财富幻象:深度剖析投资诈骗平台的工程技术内幕

本文深入分析了跨国在线投资诈骗活动的运作机制,揭露了从社交工程到技术基础设施的完整链条。文章详细阐述了诈骗集团的层级结构、受害人操控流程,并提供了基于Group-IB技术调查方法的实操指南,包括如何利用API接口、SSL证书、聊天机器人及后台管理面板等技术痕迹进行侦查与关联分析。

财富幻象:深度剖析投资诈骗平台的工程技术内幕

引言

近年来,假冒投资平台——伪装成加密货币或外汇交易所的欺诈性网站——已成为出于经济动机的威胁行为者从受害者那里窃取资金的最常见手段。这些骗局通常依赖社交工程,诱骗受害者将资金转入攻击者控制的、伪装成合法交易平台的系统。

如今,这类欺诈已不再局限于任何单一国家或地区。事实上,它已成为整个亚洲的跨境威胁,有组织的集团经常在国际范围内运作。

例如,2025年8月,越南当局逮捕了与数十亿美元的Paynet Coin加密货币骗局有关的20名个人。据越南媒体报道,他们被指控违反多层次营销规定并挪用资产。虽然与本博客分析的案例没有直接关联,但这凸显了此类骗局的庞大规模和跨国范围。

博客中的关键发现

  • 通过在线平台进行的投资诈骗在越南迅速增加。威胁行为者团体经常使用空壳公司、骡子账户,甚至是从地下市场购买的被盗身份文件来接收和转移受害者的资金。这些手段使它们能够在更严格的法规执行前,绕过薄弱的“了解你的客户”或“了解你的业务”控制。
  • 本研究将其发现提炼为基于已公布案例的“受害者操控流程图”和“运营层级与多角色关系图”。这些模型可作为更广泛层面上理解和分析此类活动的基础。
  • 共享的后端痕迹(如API调用、SSL证书)在诈骗网站中很常见。当这些痕迹出现在多个威胁行为者中时,可以作为关联活动、揭示集中式基础设施的宝贵指标。
  • 投资诈骗中越来越多地使用聊天机器人来筛选目标并引导存款或取款。对分析师而言,检查聊天机器人的响应可以揭示支付细节、配置数据、注册的服务账户以及支持归因的语言模式。
  • 诈骗平台通常包含用于伪造对话的聊天模拟器和用于后台控制的管理面板,这为了解操作者如何管理受害者和基础设施提供了视角。分析师应将这些视为高价值指标,因为重复出现的界面、代码和IP地址可以揭示连接多个诈骗域名的共享集中式后端。

谁可能对此博客感兴趣

  • 网络安全分析师和企业安全团队
  • 威胁情报专家
  • 网络调查人员
  • 计算机应急响应团队
  • 执法机构调查人员
  • 欺诈分析师
  • 网络警察部队

受害者操控流程

根据越南近期捣毁的投资欺诈团伙的案件(这些案件记录在警方调查和政府官方报告中),我们以分阶段的受害者操控流程图形式概述了案件描述,这反映了在现实中观察到的策略。

图1. 从初次接触到资金提取的受害者操控流程。

  1. 初始对话:诈骗者通过社交媒体平台或即时通讯应用首次联系受害者,将自己伪装成成功的投资者或金融专家。他们使用量身定制的社交工程策略和伪造的个人信息,努力建立信任并激发受害者的投资兴趣。
  2. 建立信任:如果受害者犹豫或表现出较低的初始信任度,诈骗者会引入额外的“诱饵”,如虚假的“其他投资者”、“朋友”或“客服人员”。这些人设直接与受害者互动,以模拟真实活动并强化“这是一个合法、广泛使用的平台”的假象。
  3. 存款获利:一旦建立起足够的信任,诈骗者就会提出高回报的投资机会。该平台(通常是克隆或精心伪造的界面)承诺保证盈利且风险极低,说服受害者进行首次存款。
  4. 虚假盈利,真实损失:平台显示虚假的盈利,使受害者相信其投资正在增长。在某些情况下,甚至允许受害者进行小额初始提款以建立信心。一旦信任加深,诈骗者会施压要求受害者进行更大额存款,通常会编造虚假借口。
  5. 消失与转移:当受害者试图提取全部余额或表现出任何怀疑迹象时,诈骗者会突然切断所有联系。然后,诈骗者抛弃该受害者,转向新的目标,重新开始这个循环。

这个模型代表了在投资诈骗活动中持续观察到的典型受害者操控流程。虽然其核心结构并不新鲜,但通过更复杂的社交工程策略和日益完善的诈骗平台,它在这些年里不断演变,依然非常有效。

揭开虚假交易平台背后的运作机制

在虚假交易平台光鲜界面的背后,是一个高度组织化、有明确角色分工、结构化工作流程和跨职能团队的操作体系。与常见的“单个诈骗者独立行动”的假设相反,我们的发现表明这是一种涉及多个行为者共同协作的分布式模型。从分析目标特征、构建技术基础设施,到管理支付渠道、伪装成虚假投资者,诈骗机器中的每个参与者都在维持假象和从受害者那里提取资金的过程中扮演着不同的角色。

基于基础设施分析、行为观察以及多个活动中的重复模式,我们为本研究提出以下角色划分:

图2. 描述多角色欺诈网络的组织结构图。

  • 主谋:处于这个结构顶端的是主谋或核心操作者,他们监督整个欺诈生态系统。主谋保持操作控制权,管理后端基础设施,监控资金流,并最终从骗局中获利。
  • 下属团队:在主谋之下是下属团队,每个团队都有明确的角色和职责:

    1. 目标情报:此角色专注于从互联网或暗网获取泄露或被盗的个人信息,例如包含姓名、联系方式、财务指标或数字行为特征的数据集。他们的任务是识别高潜力的目标(通常是那些显示出财富迹象、易受骗或有投资兴趣的个人),并将其传递给下一层级。

    2. 推广者:推广者充当骗局的可见面孔。他们的角色是在社交媒体上创建可信的人设,伪装成成功的企业家、加密货币投资者或人脉广泛的内部人士。他们通过私信与受害者互动,维持长期对话以建立信任。有时,他们会通过扮演“成功参与者”、“顾问”或“观察者”等角色,将额外人设引入对话,以模拟群体验证并强化诈骗叙述。这些角色是灵活的,并根据受害者的个性和怀疑程度进行调整。常见人设包括:

      • 分享虚构盈利和成功故事的“成功参与者”,以引诱受害者。
      • 提供技术指导的平台“开发者”或“管理员”。
      • 控制访问权限的“把关人”,让受害者感觉参与其中是一种特权。
      • 图3. 从威胁行为者Facebook帖子中捕获的,在一次诈骗活动“入职”过程中观察到的、带有操纵性信息策略的越南语截图(左)和英文翻译(右)。

      基于行为和语言分析,我们认为一些推广者可能在使用聊天生成工具来制造虚假对话。这些模拟对话通常描绘虚假的成功投资、客户服务互动或热情的推荐。这些虚假聊天记录经常在没有上下文或验证的情况下公开分享在社交媒体上,作为欺骗性的“社会证明”来诱骗潜在受害者陷入骗局。

    3. 资金处理者:资金处理者的角色是建立和管理用于收取受害者资金的银行账户或数字钱包。为此,他们可能会注册虚假或休眠的公司,并利用“了解你的业务”和“了解你的客户”验证流程中的漏洞。根据越南国家银行发布的、于2025年7月1日生效的第17/2024/TT-NHNN号通知,公司支付和支票账户将面临更严格的要求。具体而言,只有在法定代表人身份证明文件和生物特征信息得到验证后,这些账户才被允许处理取款或电子交易。为了应对这些更严格的控制,诈骗操作者开始积极寻找变通方法。在线论坛、Telegram群组和社交媒体平台上现在充斥着公司和私人银行账户以及被盗身份数据的黑市交易。这些非法服务通常包括伪造的营业执照、虚假的法律文件、身份证照片、被盗的公民身份证、已验证的电子钱包、生物识别KYC绕过服务,甚至换脸技术。这些工具使欺诈者能够大规模开设虚假或租赁账户,使其运营具有合法性表象,同时继续欺骗和剥削受害者。

      • 图4. 在迎合欺诈者的Telegram群组中发布的、关于企业银行账户工具包和身份证租赁服务的广告截图及英文翻译。这些地下服务可广泛获取,使诈骗者能够使用虚假或被盗凭据绕过身份验证要求。

    4. 后端操作员:后端操作员构建和维护骗局中使用的基础设施。这包括设计虚假投资平台、管理后端逻辑,以及集成聊天机器人小部件、邀请码系统和显示虚假盈利的虚假仪表板等工具。他们还管理入职流程,确保只有选定的受害者可以访问平台,通常是通过推广者提供的有效推荐码。

这些角色共同构成了一个有弹性、可扩展的欺诈架构,其中的功能可以独立地被替换、更新或迁移。这种结构使得跨多个国家和语言的大规模受害成为可能,并通过将暴露点与核心操作者隔离,使得调查和打击工作变得复杂。

技术基础设施与工具包复用

虽然社交工程启动了诈骗漏斗,但底层的基础设施才是维持它的关键。我们的分析显示,这些活动并不依赖于孤立的登录页面或一次性网站;相反,它们是共享后端上的“薄层前端”。对于分析师而言,目标不仅是记录单个实例,还要识别重复出现的组件,并知道如何捕获和利用它们进行基础设施关联。以下部分提供了如何识别和利用这些痕迹进行基础设施关联的结构化指南。负责创建、运营和管理此基础设施的行为者正是“后端操作员”角色下定义的那些人(见图2,多角色欺诈网络)。

诈骗入口点

“入口点”一词指的是诈骗活动的第一阶段,潜在受害者在此阶段被引入骗局。这一步很少是随机的:受害者通常由骗局的“目标情报”角色(见图2,多角色欺诈网络)预先筛选,该角色根据泄露或购买的数据过滤个人并相应地进行定向接触。这确保了只有有希望的目标被导向平台。

为了进一步保护基础设施并减少对调查者的暴露,诈骗平台很少在最初就显示其全部内容。相反,初始页面通常呈现一个登录或注册界面,并由邀请码或推荐码控制。这些关卡具有双重目的:

  1. 通过防止随意浏览来限制公开侦察。
  2. 将每个新账户绑定到欺诈网络内的“推广者”角色(见多角色欺诈网络),确保受害者入职是可追溯的。

通常,没有有效的推荐码,分析师将无法超越登录页面,这在调查过程中极大地限制了直接观察。

  • 图5. 带有“邀请码”字段的注册表单截图。

为了进一步进行分析,分析师应尝试获取有效的推荐码,这些推荐码通常可以在以下地方找到:

  • 社交网络上的推广帖子。
  • 受害者报告和投诉论坛。
  • 存档的截图或共享的诈骗警告。
  • 图6. 一个包含推荐码、推广该平台的社交媒体帖子示例(越南语原文及其下方的英文翻译)。
  • 图7. 成功登录后交易平台界面的示例

在分析诈骗平台时,应审查可用功能,以识别向受害者索要了哪些数据。一个常见步骤是KYC验证,受害者被要求提交个人详细信息,如全名、身份证号码,并上传身份证明文件。

记录这些数据收集流程对于评估操作者正在收集哪些类别的个人信息,以及这些数据可能在多个活动中被如何重复使用至关重要。

对分析师而言,这里需要进行仔细的观察:

  • 监控涉及KYC表单提交和文件上传的API端点。
    • 图8. 欺诈平台上KYC提交过程的截图,以及暴露后端IP和服务器头的分析。
  • 记录发送的字段结构。
    • 图9. 来自 /api/user/kycUser 的欺诈平台有效负载结构示例,说明了收集的受害者数据。
  • 检查钱包/银行绑定流程,以确定平台是真正尝试集成,还是仅仅为了收集数据。

这些观察帮助分析师绘制平台功能图,识别从受害者那里收集的个人数据类别,并追踪相关的API端点和请求URL。

域之间的潜在后端共享

在调查诈骗基础设施时,应审查相关域之间的网络流量,以识别潜在的后端连接。这可以通过在受控的浏览会话期间捕获HTTP请求,并检查一个域是否正在调用托管在另一个网络资源上的功能或资源来实现。

在Group-IB高科技犯罪调查团队调查的一个投资诈骗活动中,捕获的流量揭示了对一个附加域 api.<主域名> 的请求,其路径如 /user/info/index/tickers/index/init。这些请求返回了 401 未授权,如下面截图所示(图10),表明端点存在但需要身份验证。相比之下,不存在的端点通常会返回 404 未找到。这表明主要诈骗域名和API子域名可能都处于同一威胁行为者的控制之下。

对分析师而言,捕获这种跨域交互很有价值,因为它为关联基础设施提供了一个切入点:识别跨域重复出现的端点、共享的响应行为或相关的错误代码,可以帮助确认多个诈骗网站是否连接到单一的操作后端。下文的Group-IB Graph展示了域关联的示例:

  • 图10. Group-IB的Graph解决方案显示,对受保护的API端点的HTTP请求返回了401未授权响应,表明端点存在,但由于需要身份验证,访问被阻止。

加强“相关域是集中管理”评估的一种方法是检查跨基础设施组件复用的SSL证书。当多个不同的诈骗域名或API端点共享相同的证书——尤其是那些仅在单个活动范围内观察到的证书——这作为共享基础设施管理的有力指标。证书指纹提供了可靠的切入点,使分析师能够对资产进行聚类、跟踪跨活动的复用,并为支持归因或打击请求提供证据。

  • 图11. Group-IB的Graph解决方案显示SSL证书指纹在诈骗子域之间复用,说明了集中式基础设施管理。

总之,分析跨域调用和SSL证书复用有助于分析师超越单个域名,在后端层面揭示关联。这些技术痕迹为聚类相关站点和更清晰地描绘底层基础设施提供了可靠的切入点。

暴露的管理面板作为基础设施痕迹

在识别出聊天模拟子域之后,Group-IB的调查表明,跨子域进行“追踪”可能会发现暴露在诈骗基础设施中的基于Web的管理面板。这些面板是操作者的后端控制点,提供用户管理、凭据处理或监控受害者活动等功能。最重要的是,识别管理面板应依赖无需身份验证即可观察到的间接指标,以避免直接与活跃的犯罪系统交互。

根据Group-IB的经验,分析师可以采用以下方法:

  • 目录与文件发现:扫描Web服务器以发现可能暴露登录页面或管理面板的隐藏目录或文件,这些通常放在子文件夹中。
  • 利用公开来源:使用证书透明度日志和搜索引擎查询来发现子域。关注常见的管理前缀或任何其他变体。
  • 技术指纹识别:使用被动工具识别主网站上使用的技术,这可以给出关于后端的线索。
  • 端口扫描:使用端口扫描工具检查80/443之外的开放端口,因为管理面板有时暴露在备用端口上。这有助于扩展基础设施映射,并可能揭示隐藏的管理界面。
  • 源代码审查:检查HTML、CSS和JavaScript中是否存在管理功能的指示符。有用的线索可能包括带有“Admin”或“Management”等术语的<title>标签,或对广泛使用的UI框架的引用。

作为一个具体活动的实际例子,查询与该活动关联的域名的crt.sh,发现了多个具有一致命名模式的子域,每个子域都颁发有自己的证书。

  • 图12. crt.sh输出示例,显示已颁发证书中重复的子域模式,有助于识别潜在的管理面板。

然后,分析师可以通过直接审查可访问的界面或利用基础设施分析平台(如Group-IB的Graph解决方案)来验证可疑的与管理相关的子域。

在下面的例子中,遵循adn.<域名>模式的子域被发现一致地解析到一个完全以简体中文呈现的登录界面。该界面包括标准登录字段以及通过腾讯QQ、微信和微博等流行中国平台登录的选项。页面标题“后台管理系统”通常是最清晰的指示符之一,暗示了管理功能。

  • 图13. 通过Group-IB的Graph解决方案访问的中文管理面板界面,提供使用QQ或微信凭据登录的选项。

为了确定底层技术,可以审查可疑管理面板页面的HTML和JavaScript源代码。源代码分析通常提供确证性的指标,从而验证管理功能而无需身份验证。

在这个例子中,有用的标记包括:

  • <title>标签明确引用管理功能。
  • 对广泛使用的UI框架(如Layui)的引用。
  • 激活管理仪表板的初始化脚本,如layui.config().use('index')

Layui是一种轻量级的中文前端UI框架,常用于仪表板和管理面板。它的存在不仅确认了这是一个管理界面,还为在同一活动中跨多个域关联类似面板提供了一个可复用的指纹。

  • 图14. 确认管理面板功能和Layui框架使用的源代码指标截图。

除了上述指标,Group-IB还建议在同一活动内进行跨域比较。当多个域名暴露出具有相同界面、源代码和底层技术的管理面板时,这强烈表明使用了共享工具包。如果这些面板还解析到相同的IP地址或基础设施组件,则进一步加强了操作者可能正在复用集中式后端或从共同环境中部署的评估。这种模式是诈骗活动的一个反复出现的特征,并为聚类相关基础设施提供了可靠的切入点。

通过基于聊天的交互进行入职

在Group-IB最近观察到的几个活动中,初始界面没有呈现直接的注册表单,而是加载了一个类似于实时客服系统的聊天窗口。

该界面由一个由第三方服务驱动的聊天框主导,第一条消息会根据活动动态地以不同语言出现。

在被授予访问平台主要投资仪表板的权限之前,用户需要与聊天机器人互动,通常需要提供基本的身份信息以确认他们是预定的目标受害者。只有在完成这个初始交互后,用户才会被重定向到实际的注册或交易界面。

根据我们的分析,这种交互流程似乎服务于多个目的:

  1. 访问控制:作为一个闸门,确保只有经过预筛选的受害者被允许进入主平台。
  2. 信任强化:营造专业客户服务的观感,增强平台的可信度。
    • 图15. 一系列截图,显示一个诈骗平台使用美洽驱动的聊天机器人进行初始访问,该机器人会筛选并只允许经过预筛选的目标用户进入主页面。

从分析师的角度来看,基于聊天的入职流程提供了一个识别嵌入在诈骗平台中的第三方聊天机器人服务的机会。这可以通过在初始会话期间捕获HTTP请求并审查任何对外部域的API调用来验证。

在Group-IB高科技犯罪调查团队调查的几个活动中,流量分析揭示了对外部聊天机器人基础设施的重复请求,尽管具体的提供商可能因活动而异。记录这些观察结果很重要,因为它们提供了对平台技术设置的洞察,并可以在关联相关操作时作为额外的指标。

  • 图16. HTTP请求追踪截图,显示了对美洽聊天机器人服务的API调用。来源:urlscan.io。

当受害者选择“充值”功能时,平台通常会将其重定向到一个聊天机器人窗口,而不是显示支付指令。

对分析师而言,捕获这些由聊天机器人提供的支付指令至关重要。返回的银行账户和加密货币钱包地址是追踪交易和理解“资金处理者”角色如何在诈骗生态系统中运作的高价值指标。

对于执法机构,此类记录提供了可操作的线索:

  • 银行账户可以追溯至空壳公司、名义持有人或同谋的中间人。
  • 加密货币钱包可以在区块链交易中被追踪,以识别洗钱模式。
  • 同一账户在多个活动中的重复使用,有助于加强归因评估,并支持向银行和交易所提出金融情报的正式请求。
    • 图17. 存款流程截图,聊天机器人向用户提供公司银行账户详情。
    • 图18. 与聊天机器人互动的截图,显示在充值过程中提供加密货币钱包地址。

为了将分析扩展到面向用户的交互之外,分析师可以检查嵌入式聊天机器人的后端响应。在检查聊天机器人有效负载时,分析师不仅应检查配置数据或注册账户等技术参数,还应检查系统提示或备用消息等语言痕迹。这两种类型的指标都可以提供有价值的上下文,尽管具体发现可能因聊天机器人提供商和活动而异。

在一次调查中,如下文所述,对美洽聊天机器人响应有效负载的分析揭示了包含系统级参数、队列消息和注册邮箱地址的后端配置数据。同一有效负载还包含了中文的系统消息,这些消息在前端不可见。这些细节共同提供了一个潜在的服务账户线索以及操作者技术设置的见解。

  • 图19. 聊天机器人有效负载检查截图,暴露了配置数据、注册邮箱以及在某个案例中由Group-IB高科技犯罪调查分析师观察到的特定语言系统字符串。

分析师指南:应收集和保存诸如注册邮箱和后端语言字符串之类的有效负载痕迹。与聊天机器人服务账户关联的邮箱可以作为潜在的归因线索,例如,与泄露数据集或WHOIS记录进行交叉核对。语言痕迹,如系统提示或队列消息,可以提供关于操作者来源、偏好语言或对外包服务依赖的佐证。

Group-IB建议将这些视为补充指标,最好与在同一活动中观察到的其他证据结合使用,例如基础设施重叠、支付账户详细信息或社交工程材料。

诈骗活动中的辅助基础设施组件

在分析诈骗基础设施时,Group-IB建议分析师将注意力扩展到可见的诈骗前端之外,并考虑那些可能支持这些欺诈工作流程的辅助组件。这些组件通常为威胁行为者提供操作功能,并且可以使用已建立的调查技术系统地发现:

  • 子域枚举:子域可能揭示暴露管理面板、聊天模拟器或API的后端功能。
  • 基础设施追踪:同一活动内的域通常共享相同的IP或托管范围。追踪到这些基础设施元素可以发现额外的服务或复用界面。
  • 存档痕迹:即使在打击之后,存档的扫描也保存了HTML、JavaScript或开发者评论,允许分析师重建丢失的功能。
  • 代码与框架指纹识别:识别共享的UI框架或跨域重复出现的源代码片段,为确认工具包复用提供了一致的方法。

基于Group-IB的调查,以下部分通过诈骗基础设施中经常观察到的两个代表性示例,演示了这些技术如何应用于实践:聊天模拟功能和暴露的管理面板。

基础设施中聊天模拟功能的存在 在“推广者”部分提到的、诈骗者可能依赖聊天生成工具来制造对话的假设,得到了Group-IB分析的加强。分析在一个近期活动中识别出了此类工具的具体示例:一个聊天模拟面板。

该面板模仿了移动消息界面,包含用户名、时间戳、送达状态和消息内容等字段。虽然并非每个活动都存在,但此类面板的发现突显了诈骗者如何将辅助工具集成到其基础设施中。

这些痕迹之所以重要,有两个原因:

  1. 用于“建立信任”阶段的布景:在这个具体案例中,伪造的聊天记录被用来模拟先前的成功故事或冒充客服人设。
  2. 基础设施切入点:识别托管辅助工具的子域,使分析师能够将映射工作扩展到交易前端之外,揭示操作者控制的更广泛生态系统。
    • 图20. Group-IB的Graph解决方案揭示了一个在与基础设施链接的子域上发现的、基于Web的消息模拟器界面。其设计模仿了聊天应用,并包含可配置的消息元数据,可能旨在生成用于说服受害者的伪造对话截图。

作为下一步,分析师可以尝试审查暴露的聊天模拟器子域的源代码。在Group-IB高科技犯罪调查团队进行的多次调查过程中,这些页面可能在分析时已被下线,使得直接访问变得不可能。虽然检索已停用网站的源代码具有挑战性,但可以采用以下几种方法:

  • 存档快照:诸如Wayback Machine等服务可能会保存HTML和JavaScript的历史副本。
  • 搜索引擎缓存:Google或Bing存储的缓存版本有时可以被检索到。
  • 扫描平台:像URLScan这样的工具通常会存档完整的页面内容,包括HTTP事务和嵌入脚本,这对于重建非常宝贵。
    • 图21. URLScan记录截图,显示了一个已发现域名的已保存HTTP事务。

检索到的HTML包含简体中文的开发者评论和更新日志,引用了新增功能,如微信集成和LINE UI更新。这些痕迹提供了有价值的上下文,暗示了开发者可能的语言背景,并提供了关于地理来源的可能线索。

  • 图22. 通过URLScan恢复的提取HTML截图,附带开发者评论。

追踪到托管IP可以揭示在主要域名未直接暴露的端口上运行的附加服务。在前面的例子中,一个子域暴露了一个基于Web的聊天模拟器。追踪到其托管IP,在8081端口上发现了相同的界面,证实了该域名和IP托管的服务属于同一个后端。这展示了检查IP如何发现隐藏的服务、复制的界面以及从主域名无法立即看到的更广泛基础设施链接。

  • 图23. Group-IB的Graph解决方案显示了一个域名到IP解析的例子,多个诈骗子域名映射到一个托管服务器。
  • 图24. 托管在同一服务器上的网站截图,暴露了先前在子域上观察到的相同聊天模拟界面。

分析师还可以通过开源情报扩展调查,以确定相同的工具包是否在公开推广。用于创建虚假Zalo、LINE或WhatsApp对话的聊天生成器广告表明,这些工具包是公开可用且经常在跨活动中复用的。此类发现为关联提供了切入点,并提供了关于可能被特定针对的受害群体或地区受众的见解。

  • 图25. 模仿常用流行即时通讯应用的聊天生成器工具包的公开广告截图。

观察到的工具包支持手动为流行的即时通讯平台创建虚假聊天窗口。虽然目前是手动操作,但可以扩展为自动化或AI模块。从Group-IB高科技犯罪调查团队的视角来看,此类发现应被视为可能演变为自动化的工具的早期指标。

这种发展轨迹并非聊天模拟器独有。Group-IB已经观察到生成式AI被集成到垃圾邮件和网络钓鱼基础设施中,AI模块被用于个性化诱饵、绕过过滤器和自动化大规模活动。这些发展突显了向日益复杂、支持AI的欺诈发展的更广泛趋势。

结论

利用虚假交易平台的投资诈骗活动日益结构化和跨国化。这些计划远非孤立行为者的作品,而是由基于角色的欺诈网络运作,拥有负责分析受害者特征、部署基础设施和清洗非法收益的不同单元。

源自越南近期被捣毁案件的“受害者操控流程图”,为调查人员和执法机构提供了理解受害者如何被识别、接触和操纵的清晰框架。它是公众意识宣传、专业培训和早期发现类似诈骗操作的有价值的工具。

“多角色欺诈网络”模型为专家提供了这些团伙如何运作的结构化视图,定义了从情报收集、技术操作到资金处理等操作者之间的职责划分。这种视角有助于调查人员在逮捕过程中避免盲点,并为刑事起诉提供更有力的证据。

Group-IB的技术分析为分析师提供了逐步深入的见解。它解释了活动如何使用邀请码控制访问、如何使用聊天机器人筛选目标和传递支付指令,以及基础设施如何经常包含聊天模拟器等辅助组件。

这些组件不仅仅是支持工具。它们揭示了欺诈是如何被策划和工业化的,并暴露了跨域的工具包复用模式。

最重要的是,聊天模拟功能的存在预示着向自动化或AI驱动交互发展的潜在轨迹,以大规模创造更具说服力的互动。虽然在这些案例中没有观察到确认的AI集成,但已识别的痕迹代表了应密切监控的、不断演变的策略的早期指标。

对于网络安全专家,这些发现强调了收集和关联技术证据以连接相关域名、将操作归因于特定行为者并最终摧毁其基础设施的重要性。对于执法机构,这些模型为解释诈骗操作、提高公众意识以及为调查和刑事起诉建立更强有力的案件提供了实用的框架。

建议

对于研究人员和分析师

  • 将“受害者操控流程图”和“多角色欺诈网络”模型作为分析框架来研究正在进行的活动。
  • 以重复出现的基础设施模式为切入点,对相关域名进行聚类并揭示集中式操作。
  • 跨活动追踪结构和行为指标,以发现重叠并建立更广泛的关联。
  • 监控辅助组件的兴起,因为它们可能预示着向更先进的自动化或AI驱动的欺诈操作的转变,提供了投资诈骗策略在近期可能如何演变的早期指标。

对于执法机构 为了加强欺诈预防并减少虚假投资平台的滥用,我们建议:

  • 采用“受害者操控流程图”模型来识别诈骗者使用的分阶段策略,从而实现更早的干预,并为公众开展更有效的宣传活动。
  • 利用“多角色欺诈网络”模型来理解欺诈团伙如何划分角色和职责,帮助调查人员在行动中避免盲点,并为起诉建立更强有力的案件。
  • 与Group-IB调查团队协调,进行情报共享、基础设施映射,以及在跨境数字取证和归因工作中的支持。

对于金融机构

  • 主动监控品牌身份(包括冒充交易平台或客户门户的虚假网站)的未经授权使用。
  • 建立集中的事件响应框架,以快速响应网络钓鱼或冒充事件的报告。
  • 定期教育客户了解常见的欺诈策略和报告渠道。
  • 对于托管欺诈收款账户的银行:将新的公司账户与公共公司注册信息进行交叉核对,以检测虚假或不活跃的商业实体。集成Group-IB欺诈防护,以检测支付流中的异常、标记骡子账户,并支持实时调查和阻断与欺诈相关的资金。
  • 部署Group-IB数字风险防护,以自动检测、验证并实时打击滥用您品牌的虚假域名、流氓移动应用和社交媒体冒充者。

常见问题解答

此项研究的目的是什么? 为了解释现代投资诈骗活动如何运作,从受害者操控策略到技术基础设施,并为分析师和执法机构提供指导。 什么是受害者操控流程图模型? 这是一个基于越南真实案件调查的分步骤图示,展示了诈骗者如何接近、筛选和剥削受害者。 什么是多角色欺诈网络模型? 一个展示欺诈团伙如何划分角色(主谋、推广者、后端操作员、资金处理者)以实现规模和逃避检测的框架。 为什么聊天机器人和聊天模拟器在这些骗局中很重要? 它们被用来筛选受害者、传递支付详情,甚至模拟虚假对话以建立信任。分析师可以从中提取有价值的数据用于归因。 分析师可以使用哪些技术线索来追踪这些骗局? 共享的API、复用的SSL证书、管理面板、子域以及框架指纹(如Layui)通常揭示了站点之间的联系。 研究是否发现这些骗局中使用AI的证据? 没有确认直接使用AI,但聊天模拟工具表明,AI驱动的自动化可能是下一步,使骗局更具可扩展性和说服力。 执法机构如何从这些发现中受益? 通过使用提出的模型来理解犯罪工作流程,改进调查,教育公众,并为起诉加强证据。 安全团队或分析师在调查时应做什么? 捕获聊天机器人有效负载,追踪后端服务,保存源代码或证书等痕迹,并映射相关域名以揭示共享的基础设施。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次