90秒破解銀行人臉驗證：22個Telegram頻道在賣銀行破解工具

（來源：麻省理工科技評論）

在柬埔寨一處洗錢中心里，一名員工打開手機上一款流行的越南銀行 App。App 要求他上傳一張與賬戶關聯的照片，他點開了一張 30 多歲亞洲男性的照片。

接下來，App 要求開啟攝像頭進行視頻“活體檢測”。這名詐騙者舉起一張女性的靜態照片——和賬戶持有人那名男性長得毫無相似之處。等了 90 秒，App 提示他調整面部位置以適配畫框——然后成功通過了驗證。

一位叫 Hieu Minh Ngo 的網絡詐騙研究員分享給我一段視頻，展示了上述破解過程。這種攻擊之所以能成功，依靠的是 Telegram 上越來越多的非法黑客服務中的一種——這些服務公開出售，專門用來破解銀行和加密貨幣平臺的“了解你的客戶”（Know your customer，KYC）人臉驗證。

KYC 人臉驗證本該確認賬戶屬于一個真實的人，并且當前用戶的面部與開戶時提供的身份證件相匹配。但詐騙者正在繞過這些驗證來開設“騾子賬戶”（mule account，金融犯罪領域的專業術語，即用他人身份開設的、專門用于轉移贓款的銀行賬戶）進行洗錢。他們通常不讓手機的真實攝像頭進行活體檢測，而是使用一種叫虛擬攝像頭的工具，用其他視頻或照片替換實時畫面——這些畫面可以是真人、深度偽造人臉（Deepfake），甚至一個物品。

金融機構不斷出臺更強的安全措施來攔截網絡詐騙，而這些繞過方法則是犯罪分子與金融服務行業之間貓鼠游戲的最新一輪交鋒。

今年早些時候，《麻省理工科技評論》用兩個月時間進行了一項調查，共找到 22 個中文、越文和英文的公開 Telegram 頻道和群組，它們在推銷 KYC 繞過工具包和被盜的生物特征數據。這些軟件工具包用各種方法入侵手機操作系統和銀行應用，聲稱能幫用戶繞過從 Binance 等主流加密貨幣交易所到西班牙 BBVA 等知名銀行的合規檢查。

“專業銀行服務——處理黑錢，”那名柬埔寨洗錢者使用的程序 Telegram 簡介里這樣寫道，還配了一個豎大拇指的表情，“安全。專業。高品質。”這條簡介后來被刪除。一些頻道和群組擁有數千名訂閱者或成員，許多頻道用項目符號列出自己的服務（“各種 KYC 驗證服務”；“全程絲滑”），還配上聲稱展示了成功攻擊的視頻。

Telegram 表示，在審查這些賬號后，已因違反服務條款將其刪除。但這類線上市場很容易增生，目前仍有多個推銷類似工具的頻道和群組在活躍運營。

KYC 繞過手段的興起，與全球“殺豬盤”網絡詐騙產業的擴張同步發生。世界各地的加密貨幣平臺和銀行因非法資金流經自身平臺而面臨越來越嚴格的審查，這些非法資金包括殺豬盤詐騙的獲利。這促使越南和泰國等國收緊了銀行監管——政府強化了客戶驗證和欺詐監控要求，并推動加密貨幣行業建立更強的反洗錢保障機制。

美國區塊鏈分析公司 Chainalysis 估計，2025 年加密貨幣詐騙和欺詐造成的損失約為 170 億美元，高于 2024 年的 130 億美元。聯合國毒品和犯罪問題辦公室在近期一份報告中警告說，亞洲詐騙集團向非洲和太平洋地區的擴張，已幫助這一產業“大幅提高了利潤規模”。

更嚴格的監管加上更多的收入——這兩個因素疊加，把 KYC 繞過工具推到了網絡詐騙和賭場洗錢線上市場的核心位置。網絡安全研究人員表示，此類攻擊正在上升，盡管各家估算有出入：生物特征驗證公司 iProov 估計 2024 年全球范圍內虛擬攝像頭攻擊的頻率是 2023 年的 25 倍以上；KYC 服務商 Sumsub 則報告稱，其客戶中“復雜的”或多步驟的欺詐嘗試（包括虛擬攝像頭繞過）去年幾乎增長了兩倍。

在這些 Telegram 頻道上被點名為攻擊目標的三家金融機構——全球最大的加密貨幣交易所 Binance（幣安）、BBVA 和英國的 Revolut——均表示知道此類繞過手段的存在，并強調這是全行業面臨的挑戰。Binance 的發言人表示公司“觀察到了此類試圖繞過我們管控的行為”，并補充說“我們已經成功阻止了此類攻擊，對我們的系統充滿信心”。BBVA 和 Revolut 也拒絕就其安全防線是否被突破發表評論。

成功率很難估計，因為企業可能直到事后才發現被繞過、才報告這些情況。“重要的是我們看不到的那些，”Sumsub 的反欺詐產品負責人阿爾喬姆·波波夫（Artem Popov）對我說，他指的是那些未被發現的攻擊。“這個故事里總有一部分可能完全隱藏在我們的視野之外，也隱藏在行業里任何一家公司的視野之外，不管他們用的是什么 KYC 供應商。”

這些工具的廣告看上去夠簡單，但在后端，構建一次成功的繞過是復雜的，往往需要組合多種手段。一些頻道提供對實體手機進行“越獄”的服務，讓詐騙者隨時可以觸發虛擬攝像頭取代手機內置攝像頭。另一些則通過向金融機構的 App 注入一種叫“Hook 框架”的代碼來觸發虛擬攝像頭。無論用哪種方式，虛擬攝像頭都能用圖片或視頻替換賬戶持有人的真實實時畫面，從而騙過 KYC 驗證。

網絡安全公司 Talsec 的 CEO 謝爾希·亞基姆丘克（Sergiy Yakymchuk）主要服務于金融機構。他審查了《麻省理工科技評論》找到的這些 Telegram 頻道的詳細信息后表示，它們與他的銀行和加密貨幣客戶實際遭遇的攻擊手法一致。過去一年，他的團隊收到了大約 30 起基于虛擬攝像頭的入侵求助，而 2023 年還不到 10 起。

亞基姆丘克說，黑客越來越多地同時入侵手機本身和金融機構 App 的代碼，然后向虛擬攝像頭輸入被盜的生物特征數據和深偽畫面的混合素材。

“前一陣子，只要把銀行 App 反編譯一下發到 Telegram 上就夠了，那就是你需要的全部，”他說，“現在不夠了，因為有了 KYC——需要的東西越來越多。”

對洗錢者來說，KYC 繞過工具“現在已經成了做一切事情的必需品，因為詐騙園區需要轉移資金。”分享了那段演示視頻的研究員 Ngo 說。Ngo 曾是一名被定罪的黑客，后來成為越南政府的網絡安全顧問，現在運營一家反詐非營利組織，并協助執法部門調查洗錢案件。

他描述了殺豬盤詐騙的洗錢流程：來自受害者的資金先進入洗錢網絡控制或租用的銀行賬戶，這些網絡被俗稱為“水房”。洗錢者利用 KYC 繞過工具進入賬戶，迅速把贓款分散轉移，再將其兌換成數字資產，通常是與美元掛鉤的穩定幣 Tether。

這些交易往往在幾秒鐘內完成，整個過程管理嚴密。“他們非常清楚銀行驗證或認證賬戶的完整流程，”Ngo 說。

網絡詐騙洗錢的增長導致金融機構面臨更嚴格的審視。2023 年，Binance 在美國聯邦法院認罪，承認在缺乏反洗錢保障措施的情況下運營。去年 10 月，特朗普赦免了 Binance 前 CEO 趙長鵬（Changpeng Zhao）。

國際調查記者聯盟（ICIJ）最近的分析發現，在趙長鵬認罪之后，仍有超過 4 億美元的資金從 Huione Group 流向 Binance。Huione Group 是一家柬埔寨公司，因被美國財政部認定為殺豬盤洗錢的“關鍵節點”而遭到美國制裁。

Binance 表示自己擁有“最先進的安全系統”，已阻止了數十億美元的欺詐損失，2025 年共處理了超過 7.1 萬條執法請求。

但德州大學奧斯汀分校的金融和區塊鏈專家約翰·格里芬（John Griffin）并不認為這些交易所足夠安全。“盡管他們鋪天蓋地地宣傳‘是的，我們改了這個改了那個’——好吧，是騾子是馬拉出來遛遛。犯罪分子還在用你的交易所，”格里芬談到整個行業時對我說，“所以一定有漏洞。”

Binance 還指出，一些聲稱能繞過驗證的服務本身就是騙局，這讓人懷疑成功繞過的案例是否真如 Telegram 市場所暗示的那樣普遍。一位發言人說，與這類服務打交道“會使個人面臨重大安全風險”，“即使看起來獲得了賬戶訪問權限，這些賬戶通常也已經被內部檢測和合規管控所限制，無法用于交易或提款。”

各國監管機構正試圖追趕犯罪的步伐。在泰國，公民銀行賬戶經常被充當緬甸和柬埔寨網絡詐騙的洗錢“騾子”。新出臺的法規加強了 KYC 監控，限制了每日交易額度，并強化了監管機構暫停賬戶的權限。美國反洗錢監管機構金融犯罪執法網絡（FinCEN）在 2024 年底發布警告，提醒警惕 KYC 深偽和虛擬攝像頭的使用，并鼓勵平臺追蹤更廣泛的交易模式來識別洗錢行為。

對詐騙者來說，任何新的安全或報告要求都會讓繞過變得更難，但“很難擋住他們的發展，”Ngo 說，“只是時間問題。”

https://www.technologyreview.com/2026/04/15/1135898/cyberscammers-bypassing-bank-telegram/