הרמאים אוהבים לפתות אנשים באמצעות הבטחה לרווחים גדולים תמורת השקעה קטנה. המטבעות הדיגיטליים צמחו במהירות עצומה (וגם צנחו) בזמן האחרון, ולכן אלה נוטים ליצור רעש גדול ברשתות, וטיקטוק היא עדיין הרשת בה הרמאים מעדיפים להשתמש כדי להפריד בין אנשים ובין הכסף שלהם. ההצעות האלה תמיד נשמעות טוב מדי כדי להיות אמיתיות - מכיוון שהן אכן כאלה. האם אילון מאסק באמת מתכוון לתת מיליון דולר למשתמשי אינטרנט אקראיים?

הודעת דיוג (פישינג) בטיקטוק אלו הודעות אשר נשלחות באופן שרירותי, ממש כמו כל הודעת דיוג, בתקווה שהיא תגיע לתיבת ההודעות של משתמש טיקטוק. הם עשויים להציע את "ה'וי' הכחול" הנחשק, עוקבים נוספים או אפילו חסות. לאחר שהקורבן לוחץ על הקישור בהודעה, הוא מופנה לאתר שיבקש את פרטי הגישה שלו לטיקטוק. אם בחשבון לא מופעל אימות דו-שלבי (וטיקטוק משאירה אותו מכובה כברירת מחדל), הפצחנים יקבלו שליטה מלאה על החשבון מרגע שהפרטים הועברו, והם אפילו יוכלו להשאיר את המשתמש המקורי ללא גישה לחשבון שלו.

לרוע המזל, טיקטוק עדיין מלאה בחשבונות בוטים שיוצרים קשר באופן מחוכם עם משתמשים וגורמים להם לחשוב שהם מדברים עם אדם אמיתי. בשלבים הסופיים של השיחה, הבוטים האלה יבקשו מהקורבנות פרטי מידע רגישים, או אפילו יציעו להם להיכנס לאתרים שהם עמודים זדוניים, במטרה להשיג מהם מידע במרמה או להתקין נוזקות על הטלפונים שלהם.

במקרים מסוימים, חשבונות מזויפים בטיקטוק מקדמים ישומונים שזמינים להורדה. הבעיה היא שהיישומונים האלה הם מזויפים. חלק מהחשבונות יטענו שניתן להוריד תוכנות שכרוכות בתשלום חינם באמצעות חנויות ישומונים חיצוניות. אך למעשה, היישומונים האלה יתקינו נוזקות מסוגים שונים על המכשיר שלכם כדי לגנוב את המידע שלכם.

חלק מהחשבונות ינסו להתחזות לידוענים אמיתיים. ברוב המקרים, הם עושים זאת באמצעות שכפול פשוט של תוכן מהחשבון של אותו סלבריטאי. זהו ניסיון לצבור מספר גדול ככל האפשר של עוקבים, ושימוש בפופולריות הזאת כדי לקדם הונאות אחרות כמו השקעה לכאורה במטבעות דיגיטליים, לפני שהזיוף מתגלה והחשבון מדווח לפלטפורמה.

אימות דו-שלבי - אומנם קשה לפרוץ לחשבון הטיקטוק של מישהו כל עוד התוקף לא נמצא בקרבה פיזית למכשיר ויכול לבצע "הצצה מעבר לכתף" (מה שמאפשר לצפות בקוד האימות שנשלח למכשיר באמצעות התצוגה המקדימה של ההודעות), אך עדיין מומלץ להפעיל אימות דו-שלבי בחשבון אם עדיין לא עשיתם זאת. הפעלת האפשרות מונעת מעברייני סייבר שקרובים אליכם להשלים את ניסיון הפריצה גם אם הם קרובים אליכם ויראו את קוד האיפוס שנשלח במסרון, מכיוון שיצטרכו לראות גם לראות את הקוד שנשלח בדוא"ל כדי להשלים הפעולה. טיקטוק לא יבקשו מכם את הסיסמה - כמו כל פלטפורמה אחרת, גם טיקטוק לא יפנו אליכם ויבקשו את פרטי החשבון שלכם, הסיסמה שלו, קוד חד-פעמי או כל אמצעי אימות אחר. מכיוון שפריצה לחשבון עשויה להיות בעיה גדולה מאוד, חשוב שתזכרו להיזהר מפני רמאים שכנראה ינסו לגרום לכם לחלוק איתם את המידע שלכם - בדרך כלל באמצעות הדוא"ל או הודעה בתוך הישומון. דווחו לטיקטוק - בנוסף, אם אתם נתקלים בסרטונים בטיקטוק שאתם חושבים שעשויים להיות חלק הונאה או ניסיון דיוג, דווחו עליהם לטיקטוק מיד והימנעו מלחיצה על הקישורים הזמינים בסרטון.