美国司法部宣布,在一次国际执法行动中,美国新墨西哥州检察官办公室和联邦调查局阿尔伯克基外地办事处与荷兰警方共同捣毁了VerifTools市场,查获了多个向全球网络犯罪分子提供伪造身份证件的在线平台。
此次行动捣毁的“VerifTools”非法市场,是一个向世界各地的网络犯罪分子兜售伪造身份证件的大型地下市场,该市场负责制作和分发假驾照、护照和其他形式的身份证明,旨在规避验证系统并促进未经授权的账户接管,以绕过KYC检查并获得对在线账户进行未经授权的访问。
目前,VerifTools市场的两个明网域名(verif[.]tools和veriftools[.]net)和一个博客已被关闭,网站访问者被重定向至一个醒目的扣押页面,页面显示这是由美国联邦调查局根据美国地方法院签发的搜查令采取的扣押行动,托管VerifTools网站的服务器已经在荷兰阿姆斯特丹被查封,但尚不清楚该市场的管理员是谁。
虽然2个域名被扣押,但“暗网下/AWX”发现,几个小时后,新的域名就重新启动了。VerifTools背后的运营者于2025年8月28日发布Telegram公告,宣称他们已经在域名“veriftools[.]com”上重新启动了该服务,Whois信息显示该域名于2018年12月10日创建。
FBI取缔暗网市场VerifTools 美国联邦调查局(FBI)在发现了一起利用被盗个人身份信息(PII)未经授权访问加密货币账户和在区块链上进行非法转账的阴谋后,于2022年8月启动了“铁印行动”(Operation Iron Seal),对此展开了调查。
调查发现,VerifTools为美国所有50个州和多个外国司法管辖区提供高质量的伪造的数字和实体身份证件,并通过隐私增强钱包接受比特币(BTC)和门罗币(XMR)付款。通过使用加密货币混币服务和基于Tor的隐藏服务,VerifTools背后的运营商掩盖了交易轨迹和服务器位置。
该市场上每份文件的价格低至9美元,交易完全以加密货币进行,以逃避传统银行的审查。随后,联邦调查局探员在VerifTools平台测试交易,购买了伪造的新墨西哥州驾驶执照(每张证件仅售9美元),通过分析与这些购买相关的区块链记录,调查人员追踪到流经市场的约640万美元的非法收益,然后获取并验证了VerifTools的后端源代码。
FBI分析师部署了标准的DNS sinkholing技术,将VerifTools的顶级域名(TLD)重定向到政府控制的服务器,从而有效地中和了这些网站并保留了证据。
该暗网市场犯罪活动的范围之广以及伪造技术的复杂性对金融机构、在线服务和政府机构采用的身份验证协议构成了重大威胁。
“互联网不是犯罪分子的避难所。如果你制造或销售让犯罪分子冒充受害者的工具,你就参与了犯罪活动,”美国代理检察官瑞安·埃里森(Ryan Ellison)表示,“我们将使用一切合法手段,扰乱你的生意,夺走你的利润,并将你绳之以法。”没有任何一项行动比我们共同的努力更大。”
国际联合执法合作的又一次成功案例 VerifTools的取缔凸显了跨机构和国际合作的关键作用。美国司法部国际事务办公室与美国弗吉尼亚东区的检察官和调查人员合作,协调跨司法管辖区的法律行动。荷兰国家警察局和荷兰检察机关等国际合作伙伴提供了关键证据和执法援助。
荷兰国家警察局在一份联合声明中称,VerifTools是最大的虚假身份证件提供商之一。除了两台物理服务器外,执法部门还查获了超过21台虚拟服务器。
官员们还指出,该网站服务器上的整个基础设施都已被保护并复制,以供后续分析。在荷兰,伪造、提供虚假身份证明以及使用伪造支付工具最高可判处六年监禁。
“许多公司和机构使用所谓的‘了解你的客户’(KYC)验证,通常只需要身份证件照片即可。使用VerifTools,就可以绕过KYC控制,”荷兰警方表示。“犯罪分子热衷于使用VerifTools之类的平台,因为他们可以利用创建的文件进行欺诈,例如银行服务台欺诈和网络钓鱼。”
美国联邦调查局阿尔伯克基分部代理特别探员菲利普·拉塞尔(Philip Russell)强调了公共安全的影响:“取缔这个市场是保护公众免受欺诈和身份盗窃犯罪侵害的重要一步。我们将与合作伙伴一起,继续瞄准并摧毁犯罪分子所依赖的平台,无论他们在哪里运营。”
美国代理检察官瑞安·埃里森(Ryan Ellison)和代理特别探员菲利普·拉塞尔(Philip Russell)于2025年8月28日正式宣布扣押行动。
iProov是一家基于科学的生物特征身份验证解决方案提供商,iProov的威胁情报研究人员发现了一个大规模的暗网行动,该行动专门用于绕过“了解你的客户”(KYC)验证检查。该暗网行动涉及系统地收集真实的身份证件和相应的面部图像。该行动背后的暗网犯罪团伙似乎一直在窃取面部身份证件图像以及与之相关的真实身份证件。
暗网人脸识别行动的威胁 iProov生物识别威胁情报部门的研究人员发现了暗网上正在实施的看似简单但同时又十分复杂的身份保护绕过操作。iProov分析师将这一重大行动描述为“通过系统收集真实身份证件和图像来破坏身份验证系统”,并表示这表明身份欺诈的性质正在不断演变。
正如iProov在2024年第四季度威胁情报更新报告中详细指出的那样,此次行动背后的未具名犯罪暗网威胁组织已经积累了“大量身份证件和相应的面部图像”,报告称,这些图像“专门为破坏‘了解您的客户‘(kyc)验证流程而设计”。此类系统在防止针对银行和其他金融机构的身份欺诈方面发挥着关键作用。
然而,在这个特殊案例中,最有趣的是,这似乎并不是从已发布的被盗数据库中抓取被泄露的生物特征数据的问题,而是看起来像是通过向用户付费来获取身份。
该案例具体有以下特征:
暗网身份欺诈行动:iProov发现了一个复杂的暗网网络,该网络收集真实身份证件和面部图像以绕过KYC验证。 自愿身份泄露:拉丁美洲和东欧等地区的个人愿意出售其个人和生物特征数据以获取短期经济利益。 不断发展的欺诈技术:攻击者使用从基本的静态图像到高级工具(如深度伪造软件和自定义AI模型)等方法来绕过活体检查。 全球生物特征数据风险:备受瞩目的泄密事件(例如ZKTeco和ChiceDNA)揭示了生物特征访问系统和面部识别技术中的漏洞。 需要多层防御:专家建议采用先进的实时验证、质询-响应机制和持续监控来应对这些复杂的威胁。 KYC攻击流程——暗网面部识别资源如何最大化威胁 iProov报告警告称,这一面部ID储存库的发现凸显了“验证系统面临的多层挑战”,并提供了攻击过程的细分,以说明企业不仅需要能够检测虚假文件,还需要能够检测欺诈性金融应用程序中使用的100%真实凭证。攻击过程细分如下,并详细说明了新发现的面部ID和文件资源是如何参与其中的:
文档验证 标准文件验证流程能够检测出更改和伪造的身份证件,但是,使用暗网组织提供的真实、100%合法的文件使得这种传统的验证方法变得不可靠。
面部匹配 面部匹配算法可以将提交的照片与相关身份证件进行准确比对。但是,当合法的面部图像与合法且对应的身份证件配对时,基本的验证系统可能会出现问题。
活体检测 虽然身份验证攻击涉及不同程度的复杂程度,而且由于活体检测等技术,基本攻击总是更容易被发现,但企业需要了解所有攻击类型,以便最好地防御所有攻击。基本方法包括打印照片和篡改身份证件,中级攻击可能使用实时人脸交换和深度伪造与真实文件相结合,高级攻击可以使用3D建模和实时动画来尝试响应活体检测检查。
暗网黑客付费获取面部图像和辅助身份证明文件——用户愿意参与 iProov首席科学官安德鲁·纽厄尔(Andrew Newell)表示:“这一发现尤其令人担忧,不仅仅是因为操作的复杂性,还因为个人为了短期经济利益而心甘情愿地泄露自己的身份。”他说得并没有错,因为这不仅仅是出售身份数据的问题,而且还冒着自身安全的风险。“他们为犯罪分子提供了完整、真实的身份信息包,可用于复杂的冒充欺诈。”纽厄尔警告说,“这个过程更加危险的是,我们在这里谈论的是身份匹配对的完美风暴:真实的文件和真实的匹配生物特征数据,这使得它们极难通过传统的验证方法检测到。”
“暗网下/AWX”对iProov的报告进行了分析,iProov发现的暗网行动主要发生在拉丁美洲和东欧地区,对依赖生物特征验证的组织提出了重大挑战。真实的凭证与匹配的面部图像相结合,可以轻松绕过传统的文件验证和基本的面部匹配系统。
此外,这些攻击的复杂程度还在不断提高。虽然基本攻击使用简单的方法,如打印照片或静态图像,但中层攻击者使用更先进的技术,如实时换脸和Deepfake软件。
最老练的攻击者利用定制的人工智能模型和专门的软件来创建可以响应活体挑战的合成面孔,这使得区分真实和虚构的互动变得越来越困难。
这表明,验证系统在检测未经授权的个人滥用的伪造文件和真实凭证方面面临多层次的挑战。指纹和面部识别等生物特征数据越来越多地用于身份识别和安全目的。然而,最近涉及主要供应商和服务提供商的事件凸显了对这些敏感信息的日益严重的威胁。
抵御不断演变的暗网身份攻击所需的多层缓解措施 iProov的研究人员在减轻这些暗网上的团体收集攻击资源而进行的身份欺诈方面提出了一些重要建议。事实上,这些缓解措施可以归结为一个关键要点:实施多层验证系统。然而,值得注意的是,iProov建议这种方法必须包括确认以下所有内容才能有效:
通过将出示的身份与官方文件进行比对,确认这是正确的人。 通过使用嵌入式图像和元数据分析来确认这是一个真实的人,以便能够最好地检测任何恶意媒体。 通过使用独特的挑战-响应,确认身份验证是实时提交的。 结合技术和威胁情报,以便能够检测、响应和缓解验证系统上的威胁。此托管检测和响应系统必须包括: 持续监控。 事件响应。 主动搜寻威胁。 利用专业知识。 对潜在攻击场景进行逆向工程的技能。 主动构建防御以减少攻击的能力。 IProov表示:“这种多层方法使攻击者成功欺骗身份验证系统的难度成倍增加。即使是先进的攻击也很难同时击败所有这些安全措施,同时保持真正的人类互动的自然特征。”
攻击者已经可以绕过面部生物识别的有效性检测——无需暗网参与 威胁情报和安全专家Group-IB的研究人员已经证明,面部生物识别中的活体检测不再是验证的黄金标准。Group-IB的研究揭示了攻击者如何使用AI生成的深度伪造图像绕过生物特征验证系统,在涉及一家著名印尼金融机构的真实案例研究中,攻击者能够绕过活体检测保护措施。Group-IB的网络欺诈分析师Yuan Huang表示:“利用先进的AI模型,换脸技术使攻击者能够仅使用一张照片实时将一个人的脸替换为另一个人的脸。”这不仅使视频中个人的身份合法化,而且,Huang继续说道,“这些技术可以有效地欺骗面部识别系统,因为它们的切换无缝、看起来自然,并且能够令人信服地模仿实时表情和动作。使用虚拟摄像头软件和使用模仿实时面部识别的预录视频操纵生物特征数据也发挥了一定作用,应用程序克隆的使用进一步使欺诈者能够模拟多台设备,凸显了传统欺诈检测系统中的漏洞。”卡巴斯基年初研究发现,暗网市场上存在深度伪造制作工具和服务。这些服务为各种目的提供GenAI视频创建服务,包括欺诈、勒索和窃取机密数据。
最后,“暗网下/AWX”给考虑在暗网上出售自己的脸部和文件的消费者的建议——无论是否在暗网上出售,都别。如果有人故意从暗网联系你,或者更有可能不是,向你提供现金以换取你的照片和身份证件复印件,请不要这样做。无论短期激励有多大,它都可能很快变成一个代价高昂的错误。