網路詐騙者利用 Telegram 販售的非法工具繞過銀行安控系統

在柬埔寨的一家洗錢中心內，一名員工在手機上打開了一款熱門的越南銀行應用程式。程式要求他上傳一張與帳戶關聯的照片，於是他點擊了一張 30 多歲亞洲男性的照片。

接著，程式要求開啟攝像頭進行影片「活體檢測」（liveness check）。這名詐騙者舉起一張女性的靜態照片，而這名女性與帳戶持有者毫無相似之處。在等待了 90 秒後——期間程式不斷提示他在框架內調整臉部位置——他成功進入了系統。

這段由網路詐騙研究員吳孝明（Hieu Minh Ngo）分享給我的影片所展示的漏洞，得益於 Telegram 上日益增多且易於購買的非法駭客服務。這些服務旨在破解「了解您的客戶」（KYC）臉部掃描機制。

這些銀行和加密貨幣的安全防護措施，本應確認帳戶屬於真實的人，且用戶的臉部與開戶時提供的身分證明文件相符。 然而，詐騙者正繞過這些機制，以便開設人頭帳戶（mule accounts）並洗錢。這些駭客手段通常不使用手機攝像頭的即時畫面進行活體檢測，而是部署一種稱為「虛擬攝像頭」（virtual camera）的工具。用戶可以將影片串流替換為其他影片或照片——內容可能是真人、深偽（deepfake）影像，甚至是某個物體。

隨著金融機構實施旨在阻止網路詐騙者的增強型安全措施，這些規避手段成為犯罪分子與金融服務業之間「貓鼠遊戲」的最新回合。

在今年早些時候為期兩個月的調查中，《麻省理工科技評論》（MIT Technology Review）識別出 22 個中文、越南語和英文的公開 Telegram 頻道和群組，這些頻道在廣告中推銷繞過工具包和遭竊的生物辨識數據。這些軟體工具包使用多種方法來入侵手機作業系統和銀行應用程式，聲稱能讓用戶繞過各類金融機構的合規檢查，對象涵蓋從幣安（Binance）等主要加密貨幣交易所到西班牙對外銀行（BBVA）等知名銀行。

「專精銀行服務——處理髒錢，」這名柬埔寨洗錢者所使用的程式在 Telegram 簡介中寫道（該帳號現已刪除），並配上一個大拇指的表情符號。「安全、專業、高品質。」部分頻道和群組擁有數千名訂閱者或成員，許多頻道發布了列出服務項目的要點（如「各類 KYC 驗證服務」、「全程流暢無縫」），並附上聲稱顯示成功破解過程的影片。

Telegram 表示，在審查這些帳號後，已因違反服務條款將其移除。但這類在線市場極易激增，多個廣告推銷類似工具的頻道和群組目前仍處於活躍狀態。

銀行與殺豬盤

KYC 繞過技術的興起，與全球「殺豬盤」網路詐騙產業的擴張同步發生。世界各地的加密平台和銀行正因非法資金（包括此類詐騙利潤）流經其平台而面臨日益嚴格的審查。這促使越南和泰國等國收緊了銀行監管，政府增加了客戶驗證和欺詐監測要求，並推動在加密產業建立更強大的反洗錢防護措施。

美國區塊鏈分析公司 Chainalysis 估計，2025 年加密貨幣詐騙和欺詐涉及的金額約為 170 億美元，高於 2024 年的 130 億美元。與此同時，聯合國毒品和犯罪問題辦公室在最近的一份報告中警告，亞洲詐騙集團在非洲和太平洋地區的擴張已幫助該產業「大幅擴大獲利規模」。

這些因素的結合——更嚴格的審查，以及更多的收入——使 KYC 繞過技術成為網路詐騙和賭場洗錢者在線市場的核心。儘管估計數據各異，但網路安全研究人員表示，這類攻擊正在增加：生物辨識驗證公司 iProov 估計，2024 年全球虛擬攝像頭攻擊的頻率是 2023 年的 25 倍以上；而提供 KYC 服務的公司 Sumsub 則報告稱，在其客戶中，「複雜」或多步驟的欺詐企圖（包括虛擬攝像頭繞過）在去年幾乎翻了三倍。

三家在 Telegram 頻道中被列為目標的金融機構——全球最大的加密貨幣交易所幣安、BBVA 以及總部位於英國的 Revolut——告訴我，他們已意識到此類繞過行為，並強調這是整個行業面臨的挑戰。幣安的一位發言人表示，已「觀察到此類規避我們控制措施的企圖」，並補充說「我們已成功阻止了此類攻擊，並對我們的系統保持信心」。BBVA 和 Revolut 則拒絕評論其安全防護是否曾被突破。

目前很難估計成功率，因為公司可能在很久之後才意識到繞過行為或進行報告。Sumsub 欺詐預防產品負責人 Artem Popov 在談到未被偵測到的攻擊時告訴我：「重要的是我們看不見的部分。故事中總有一部分可能完全隱藏在我們、以及行業內任何使用各類 KYC 供應商的公司視線之外。」

犯罪分子如何穿梭於合規迷宮

這些漏洞的廣告看起來很簡單，但在後端，構建一個成功的繞過方案非常複雜，通常涉及多種方法。一些頻道提供對實體手機進行「越獄」的服務，以便詐騙者可以隨時觸發虛擬攝像頭（VCam）來取代內建攝像頭。其他駭客手段則是在金融機構的應用程式中植入名為「掛鉤框架」（hooking framework）的代碼，以觸發 VCam 開啟。無論哪種方式，VCam 都可以利用照片或影片替換帳戶持有者的真實即時影像，從而欺騙 KYC 防護措施。

網路安全公司 Talsec 的執行長 Sergiy Yakymchuk 主要為金融機構服務，他審查了《麻省理工科技評論》識別出的 Telegram 頻道細節，並表示這些細節與針對其銀行和加密客戶的成功戰術一致。他的團隊在過去一年收到了來自銀行和交易所關於約 30 起基於 VCam 駭客攻擊的求助請求，高於 2023 年的不到 10 起。

Yakymchuk 表示，駭客越來越多地同時入侵手機本身和金融機構應用程式的代碼，然後向虛擬攝像頭餵送遭竊的生物辨識數據和深偽影像。

「一段時間前，反編譯銀行的應用程式並在 Telegram 上分發就足夠了，那是你需要的全部，」他說。「現在這已經不夠了，因為有了 KYC——需要準備的東西越來越多。」

對於洗錢者來說，**KYC 繞過已「成為現在所有行動的必需品——因為詐騙園區需要轉移資金，」**分享演示影片的研究員吳孝明說。吳孝明曾是一名被定罪的駭客，後來成為越南政府的網路安全顧問，現在經營一家反詐騙非營利組織，並協助執法部門調查洗錢活動。

他描述了殺豬盤詐騙中的運作流程：來自受害者的資金首先進入由洗錢網絡控制或租用的銀行帳戶，這些帳戶在業內被俗稱為「水房」。洗錢者利用 KYC 繞過技術進入帳戶，並在將利潤轉換為數位資產（通常是與美元掛鉤的加密貨幣泰達幣 Tether）之前迅速重新分配資金。

這些交易通常在幾秒鐘內發生，並經過嚴密的組織管理。「他們非常清楚銀行驗證或認證帳戶的流程，」吳孝明說。

一場貓鼠遊戲

網路詐騙洗錢活動的增長導致金融機構面臨更高的審查。2023 年，幣安在美國聯邦法院認罪，承認在沒有反洗錢防護措施的情況下營運。唐納德·川普（Donald Trump）於去年 10 月赦免了幣安前執行長趙長鵬。

國際調查記者同盟（ICIJ）最近的分析發現，在趙長鵬認罪後，仍有超過 4 億美元從匯旺集團（Huione Group）流向幣安。匯旺集團是一家總部位於柬埔寨的公司，在美國財政部將其認定為殺豬盤詐騙洗錢的「關鍵節點」後，美國對其實施了制裁。

幣安表示，它擁有「最先進的安全系統」，防止了數十億美元的欺詐損失，且該公司在 2025 年處理了超過 71,000 件執法請求。

但德州大學奧斯汀分校的金融與區塊鏈專家約翰·格里芬（John Griffin）認為交易所不夠安全。「儘管他們發布了所有關於『噢，是的，我們已經改變了這點和那點』的新聞——但事實勝於雄辯。犯罪分子仍在使用你們的交易所，」格里芬在談到整個行業時告訴我。「所以一定存在漏洞。」（幣安表示「反對格里芬研究中的可疑發現」，該研究追蹤了幣安、火幣、OKX 和 Tokenlon 等交易所的犯罪利潤流向，稱其「充其量是誤導，最壞的情況是極其不準確」。）

幣安還指出，一些所謂的繞過服務本身就是詐騙，這讓人懷疑成功的繞過行為是否像 Telegram 市場上顯示的那樣普遍。一位發言人表示，參與此類服務「會使個人面臨重大的安全風險。即使看似獲得了訪問權限，帳戶通常也已被內部偵測和合規控制所限制，導致其無法進行交易或提款」。

世界各地的監管機構正試圖追趕。在泰國，公民的銀行帳戶經常充當鄰國緬甸和柬埔寨網路詐騙的洗錢人頭戶，新立法已增強了 KYC 監測，限制了每日交易額，並強化了監管機構暫停帳戶的能力。美國洗錢監管機構金融犯罪執法局（FinCEN）在 2024 年底發布了一份警告，針對 KYC 深偽影像和 VCam 的使用提出警示，鼓勵平台追蹤更廣泛的交易模式以識別洗錢行為。

對於詐騙者來說，任何新的安全或報告要求都會增加繞過的難度，但吳孝明說：「這不會阻止他們。這只是時間問題。」