Veriftools:9美元假身份证农场以及KYC如何反击
伪造护照本应价格不菲。过去的确如此。上个世纪的大部分时间里,制作一本足以以假乱真的假护照需要高超的技艺、真正的材料和大量的时间。然而,像Veriftools这样的服务将伪造身份文件的价格降至约9美元,可以用加密货币支付,而且无需任何专业技能。这才是问题的症结所在,查封一个网站并不能改变事实。
2025年8月,美国联邦调查局和荷兰国家警察查封了veriftools的域名和价值约640万美元的加密货币。很好。但它几乎立即就重新启动了。因此,本文将探讨veriftools究竟是什么,为什么这类骗局屡屡卷土重来,伪造的身份证明是如何绕过身份验证的,以及购买9美元假身份证的买家会在哪个环节悄然蒙受损失。简而言之:有效的防御措施并不在于域名注册商,而在于身份验证环节。
veriftools是什么,以及它为何如此重要
Veriftools 是一个模板工厂,一个“生成器”,它将伪造文件变成了一种简单的点击操作。你输入个人信息,服务就会生成一份看起来逼真的伪造身份证件。无需伪造者,无需暗房,无需任何技巧。这种工业化正是问题的症结所在,因为它将能够进行文件欺诈的人员范围从少数技术娴熟的罪犯扩大到任何心怀不满且拥有浏览器的人。
规模相当庞大。据安全研究人员和美国司法部报告,veriftools 提供约 250 种文档模板,涵盖约 69 个国家/地区,包括美国所有 50 个州的身份证件。它以低至 9 美元的价格出售伪造的护照、驾照、银行对账单和水电费账单,接受加密货币付款,运营联盟计划,甚至为犯罪分子提供批量生成服务,这些犯罪分子使用被盗或合成的身份记录。到 2024 年 2 月,该网站每月吸引约 28.5 万独立访客。2025 年 8 月,在荷兰的协助下,新墨西哥州地方法院对该网站进行了查封,查封了其域名和价值 640 万美元的加密货币,并称此案是保护公众免受欺诈和身份盗窃侵害的重要一步。的确如此。但这并非终结。
真正让生成器模式变得危险的并非某个单一文档,而是其吞吐量。静态模板仍然需要造假者精心填写才能令人信服;而生成器却能自动完成这项工作,而且批量生产,用户只需花费少量加密货币即可。如果再配合联盟营销计划,那就不仅仅是产品销售,而是分销渠道。文档造假不再是一种技艺,而变成了一种订阅服务,这才是所有接纳陌生人的平台都应该警惕的地方。
为什么伪造文件的网站始终屹立不倒
令人不安的是,打击犯罪只是治标不治本。犯罪的根源在于“犯罪即服务”,而且这种现象一夜之间就会死灰复燃。
在查封消息公布的当天,Veriftools 的运营者就在 Telegram 上发布了重新启动的通知。几周之内,新的域名在各种后缀上线,到 2025 年 10 月,这些域名加起来每月吸引了大约 8 万访客。这种情况并不罕见。一家身份验证公司估计,在更广泛的“假冒即服务”市场中,大约有 2.4 万家卖家。一家倒闭,需求就会转移到另一家。
这背后隐藏着残酷的经济现实。基础设施成本低廉,客户匿名,支付渠道是加密货币,因此恢复运营的边际成本几乎为零。域名被查封会略微增加成本,但并不会改变整体情况。
我并非认为查封行动毫无意义。查获640万美元并捣毁一个运营网络固然重要。但“我们查封了域名”只是一份新闻稿,而非有效的辩护。如果你的安全计划依赖于执法部门切断假证件的来源,那么你的计划根本算不上计划。真正有效的解决方案必须假定假证件终将出现,并在出现时将其拦截。
假身份证如何绕过KYC认证,以及其背后的欺诈激增
像Veriftools这样的服务提供的廉价假冒产品之所以重要,是因为它们为一个更大的犯罪机器提供了养分。身份盗窃随着这些工具的出现而产业化,2025年和2026的数字令人震惊。
合成文档和人工智能生成的文档
增长最快的类别是合成身份,它混合了真实数据和虚构数据,能够通过简单的验证。据Sumsub统计,2024年初至2025年初,北美地区的合成身份文件欺诈案件激增311%。Entrust网络安全研究所的数据显示,数字文件伪造目前约占所有文件欺诈案件的57%,同比增长244%。大约每50份伪造文件中就有一份是人工智能生成的。这一切并不需要造假大师,只需要订阅服务即可。合成身份尤其危险,因为没有单一的受害者可以提出投诉。这种身份部分是虚构的,因此可以潜伏一段时间,建立少量的历史记录,然后突然爆发。等到有人注意到问题时,账户里的钱早已被盗空,消失得无影无踪。
深度伪造和注入攻击
另一个方面是实时自拍,验证系统依赖它来证明现场是真人。攻击者现在利用深度伪造和注入攻击来绕过这一验证,将伪造的视频直接注入摄像头画面。生物识别公司 iProov 记录显示,2024 年平均每五分钟就会发生一次深度伪造尝试,2025 年 iOS 注入攻击激增 741%,虚拟摄像头攻击比 2023 年增长 2665%。一份价值九美元的文件加上一次免费的换脸服务,就能构成一套廉价的工具,用于实施代价高昂的犯罪活动。
这种转变至关重要,因为原本最难伪造的是“活体”这一部分。如果系统简单地相信摄像头拍摄到的动态人脸属于房间里的真人,那么植入的视频就会悄无声息地打破这一假设。检测的重点也从“这张脸是活的吗?”转变为“这个摄像头画面是真的吗?”,这是一个难度更大、也是最近才出现的问题。
| 欺诈信号(2025-2026) | 数字 | 来源 |
|---|---|---|
| 北美合成身份证件欺诈 | 同比增长 311% | 和 |
| 数字文件伪造,占所有文件欺诈的份额 | 57%(同比增长244%) | 委托 |
| 人工智能生成的文档 | 大约每 50 人中就有 1 人是假货 | 和 |
| 深度伪造尝试频率 | 大约每隔5分钟 | iProov |
| iOS注入攻击 | +741%(2025 年) | iProov |
身份验证如何识别伪造文件
所以,如果无法强行脱身,什么方法有效?在入口处进行检测。这是花9美元买假证的买家意想不到的部分,因为多层验证机制会假定证件是伪造的,直到有证据证明并非如此。
文件取证和活体检测
首先,要从文件本身入手。取证检查能够识别模板无法完美伪造的细节:像素级的差异、字体和布局偏差、篡改的元数据以及模板在不同提交中的重复使用。当 Resistant AI 测试 veriftools 的输出结果时,其取证功能将身份证、银行对账单和水电费账单等文件标记为高风险,即使造假者试图剥离元数据也无济于事。其原理在于,生成器优化的是使文件看起来符合人眼标准,而非机器标准。审核人员匆匆一瞥驾驶执照,看到的是一张看似真实的卡片。而取证引擎则会发现,同一个模板生成了成千上万份其他提交的文件,字体间距略有偏差,安全图案是印刷的而非嵌入的。再加上 3D 活体检测来确认是否存在真人,注入检测来识别伪造的摄像头画面,以及 NFC 芯片读取功能直接从现代护照芯片中提取真实签名数据,廉价的伪造品便无处遁形。
反洗钱筛查和数据库交叉核对
即使文件通过审核,也只是成功的一半。反洗钱筛查会将申请人与制裁名单、政治公众人物数据库以及负面媒体报道进行比对,并在注册后持续监控。身份数据会与权威来源进行交叉核对,同样的取证信息也会用于更广泛的支付欺诈检测,以防止一个伪造的身份悄悄开设十个账户。一份文件可能看起来完美无瑕,但其中填写的姓名却与任何真实记录都不符,或者此人早已在观察名单上。持续监控可以发现那些第一天看起来干净,但到了第九十天就变得风险重重的账户。任何一层审核都不是完美的。层层叠加,最终会让一份价值9美元的文件变成一场赔本买卖。
| 验证层 | 它捕获的 |
|---|---|
| 文件取证 | 模板重用、字体、像素和元数据异常 |
| 3D活体检测 | 照片、面具和回放视频 |
| 注射检测 | 虚拟摄像头和深度伪造视频流 |
| NFC芯片读取 | 文件上没有真实签名的芯片数据 |
| 反洗钱和数据库检查 | 经认可、捏造或不符的身份 |
平台放任虚假信息通过的代价是什么?
这一切并非纸上谈兵。像Veriftools这样的机构伪造的文件会直接流入那些导致罚款的账户,而出错的代价已经急剧上升。KYC失败如今关乎生死存亡。
看看这一年。OKX在2025年2月就美国司法部提起的一项诉讼认罪,面临超过5.04亿美元的罚款,该诉讼涉及超过50亿美元的可疑交易。检方称,OKX员工指示客户伪造身份证明文件。KuCoin在前一个月与美国司法部达成和解,支付了约3亿美元,随后在同年9月又被加拿大金融交易和报告分析中心(FINTRAC)处以创纪录的1960万加元罚款。而且,罚款金额还在不断攀升。欧盟的《反洗钱和反恐怖融资条例》 (MiCA)规定了2026年7月1日之前必须获得反洗钱服务提供商(CASP)授权的最后期限,更广泛的反洗钱法规将于2027年生效,罚款金额高达数千万美元。一个平台如果轻易放行伪造文件,并非是在省钱,而是在推迟支付更大的账单。
这些并非边缘案例,而是加密货币领域规模最大的执法行动之一,而贯穿所有案例的核心问题是身份识别,而非市场操纵或高明的黑客攻击。监管机构反复追问的问题既简单又复杂:究竟是谁突破了监管防线?平台又采取了哪些措施进行核查?
| 执法案件 | 惩罚 | 什么时候 |
|---|---|---|
| OKX(美国司法部) | 5.04亿美元以上 | 2025年2月 |
| KuCoin(美国司法部) | 约3亿美元 | 2025年1月 |
| KuCoin(加拿大金融交易和分析中心) | 1960万加元 | 2025年9月 |
对于任何有购买意愿的人来说,法律现实是……
对于个人买家而言,向 veriftools 或其后续域名支付的 9 美元只是便宜的部分。实际成本是其两倍,而且这两部分都被低估了。
首先,我们来看法律。在美国,根据《美国法典》第18篇第1028条,制作或使用伪造的身份证明文件属于联邦犯罪,最高可判处15年监禁;加重身份盗窃罪还会在此基础上增加两年强制性监禁。尽管如此,市场需求依然疲软:一项调查发现,约有30%的美国年轻人曾考虑购买假身份证。正是这种随意的需求使得假身份证交易变得危险。大多数买家最初只是把它当作一件无害的道具,而不是面临联邦指控。购买时的感受与法律的认定之间存在的差距,正是造成伤害的原因。即使购买时感觉很随意,后果也不会减轻。
其次是数据。要制作一张足以以假乱真的假钞,你需要将真实的个人信息、照片和详细资料交给犯罪分子。在这笔交易中,你与其说是顾客,不如说是商品。身份盗窃、敲诈勒索和转售你的数据自然是下一步的必然选择。在平台方面,一旦假钞被标记,资金将被冻结,账号将被永久封禁。买家不仅会损失金钱,还会失去账户和身份控制权,往往三者兼而有之。
必须直言不讳地指出这种不对称性。假币卖家面临被查封和域名被吊销的风险,但第二天早上就能重新注册。买家则面临联邦记录。整个交易的结构是这样的:客户承担法律风险,而运营者则收取加密货币,然后另起炉灶。任何人都不想成为这种交易的对立面。
为什么检测比删除虚假身份信息更有效
查封 Veriftools 并没有终结伪造身份的行为。下一个“农场”已经开始提供流量,再下一个则在 Telegram 频道里等着第一个倒下。这才是我们应该牢记的教训:供应具有韧性,所以防御也必须如此。对于加密货币企业来说,这意味着要采用多层身份验证,假设所有文件都存在可疑之处,并辅以取证、活体检测和持续的反洗钱监控。而对于其他人来说,这比花九美元购买 Veriftools 要简单得多,也便宜得多。千万不要成为买家。
