea la transmisión, mayor será el número de obsequios acumulados. Los estafadores ambiciosos que utilizan imágenes robadas y múltiples perfiles de creadores podrían ejecutar horas de transmisiones EN VIVO por día en múltiples cuentas, lo que genera ingresos incrementales a cambio de muy poco esfuerzo.
Fuente: Tenable, octubre de 2021
El ejemplo anterior muestra una transmisión falsa de TikTok LIVE que recibió 788 rosas de un espectador, que fue el mayor número que personalmente he visto recibido a través de una de estas estafas. Una rosa cuesta a un espectador una moneda, por lo que según la tabla de valoración anterior, 788 rosas se valorarían en USD 7,88 en la plataforma. Sin embargo, estos obsequios se depositarían en las cuentas de los estafadores como diamantes, valorándolos en USD 4 después de la comisión de TikTok. Las 788 rosas no son los únicos obsequios que estos estafadores recibieron, ya que creo que probablemente han ganado más obsequios durante las continuas
transmisiones EN VIVO, escalando el monto de lo que son capaces de estafar.
Promoción de productos dudosos
Además de aprovechar la funcionalidad de los obsequios EN VIVO incorporada, he observado que algunos estafadores utilizan transmisiones EN VIVO para obtener más visibilidad de sus perfiles, donde promueven productos dudosos. Esto no es tan diferente de las estafas que observé que se ofrecían a través de los anuncios de TikTok el año pasado, donde los estafadores simplemente pagaban para promocionar los productos.
Fuente: Tenable, octubre de 2021
De manera similar a mi investigación anterior, muchos de estos estafadores utilizan una técnica llamada dropshipping, donde obtienen productos de sitios web como AliExpress a bajo costo y los revenden a un precio significativamente mayor a través de sitios web creados en Shopify.
Fuente: Tenable, octubre de 2021
Como advertí en mi investigación anterior, el problema con el dropshipping es que el cliente puede terminar sin producto o con uno incorrecto.
Fuente: Tenable, octubre de 2021
En algunos casos, los estafadores no están utilizando sus perfiles de TikTok para enlazar a su propio sitio web de Shopify. En su lugar, están añadiendo enlaces que redirigen a los usuarios para que envíen un mensaje a las cuentas de WhatsApp Business. Si bien no participé en ninguna de las cuentas de WhatsApp Business que
encontré, sospecho que los estafadores usarían WhatsApp para dirigir a los
usuarios a su página de marca Shopify, en lugar de hacerlo directamente en
TikTok.
Enlaces asociados a sitios web de citas de adultos
Los estafadores también usan TikTok LIVE para promocionar sitios web de citas de adultos a través de perfiles falsos. Los usuarios que visitan los perfiles falsos son dirigidos a sitios web de citas para adultos a través de un identificador de afiliado único en la URL, que es utilizado por los sitios web de citas para adultos para rastrear el origen de la referencia. Si un usuario se registra para obtener una cuenta en el sitio web vinculado, el estafador gana una pequeña comisión por la referencia.
Fuente: Tenable, octubre de 2021
En el ejemplo anterior, los estafadores reutilizaron imágenes robadas para su propia transmisión de TikTok LIVE. Cuando visité la cuenta asociada con la estafa, no vi ningún video asociado con ella. Sin embargo, el nombre de usuario contiene la palabra "animales" y tiene 119 000 "me gusta", lo que sugiere que en un momento dado hubo videos asociados con la cuenta y los estafadores desde entonces los han eliminado.
Fuente: Tenable, octubre de 2021
En algunos casos, descubrí que los estafadores no estaban usando imágenes de video en vivo robadas. En su lugar, presentaban una imagen estática dentro de EN VIVO que decía "18+" en él con el fin de despertar la curiosidad de sus espectadores para que puedan visitar su perfil.
Fuente: Tenable, octubre de 2021
Esta es una continuación de las estafas de citas para adultos que observé por primera vez en TikTok en 2019 excepto que aprovecha la funcionalidad de TikTok LIVE para acceder a la página For You en su lugar.
La marca varía en estas estafas. He visto a estafadores usar marcas como "TikTok For Sex" en las páginas iniciales, así como enlaces a una aplicación móvil llamada "PrivMe". Las páginas de inicio son páginas intermedias que enmascaran las tácticas de los estafadores para la adquisición de tráfico de los sitios web de citas para adultos. En algunos casos, los estafadores están utilizando la marca asociada con el popular servicio OnlyFans en las páginas de inicio del intermediario, como se observa en el tercer panel en la imagen de arriba. A pesar de que los sitios web no están afiliados con OnlyFans, los estafadores simplemente usan una marca familiar para atraer al usuario a completar una breve encuesta. Una vez que un usuario completa la encuesta, es dirigido al sitio web de citas para adultos real llamado OnlyFlings, un juego con el nombre de OnlyFans como se observa en la imagen de arriba. Los sitios web de citas para adultos no escatiman en el uso de marcas familiares, como he escrito sobre sitios web como SnapCheat y Sinder que se utilizan en las estafas de bots porno de Instagram.
Fuente: Tenable, octubre de 2021
Para los sitios web de citas para adultos, los estafadores pueden ganar entre USD 3 y USD 4 por referir un cliente potencial al sitio web de citas para adultos, dependiendo de la acción requerida del usuario. En algunos casos, si una oferta de afiliado incluye una suscripción única (SOI), los estafadores solo necesitan convencer a los usuarios de que proporcionen información básica como su nombre y dirección de correo electrónico. Incluso una dirección de correo electrónico falsa todavía cuenta como un prospecto y el estafador gana con ella.
Abordar las estafas EN VIVO al mejorar la funcionalidad de informes
Para TikTok y sus usuarios, la solución más rápida para estas estafas es aprovechar la funcionalidad de reportar incorporada bajo el icono "Compartir".
Fuente: Tenable, octubre de 2021
En el caso de suplantaciones obvias que involucren a celebridades o creadores destacados de TikTok, los usuarios pueden seleccionar la opción "Finge ser otra persona". Sin embargo, para otro contenido cuestionable de TikTok LIVE, no existe una opción clara para reportar las estafas. A los usuarios solo se les da una opción general llamada "Otro"
Fuente: Tenable, octubre de 2021
Esta funcionalidad de informe pide a los usuarios que proporcionen manualmente una descripción del problema en lugar de proporcionar opciones predefinidas. TikTok debería proporcionar opciones de informes detallados aquí para que sea más fácil denunciar este tipo de estafas.
Fuente: Tenable, octubre de 2021
Las estafas continúan evolucionando dentro de las plataformas en crecimiento
Como alguien que ha estado investigando estafas en las redes sociales durante más de una década, he visto lo que está sucediendo en TikTok antes en Snapchat, Instagram, Twitter y Facebook. Como describí en mi primer informe sobre las estafas de TikTok, una plataforma que experimenta un crecimiento exponencial no solo atrae a los usuarios, sino también a los estafadores. Si bien estas plataformas trabajan para manejar su creciente número de usuarios, también deben luchar contra los estafadores, que encuentran un nicho para sus estafas que explotan a los usuarios para enriquecerse.
En los dos años transcurridos desde mi informe original, los estafadores han encontrado formas únicas y creativas de ponerse frente a los usuarios de TikTok aprovechando la plataforma publicitaria y ahora con las transmisiones de TikTok LIVE. Lamarca de mil millones de usuarios activos mensuales es una gran meta para TikTok, pero sirve como un recordatorio de que los estafadores continuarán dirigiéndose a los usuarios en su plataforma en el futuro previsible si TikTok no proporciona mejores opciones de informes para sus usuarios y dedica más recursos a combatir las estafas en su plataforma. Es similar al juego proverbial del gato y el ratón, donde TikTok es el gato, pero en lugar de un solo ratón, hay un flujo constante de ratones.
Obtenga más información
- Estafas de TikTok: Cómo las aplicaciones y servicios populares se convierten en nuevos refugios para los estafadores
- Estafas de TikTok: Cómo la moneda social impulsa la economía para las cuentas de suplantación de identidad y los servicios de seguidores y "me gusta" gratuitos
- Estafas de anuncios de TikTok: una moderación insuficiente deja la página "Para ti" llena de aplicaciones, productos y servicios dudosos
- Los bots pornográficos de Instagram hacen evolucionar los métodos para vender spam de citas de adultos
Únase al Equipo de respuesta de seguridad de Tenable en Tenable Community.
Artículos relacionados
Cybersecurity Snapshot: CISA Says Midnight Blizzard Swiped U.S. Gov’t Emails During Microsoft Hack, Tells Fed Agencies To Take Immediate Action
April 12, 2024Check out CISA’s urgent call for federal agencies to protect themselves from Midnight Blizzard’s breach of Microsoft corporate emails. Plus, a new survey shows cybersecurity pros are guardedly optimistic about AI. Meanwhile, SANS pinpoints the four trends CISOs absolutely must focus on this year. And the NSA is sharing best practices for data security. And much more!
Cybersecurity Snapshot: New Guide Details How To Use AI Securely, as CERT Honcho Tells CISOs To Sharpen AI Security Skills Pronto
January 26, 2024Cyber agencies from multiple countries published a joint guide on using artificial intelligence safely. Meanwhile, CERT’s director says AI is the top skill for CISOs to have in 2024. Plus, the UK’s NCSC forecasts how AI will supercharge cyberattacks. And a global survey shows cyber pros weighing pros and cons of AI. And much more!
Cybersecurity Snapshot: Are SBOMs on Your Supply Chain Security Radar Screen? Check Out New Recommendations from CISA and NSA
November 17, 2023The SBOM concept is still half-baked, but CISA and NSA want to help change that with new best practices for software vendors, developers and buyers. Plus, there’s new guidance about the Royal ransomware gang – as ransomware attacks grow. In addition, Google highlights a new typosquatting trend impacting cloud storage. And much more!
Operational Technology in the DoD: Ensuring a Secure and Efficient Power Grid
April 19, 2024In an evolving threat landscape, the DoD must make sure that its mission-critical operations don’t experience power outages.
Cybersecurity Snapshot: Cyber Agencies Offer Secure AI Tips, while Stanford Issues In-Depth AI Trends Analysis, Including of AI Security
April 19, 2024Check out recommendations for securing AI systems from the Five Eyes cybersecurity agencies. Plus, Stanford University offers a comprehensive review of AI trends. Meanwhile, a new open-source tool aims to simplify SBOM usage. And don’t miss the latest CIS Benchmarks updates. And much more!
Tenable and Thales Collaborate to Provide Cyber Defense Simulations to Better Secure Operational Technology Environments
April 18, 2024The heart of the Welsh Valleys is home to the Thales Ebbw Vale campus, a world-class facility jointly funded by the Welsh government as part of its regeneration program for the region. At the core of the facility is the Cyber Range, a simulation and virtualization platform for training, testing, exercising and R&D. Tenable has joined the lineup of solutions used to run real world simulations in this controlled environment.
- Malware