SKYNET加密货币ATM欺诈报告
1. 概要 加密货币ATM欺诈已成为美国增长最快的金融犯罪类别之一。犯罪组织利用加密货币自助终端(Kiosk)的交易速度与假名化的特性,正以惊人的速度套取易受骗群体的资金。 核心要点: 2025年,由于加密货币ATM机交易速度快且不可逆,相关欺诈损失激增至3.335亿美元。1. 2025年1月至11月期间,美国联邦调查局(FBI)共记录了超过1.2万起相关投诉,同比增长33%。全球共有4.5万台加密货币ATM机,其中78%位于美国;这些设备能够在五分钟内完成现金到加密货币的兑换,且几乎不需要身份验证,使其成为诈骗分子眼中阻力最小的资金转移渠道。 加密货币ATM机仅作为前端终端运行,而非独立设备,这种架构导致了严重的取证难题。2. 每台终端机(ATM机)的交易都会通过后端的加密应用程序服务器(CAS)处理交易,由该服务器从运营商的混合热钱包中划拨资金。公共区块链上仅记录了运营商到目标地址的转账信息,而不会记录受害者的身份。这种溯源断层(Attribution Gap)意味着执法部门必须传唤运营商的CAS日志,才能将线下的现金存款与链上交易联系起来;而唯一有效的技术干预手段,是在交易广播前于CAS层面进行实时的钱包地址筛查。 老年人群体占总损失的86%,目前ATM机层面的防护措施形同虚设。3. 美国华盛顿特区总检察长针对Athena Bitcoin公司的诉讼案件显示,该公司的ATM机上,93%的存款与欺诈有关,受害者年龄的中位数为71岁。当受害者正与诈骗分子进行实时通话时,屏幕上的警告提示根本无法起到防范作用。该案件表明,如果运营商在明知存在欺诈风险的情况下未采取充分的补救措施,可能会触发基于消费者保护法和虐待老年人相关法规的执法行动。 跨国犯罪组织正以前所未有的规模,将基于ATM的犯罪活动产业化。4. 攻击者运作着结构严密的组织,内部设有专门负责线索获取、社会工程学攻击以及交易后洗钱的部门。东南亚洗钱网络在2025年处理了约161亿美元的非法加密货币资金流,这些位于东南亚的网络通过Telegram进行协调,能够在两分钟内完成交易清算。 AI驱动的深度伪造技术和分布式的低价值交易模式将削弱现有的防御体系。5. 2025年,AI驱动型欺诈的获利能力是传统手段的4.5倍。随着美国各州出台交易限额规定,犯罪网络正转向“化整为零”的策略,即在分散的ATM机上协同进行低价值存款,以此规避监管金额范围并保持总交易规模。目前,针对加密货币ATM,至少有14个州已经颁布或提议了具体规则,但整体立法应对措施依然分散。 2. 概述 2.1 加密货币ATM欺诈的定义 加密货币ATM欺诈是一种金融剥削形式:犯罪分子通过社会工程学手段诱导受害者前往加密货币ATM机,让受害者从个人账户提取实物现金并存入设备,资金随即被兑换为数字资产,划转至诈骗分子控制的钱包地址。这些ATM机通常设置在加油站、便利店等零售场所中。这种欺诈模式是早期电汇和礼品卡欺诈手法的升级形式,专门利用区块链交易的高效性、不可撤销性和匿名性实施犯罪。 这一过程与传统的银行欺诈有着本质区别。攻击者并未窃取受害者的账户凭证或拦截数字转账,而是通过心理操纵,让受害者心甘情愿地从自己的银行账户提取现金,并亲手将其存入ATM机。随后,ATM机会将实物现金兑换为加密货币(通常是比特币),并将其发送至诈骗分子提供的二维码中所包含的钱包地址。一旦交易在区块链上广播,这些资金便实际上脱离了受监管银行系统的控制。受害者无法发起撤销交易(Chargeback),执法部门在追回资金时也面临着巨大的障碍。 2.2 历史演变 将加密货币ATM作为首选欺诈渠道,反映出犯罪分子对机构反制措施的适应与演变。21世纪初,社会工程学欺诈主要依赖西联汇款(Western Union)等电汇服务;然而,这类服务被拦截的风险相对较高,且面临日益严格的机构审查。随后,犯罪分子转向了基于礼品卡的资金提取方式,指示受害者购买预付卡并通过电话提供兑换码。随着零售商开展员工培训以识别可疑的大额购买行为,以及发卡机构提升了欺诈检测能力,这种方法的成功率也大幅降低。 自2010年代中期开始,加密货币ATM机开始快速普及,为犯罪组织提供了一种被其视为更优的资金套取手段。全球加密货币ATM机的设备规模,从2016年的几百台增长到2024年初的约4万台,目前估计已进一步扩张至4.5万台。这些这设备将实物现金的便利性,与区块链交易的高效性和伪匿名性结合在一起,使犯罪分子能够在存款后的几分钟内完成资金跨境转移。这实质上将传统的冒充诈骗话术(如“祖父母骗局”或冒充政府机构)升级为复杂的、技术驱动型资金套取手段。 2.3 与其他加密货币欺诈手段的区别 加密货币ATM欺诈有别于其他数字资产犯罪,其特点在于依赖实物现金,并具有连接传统银行基础设施与区块链网络的混合性质。网络钓鱼或钱包清空攻击通常需要窃取私钥或诱导用户签署恶意智能合约;相比之下,基于ATM的欺诈完全依赖社会工程学手段,诱使受害者在ATM机前主动完成线下操作。 针对交易所的欺诈和虚假的代币发行项目,往往需要搭建精心设计的虚假投资平台,以在数周或数月内维持受害者的参与度。相反,加密货币ATM欺诈则是以高频、快速的资金套取为目标。这些设备能够近乎实时地将现金兑换为加密货币,从而绕过了大型中心化交易所中普遍存在的严格KYC程序和交易冷静期。这造成了一个结构性漏洞:银行可能会拦截可疑的电汇,但对客户亲自提取现金的行为难以干预;而一旦现金进入ATM机,银行系统的保护机制便彻底失效。 3. 类型与分类 3.1 加密货币ATM欺诈的类型 此类欺诈手段可依据诱导受害者前往设备的心理操控手段进行分类。尽管具体话术各异,但所有手段的核心目标一致:让受害者陷入强烈的情绪波动,丧失理性判断能力;将受害者与潜在的帮助者隔离开;实时指导其完成现金兑换加密货币的全流程。 冒充权威机构是目前最普遍的欺诈手段。诈骗分子伪装成美国国税局(IRS)、联邦调查局(FBI)、社会保障局或地方执法部门的人员,伪造社保号被盗、银行账户冻结、面临刑事指控等危机场景,告知受害者唯一的资产保护方式,是通过本地加密货币ATM机,将资金转入所谓的“政府认证数字账户”。该手段之所以能够得逞,主要源于受害者对加密货币基础设施的不了解,以及其误以为零售场所的线下设备,能提供与银行ATM机相同的消费者保护。 基于关系的欺诈(俗称“杀猪盘”)的作案周期更长。诈骗分子通过数周甚至数月的持续沟通获取受害者信任,随后以“小额初始投资”为诱饵,引导受害者通过加密货币ATM机向虚假投资平台转账。平台会伪造投资收益,诱使受害者进行更大金额的存款。2025年,该手段造成了单起最高的欺诈损失,且与东南亚诈骗园区的作案活动存在明显关联。 2025年还出现了一类新的诈骗类型——针对既往受害者的资金追回欺诈。曾遭受诈骗的受害者会被同一或关联犯罪网络联系,并声称可以帮助追回资金,但要求受害者通过加密货币ATM机预先支付费用。 3.2 目标群体分类 加密货币ATM欺诈的受害者高度集中于老年群体。美国退休人员协会(AARP)2025年发布的分析报告显示,在所有记录在案的损失中,约有86%涉及60岁以上的人群。华盛顿特区总检察长对Athena Bitcoin公司运营情况的调查显示,在当地通过该公司ATM机处理的交易中,受害者的年龄中位数为71岁。 这种集中现象的发生,由多重因素导致:老年人更倾向于在可随时支取的账户中保留大量流动资金;有研究表明,老年人在区分传统银行ATM机与加密货币ATM机方面存在明显的认知不足,许多老人误以为熟悉的零售场所中的线下设备,能与银行的ATM机一样,提供相同的交易可撤销保障;社交孤立进一步加剧了老年人的易受攻击性,尤其是当诈骗分子使用AI生成的语音克隆、深度伪造视频技术,模仿受害者信任的亲属或当地公职人员的声音、样貌时。 FBI互联网犯罪举报中心(IC3)2025年的数据还揭示了一个重要的次要人口统计趋势:40岁以下的受害者越来越多地出现在关系欺诈和虚假投资计划的举报中;但与老年受害者相比,其单起事件的损失往往较低。 欺诈链条早在受害者前往ATM机前就已启动。诈骗分子最初的目标筛选,主要依托大规模数据泄露事件和非法数据经纪商——这些机构会整理并向犯罪组织出售精准筛选的易受骗群体名单,名单包含年龄、地理位置、开户银行、既往被骗经历等人口统计指标,便于诈骗分子开展定向精准诈骗。 犯罪网络利用这些名单,发起自动化的短信钓鱼(Smishing)和语音钓鱼(Vishing)攻击。首次接触的核心目的,是让受害者产生强烈的情绪波动,无论是对逮捕的恐惧、对恋爱关系的期待,还是对亲属安全的恐慌。一旦受害者做出回应,诈骗分子便会持续扮演“指导者”角色,通过电话或视频与受害者保持实时联系,使其与家人、银行工作人员、路人等可能的干预者彻底隔离。 当受害者抵达ATM机时,通常已在诈骗分子30分钟至数小时的诱导下,将ATM机视为保护资产或帮助亲属的必要工具。诈骗分子会实时指导受害者完成交易,包括如何应对屏幕上的欺诈警示,以及在被问及现金提取情况时如何回答银行工作人员。 3.4 技术架构与溯源难点 要评估该欺诈手段的顽固性及可行的干预节点,必须先理解加密货币ATM机的技术基础设施。与大众认知中“储存数字资产的独立自动售货机”不同,加密货币ATM机本质是连接后端加密货币应用服务器(CAS)的前端终端。当用户存入现金并扫描二维码时,设备不会直接向区块链发送交易指令,而是向CAS发出请求,从终端运营商的中心化热钱包中向目标地址转移资金。同时,系统会触发对流动性提供方或交易所(如Kraken或Coinbase)的自动化API调用,以对冲价格波动风险并补充终端运营商的加密货币库存。 这一架构设计造成了严重的司法取证难题:由于链上交易的发起方是运营商的混合热钱包,而非用户的专属地址,公有区块链账本仅能记录运营商向目标钱包的转账信息,而受害者身份与收款地址的关键联系,仅存在于运营商的内部CAS日志中。执法部门无法仅凭区块链数据还原这一联系,必须通过传唤运营商的记录,才能将线下现金存入行为与链上交易对接,本报告将这一问题称为溯源断层。 分层验证的漏洞利用 目前多数主流加密货币ATM机均采用与交易金额挂钩的分层身份验证机制:最低等级(通常为500-1000美元以下交易)仅需短信或电话验证;高金额交易则要求提供政府签发的身份证件、生物特征扫描或社保号验证。犯罪集团已针对该金额范围做出调整,指导受害者拆分存款,使单笔交易保持在低验证层级,规避强化身份核查。根据美国《银行保密法》,此类拆分交易行为本身已构成联邦犯罪,但目前在加密货币ATM机领域的执法力度有限。 关键干预窗口:交易入口端 一旦资金从运营商热钱包划出并完成区块链上链确认,后续的洗钱流程便会与通用的链上资金隐匿操作融合,包括混币服务、跨链桥协议、去中心化交易所划转等。此时的洗钱行为不再是加密货币ATM机欺诈专属,与其他非法资金流转难以区分。因此,加密货币ATM机欺诈链条中,唯一具备技术独特性的环节,也是最有效的干预节点,是CAS层面的交易入口端。要实现有效的风险防控,必须在CAS将交易广播至区块链内存池前,对目标钱包地址进行实时筛查,并与已知黑名单进行比对。 4. 2025年威胁态势 4.1 全球统计数据 2025年,加密货币ATM欺诈的规模达到了前所未有的水平。1月至11月期间,FBI的IC3记录了超过1.2万起投诉,累计损失达3.335亿美元。与2024年同期报告的2.5亿美元相比,这一数字增长了33%。仅在2025年上半年,损失金额就达到了2.4亿美元,约为上一年增速的两倍。FBI指出,该欺诈行为呈现清晰且持续的上升趋势,且尚无放缓迹象。 全球加密货币ATM机市场高度集中于北美地区:美国拥有全球4.5万台设备中的78%,加拿大占9.4%,澳大利亚占5.2%,剩余设备分散在欧洲、亚洲和拉丁美洲。在美国境内,佛罗里达州、加利福尼亚州、得克萨斯州的损失
