在柬埔寨一处洗钱中心里,秒破卖一名员工打开手机上一款流行的解银解工具越南银行 App。App 要求他上传一张与账户关联的行人行破照片,他点开了一张 30 多岁亚洲男性的脸验照片。
接下来,频道App 要求开启摄像头进行视频“活体检测”。秒破卖这名诈骗者举起一张女性的解银解工具静态照片——和账户持有人那名男性长得毫无相似之处。等了 90 秒,行人行破App 提示他调整面部位置以适配画框——然后成功通过了验证。脸验
一位叫 Hieu Minh Ngo 的频道网络诈骗研究员分享给我一段视频,展示了上述破解过程。秒破卖这种攻击之所以能成功,解银解工具依靠的行人行破是 Telegram 上越来越多的非法黑客服务中的一种——这些服务公开出售,专门用来破解银行和加密货币平台的脸验“了解你的客户”(Know your customer,KYC)人脸验证。频道
KYC 人脸验证本该确认账户属于一个真实的人,并且当前用户的面部与开户时提供的身份证件相匹配。但诈骗者正在绕过这些验证来开设“骡子账户”(mule account,金融犯罪领域的专业术语,即用他人身份开设的、专门用于转移赃款的银行账户)进行洗钱。他们通常不让手机的真实摄像头进行活体检测,而是使用一种叫虚拟摄像头的工具,用其他视频或照片替换实时画面——这些画面可以是真人、深度伪造人脸(Deepfake),甚至一个物品。
金融机构不断出台更强的安全措施来拦截网络诈骗,而这些绕过方法则是犯罪分子与金融服务行业之间猫鼠游戏的最新一轮交锋。
今年早些时候,《麻省理工科技评论》用两个月时间进行了一项调查,共找到 22 个中文、越文和英文的公开 Telegram 频道和群组,它们在推销 KYC 绕过工具包和被盗的生物特征数据。这些软件工具包用各种方法入侵手机操作系统和银行应用,声称能帮用户绕过从 Binance 等主流加密货币交易所到西班牙 BBVA 等知名银行的合规检查。
“专业银行服务——处理黑钱,”那名柬埔寨洗钱者使用的程序 Telegram 简介里这样写道,还配了一个竖大拇指的表情,“安全。专业。高品质。”这条简介后来被删除。一些频道和群组拥有数千名订阅者或成员,许多频道用项目符号列出自己的服务(“各种 KYC 验证服务”;“全程丝滑”),还配上声称展示了成功攻击的视频。
Telegram 表示,在审查这些账号后,已因违反服务条款将其删除。但这类线上市场很容易增生,目前仍有多个推销类似工具的频道和群组在活跃运营。
KYC 绕过手段的兴起,与全球“杀猪盘”网络诈骗产业的扩张同步发生。世界各地的加密货币平台和银行因非法资金流经自身平台而面临越来越严格的审查,这些非法资金包括杀猪盘诈骗的获利。这促使越南和泰国等国收紧了银行监管——政府强化了客户验证和欺诈监控要求,并推动加密货币行业建立更强的反洗钱保障机制。
美国区块链分析公司 Chainalysis 估计,2025 年加密货币诈骗和欺诈造成的损失约为 170 亿美元,高于 2024 年的 130 亿美元。联合国毒品和犯罪问题办公室在近期一份报告中警告说,亚洲诈骗集团向非洲和太平洋地区的扩张,已帮助这一产业“大幅提高了利润规模”。
更严格的监管加上更多的收入——这两个因素叠加,把 KYC 绕过工具推到了网络诈骗和赌场洗钱线上市场的核心位置。网络安全研究人员表示,此类攻击正在上升,尽管各家估算有出入:生物特征验证公司 iProov 估计 2024 年全球范围内虚拟摄像头攻击的频率是 2023 年的 25 倍以上;KYC 服务商 Sumsub 则报告称,其客户中“复杂的”或多步骤的欺诈尝试(包括虚拟摄像头绕过)去年几乎增长了两倍。
在这些 Telegram 频道上被点名为攻击目标的三家金融机构——全球最大的加密货币交易所 Binance(币安)、BBVA 和英国的 Revolut——均表示知道此类绕过手段的存在,并强调这是全行业面临的挑战。Binance 的发言人表示公司“观察到了此类试图绕过我们管控的行为”,并补充说“我们已经成功阻止了此类攻击,对我们的系统充满信心”。BBVA 和 Revolut 也拒绝就其安全防线是否被突破发表评论。
成功率很难估计,因为企业可能直到事后才发现被绕过、才报告这些情况。“重要的是我们看不到的那些,”Sumsub 的反欺诈产品负责人阿尔乔姆·波波夫(Artem Popov)对我说,他指的是那些未被发现的攻击。“这个故事里总有一部分可能完全隐藏在我们的视野之外,也隐藏在行业里任何一家公司的视野之外,不管他们用的是什么 KYC 供应商。”
这些工具的广告看上去够简单,但在后端,构建一次成功的绕过是复杂的,往往需要组合多种手段。一些频道提供对实体手机进行“越狱”的服务,让诈骗者随时可以触发虚拟摄像头取代手机内置摄像头。另一些则通过向金融机构的 App 注入一种叫“Hook 框架”的代码来触发虚拟摄像头。无论用哪种方式,虚拟摄像头都能用图片或视频替换账户持有人的真实实时画面,从而骗过 KYC 验证。
网络安全公司 Talsec 的 CEO 谢尔希·亚基姆丘克(Sergiy Yakymchuk)主要服务于金融机构。他审查了《麻省理工科技评论》找到的这些 Telegram 频道的详细信息后表示,它们与他的银行和加密货币客户实际遭遇的攻击手法一致。过去一年,他的团队收到了大约 30 起基于虚拟摄像头的入侵求助,而 2023 年还不到 10 起。
亚基姆丘克说,黑客越来越多地同时入侵手机本身和金融机构 App 的代码,然后向虚拟摄像头输入被盗的生物特征数据和深伪画面的混合素材。
“前一阵子,只要把银行 App 反编译一下发到 Telegram 上就够了,那就是你需要的全部,”他说,“现在不够了,因为有了 KYC——需要的东西越来越多。”
对洗钱者来说,KYC 绕过工具“现在已经成了做一切事情的必需品,因为诈骗园区需要转移资金。”分享了那段演示视频的研究员 Ngo 说。Ngo 曾是一名被定罪的黑客,后来成为越南政府的网络安全顾问,现在运营一家反诈非营利组织,并协助执法部门调查洗钱案件。
他描述了杀猪盘诈骗的洗钱流程:来自受害者的资金先进入洗钱网络控制或租用的银行账户,这些网络被俗称为“水房”。洗钱者利用 KYC 绕过工具进入账户,迅速把赃款分散转移,再将其兑换成数字资产,通常是与美元挂钩的稳定币 Tether。
这些交易往往在几秒钟内完成,整个过程管理严密。“他们非常清楚银行验证或认证账户的完整流程,”Ngo 说。
网络诈骗洗钱的增长导致金融机构面临更严格的审视。2023 年,Binance 在美国联邦法院认罪,承认在缺乏反洗钱保障措施的情况下运营。去年 10 月,特朗普赦免了 Binance 前 CEO 赵长鹏(Changpeng Zhao)。
国际调查记者联盟(ICIJ)最近的分析发现,在赵长鹏认罪之后,仍有超过 4 亿美元的资金从 Huione Group 流向 Binance。Huione Group 是一家柬埔寨公司,因被美国财政部认定为杀猪盘洗钱的“关键节点”而遭到美国制裁。
Binance 表示自己拥有“最先进的安全系统”,已阻止了数十亿美元的欺诈损失,2025 年共处理了超过 7.1 万条执法请求。
但德州大学奥斯汀分校的金融和区块链专家约翰·格里芬(John Griffin)并不认为这些交易所足够安全。“尽管他们铺天盖地地宣传‘是的,我们改了这个改了那个’——好吧,是骡子是马拉出来遛遛。犯罪分子还在用你的交易所,”格里芬谈到整个行业时对我说,“所以一定有漏洞。”
Binance 还指出,一些声称能绕过验证的服务本身就是骗局,这让人怀疑成功绕过的案例是否真如 Telegram 市场所暗示的那样普遍。一位发言人说,与这类服务打交道“会使个人面临重大安全风险”,“即使看起来获得了账户访问权限,这些账户通常也已经被内部检测和合规管控所限制,无法用于交易或提款。”
各国监管机构正试图追赶犯罪的步伐。在泰国,公民银行账户经常被充当缅甸和柬埔寨网络诈骗的洗钱“骡子”。新出台的法规加强了 KYC 监控,限制了每日交易额度,并强化了监管机构暂停账户的权限。美国反洗钱监管机构金融犯罪执法网络(FinCEN)在 2024 年底发布警告,提醒警惕 KYC 深伪和虚拟摄像头的使用,并鼓励平台追踪更广泛的交易模式来识别洗钱行为。
对诈骗者来说,任何新的安全或报告要求都会让绕过变得更难,但“很难挡住他们的发展,”Ngo 说,“只是时间问题。”
原文链接: