一个月内涌入6600条诈骗广告,平均不到7分钟就有一条新帖子出现在Facebook和Instagram上。更棘手的,是背后还有8400多个钓鱼域名轮番上阵。土耳其银行客户正被一张严密的工业化诈骗网络包围,一切都在极速运转。

数字安全公司Group-IB的分析师追踪到了这条产业链的运作方式。他们发现,针对土耳其银行的网络诈骗并非各自为战,而是由五个互相交织的诈骗集群构成的一条关联犯罪链条。这些集群从2025年11月持续活跃至2026年4月,最早的恶意活动甚至能追溯到2023年8月。研究期内,土耳其各地记录了超过2.3万起受害者投诉,显示出大范围的财务损失和公众恐慌。

打开网易新闻 查看精彩图片

让诈骗规模得以膨胀的,是一套在地下渠道公开售卖的钓鱼工具包。这套工具包的价格仅为约250美元,却能够一口气仿冒土耳其数十家银行,并驱动超过6700个冒充政府服务门户的仿冒域名。攻击者利用这些看起来很像的网址,架设起专门收集登录凭证、银行卡信息、个人身份资料以及一次性验证码的网页。这样一来,即便没有高超的技术能力,购买工具包的犯罪者也能快速搭建起以假乱真的银行页面。

这些假的银行网站并不静静地等待猎物。它们被诈骗广告、赌博平台以及各式社交工程手段推向潜在受害者。造假者尤其钟爱在广告中使用银行的品牌元素,搞出“快速贷款”之类的诱人噱头。一旦有人点击,从社交媒体帖子跳转到钓鱼页面,只需区区几次点击。受害者经常在不知不觉中输入敏感信息,甚至还被要求支付所谓的“手续费”,直到钱被划走才意识到上当了。

社交媒体上的广告投放更是以分钟为单位计算寿命。报告显示,超过八成的诈骗活动都通过Facebook和Instagram进行,一条钓鱼广告可能只存活短短30分钟就被替换掉,而支撑广告背后的域名和服务器则每周轮换一次。这种闪电战式的打法让追踪和下架变得极其困难,犯罪分子总能在旧域名被封之前造出一批新页面。

Group-IB的分析指出,至少有四个诈骗集群共用同一套基础设施,不同操作者借助共享的工具与模板快速复制攻击。这种产业化分工,使得整条欺诈链在窃取到凭据或资金之后,还能迅速转入洗钱与招募等下游环节,持续扩大伤害面。