2024 年10 月7 日,聯合國毒品和犯罪問題辦公室(以下簡稱「UNODC」)發布了一份名為《東南亞跨國有組織犯罪與網路詐欺、地下銀行和技術創新的融合:不斷變化的威脅情勢》的報告。 (https://www.unodc.org/roseap/uploads/documents/Publications/2024/TOC_Convergence_Report_2024.pdf)。 UNODC 在報告中對慢霧(SlowMist) 提供的資訊、數據和分析支援進行了致謝。
該報告是聯合國毒品和犯罪問題辦公室(UNODC) 對東南亞跨國有組織犯罪的最新分析,延續了2019 年發布的綜合報告《東南亞跨國有組織犯罪:演變、增長和影響》(https://www. unodc.org/roseap/uploads/archive/documents/Publications/2019/SEA_TOCTA_2019_web.pdf)。最新的這份報告主要包含三方面內容,即東南亞地區的發展概括,地下銀⾏和洗錢活動,以及助⻓犯罪活動的技術創新。具體來說,報告主要關注了東南亞地區有組織犯罪的特徵和演變,特別是與賭場和經濟特區相關的毒品販運和洗錢活動;以及詳細分析了賭場氾濫和有組織犯罪集團採用的複雜洗錢方法所帶來的主要威脅和風險,例如網路賭博和電子博彩的興起是如何改變了地下銀行和洗錢格局;報告還提供了一系列建議,旨在協助各國政府和國際合作夥伴更好地處理東南亞賭場和組織犯罪快速發展的問題。本文將對報告的核心內容進行解讀,幫助讀者快速掌握重點訊息,提升對這些複雜安全威脅的認知與應變能力。
關鍵點一:東南亞地區的發展概括
東南亞正面臨前所未有的跨國組織犯罪和非法經濟挑戰。該地區的物理、技術和數位基礎設施的快速發展,給了有組織犯罪網絡更多機會去擴展,涵蓋毒品生產與販運、非法賭博、強迫犯罪販運、賣淫和洗錢等多種活動。賭場、飯店和經濟特區等地已成為這些非法活動的“溫床”,進一步加劇了邊境地區的治理難題。
1. 賭博和犯罪活動
過去十年,東南亞賭場產業經歷了指數級增長,現有超過340 個持牌和非法賭場。儘管中國澳門加大的監管力度導致了一些賭場關門,但東南亞的賭博市場仍然活躍,尤其是線上賭博。湄公河下游國家的絕⼤多數賭場都位於與中國、泰國和越南接壤的邊境地區,這些地區的賭博活動多為非法。再說說博彩中介,它們在東南亞的博彩業中可謂是舉足輕重。但由於疫情和執法力度的加大,許多中介面臨獲利下降的挑戰。全球最大的兩家博彩中介太陽城和德晉的創始人因洗錢和有組織犯罪被判刑,這是近年來最嚴重的洗錢和地下錢莊案件之⼀,兩⼈分別被判處18 年和14 年監禁,罪名包括數百項與有組織犯罪和⾮法博彩有關的指控, 他們透過賭場、線上賭博平台和地下錢莊處理了超過1000 億美元的資金。
儘管各國加強執法,但網路詐騙依然猖獗,2023 年針對東亞和東南亞受害者的詐騙造成的經濟損失估計在180 億美元至370 億美元之間。隨著高風險的虛擬資產服務提供者(VASP) 的興起,網路犯罪分子越來越多地利用加密貨幣洗錢,常見做法是在場外交易市場將犯罪所得直接兌換成現⾦或兌換成USDT 作為穩定的中介貨幣,這種行為的交易量龐大,且關聯著多種犯罪活動,令各國政府在監管和打擊洗錢活動中面臨重重挑戰。據發現,一家位於湄公河的高風險VASP 在2021 年至2024 年期間處理了490 億至640 億美元的加密貨幣總交易量,據估計,它是亞太地區同類服務中最大的服務提供商,它還與OFAC 批准的實體以及與駭客事件中出現的Lazarus Group 相關的多個錢包進行交易。 Lazarus Group 是一個臭名昭著的駭客組織,在加密貨幣相關的洗錢活動中扮演重要角色,根據慢霧的分析,北韓駭客Lazarus Group 的洗錢方式複雜多變,隔一段時間就會有新型的洗錢方式出現,具體可看慢霧:2024 上半年區塊鏈安全與反洗錢報告(https://www.slowmist.com/report/first-half-of-the-2024-report(CN).pdf)。
報告也提到,近年來穩定幣不單在合法用戶中越來越受歡迎,在犯罪集團也備受青睞,特別是那些參與⽹絡詐欺的犯罪集團。這與東亞和東南亞當局的調查結果⼀致:穩定幣,尤其是TRON (TRX) 區塊鏈上的Tether (USDT),是從事⽹絡欺詐和洗錢活動的亞洲犯罪集團的⾸選。
2. 區域性網路詐欺
近年來,獨立的詐騙集團被更大、更統一的犯罪集團取代,後者常常偽裝成工業或科技園區,形成穩定的網路。以緬甸的克倫邦KK Park 為例,其早在2020 年初就已經顯露出發展的跡象,在這四年間,它已成為該地區最大、最活躍的犯罪聚集地之一。同時,加密貨幣的流行也使得跨國交易變得更加便捷,網路詐騙活動能夠在全球擴張,尤其是利用執法部門對其運作方式的不了解,進行包括「殺豬」騙局、投資詐騙、求職詐騙、資產追回詐騙等活動,具體可參考報告解讀|FBI 發布2023 年加密貨幣詐欺報告。
詐騙者的目標越來越廣泛,尤其針對年輕人和華人社區。詐騙組織通常為複雜的金字塔式結構,包括招募、財務和營運等多部門,這些犯罪活動的運作需要多方合作。過去一年,詐騙的情況也發生了變化,數據顯示,今年以來的詐騙流入量中,有43% 流向了新活躍的錢包,相比之下,2022 年的這一比例僅為29.9%,這意味著新型詐騙的數量正在迅速增加。
從2020 年至今,詐騙活動的平均活躍天數顯著減少,從2020 年的平均271 天下降到2024 年上半年的42 天。
這⼀宏觀趨勢與詐騙者從精⼼策劃的龐⽒騙局轉向更有針對性的活動的變化相⼀致,還有部分原因是執法⼒度加⼤以及穩定幣發⾏⼈越來越多地將詐騙地址列⼊⿊名單,如5 月14 日,鏈上追蹤與反洗錢平台MistTrack 監控到全球最大的穩定幣發行商Tether 凍結與網路釣魚相關的520 萬USDT:
3. 人口販賣與強迫犯罪
販運者透過欺騙和脅迫受害者參與犯罪活動,獲得經濟利益。受害者在被販運後通常會被限制自由,護照被扣押,面臨暴力和各種威脅。儘管被強迫販運的本質沒有改變,但產業的專業化導致了受害者與自願參與者之間的界線模糊,形成了多類相關人員。
在一些地區,尤其是緬甸,受害者往往被迫簽署虛假的合同,被迫工作以償還高額“債務”,這些合同實際上並不合法,還掩蓋了販運者的犯罪行為。許多受害者在逃離或獲救後仍面臨法律風險,可能遭到控訴或恐嚇。
4. 執法行動
雖然各國採取了一系列措施來打擊這些活動,但網路賭博和詐騙行為依然普遍存在。而且,各國的執法力道和成效有所不同,採取的措施包括逮捕嫌疑犯、凍結帳戶和封鎖網站。跨境合作使得一些資產被扣押,且犯罪分子的定罪數量上升,特別是針對詐騙中心和賭博運營商的突襲行動增加。
下表根據各地區執法機構的聲明彙編⽽成,列出了⾃ 2023 年1 ⽉以來針對⾮法在線賭博和⽹絡欺詐活動的⽹站所採取的⼀些最突出的執法⾏動。這些突襲⾏動由當地執法機構主導,有時與地區執法機構合作。中國公安機關在其中⼏次⾏動中發揮了重要作⽤。
根據中國公安部統計,2023 年1 ⽉⾄ 11 ⽉,共破獲電信⽹絡詐騙案件39.1 萬起,抓獲犯罪嫌疑⼈ 7.9 萬名,其中主犯263 名。 2023 年,有5 萬多⼈因電信⽹絡詐騙被起訴。 2022 年通過的新《反電信⽹絡詐騙法》規定了電信、互聯⽹和⾦融等服務供應商的責任,包括提⾼客戶意識,以及監控、阻⽌和報告可疑活動。
過去⼀年,中國媒體⼴泛報道了涉嫌參與⾮法⽹絡賭博和⽹絡詐騙的⼈員的訴訟程序,這些案件發⽣在中國國內和國外。檢察機關也發布了多份報告,其中包括對從柬埔寨、菲律賓、⽼撾、緬甸、⻢來西亞和其他國家⾃願或被驅逐回國⼈員定罪的典型案件的總結。在中國,執法⾏動的重點是為海外組織提供⽀持的⼈,包括開發軟體、維護⽹站和提供技術⽀持的人員,以及為⽹絡犯罪所得⾦轉移提供便利的地下銀⾏⽹絡和將帳戶資訊出售給洗錢集團⽤作騾⼦帳戶的⼈。執法⾏動也針對透過陸路和海路偷運中國公⺠跨國的集團。
關鍵點二:地下銀行、洗錢與犯罪即服務的興起
東亞和東南亞的跨國有組織犯罪集團在地下銀行、非正式跨境價值轉移和洗錢方面,幾乎成為了市場的領導者。這些集團愈發成熟,適應並利用政治、商業環境的變化以及技術創新,尤其在賭場和線上賭博領域的應用中表現突出。它們透過整合資訊、金融和區塊鏈技術,建立了複雜的地下洗錢網路。
除此之外,監管不⾜和未經授權的虛擬資產服務提供者(VASP) 的興起也加劇了⽬前的情況。更具體地說,⾼⻛險交易所、場外交易(OTC) 服務、⼤型點對點(P2P) 交易商和其他由跨國有組織犯罪控制和促進的相關業務的激增從根本上改變了東南亞地區的犯罪環境,推動了非法經濟的擴展,吸引了新型態的服務提供者和商業模式。尤其是位於中國香港、澳門和台灣的大型跨國犯罪集團,它們主導了洗錢行業,與中介機構緊密合作,利用中介提供的信貸服務來規避資本管制,同時依賴於不受監管的支付公司進行資金轉移。
近年來,東亞和東南亞的執法機構也加強了對第三方支付提供者的監控,但許多案例顯示網路詐騙依然對這個產業有著很大的影響。在線上賭博產業中,缺乏監管的賭場和博彩中介已經成為洗錢的重要基礎設施。它們透過「保管」交易和「投資」來隱藏資金來源,形成了複雜的洗錢手段。由於線上賭博的匿名性和非面對面交易的特點,資金流動變得非常難以追踪,這為有組織犯罪提供了便利。
同時,東南亞的離岸線上博彩業發展迅速,尤其是在監管相對薄弱的地區。中介人藉助這個趨勢,幫助組織犯罪獲取利潤,透過洗錢將非法資金偽裝成合法收益。儘管監管和執法力度逐漸加強,但許多線上賭博平台仍然在「灰色」或「黑色」市場中生存得很好。跨國有組織犯罪也開始將加密貨幣融入其業務中,特別是在高風險的交易所和場外交易中更為明顯。由於缺乏監管,這些平台成為了洗錢的溫床,使得東亞和東南亞的犯罪網絡可以輕鬆逃避監管,進一步支持其非法活動。
關鍵點三:網路詐欺和技術創新的發展
近年來,東亞和東南亞的網路犯罪活動顯著增加,尤其是跨國有組織犯罪集團的活躍度日益上升。網路犯罪者不僅在開發和銷售犯罪服務方面表現得像正規企業,還採用「犯罪即服務」(CaaS) 的模式,把各種犯罪行為外包給其他人,降低了作案門檻。
1. 地下資料市場與資訊竊取惡意軟體
地下資料市場也成為網路詐騙集團的重要一環,提供了大量被盜的數據,包括銀行資訊、信用卡詳情和個人識別資訊等,其中,用於了解客戶(KYC) 所需的資訊在地下市場非常受歡迎,犯罪者利用這些數據進行身分盜竊、商業詐欺和洗錢等活動。
有強有⼒的證據表明,地下資料市場正在轉向Telegram,在東南亞蓬勃發展的犯罪⽣態系統背景下,資訊竊取惡意軟體和地下⽇志雲(UCL) 服務的激增是這⼀轉變的核⼼,簡單、可⽤和低資訊竊取程序的成本使得它們成為特別受該地區犯罪分⼦歡迎的服務。這些工具通常透過惡意軟體即服務(MaaS) 模式來訪問,開發⼈員將使⽤許可提供給其他⼈。這種不斷增加⻓的資料管道為該地區的跨國組織犯罪創造了⼤量新的機會,反過來⼜助⻓了從事⽹絡欺詐的策略、技術、⽬標和犯罪集團的多樣化。相關數據顯示,亞太地區的待售資訊竊取程序感染的主機數量持續增加,這與該地區的網路詐欺事件激增的趨勢是一致的。
2. 搜尋引擎優化與詐騙廣告
雖然許多⽹絡詐欺計劃需要詳細的⽬標分析以及欺詐者與潛在受害者之間的直接聯繫,但也有一些簡單的騙局只需一個誘人的廣告、一個虛假的網頁或釣魚鏈接,就能輕易地欺騙受害者。這些犯罪分子⼴泛利⽤搜尋引擎優化(SEO) 中毒和欺騙性⼴告來實現這些⽬的,隨著全球搜尋引擎和社交媒體的使⽤不斷增多,這兩種⽅法都被證明是有效的。就規模⽽⾔,僅⾕歌在2023 年就屏蔽或刪除了2.065 億條違反其付費⼴告虛假陳述政策的⼴告,其中包括⽹絡詐騙和欺詐廣告,這⼀數據⽐ 2022 年的1.42 億條⼴告有所增加。
今年3 月,慢霧安全團隊和Rabby Wallet 團隊揭露了一種利用Google 廣告進行釣魚的攻擊手法。具體來說,Rabby Wallet 團隊並未購買任何Google 廣告,然而假廣告卻跳到了真正官網。從Google 搜尋關鍵字情況來看,排在前兩位的搜尋結果都為釣魚廣告,然而第一條廣告的連結卻很反常,它顯示的是Rabby Wallet 的官方網站地址rabby[.]io,透過追蹤發現,釣魚廣告有時會跳到真正官方地址rabby[.]io,而在多次更換代理到不同地區後,則會跳到釣魚地址rebby[.]io,並且該釣魚地址會更新變更。分析發現,關鍵操作在於釣魚團夥利用了Google 自家的Firebase 短連結服務的302 跳轉來欺騙谷歌的展示。類似的釣魚套路也出現在各種聊天軟體上。以Telegram 這款聊天軟體為例,當聊天時發送一個URL 鏈接,Telegram 後台會抓取URL 鏈接域名、標題和圖標進行預覽展示。
此外,犯罪分⼦還會使⽤ SEO 投毒⼿段來增加或提升其惡意⽹站的知名度,從⽽使其在毫⽆戒⼼的用戶眼中看起來更真實,因為用戶認為搜尋引擎的熱⻔排名很可信。犯罪分⼦也會使⽤各種SEO 中毒技術,例如所謂的網域搶注,利⽤用戶⽆意中輸⼊的⽹址或點擊URL 拼字錯誤的連結來牟利。社群媒體平台也成為了他們的新戰場,犯罪分子透過偽裝成合法宣傳材料的廣告來欺騙用戶。 2023 年9 月,新加坡當局確認至少有43 名受害者因社群媒體廣告的惡意軟體詐騙而損失了87.5 萬美元。
3. 人工智慧驅動的欺詐
隨著生成式人工智慧的普及,犯罪活動的複雜性加大,身分盜竊、資料隱私侵犯等問題也對國家安全造成了威脅。犯罪集團利用AI 進行網路釣魚、製造虛假身分和個人化欺詐,大幅降低了技術門檻,提高了詐欺的速度和規模。深度偽造技術(Deepfake) 在網路詐欺中被廣泛使用,犯罪分子透過偽造視訊和音訊進行複雜的詐騙,相應的犯罪活動大幅上升。結合二維碼的網路詐欺也在增加,受害者常常被誘導造訪惡意網站或洩漏敏感資訊。整體來看,人工智慧的廣泛應用加劇了網路犯罪的複雜性和頻率。
4. 其他
雖然「殺豬」騙局依然流行,但犯罪集團逐漸採用更複雜的策略,例如網路釣魚、惡意智慧合約等,能夠有效率地竊取受害者的資金和資料。
這種耗盡資產的手法,需要受害者在不知情的情況下將加密貨幣錢包連接到惡意合約,從⽽將加密貨幣和NFT 轉移到犯罪分⼦的錢包中。一個著名的案例是2022 年犯罪分子針對非同質化代幣(NFT) 市場OpenSea 的用戶發起的網路釣魚攻擊,導致超過250 個NFT 被盜,價值約200 萬美元。據安全研究⼈員稱,犯罪分子利用OpenSea 系統升級的機會,發送虛假的電子郵件,引誘用戶進行操作,最終導致其資產被轉移。
此外,越來越多的犯罪分⼦利⽤ Drainer 智能合約針對缺乏去中心化金融(DeFi) 知識的投資者。具體來說,這種詐騙手法通常會讓受害者連接到偽造的流動性挖礦池,從而耗盡他們的錢包。在地下市場和論壇上很容易找到各種各樣的DeFi 應⽤套件,這些DeFi 應用套件被宣傳為合法的應用程序,實際上卻是用於詐騙的。
流動性挖礦騙局利用DeFi 加密貨幣交易平台的複雜性來騙人。這些騙子通常會承諾透過投資「流動性池」來獲得高額回報,這些池子借出加密貨幣,讓不同幣種之間可以交易。但實際上,他們會創建假的流動性池,利用智慧合約輕鬆存取用戶的錢包,甚至可能會存入一些加密貨幣來製造「賺錢」的假象,或是放入一些名不副實的假幣。在這些騙局中,連結錢包的網站會顯示每日的收益承諾和虛假的利潤成長。最終,騙子就會利用合約權限把用戶錢包裡的錢「偷走」。投資人通常會被告知需要達到某個質押「目標」才能提取資金,但其實讓你嚐到甜頭後,錢就再也拿不回來了;而且任何額外存入的資金也會被同樣的方式盜取。慢霧曾揭露類似的騙局,有興趣閱讀 Web3 安全入門避坑指南|假礦池騙局。
報告也提到,東南亞犯罪集團常用的一個惡意軟體是剪切器。這種軟體監控受感染系統的剪貼簿,伺機替換加密貨幣交易中的地址,一旦受害者無意中進行交易,就會將資金轉移到攻擊者的地址上。由於加密錢包位址通常很⻓,導致用戶不太會注意到收款地址的變化,從⽽增加了惡意軟體的有效性。
結語
總的來說,東南亞跨國組織犯罪的威脅正在變得越來越複雜和隱蔽。為了有效應對這些挑戰,執法和監管機構需要不斷提升自身能力,東南亞各國應加強政府、監督機構和執法部門的能力與協調,制定全面的政策和行動計劃,並與其他國家和地區加強合作。在面對快速發展的跨國組織犯罪環境時,及時採取行動將是關鍵。東南亞國家及其盟友之間的密切合作,將有助於應對這一日益嚴峻的挑戰,並保護區域安全與穩定。