一个地下市场正在瞄准数字金融的核心信任机制之一
MIT Technology Review 报道称,诈骗分子正在使用通过 Telegram 出售的非法工具绕过银行和加密平台使用的身份核验,尤其是“了解你的客户”或 KYC 人脸扫描。该刊在调查中识别出 22 个公开的中文、越南语和英语 Telegram 频道与群组,宣扬绕过工具包和被盗生物识别数据。这些工具被包装成绕过合规系统的方法,而这些系统本应确认账户确实属于真人,并且用户的脸部与最初提交的身份证明文件相符。
其后果十分严重,因为 KYC 检查是数字金融筛查欺诈、跑分账户和洗钱行为的基础。如果这些检查能够被商品化,并通过消息渠道公开出售,那么原本看似安全层的东西,可能越来越像是犯罪专才的市场机会。这个故事不只是关于某个巧妙漏洞,而是关于一条用于规避身份验证的供应链。
报道用一个生动的案例说明了这一担忧。一名在柬埔寨洗钱中心活动的诈骗分子演示了一个越南银行应用,应用要求提供与账户绑定的照片,然后进行视频活体检测。诈骗分子没有使用合法的实时摄像头画面,而是使用了不匹配的图像,却仍然通过了验证。根据调查,这是因为许多绕过工具包会通过虚拟摄像头技术,用其他视频或图像替换系统预期的实时摄像头流。
漏洞在于“活体检测”可以在设备层面被伪造
提供文本中的关键技术点是,这些工具通常并不是在平台层面完美模仿真实用户来击败生物识别系统。相反,它们会攻破手机操作系统或应用环境,从而替换摄像头画面。一旦活体检测把伪造输入当作实时视频接受,整个安全流程就可能随之崩塌。
这很重要,因为很多用户会认为人脸检查天生比密码或基础证件上传更强。原则上,它们通常确实如此。但 MIT Technology Review 的报道显示,其有效性在很大程度上取决于设备和应用流程的完整性。如果诈骗分子能够控制应用看到的内容,那么人脸检查就可能不再是生物识别防护,而更像是一场可被工具和欺诈服务利用的展示测试。
调查称,这些工具包声称可以针对从 Binance 等大型加密交易所到包括西班牙 BBVA 在内的银行等机构。部分频道拥有数千名成员或订阅者。即便这些频道中的每一项说法都不准确,来源材料所描述的广告规模也表明,这已经是一个足够成熟、值得警惕的市场。
金融犯罪正在变得更服务化
该 Telegram 生态系统一个引人注目的特征是其营销方式非常直白。报道描述了这些频道宣传“各种 KYC 验证服务”,并将自己包装得安全且专业。这种措辞很有说明性。它表明,犯罪经济正越来越像合法的软件和外包业务。与其要求每个欺诈团伙各自发明方法,不如让专业人员把现成的绕过能力出售给更大的非法网络。
这种服务模式会增加系统性风险。当欺诈技术变成标准化产品时,它们传播更快,波及技术能力较弱的参与者,也更难通过一次性的反制措施加以遏制。银行和交易所可能刚刚改进了一层防护,却发现另一套新工具已经在售,教操作人员如何绕过它。
调查还指出了金融安全领域早已熟悉的猫鼠博弈。随着机构部署更先进的开户注册和验证步骤,犯罪分子也会适应。此轮变化更具后果性之处在于,这种适应直接针对许多公司一直视为升级方向的生物识别信任系统。
为何这不仅关乎加密货币或某个地区
尽管报道涉及柬埔寨、越南银行应用和全球加密交易所的案例,但核心问题并不局限于某一地区。任何高度依赖手机身份验证的机构都应重视这一点。如果公开群组能够公然兜售绕过生物识别检查的工具,那么威胁范围就远不止某个应用或某个国家。
其意义也不仅限于直接的欺诈损失。KYC 系统支撑着反洗钱合规、账户完整性,以及将数字活动与真实个人关联起来的能力。削弱这些系统,就意味着更容易开设跑分账户、转移非法资金,并在犯罪组织者与资金本身之间制造更多层隔离。
MIT Technology Review 的报道并不意味着 KYC 毫无意义。它确实表明,合规技术的强度只与其周边的设备控制、欺诈检测和运营审慎同样强。金融机构或许需要把生物识别开户注册视为一个持续争夺中的安全环境中的一个组成部分,而不是一个已经解决的问题。
最重要的教训是,身份验证如今已成为一个配备商业化攻击工具的实战战场。这把问题从“不良行为者是否能够绕过 KYC”转变为“他们能多便宜、多公开、又多频繁地这样做”。根据这里呈现的证据,答案足以令人担忧,并迫使人们重新思考。
本文基于 MIT Technology Review 的报道。阅读原文。
Originally published on technologyreview.com