黑產(chǎn)大數(shù)據(jù) 信貸欺詐虛假流水研究報(bào)告 2024

2 3 51.1紙質(zhì)/PDF流水 51.2虛假銀行APP流水 61.3官方銀行APP虛假流水 10 2.1房貸場(chǎng)景 2.2車貸場(chǎng)景 2.3企業(yè)貸場(chǎng)景 2.4消費(fèi)貸場(chǎng)景 16 173前言銀行流水記錄了企業(yè)、個(gè)人的資金往來明細(xì)，反映了主體現(xiàn)金流、經(jīng)營(yíng)績(jī)效等重要信息。在我國(guó)，銀行流水是主體資信的重要證明材料，廣泛應(yīng)用于公私融資、股權(quán)投資等業(yè)務(wù)中。真流水是指通過銀行柜臺(tái)打印出來的流水單。相反，假流水是指通過黑產(chǎn)、中介等渠道虛構(gòu)出來的流水單。在信貸場(chǎng)景中，一部分人因資質(zhì)不符、缺乏條件等問題無法正常申請(qǐng)貸款，只能通過虛假需求、虛假流水等“假數(shù)據(jù)”來達(dá)到借貸融資目的。目前，銀行方或貸款機(jī)構(gòu)無法直接對(duì)接他行的個(gè)人、企業(yè)流水信息，需要貸款客戶自主提供相關(guān)流水信息，完成相應(yīng)的貸款審核。這就為黑產(chǎn)提供了可乘之機(jī)，通過提供定制虛假的個(gè)人、企業(yè)流水資料，為貸款客戶通過貸款審批及獲取更高的貸款額度。以下為銀川警方搗毀的車貸詐騙團(tuán)伙事件，涉及詐騙團(tuán)伙通過包裝假工作、假收入流水給背債人申請(qǐng)車貸：當(dāng)下，黑產(chǎn)的造假手法不斷更新、不斷迭代，也更加真實(shí)，虛假流水可能被黑產(chǎn)使用于任何需要核驗(yàn)收入水平來評(píng)估還款能力但又未核驗(yàn)或無法核驗(yàn)第三方官方接口數(shù)據(jù)的貸款產(chǎn)品。015一、虛假流水種類及作惡流程虛假流水主要涉及紙質(zhì)版流水、PDF流水、高低配手機(jī)APP流水、銀行官方APP流水，其中展示方式涉及銀行、第三方支付平臺(tái)等APP版本；流水方向涉及打卡工資、收款碼、對(duì)公賬戶等交易流水?dāng)?shù)據(jù)。以下為威脅獵人情報(bào)研究團(tuán)隊(duì)調(diào)研發(fā)現(xiàn)的一些黑產(chǎn)招募廣告信息：金融黑中介根據(jù)客戶的資質(zhì)情況及對(duì)應(yīng)目標(biāo)貸款產(chǎn)品需求，確定所需的流水種類，與偽造流水黑產(chǎn)專項(xiàng)定制紙質(zhì)版或PDF版或虛假銀行APP版或銀行官方APP版流水。且不同的虛假流水種類有不同的價(jià)格及操作流程。1.1紙質(zhì)/PDF流水紙質(zhì)/PDF虛假流水，指的是通過偽造手段制作的、以紙質(zhì)或PDF電子文檔形式呈現(xiàn)的銀行流水記錄。紙質(zhì)版、PDF版流水造假成本最低，使用層面也最窄，適用于僅需要客戶提供紙質(zhì)材料或PDF版本的貸款場(chǎng)景，或者有銀行內(nèi)部人員內(nèi)外勾結(jié)的場(chǎng)景中，這種紙質(zhì)/PDF版流水制作成本較低，價(jià)格在200-300元左右。金融中介根據(jù)客戶情況提出流水制作結(jié)果需求，如流水周期長(zhǎng)短、賬戶信息、月收入多少、余額等要求，黑產(chǎn)根據(jù)某銀行官方流水格式、公章等信息在后臺(tái)操作流水交易記錄表，流水表制作完成后以PDF格式輸給中介，中介再打印紙質(zhì)版流水或直接提交PDF版流水申請(qǐng)貸款。6一般情況下，制造虛假流水的黑產(chǎn)只提供電子版或PDF版本，不提供數(shù)據(jù)源給中介或客戶，類似于一些照相機(jī)構(gòu)只提供照片，不交付底片的模式。金融機(jī)構(gòu)可通過核驗(yàn)APP側(cè)數(shù)據(jù)的方式校驗(yàn)流水的真實(shí)性，如：若客戶提供打卡工資流水電子版本，則可以通過現(xiàn)場(chǎng)核驗(yàn)客戶手機(jī)銀行APP的方式，驗(yàn)證數(shù)據(jù)的真實(shí)性。以下是威脅獵人從黑產(chǎn)側(cè)獲取的一份PDF企業(yè)流水樣本：1.2虛假銀行APP流水虛假APP流水指黑產(chǎn)按照銀行官方APP的排版格式制作的山寨版APP軟件。這類山寨版APP涉及手機(jī)銀行、第三方支付平臺(tái)等APP，雖然不能真實(shí)交易，但仿真度極高，能操作7與賬戶、轉(zhuǎn)賬、交易等相關(guān)的點(diǎn)擊查看、導(dǎo)出功能，一些非主要功能頁面只能展示且無法點(diǎn)擊進(jìn)入下級(jí)頁面。這類山寨版APP涉及手機(jī)銀行、微信、支付寶等APP。以下為某虛假銀行APP頁面信息：1.2.1虛假銀行APP特征黑產(chǎn)偽造的銀行APP根據(jù)各官方銀行APP樣式、模版及部分功能自主開發(fā)，為了節(jié)約偽造成本，很多APP內(nèi)部功能缺失，在人工核驗(yàn)環(huán)節(jié)容易被發(fā)現(xiàn)。威脅獵人實(shí)測(cè)某虛假銀行APP發(fā)現(xiàn)，虛假銀行APP存在以下特征：（1）涉及流水相關(guān)的頁面功能可以正常展示且部分功能可以正常操作，但不能真實(shí)交易。該虛假銀行APP賬戶查詢功能可以點(diǎn)擊進(jìn)入下級(jí)頁面且查看卡號(hào)、查看明細(xì)、進(jìn)入轉(zhuǎn)賬頁面，轉(zhuǎn)賬匯款功能也可以點(diǎn)擊進(jìn)入下級(jí)頁面且查看轉(zhuǎn)賬記錄且可以進(jìn)行進(jìn)入轉(zhuǎn)賬流程、點(diǎn)擊常用收款人個(gè)人賬戶可以進(jìn)入轉(zhuǎn)賬頁面，可操作轉(zhuǎn)賬流程且會(huì)顯示轉(zhuǎn)賬成功且賬戶余額實(shí)時(shí)變動(dòng)，甚至用假銀行賬戶依然會(huì)顯示轉(zhuǎn)賬成功。以下為某虛假銀行APP的轉(zhuǎn)賬記錄情況：8（2）主頁面不涉及流水相關(guān)的常規(guī)一級(jí)頁面菜單可以正常點(diǎn)擊進(jìn)入下級(jí)頁面，但二級(jí)菜單頁面均無法打開，點(diǎn)擊無效。該虛假銀行APP首頁頁面生活繳費(fèi)點(diǎn)擊可以進(jìn)入下級(jí)頁面，但是二級(jí)頁面所有信息均點(diǎn)擊無效，無法打開下級(jí)頁面。（3）非主頁面及其他與流水不相關(guān)的頁面僅有展示功能，均無法點(diǎn)擊打開頁面。該虛假銀行APP首頁養(yǎng)老等模塊均無法點(diǎn)擊打開，無法打開下級(jí)頁面。1.2.2虛假銀行APP欺詐流程在實(shí)際欺詐場(chǎng)景中，黑產(chǎn)一般通過與金融中介渠道合作的方式攫取利益。首先，中介根據(jù)客戶資質(zhì)情況和貸款需求評(píng)估該名客戶可能需要補(bǔ)充的流水?dāng)?shù)據(jù)，黑產(chǎn)則根據(jù)中介提供的相關(guān)要求，如客戶虛假月收入、虛假月支出、虛假余額、流水制作周期、客戶基本信息等數(shù)據(jù)制作詳細(xì)的虛假流水?dāng)?shù)據(jù)表，并在已開發(fā)好的山寨版銀行APP后臺(tái)導(dǎo)入流水?dāng)?shù)據(jù)，生成客戶賬戶信息。隨后，中介端或客戶端在對(duì)應(yīng)山寨銀行APP端登錄客戶賬戶，即可查看、展示、導(dǎo)出流水?dāng)?shù)據(jù)。9上述這類虛假流水?dāng)?shù)據(jù)的生成過程，黑產(chǎn)只需幾小時(shí)即可完成，并從中獲取幾百元到幾千元不等的非法利益。黑產(chǎn)提供制定各種金融類山寨APP版本的虛假流水服務(wù)，黑產(chǎn)按照中介提供的虛假信息在后臺(tái)上傳虛假流水?dāng)?shù)據(jù)，金融中介通過黑產(chǎn)提供的軟件安裝包下載并安裝山寨APP即可使用假流水?dāng)?shù)據(jù)。1.2.3高低配APP版本手機(jī)銀行APP分為低配APP和高配APP兩種版本，高低配APP上展示功能基本一致，均按照官方銀行APP格式和版面制作，主要區(qū)別在于是否可導(dǎo)出郵箱，以及是否可“轉(zhuǎn)賬”。（1）手機(jī)銀行低配APP：只能查看APP內(nèi)數(shù)據(jù)，APP制造效果相對(duì)粗糙，展示個(gè)人賬戶信息、賬戶總覽、收支明細(xì)、轉(zhuǎn)賬頁面等信息，可以實(shí)現(xiàn)在面簽環(huán)節(jié)把數(shù)據(jù)展示給工作人員核驗(yàn)或截屏留證，價(jià)格在500-600元不等。（2）手機(jī)銀行高配APP：不但能查看APP內(nèi)數(shù)據(jù)，APP制造效果更真實(shí)，除展示個(gè)人賬戶信息、賬戶總覽、收支明細(xì)、轉(zhuǎn)賬頁面等信息，還有導(dǎo)出郵箱功能、還能“假轉(zhuǎn)賬”，能自由選擇某個(gè)時(shí)間段內(nèi)交易流水?dāng)?shù)據(jù)導(dǎo)出郵箱打印，客戶可在貸款面簽時(shí)當(dāng)場(chǎng)導(dǎo)出數(shù)據(jù)并輸出給面簽人員，價(jià)格在1200-2000元不等。高配版銀行APP導(dǎo)出郵箱不需要輸入手機(jī)驗(yàn)證碼或驗(yàn)證碼隨意輸入即可驗(yàn)證成功，且發(fā)件人郵箱地址故意設(shè)置的與真實(shí)官方郵箱地址相似度較高，需仔細(xì)查看區(qū)別。另外，高低配APP均適用于安卓手機(jī)系統(tǒng)，IOS系統(tǒng)暫未發(fā)現(xiàn)虛假銀行APP流水案例。1.3官方銀行APP虛假流水官方銀行APP虛假流水是黑中介通過特定的手機(jī)并刷機(jī)以逃避銀行APP的反監(jiān)測(cè)后，安裝黑產(chǎn)提供的指定插件軟件，再下載銀行官方APP，黑產(chǎn)則利用遠(yuǎn)程控制該APP上傳流水?dāng)?shù)據(jù)，并在該手機(jī)APP內(nèi)生成虛假流水。黑中介通過在官方APP偽造流水?dāng)?shù)據(jù)為客戶申請(qǐng)貸款，提升通過率和貸款額度，為使用客戶解決真實(shí)流水不足的問題。手機(jī)設(shè)備刷機(jī)、安裝作弊插件后，銀行官方APP被修改，一般無法通過肉眼辨別修改特征，但可以通過技術(shù)分析發(fā)現(xiàn)官方APP某些功能可能被篡改。威脅獵人通過分析得知，官方銀行APP虛假流水作惡技術(shù)操作流程如下：①手機(jī)設(shè)備刷機(jī)。②安裝APatch用于繞過Root檢測(cè)。③安裝Lsposed作為Hook框架。④安裝Lsposed插件，該插件用于Hook銀行APP流水展示相關(guān)函數(shù)，實(shí)現(xiàn)在APP中展示虛假流水。技術(shù)邏輯：在設(shè)備獲取Root后，可以在一定層面上繞過銀行APP對(duì)設(shè)備環(huán)境的檢測(cè)。Lsposed是一個(gè)功能豐富的Hook框架，黑灰產(chǎn)基于該框架開發(fā)插件，可以在不修改銀行APP的情況下，對(duì)銀行APP的部分代碼進(jìn)行劫持。在該場(chǎng)景中，黑灰產(chǎn)可能通過逆向定位到"獲取流水"的代碼，通過Lsposed框架，可以強(qiáng)制修改該代碼的返回值，即虛假的流水?dāng)?shù)據(jù)，從而實(shí)現(xiàn)假流水展示。以下為黑產(chǎn)劫持官方銀行APP展示虛假流水的邏輯流程：需要特別注意的是，這種刷機(jī)并安裝插件后的手機(jī)，并不影響其他功能使用。黑產(chǎn)通過安裝插件、遠(yuǎn)程控制手機(jī)端的銀行官方APP，這個(gè)APP完全真實(shí)，且所有的APP功能都可以正常使用。這個(gè)流程一旦跑通，后續(xù)只需更換客戶銀行賬戶、上傳與客戶對(duì)應(yīng)的虛假流水?dāng)?shù)據(jù)表即可重復(fù)使用，但這些數(shù)據(jù)只能在該特定手機(jī)上顯示。02二、虛假流水運(yùn)用場(chǎng)景虛假流水可能被黑產(chǎn)使用于任何需要核驗(yàn)個(gè)人收入水平來評(píng)估還款能力，但又未核驗(yàn)或無法核驗(yàn)第三方官方接口數(shù)據(jù)的貸款產(chǎn)品中，房貸、車貸等涉及面簽環(huán)節(jié)為黑產(chǎn)重點(diǎn)攻擊場(chǎng)景，其他如銀行流水（個(gè)人、企業(yè)）未能連接銀行端數(shù)據(jù)、個(gè)稅數(shù)據(jù)未能連接官方稅務(wù)中心數(shù)據(jù)、公積金流水未能連接官方側(cè)數(shù)據(jù)等等僅依賴相關(guān)手機(jī)APP數(shù)據(jù)的貸款場(chǎng)景，均可能存在虛假流水攻擊風(fēng)險(xiǎn)。2.1房貸場(chǎng)景在購(gòu)房按揭貸款、抵押貸款場(chǎng)景中，往往需要核驗(yàn)客戶資產(chǎn)、社保公積金、收入流水等材料，需要客戶提供紙質(zhì)版收入流水、打卡工資流水，或者直接通過銀行APP導(dǎo)出數(shù)據(jù)，這類場(chǎng)景可能存在虛假流水欺詐、騙貸風(fēng)險(xiǎn)。2.2車貸場(chǎng)景在購(gòu)車按揭貸款場(chǎng)景中，往往需要核驗(yàn)客戶房產(chǎn)、社保公積金、收入水平等，需要客戶提供紙質(zhì)版收入流水、打卡工資流水，或者直接通過銀行APP導(dǎo)出數(shù)據(jù)，也可能存在虛假流水欺詐、騙貸風(fēng)險(xiǎn)。2.3企業(yè)貸場(chǎng)景在企業(yè)貸款場(chǎng)景如商戶貸、流水貸、農(nóng)戶貸、經(jīng)營(yíng)貸等，一些金融機(jī)構(gòu)要求企業(yè)提供企業(yè)流水或法人個(gè)人流水來證明企業(yè)的經(jīng)營(yíng)狀況。如果涉及企業(yè)流水，黑產(chǎn)通過導(dǎo)出客戶真實(shí)的企業(yè)、個(gè)人流水?dāng)?shù)據(jù)，并參照客戶真實(shí)的上下線來往制作流水信息，使流水真中有假、假中有真，或者完全假。因此企業(yè)貸場(chǎng)景也可能存在虛假流水欺詐、騙貸風(fēng)險(xiǎn)。2.4消費(fèi)貸場(chǎng)景個(gè)人消費(fèi)貸中，為確保申請(qǐng)客戶工作的真實(shí)性，很多金融機(jī)構(gòu)都連接第三方官方數(shù)據(jù)，如社保、公積金官方數(shù)據(jù)，因此避免了一部分欺詐，是虛假流水使用較少的場(chǎng)景。但仍然有一些金融機(jī)構(gòu)需要核驗(yàn)客戶收入流水，在此場(chǎng)景也可能存在虛假流水欺詐、騙貸風(fēng)險(xiǎn)。03防御思路黑產(chǎn)在虛假流水操作手法各異，且在不斷迭代：從紙質(zhì)版虛假流水，到虛假的銀行APP/第三方支付平臺(tái)流水APP低配版、高配版，再到真實(shí)銀行官方APP流水，操作成本越來越高，包裝手段也更真實(shí)、更隱秘，對(duì)金融機(jī)構(gòu)的攻擊力度不斷加強(qiáng)，金融機(jī)構(gòu)面臨的欺詐風(fēng)險(xiǎn)更為嚴(yán)峻。為此，威脅獵人在反欺詐防御風(fēng)險(xiǎn)方向?yàn)榻鹑跈C(jī)構(gòu)提供以下建議：1、建議加強(qiáng)對(duì)面簽人員關(guān)于虛假銀行APP流水特征風(fēng)險(xiǎn)培訓(xùn)，及時(shí)同步最新的虛假流水案例及欺詐手法特征，讓面簽人員時(shí)刻警惕貸款客戶提供的銀行APP流水的真實(shí)性。2、建議加強(qiáng)對(duì)客戶收入流水?dāng)?shù)據(jù)的審核力度，對(duì)大額或異常交易數(shù)據(jù)進(jìn)行背景調(diào)查，核實(shí)交易的真實(shí)性和合理性。3、建議在用戶協(xié)議、貸款合同中要求用戶承諾所提供的流水和交易記錄真實(shí)有效、規(guī)定虛假流水的法律責(zé)任及警示偽造虛假流水的法律后果。在貸款A(yù)PP側(cè)，威脅獵人為篡改銀行官方APP風(fēng)險(xiǎn)從技術(shù)層面提供以下風(fēng)控建議：1、建議增加xposed對(duì)抗方案，如檢測(cè)內(nèi)存是否被修改。檢測(cè)內(nèi)存中的代碼片段與原代碼片段是否一致，若不一致，則當(dāng)前內(nèi)存被修改，可能被hook。檢測(cè)self_map中的so字段是否存在xposed、libepic等字符串，若存在則可能在不安全的環(huán)境下。2、建議加強(qiáng)反調(diào)試保護(hù)。分別在Native層和Java層增加更多檢測(cè)點(diǎn)，且分散到不同的動(dòng)態(tài)鏈接庫(kù)或類當(dāng)中。通過增加多個(gè)對(duì)抗位置增加分析難度，延緩攻擊者的分析進(jìn)程。3、若檢測(cè)到設(shè)備處于異常環(huán)境，如Root、