MIT Technology Review 發現,Telegram 上有近 20 個頻道及群組,聲稱能攻破主要加密貨幣交易所及知名銀行的安全系統。一名柬埔寨洗錢中心員工,使用越南流行銀行應用程式示範漏洞。他上傳一張 30 多歲亞洲男子的照片後,應用程式要求進行影片「活體檢測」,他舉起一張與帳戶持有人無關的靜態女子圖像。經過 90 秒等待及調整畫面提示,他成功登入。
這段由網絡詐騙研究員 Hieu Minh Ngo 分享的影片,展示利用 Telegram 上販售的非法駭客工具,繞過「認識你的客戶」(KYC)面部掃描。這些工具設計用於取代真實手機鏡頭,注入虛擬鏡頭(VCam),以照片、影片甚至 deepfake 欺騙系統,讓詐騙者開設 mule 帳戶洗錢。
Telegram 上的 KYC 繞過工具氾濫
MIT Technology Review 今年初的兩個月調查,發現 22 個中文、越南文及英文公開 Telegram 頻道及群組,推銷繞過套件及竊取生物識別數據。這些工具聲稱能破解從 Binance 等主要加密交易所,到西班牙 BBVA 等銀行的合規檢查。其中一個柬埔寨洗錢者使用的程式,自介為「專攻銀行服務—處理髒錢」,附 thumbs-up 表情,標榜「安全、专业、高質量」。
部分頻道有數千訂閱者,發布成功示範影片及服務清單,如「各種 KYC 驗證服務」「順暢無縫」。Telegram 表示已移除違規帳戶,但類似市場輕易復興,多個頻道仍活躍。 這種 KYC 繞過興起,伴隨全球「殺豬盤」網絡詐騙產業擴張。Chainalysis 估計,2025 年加密詐騙竊取約 US$17 billion(約 HK$132.6 billion),較 2024 年的 US$13 billion(約 HK$101.
4 billion)上升。聯合國毒品及犯罪問題辦公室警告,亞洲詐騙集團擴至非洲及太平洋,大幅提升利潤。越南及泰國加強銀行監管,提升客戶驗證及反洗錢措施。生物識別公司 iProov 指,2024 年全球虛擬鏡頭攻擊較 2023 年增逾 25 倍;KYC 服務商 Sumsub 報告,複雜欺詐嘗試近乎三倍增長。 Binance、BBVA 及 Revolut 等機構承認行業面臨挑戰。
Binance 發言人表示,已防範此類攻擊,並對系統有信心。Talsec 行政總裁 Sergiy Yakymchuk 分析,駭客現今結合手機越獄、應用程式代碼注入及 deepfake,攻擊銀行及交易所客戶達 30 次,遠超 2023 年的個位數。研究員 Ngo 解釋,詐騙資金經「水房」洗錢網絡,迅速轉為 Tether 等穩定幣。儘管 Binance 2023 年認罪並獲特朗普赦免前 CEO 趙長鵬,平台仍處理逾 71,000 宗執法請求,但專家質疑安全漏洞猶存。
泰國新法限制交易並加強 KYC,美國 FinCEN 亦警告 deepfake 風險,詐騙者卻視之為貓鼠遊戲。
