《威脅獵人：2024信貸欺詐虛假流水研究報告（18頁）.pdf》由會員分享，可在線閱讀，更多相關《威脅獵人：2024信貸欺詐虛假流水研究報告（18頁）.pdf（18頁珍藏版）》請在三個皮匠報告上搜索。

1、12目錄目錄前言前言.3一、一、虛假流水種類及作惡流程虛假流水種類及作惡流程.51.1 紙質/PDF 流水.51.2 虛假銀行 APP 流水.61.3 官方銀行 APP 虛假流水.10二、二、虛假流水虛假流水運用場景運用場景.132.1 房貸場景.132.2 車貸場景.132.3 企業貸場景.132.4 消費貸場景.13三、三、防御思路防御思路.16四、四、總結總結.173前言前言銀行流水記錄了企業、個人的資金往來明細，反映了主體現金流、經營績效等重要信息。在我國，銀行流水是主體資信的重要證明材料，廣泛應用于公私融資、股權投資等業務中。真流水是指通過銀行柜臺打印出來的流水單。相反，假流水是指通

2、過黑產、中介等渠道虛構出來的流水單。在信貸場景中，一部分人因資質不符、缺乏條件等問題無法正常申請貸款，只能通過虛假需求、虛假流水等“假數據”來達到借貸融資目的。目前，銀行方或貸款機構無法直接對接他行的個人、企業流水信息，需要貸款客戶自主提供相關流水信息，完成相應的貸款審核。這就為黑產提供了可乘之機，通過提供定制虛假的個人、企業流水資料，為貸款客戶通過貸款審批及獲取更高的貸款額度。以下為銀川警方搗毀的車貸詐騙團伙事件，涉及詐騙團伙通過包裝假工作、假收入流水給背債人申請車貸：當下，黑產的造假手法不斷更新、不斷迭代，也更加真實，虛假流水可能被黑產使用于任何需要核驗收入水平來評估還款能力但又未核驗或無

3、法核驗第三方官方接口數據的貸款產品。4二次販賣）。虛假流水種類及作惡流程虛假流水種類及作惡流程01015一、一、虛假流水種類及作惡流程虛假流水種類及作惡流程虛假流水主要涉及紙質版流水、PDF 流水、高低配手機 APP 流水、銀行官方 APP 流水，其中展示方式涉及銀行、第三方支付平臺等 APP 版本；流水方向涉及打卡工資、收款碼、對公賬戶等交易流水數據。以下為威脅獵人情報研究團隊調研發現的一些黑產招募廣告信息：金融黑中介根據客戶的資質情況及對應目標貸款產品需求，確定所需的流水種類，與偽造流水黑產專項定制紙質版或 PDF 版或虛假銀行 APP 版或銀行官方 APP 版流水。且不同的虛假流水種類有

4、不同的價格及操作流程。1.11.1 紙質紙質/PDF/PDF 流水流水紙質/PDF 虛假流水，指的是通過偽造手段制作的、以紙質或 PDF 電子文檔形式呈現的銀行流水記錄。紙質版、PDF 版流水造假成本最低，使用層面也最窄，適用于僅需要客戶提供紙質材料或 PDF 版本的貸款場景，或者有銀行內部人員內外勾結的場景中，這種紙質/PDF 版流水制作成本較低，價格在 200-300 元左右。金融中介根據客戶情況提出流水制作結果需求，如流水周期長短、賬戶信息、月收入多少、余額等要求，黑產根據某銀行官方流水格式、公章等信息在后臺操作流水交易記錄表，流水表制作完成后以 PDF 格式輸給中介，中介再打印紙質版流

5、水或直接提交 PDF 版流水申請貸款。6一般情況下，制造虛假流水的黑產只提供電子版或 PDF 版本，不提供數據源給中介或客戶，類似于一些照相機構只提供照片，不交付底片的模式。金融機構可通過核驗 APP 側數據的方式校驗流水的真實性，如：若客戶提供打卡工資流水電子版本，則可以通過現場核驗客戶手機銀行 APP 的方式，驗證數據的真實性。以下是威脅獵人從黑產側獲取的一份 PDF 企業流水樣本：1.21.2 虛假銀行虛假銀行 APPAPP 流水流水虛假 APP 流水指黑產按照銀行官方 APP 的排版格式制作的山寨版 APP 軟件。這類山寨版APP 涉及手機銀行、第三方支付平臺等 APP，雖然不能真實交

6、易，但仿真度極高，能操作7與賬戶、轉賬、交易等相關的點擊查看、導出功能，一些非主要功能頁面只能展示且無法點擊進入下級頁面。這類山寨版 APP 涉及手機銀行、微信、支付寶等 APP。以下為某虛假銀行 APP 頁面信息：1.2.11.2.1 虛假銀行虛假銀行 APPAPP 特征特征黑產偽造的銀行 APP 根據各官方銀行 APP 樣式、模版及部分功能自主開發，為了節約偽造成本，很多 APP 內部功能缺失，在人工核驗環節容易被發現。威脅獵人實測某虛假銀行 APP 發現，虛假銀行 APP 存在以下特征：（1）涉及流水相關的頁面功能可以正常展示且部分功能可以正常操作，但不能真實交易。該虛假銀行 APP 賬

7、戶查詢功能可以點擊進入下級頁面且查看卡號、查看明細、進入轉賬頁面，轉賬匯款功能也可以點擊進入下級頁面且查看轉賬記錄且可以進行進入轉賬流程、點擊常用收款人個人賬戶可以進入轉賬頁面，可操作轉賬流程且會顯示轉賬成功且賬戶余額實時變動，甚至用假銀行賬戶依然會顯示轉賬成功。以下為某虛假銀行 APP 的轉賬記錄情況：8（2）主頁面不涉及流水相關的常規一級頁面菜單可以正常點擊進入下級頁面，但二級菜單頁面均無法打開，點擊無效。該虛假銀行 APP 首頁頁面生活繳費點擊可以進入下級頁面，但是二級頁面所有信息均點擊無效，無法打開下級頁面。（3）非主頁面及其他與流水不相關的頁面僅有展示功能，均無法點擊打開頁面。該虛假

8、銀行 APP 首頁養老等模塊均無法點擊打開，無法打開下級頁面。1.2.21.2.2 虛假銀行虛假銀行 APPAPP 欺詐流程欺詐流程在實際欺詐場景中，黑產一般通過與金融中介渠道合作的方式攫取利益。首先，中介根據客戶資質情況和貸款需求評估該名客戶可能需要補充的流水數據，黑產則根據中介提供的相關要求，如客戶虛假月收入、虛假月支出、虛假余額、流水制作周期、客戶基本信息等數據制作詳細的虛假流水數據表，并在已開發好的山寨版銀行 APP 后臺導入流水數據，生成客戶賬戶信息。隨后，中介端或客戶端在對應山寨銀行 APP 端登錄客戶賬戶，即可查看、展示、導出流水數據。9上述這類虛假流水數據的生成過程，黑產只需幾

9、小時即可完成，并從中獲取幾百元到幾千元不等的非法利益。黑產提供制定各種金融類山寨 APP 版本的虛假流水服務，黑產按照中介提供的虛假信息在后臺上傳虛假流水數據，金融中介通過黑產提供的軟件安裝包下載并安裝山寨 APP 即可使用假流水數據。1.2.31.2.3 高低配高低配 APPAPP 版本版本手機銀行 APP 分為低配 APP 和高配 APP 兩種版本，高低配 APP 上展示功能基本一致，均按照官方銀行 APP 格式和版面制作，主要區別在于是否可導出郵箱，以及是否可“轉賬”。（1 1）手機銀行低配手機銀行低配 APPAPP：只能查看 APP 內數據，APP 制造效果相對粗糙，展示個人賬戶信息、

10、賬戶總覽、收支明細、轉賬頁面等信息，可以實現在面簽環節把數據展示給工作人員核驗或截屏留證，價格在 500-600 元不等。（2 2）手機銀行高配手機銀行高配 APPAPP：不但能查看 APP 內數據，APP 制造效果更真實，除展示個人賬戶信息、賬戶總覽、收支明細、轉賬頁面等信息，還有導出郵箱功能、還能“假轉賬”，能自由選擇某個時間段內交易流水數據導出郵箱打印，客戶可在貸款面簽時當場導出數據并輸出給面簽人員，價格在 1200-2000 元不等。高配版銀行 APP 導出郵箱不需要輸入手機驗證碼或驗證碼隨意輸入即可驗證成功，且發件人郵箱地址故意設置的與真實官方郵箱地址相似度較高，需仔細查看區別。10

11、另外，高低配 APP 均適用于安卓手機系統，IOS 系統暫未發現虛假銀行 APP 流水案例。1.31.3 官方銀行官方銀行 APPAPP 虛假流水虛假流水官方銀行 APP 虛假流水是黑中介通過特定的手機并刷機以逃避銀行 APP 的反監測后，安裝黑產提供的指定插件軟件，再下載銀行官方 APP，黑產則利用遠程控制該 APP 上傳流水數據，并在該手機 APP 內生成虛假流水。黑中介通過在官方 APP 偽造流水數據為客戶申請貸款，提升通過率和貸款額度，為使用客戶解決真實流水不足的問題。11手機設備刷機、安裝作弊插件后，銀行官方 APP 被修改，一般無法通過肉眼辨別修改特征，但可以通過技術分析發現官方

12、APP 某些功能可能被篡改。威脅獵人通過分析得知，官方銀行 APP 虛假流水作惡技術操作流程如下：手機設備刷機。安裝 APatch 用于繞過 Root 檢測。安裝 Lsposed 作為 Hook 框架。安裝 Lsposed 插件，該插件用于 Hook 銀行 APP 流水展示相關函數，實現在 APP 中展示虛假流水。技術邏輯：技術邏輯：在設備獲取 Root 后，可以在一定層面上繞過銀行 APP 對設備環境的檢測。Lsposed 是一個功能豐富的 Hook 框架，黑灰產基于該框架開發插件，可以在不修改銀行APP 的情況下，對銀行 APP 的部分代碼進行劫持。在該場景中，黑灰產可能通過逆向定位到獲取

13、流水的代碼，通過 Lsposed 框架，可以強制修改該代碼的返回值，即虛假的流水數據，從而實現假流水展示。以下為黑產劫持官方銀行 APP 展示虛假流水的邏輯流程：需要特別注意的是，這種刷機并安裝插件后的手機，并不影響其他功能使用。黑產通過安裝插件、遠程控制手機端的銀行官方 APP，這個 APP 完全真實，且所有的 APP 功能都可以正常使用。這個流程一旦跑通，后續只需更換客戶銀行賬戶、上傳與客戶對應的虛假流水數據表即可重復使用，但這些數據只能在該特定手機上顯示。12虛假流水運用場景虛假流水運用場景020213二、二、虛假流水虛假流水運用場景運用場景虛假流水可能被黑產使用于任何需要核驗個人收入水

14、平來評估還款能力，但又未核驗或無法核驗第三方官方接口數據的貸款產品中，房貸、車貸等涉及面簽環節為黑產重點攻擊場景，其他如銀行流水（個人、企業）未能連接銀行端數據、個稅數據未能連接官方稅務中心數據、公積金流水未能連接官方側數據等等僅依賴相關手機 APP 數據的貸款場景，均可能存在虛假流水攻擊風險。2.12.1 房貸場景房貸場景在購房按揭貸款、抵押貸款場景中，往往需要核驗客戶資產、社保公積金、收入流水等材料，需要客戶提供紙質版收入流水、打卡工資流水，或者直接通過銀行 APP 導出數據，這類場景可能存在虛假流水欺詐、騙貸風險。2.22.2 車貸車貸場景場景在購車按揭貸款場景中，往往需要核驗客戶房產、

15、社保公積金、收入水平等，需要客戶提供紙質版收入流水、打卡工資流水，或者直接通過銀行 APP 導出數據，也可能存在虛假流水欺詐、騙貸風險。2.32.3 企業貸場景企業貸場景在企業貸款場景如商戶貸、流水貸、農戶貸、經營貸等，一些金融機構要求企業提供企業流水或法人個人流水來證明企業的經營狀況。如果涉及企業流水，黑產通過導出客戶真實的企業、個人流水數據，并參照客戶真實的上下線來往制作流水信息，使流水真中有假、假中有真，或者完全假。因此企業貸場景也可能存在虛假流水欺詐、騙貸風險。2.42.4 消費貸場景消費貸場景14個人消費貸中，為確保申請客戶工作的真實性，很多金融機構都連接第三方官方數據，如社保、公積

16、金官方數據，因此避免了一部分欺詐，是虛假流水使用較少的場景。但仍然有一些金融機構需要核驗客戶收入流水，在此場景也可能存在虛假流水欺詐、騙貸風險。15防御思路防御思路0 03 316三、三、防御思路防御思路黑產在虛假流水操作手法各異，且在不斷迭代：從紙質版虛假流水，到虛假的銀行 APP/第三方支付平臺流水 APP 低配版、高配版，再到真實銀行官方 APP 流水，操作成本越來越高，包裝手段也更真實、更隱秘，對金融機構的攻擊力度不斷加強，金融機構面臨的欺詐風險更為嚴峻。為此，威脅獵人在反欺詐防御風險方向為金融機構提供以下建議：威脅獵人在反欺詐防御風險方向為金融機構提供以下建議：1、建議加強對面簽人員

17、關于虛假銀行 APP 流水特征風險培訓，及時同步最新的虛假流水案例及欺詐手法特征，讓面簽人員時刻警惕貸款客戶提供的銀行 APP 流水的真實性。2、建議加強對客戶收入流水數據的審核力度，對大額或異常交易數據進行背景調查，核實交易的真實性和合理性。3、建議在用戶協議、貸款合同中要求用戶承諾所提供的流水和交易記錄真實有效、規定虛假流水的法律責任及警示偽造虛假流水的法律后果。在貸款在貸款 APPAPP 側，威脅獵人為篡改銀行官方側，威脅獵人為篡改銀行官方 APPAPP 風險從技術層面提供以下風控建議：風險從技術層面提供以下風控建議：1、建議增加 xposed 對抗方案，如檢測內存是否被修改。檢測內存中

18、的代碼片段與原代碼片段是否一致，若不一致，則當前內存被修改，可能被 hook。檢測 self_map 中的 so 字段是否存在 xposed、libepic 等字符串，若存在則可能在不安全的環境下。2、建議加強反調試保護。分別在 Native 層和 Java 層增加更多檢測點，且分散到不同的動態鏈接庫或類當中。通過增加多個對抗位置增加分析難度，延緩攻擊者的分析進程。3、若檢測到設備處于異常環境，如 Root、Xposed 下，建議增加風險評分預警，并增加人工介入風險審核。17四、四、總結總結虛假流水作為信貸欺詐的一種常見手段，不僅嚴重擾亂了金融市場的正常秩序，還極大地損害了金融機構的利益與消費者的信任。它通過偽造或篡改銀行賬戶交易記錄，繞過風控審批，使得原本不符合貸款條件的申請者獲得資金，進而可能引發連鎖的金融風險，包括不良率的上升、金融機構壞賬增加以及對整個經濟體系的穩定性構成威脅。因此，金融機構需要持續加強信貸審批過程中的數據驗證與風險控制，提高技術手段識別虛假流水的能力，嚴懲信貸欺詐行為，維護金融安全與穩定、保護消費者權益。18