2 3 51.1紙質/PDF流水 51.2虛假銀行APP流水 61.3官方銀行APP虛假流水 10 2.1房貸場景 2.2車貸場景 2.3企業貸場景 2.4消費貸場景 16 173前言銀行流水記錄了企業、個人的資金往來明細，反映了主體現金流、經營績效等重要信息。在我國，銀行流水是主體資信的重要證明材料，廣泛應用于公私融資、股權投資等業務中。真流水是指通過銀行柜臺打印出來的流水單。相反，假流水是指通過黑產、中介等渠道虛構出來的流水單。在信貸場景中，一部分人因資質不符、缺乏條件等問題無法正常申請貸款，只能通過虛假需求、虛假流水等“假數據”來達到借貸融資目的。目前，銀行方或貸款機構無法直接對接他行的個人、企業流水信息，需要貸款客戶自主提供相關流水信息，完成相應的貸款審核。這就為黑產提供了可乘之機，通過提供定制虛假的個人、企業流水資料，為貸款客戶通過貸款審批及獲取更高的貸款額度。以下為銀川警方搗毀的車貸詐騙團伙事件，涉及詐騙團伙通過包裝假工作、假收入流水給背債人申請車貸：當下，黑產的造假手法不斷更新、不斷迭代，也更加真實，虛假流水可能被黑產使用于任何需要核驗收入水平來評估還款能力但又未核驗或無法核驗第三方官方接口數據的貸款產品。015一、虛假流水種類及作惡流程虛假流水主要涉及紙質版流水、PDF流水、高低配手機APP流水、銀行官方APP流水，其中展示方式涉及銀行、第三方支付平臺等APP版本；流水方向涉及打卡工資、收款碼、對公賬戶等交易流水數據。以下為威脅獵人情報研究團隊調研發現的一些黑產招募廣告信息：金融黑中介根據客戶的資質情況及對應目標貸款產品需求，確定所需的流水種類，與偽造流水黑產專項定制紙質版或PDF版或虛假銀行APP版或銀行官方APP版流水。且不同的虛假流水種類有不同的價格及操作流程。1.1紙質/PDF流水紙質/PDF虛假流水，指的是通過偽造手段制作的、以紙質或PDF電子文檔形式呈現的銀行流水記錄。紙質版、PDF版流水造假成本最低，使用層面也最窄，適用于僅需要客戶提供紙質材料或PDF版本的貸款場景，或者有銀行內部人員內外勾結的場景中，這種紙質/PDF版流水制作成本較低，價格在200-300元左右。金融中介根據客戶情況提出流水制作結果需求，如流水周期長短、賬戶信息、月收入多少、余額等要求，黑產根據某銀行官方流水格式、公章等信息在后臺操作流水交易記錄表，流水表制作完成后以PDF格式輸給中介，中介再打印紙質版流水或直接提交PDF版流水申請貸款。6一般情況下，制造虛假流水的黑產只提供電子版或PDF版本，不提供數據源給中介或客戶，類似于一些照相機構只提供照片，不交付底片的模式。金融機構可通過核驗APP側數據的方式校驗流水的真實性，如：若客戶提供打卡工資流水電子版本，則可以通過現場核驗客戶手機銀行APP的方式，驗證數據的真實性。以下是威脅獵人從黑產側獲取的一份PDF企業流水樣本：1.2虛假銀行APP流水虛假APP流水指黑產按照銀行官方APP的排版格式制作的山寨版APP軟件。這類山寨版APP涉及手機銀行、第三方支付平臺等APP，雖然不能真實交易，但仿真度極高，能操作7與賬戶、轉賬、交易等相關的點擊查看、導出功能，一些非主要功能頁面只能展示且無法點擊進入下級頁面。這類山寨版APP涉及手機銀行、微信、支付寶等APP。以下為某虛假銀行APP頁面信息：1.2.1虛假銀行APP特征黑產偽造的銀行APP根據各官方銀行APP樣式、模版及部分功能自主開發，為了節約偽造成本，很多APP內部功能缺失，在人工核驗環節容易被發現。威脅獵人實測某虛假銀行APP發現，虛假銀行APP存在以下特征：（1）涉及流水相關的頁面功能可以正常展示且部分功能可以正常操作，但不能真實交易。該虛假銀行APP賬戶查詢功能可以點擊進入下級頁面且查看卡號、查看明細、進入轉賬頁面，轉賬匯款功能也可以點擊進入下級頁面且查看轉賬記錄且可以進行進入轉賬流程、點擊常用收款人個人賬戶可以進入轉賬頁面，可操作轉賬流程且會顯示轉賬成功且賬戶余額實時變動，甚至用假銀行賬戶依然會顯示轉賬成功。以下為某虛假銀行APP的轉賬記錄情況：8（2）主頁面不涉及流水相關的常規一級頁面菜單可以正常點擊進入下級頁面，但二級菜單頁面均無法打開，點擊無效。該虛假銀行APP首頁頁面生活繳費點擊可以進入下級頁面，但是二級頁面所有信息均點擊無效，無法打開下級頁面。（3）非主頁面及其他與流水不相關的頁面僅有展示功能，均無法點擊打開頁面。該虛假銀行APP首頁養老等模塊均無法點擊打開，無法打開下級頁面。1.2.2虛假銀行APP欺詐流程在實際欺詐場景中，黑產一般通過與金融中介渠道合作的方式攫取利益。首先，中介根據客戶資質情況和貸款需求評估該名客戶可能需要補充的流水數據，黑產則根據中介提供的相關要求，如客戶虛假月收入、虛假月支出、虛假余額、流水制作周期、客戶基本信息等數據制作詳細的虛假流水數據表，并在已開發好的山寨版銀行APP后臺導入流水數據，生成客戶賬戶信息。隨后，中介端或客戶端在對應山寨銀行APP端登錄客戶賬戶，即可查看、展示、導出流水數據。9上述這類虛假流水數據的生成過程，黑產只需幾小時即可完成，并從中獲取幾百元到幾千元不等的非法利益。黑產提供制定各種金融類山寨APP版本的虛假流水服務，黑產按照中介提供的虛假信息在后臺上傳虛假流水數據，金融中介通過黑產提供的軟件安裝包下載并安裝山寨APP即可使用假流水數據。1.2.3高低配APP版本手機銀行APP分為低配APP和高配APP兩種版本，高低配APP上展示功能基本一致，均按照官方銀行APP格式和版面制作，主要區別在于是否可導出郵箱，以及是否可“轉賬”。（1）手機銀行低配APP：只能查看APP內數據，APP制造效果相對粗糙，展示個人賬戶信息、賬戶總覽、收支明細、轉賬頁面等信息，可以實現在面簽環節把數據展示給工作人員核驗或截屏留證，價格在500-600元不等。（2）手機銀行高配APP：不但能查看APP內數據，APP制造效果更真實，除展示個人賬戶信息、賬戶總覽、收支明細、轉賬頁面等信息，還有導出郵箱功能、還能“假轉賬”，能自由選擇某個時間段內交易流水數據導出郵箱打印，客戶可在貸款面簽時當場導出數據并輸出給面簽人員，價格在1200-2000元不等。高配版銀行APP導出郵箱不需要輸入手機驗證碼或驗證碼隨意輸入即可驗證成功，且發件人郵箱地址故意設置的與真實官方郵箱地址相似度較高，需仔細查看區別。另外，高低配APP均適用于安卓手機系統，IOS系統暫未發現虛假銀行APP流水案例。1.3官方銀行APP虛假流水官方銀行APP虛假流水是黑中介通過特定的手機并刷機以逃避銀行APP的反監測后，安裝黑產提供的指定插件軟件，再下載銀行官方APP，黑產則利用遠程控制該APP上傳流水數據，并在該手機APP內生成虛假流水。黑中介通過在官方APP偽造流水數據為客戶申請貸款，提升通過率和貸款額度，為使用客戶解決真實流水不足的問題。手機設備刷機、安裝作弊插件后，銀行官方APP被修改，一般無法通過肉眼辨別修改特征，但可以通過技術分析發現官方APP某些功能可能被篡改。威脅獵人通過分析得知，官方銀行APP虛假流水作惡技術操作流程如下：①手機設備刷機。②安裝APatch用于繞過Root檢測。③安裝Lsposed作為Hook框架。④安裝Lsposed插件，該插件用于Hook銀行APP流水展示相關函數，實現在APP中展示虛假流水。技術邏輯：在設備獲取Root后，可以在一定層面上繞過銀行APP對設備環境的檢測。Lsposed是一個功能豐富的Hook框架，黑灰產基于該框架開發插件，可以在不修改銀行APP的情況下，對銀行APP的部分代碼進行劫持。在該場景中，黑灰產可能通過逆向定位到"獲取流水"的代碼，通過Lsposed框架，可以強制修改該代碼的返回值，即虛假的流水數據，從而實現假流水展示。以下為黑產劫持官方銀行APP展示虛假流水的邏輯流程：需要特別注意的是，這種刷機并安裝插件后的手機，并不影響其他功能使用。黑產通過安裝插件、遠程控制手機端的銀行官方APP，這個APP完全真實，且所有的APP功能都可以正常使用。這個流程一旦跑通，后續只需更換客戶銀行賬戶、上傳與客戶對應的虛假流水數據表即可重復使用，但這些數據只能在該特定手機上顯示。02二、虛假流水運用場景虛假流水可能被黑產使用于任何需要核驗個人收入水平來評估還款能力，但又未核驗或無法核驗第三方官方接口數據的貸款產品中，房貸、車貸等涉及面簽環節為黑產重點攻擊場景，其他如銀行流水（個人、企業）未能連接銀行端數據、個稅數據未能連接官方稅務中心數據、公積金流水未能連接官方側數據等等僅依賴相關手機APP數據的貸款場景，均可能存在虛假流水攻擊風險。2.1房貸場景在購房按揭貸款、抵押貸款場景中，往往需要核驗客戶資產、社保公積金、收入流水等材料，需要客戶提供紙質版收入流水、打卡工資流水，或者直接通過銀行APP導出數據，這類場景可能存在虛假流水欺詐、騙貸風險。2.2車貸場景在購車按揭貸款場景中，往往需要核驗客戶房產、社保公積金、收入水平等，需要客戶提供紙質版收入流水、打卡工資流水，或者直接通過銀行APP導出數據，也可能存在虛假流水欺詐、騙貸風險。2.3企業貸場景在企業貸款場景如商戶貸、流水貸、農戶貸、經營貸等，一些金融機構要求企業提供企業流水或法人個人流水來證明企業的經營狀況。如果涉及企業流水，黑產通過導出客戶真實的企業、個人流水數據，并參照客戶真實的上下線來往制作流水信息，使流水真中有假、假中有真，或者完全假。因此企業貸場景也可能存在虛假流水欺詐、騙貸風險。2.4消費貸場景個人消費貸中，為確保申請客戶工作的真實性，很多金融機構都連接第三方官方數據，如社保、公積金官方數據，因此避免了一部分欺詐，是虛假流水使用較少的場景。但仍然有一些金融機構需要核驗客戶收入流水，在此場景也可能存在虛假流水欺詐、騙貸風險。03防御思路黑產在虛假流水操作手法各異，且在不斷迭代：從紙質版虛假流水，到虛假的銀行APP/第三方支付平臺流水APP低配版、高配版，再到真實銀行官方APP流水，操作成本越來越高，包裝手段也更真實、更隱秘，對金融機構的攻擊力度不斷加強，金融機構面臨的欺詐風險更為嚴峻。為此，威脅獵人在反欺詐防御風險方向為金融機構提供以下建議：1、建議加強對面簽人員關于虛假銀行APP流水特征風險培訓，及時同步最新的虛假流水案例及欺詐手法特征，讓面簽人員時刻警惕貸款客戶提供的銀行APP流水的真實性。2、建議加強對客戶收入流水數據的審核力度，對大額或異常交易數據進行背景調查，核實交易的真實性和合理性。3、建議在用戶協議、貸款合同中要求用戶承諾所提供的流水和交易記錄真實有效、規定虛假流水的法律責任及警示偽造虛假流水的法律后果。在貸款APP側，威脅獵人為篡改銀行官方APP風險從技術層面提供以下風控建議：1、建議增加xposed對抗方案，如檢測內存是否被修改。檢測內存中的代碼片段與原代碼片段是否一致，若不一致，則當前內存被修改，可能被hook。檢測self_map中的so字段是否存在xposed、libepic等字符串，若存在則可能在不安全的環境下。2、建議加強反調試保護。分別在Native層和Java層增加更多檢測點，且分散到不同的動態鏈接庫或類當中。通過增加多個對抗位置增加分析難度，延緩攻擊者的分析進程。3、若檢測到設備處于異常環境，如Root、