支付与卡片诈骗

Ghost-Tapping：钓鱼网站偷走你的卡，再装进骗子的手机钱包盗刷

威胁情报公司 Recorded Future 在 2025 年揭示了一条由华语犯罪团伙运作的 Ghost-Tapping（NFC 中继盗刷）产业链。新手法的关键一步是：客服一边电话「指导」你，一边让你把卡「添加到钱包」、把验证码念给他。一旦你照做，你就是亲手把自己的银行卡装进了陌生人的手机。

SB

SafeBrowz 威胁研究团队 安全研究2026年6月17日11 分钟阅读

Recorded Future 这份报告揭示了什么

2025 年，威胁情报公司 Recorded Future 发布了一份名为「Ghost-Tapping Chinese Criminal Ecosystem」的研究，把一种之前零散出现的卡片盗刷手法，拼成了一条完整的、由华语犯罪团伙工业化运作的产业链。Ghost-Tapping，直译是「幽灵拍卡」，指的是骗子把受害人的银行卡远程绑进自己控制的手机钱包，再用这部手机在实体店完成 NFC 非接触支付。受害人的卡从头到尾没有离开过自己的钱包，钱却被一笔笔刷走，像被一只看不见的手在拍卡。

这条产业链的分工很清楚。一头是负责骗取卡资料的钓鱼团伙，他们群发短信、假冒物流或银行搭建钓鱼页；中间是把卡「装进」手机钱包的技术环节，这正是新手法的核心；另一头是遍布各地、拿着装好卡的手机到商场刷货的「跑腿」（业内叫 mule，骡子），他们专门刷名牌包、最新款手机、金饰、礼品卡这类好转手、易变现的高档商品，把盗刷来的额度迅速洗成实物再脱手。Recorded Future 把这套生态归因于讲中文的犯罪团伙，并指出它已经跨境运作。

这套手法已经在现实中造成实打实的损失。新加坡警方披露，仅一段时间内就接到约 656 起「钱包盗刷」（wallet compromise）类报案，涉案金额约 120 万新元（S$1.2M）。这些案子的共同点几乎一模一样：受害人在钓鱼页或电话里交出了卡号和验证码，几小时甚至几分钟后，账户就出现了来自陌生城市、陌生商户的大额 NFC 消费。Ghost-Tapping 之所以危险，是因为它把「偷数据」和「花钱」拆成了两段、交给两拨人，受害人往往直到收到一连串扣款短信才意识到出事。

整条骗局链条，从一条短信到店里刷卡

要看懂它，关键是分清「谁拿到了什么」。骗子要的不是刷你一笔的机会，而是把你的卡长期装进他的手机。

它从一条钓鱼短信或一通电话开始。常见的开头是一条假的物流通知（「您的包裹地址有误，请补全信息」）、一条假的银行风控提醒（「检测到异常登录，请验证」）、或一条假的退款/补贴消息。短信里带一个链接，把你引到一个做得很像的钓鱼页。也有更主动的版本：一个「银行客服」或「客服专员」直接打电话给你，制造紧迫感（「您的卡正被盗刷，我们要帮您紧急保护」）。

接着，钓鱼页收走你的卡资料。页面要你填卡号、姓名、有效期、CVV 安全码，有时还要登录密码。这一步交出的，已经足够危险。但真正让骗子能「把卡装进手机」的，是下一步。

然后，是那条验证码。当骗子拿你的卡去绑定他自己手机上的 Apple Pay 或 Google 钱包时，银行会向你的手机发一条一次性验证码（OTP），用来确认「确实是持卡人本人要把卡添加进钱包」。骗子拿不到这条码，绑定就卡住。于是钓鱼页会弹出一个「请输入刚收到的验证码」的输入框，或者电话里的「客服」会说「我们给您发了一个验证码，麻烦您念给我核对一下身份」。你念出的那一刻，不是在验证你自己，而是在批准把你的卡装进对方的手机。

最后，跑腿的人到店里刷货。卡一旦绑进手机钱包，骗子就把这部手机交给分布在各地的跑腿。他们走进商场，用这部手机拍一下 POS 机，就能买走名牌包、金饰、最新款手机。这些商品当天就被转卖变现。整个过程，你的实体卡安安静静躺在你自己的钱包里，而你的额度正在另一座城市被一笔笔刷空。这就是「Ghost-Tapping」这个名字的由来。

SafeBrowz 会标记的钓鱼页链接（示例）

整条产业链里，唯一活在你浏览器里、能被扫描器提前抓住的环节，就是那个收卡资料和验证码的钓鱼页。这些页面几乎都搭在免费托管和一次性域名上，名字里缝进「pay」「wallet」「verify」「bank」「secure」这类词来骗信任。下面是用于演示的仿冒域名，并非真实服务。把任意一个粘贴进检测框，看看实时扫描如何判定：

• apple-pay-verify.vercel.app
• wallet-card-add.pages.dev
• nfc-bank-secure.netlify.app

注意它们的形态。一个让人安心的词（「apple-pay」「wallet」「bank」「secure」）摆在前面，后面跟着一个没有任何真银行或支付公司会拿来做收款页的免费托管后缀。真正的 Apple Pay 设置发生在你手机的「钱包」App 里，从不在某个网页上填卡号；真正的银行页面跑在自己已验证的域名上。Apple 官方域名是 apple.com，Google 钱包/支付官方域名是 pay.google.com，它们都不会以 vercel.app、pages.dev 或 netlify.app 子域名的形式出现。收到任何让你「添加卡到钱包」或「输入验证码核验」的链接，先用下面的检测框验一验再说。

每次都能坐实这是诈骗的危险信号

你不必懂 NFC 技术也能识破它。结构本身就是破绽。

• 有人在电话里一步步教你「把卡添加到钱包」。这是决定性的一条。真正的银行、Apple、Google 绝不会打电话让你把自己的卡添加进某个钱包，更不会让你把卡添加进「别人的」设备。把卡加进钱包，是只能在你自己手机上、由你自己操作的事。
• 有人向你索要短信验证码。验证码（OTP）只属于你这部手机。任何客服、任何场景下索要验证码，都是诈骗。银行从不需要你把验证码念给客服「核对身份」，那条码本身就是用来阻止别人替你操作的。
• 一个网页要你填完整卡号 + CVV + 验证码。设置 Apple Pay 或 Google 钱包，永远在手机的钱包 App 里完成，绝不会在一个网页上让你手打卡号和安全码。
• 链接挂在免费托管上。一个只能以 vercel.app、pages.dev 或 netlify.app 子域名访问的「支付/银行/验证」页面，不是任何真实金融机构的页面。
• 极强的紧迫感和保密要求。「您的卡正在被盗刷，必须现在配合」「不要挂电话」「不要告诉别人，以免打草惊蛇」。制造慌乱和孤立，是为了不让你停下来想，也不让第二个人替你识破。
• 短信号码或链接对不上官方。真银行的提醒来自官方短信号或 App 推送，链接是官方域名。一个陌生号码 + 一个陌生域名 + 一个验证码要求，三者同时出现就是铁证。
• 事后出现陌生城市、陌生商户的大额 NFC 消费。名牌、金饰、电子产品这类高变现商品的连续扣款，是 Ghost-Tapping 完成洗钱的典型痕迹。

为什么「把卡添加到钱包 + 验证码」是这套骗局的命门

过去的卡片盗刷，骗子拿到卡号就能在网上刷一笔，但这有上限：很多网购要二次验证，盗刷一旦被风控拦下就结束了。Ghost-Tapping 把玩法升级了一个量级。它的目标不是刷一笔，而是把你的卡「装进」一部由它控制的手机，从此这部手机就能像你本人一样，在任何支持拍卡支付的实体店反复消费，直到卡被冻结。

而把卡装进手机钱包，技术上只差最后一道锁：银行发到你手机上的那条一次性验证码。这道锁的设计初衷，恰恰是为了确认「是持卡人本人要绑卡」。骗子绕不过这道锁，于是不去「破解」它，而是直接骗你帮他开锁，话术就是那句「把卡添加到钱包，请输入这个验证码」。你以为你在验证自己，实际上你在授权一台陌生设备。

记住这条底层逻辑：验证码是给你的设备用的，不是给客服核对的。任何要求你把验证码念出去、填进一个非官方页面、或在「客服指导」下添加卡到钱包的环节，无论对方说得多专业、多紧急，都是在请你亲手把卡交出去。银行永远不会要你把卡添加到别人的钱包。

SafeBrowz 在网络层面看到了什么

店里那一拍发生在线下，任何软件都拦不住。但让整条链条得以启动的那个环节，也就是收卡资料和验证码的钓鱼页，是一个网页，这正是浏览器端检测发挥作用的地方。在 SafeBrowz 引擎中，这类卡片钓鱼页在三层检测里的表现高度一致。

第一，这些域名又新又一次性。卡片钓鱼页几乎总是在群发短信前几天甚至几小时才注册，被举报后立刻弃用换新。单凭域名年龄信号，就能在页面内容加载之前标记出很大一部分这类站点。

第二，托管方式是个破绽。这些页面有惊人比例跑在免费托管上，一个支付或银行品牌词拼在 vercel.app、pages.dev 或 netlify.app 子域名上，因为团伙要消耗成百上千个一次性站点，免费托管不花一分钱。真正的支付服务和银行不会从免费子域名提供收卡页。免费托管加金融关键词这个组合，本身就是高置信度信号，与页面写了什么无关。

第三，内容是一份冒充画像。一个索要完整卡号 + CVV + 验证码的表单、一个伪装成 Apple Pay 或银行风控的界面、一段「添加到钱包以保护账户」的话术，全都由一个毫无监管痕迹的主机提供，这是教科书式的支付凭据钓鱼。内容层分析能抓住一个任何黑名单都没见过的全新仿冒站，这一点很关键，因为这些站点被批量生产的速度，比任何静态名单能追踪的都快。

操盘者接下来会换上哪些品牌和手法

诈骗团伙追着「什么能转化」走。基于同样的利益结构，可信的下一步是可以预判的。

• 从假物流扩展到假退款、假补贴、假积分。任何能制造「请补全信息/验证身份」理由的场景，都能改造成同一个收卡+验证码的钓鱼漏斗。
• 把绑卡环节做成假 App 或假「钱包客户端」。诱导你下载一个第三方 App，在里面填卡和验证码，进一步躲开浏览器的拦截。只在官方应用商店、认准开发者名义下载支付类 App。
• 用 AI 把电话「客服」做得更逼真。克隆口音、实时翻译、AI 代写脚本，让跨境团伙能用流利的中文同时处理大量受害人。参见我们对 AI 声音克隆家人急救骗局 的报道。
• 仿冒更多支付品牌和本地银行。预计会有更多装成 Apple Pay、Google 钱包、各大银行 App 的页面，挂在免费平台上，子域名里缝进「pay」「wallet」「verify」「secure」。

钓鱼页上的品牌是可以随意替换的。而那个结构，也就是一个用新注册或免费托管域名冒充支付/银行、索要卡资料和验证码的页面，是替换不掉的。这正是为什么一套结构性的、浏览器端的防御，胜过一个品牌一个品牌地追。

为什么早一步抓住链接，胜过事后补救

等到卡已经绑进骗子的手机，骗局其实已经赢了。卡资料和验证码一旦交出去，绑定可能在几秒内完成，跑腿当天就能开始刷货。这时你能做的只有冻结卡和报案，把损失追回来要看银行和警方的速度。

技术能干净利落打断链条的唯一时刻，是在最开始，当那条短信链接被点开、你即将填卡或念验证码的那一刻。那个链接是一个 URL，浏览器层的扫描器会直接检查它。当你点开一个伪装成支付或银行的钓鱼页时，扩展能识别出一个新注册或免费托管域名上的金融服务冒充，并在你输入任何卡资料之前发出警告，无论是谁发的短信、无论对方多么紧急。短信过滤和银行风控都很有价值，但它们作用在消息和交易上，而这两样骗子都在想方设法绕开。浏览器层作用在目的地上，这是骗局无法回避的：要拿你的卡，它就必须把你引到它的页面。

SafeBrowz 如何拦截此威胁

SafeBrowz 采用 3 层检测架构：本地 + API + AI。

• 第 1 层 - 本地检测：60+ URL 模式 + 550+ 品牌专属签名（包括西里尔字母和 Punycode 同形异义变体）+ 社区白名单/黑名单，全部在扩展程序中直接运行，在页面渲染之前完成。它能即时抓住免费托管子域名上的支付/银行品牌关键词、廉价 TLD 滥用，以及「pay-verify」「wallet-add」「nfc-secure」这类仿冒家族。
• 第 2 层 - API 检查：聚合 Google Safe Browsing、PhishTank、URLhaus、ScamAdviser，外加域名年龄查询（多数卡片钓鱼站只有几天甚至几小时历史）和 30+ 诈骗 TLD。
• 第 3 层 - AI 深度扫描：支持 100+ 语言的内容感知品牌冒充分析，能抓住一个任何黑名单都没见过的全新卡片钓鱼页，包括那些索要卡号、CVV 和验证码、伪装成钱包绑卡流程的页面。

检测签名源自威胁情报研究和我们内部的品牌数据库，而非用户浏览数据。SafeBrowz 不存储每个用户的浏览历史。

不想安装任何东西的人，可以使用同一引擎驱动的免费 公共网址检测工具。粘贴任意可疑链接，几秒钟得到结论。

现在该怎么做

如果你刚刚在某个页面填过卡，或刚把验证码念给了「客服」，或怀疑自己中招，正确的应对如下。

1. 不要念出任何验证码，立刻挂断。无论对方自称银行、Apple 还是任何客服，都不要把短信验证码告诉他，也不要在他指导下做「添加到钱包」的操作。直接挂断电话、关掉页面。
2. 马上冻结/挂失卡片。用卡背面或银行官方 App 里的电话联系银行，说明卡资料可能已泄露，要求冻结或挂失，并留意是否已有陌生 NFC 消费需要争议止付。当初那道验证码风控是对的，现在要把卡这道门彻底关上。
3. 检查并解绑可疑的钱包绑定。登录银行 App 查看「已绑定的设备/钱包」，把任何不是你本人的 Apple Pay / Google 钱包绑定解除。如不确定，让银行客服（你主动拨打的官方号码）协助核查。
4. 改密码、开启更强验证。如果你在钓鱼页输入过网银密码，立即修改，并为银行 App 和邮箱开启更强的身份验证。
5. 报案与举报。在中国大陆，拨打 110 报警并拨 96110 全国反诈专线，或用「国家反诈中心」App 一键举报；把诈骗短信和链接转发到 12321（网络不良与垃圾信息举报受理中心）。在香港拨防騙易热线 18222，紧急情况拨 999；在台湾拨反詐騙專線 165。报案时附上钓鱼链接、对方号码、收到的验证码内容截图，以及任何陌生扣款记录。
6. 提醒家人，约定一条规则。和家里的长辈、孩子约定一条简单到不会忘的铁律：验证码永远不告诉任何人，任何让「把卡添加到钱包」的电话一律挂断后回拨银行官方号码核实。

如果你是替年长的父母或亲戚读这篇文章，今天就把那条铁律讲给他们听：验证码只属于自己的手机，任何人索要都是骗子。我们完整的 《被骗了，现在该怎么办》 指南详细讲了头一小时的补救步骤，假冒公检法诈骗 一文则覆盖了另一类常借「保护你的资金安全」之名行骗的话术。

常见问题

什么是 Ghost-Tapping（NFC 中继盗刷）？

Ghost-Tapping 是一种新型卡片盗刷手法：骗子通过钓鱼页或电话骗走你的卡号和短信验证码，把你的卡远程绑进他自己控制的 Apple Pay 或 Google 钱包，再让跑腿的人拿着这部手机到实体店用 NFC（拍卡支付）刷高档商品来洗钱。整个过程你的实体卡始终在你身边，钱却被刷走，所以叫「幽灵拍卡」。威胁情报公司 Recorded Future 在 2025 年把这条产业链归因于华语犯罪团伙。

为什么「客服」要让我把卡添加到钱包、还要验证码？

因为这是他把你的卡装进自己手机的最后一道锁。当骗子用你的卡去绑定他手机上的钱包时，银行会向你的手机发一条一次性验证码来确认是持卡人本人。骗子拿不到这条码就绑不成，于是骗你念出来或填进钓鱼页。你以为在验证自己，实际上是在批准把卡授权进对方的设备。银行绝不会让你把卡添加到别人的钱包。

验证码到底能不能告诉客服核对身份？

绝对不能。短信验证码（OTP）只属于你这部手机，是用来阻止别人替你操作的最后一道防线。没有任何正规银行、Apple、Google 或客服会要你把验证码念出来「核对身份」。只要有人索要验证码，无论用什么理由，都是诈骗。挂断，回拨卡背面的官方电话核实。

我的实体卡一直在身上，怎么还会被盗刷？

因为 Ghost-Tapping 盗的不是你的实体卡，而是把卡的数据绑进了骗子的手机钱包。绑定后，那部手机就能像你本人一样在支持拍卡支付的实体店消费，完全不需要你的实体卡在场。这就是为什么受害人常常直到收到一连串陌生城市的扣款短信，才发现卡被「装进」了别人的手机。

这套骗局有多大规模？

Recorded Future 在 2025 年的报告显示，Ghost-Tapping 已是一条跨境、工业化运作的产业链，分工涵盖钓鱼取卡、绑卡入钱包、跑腿到店刷货洗钱。仅新加坡，警方就披露约 656 起「钱包盗刷」类报案、涉案约 120 万新元（S$1.2M）。手法盯上的高变现商品包括名牌包、金饰、最新款手机和礼品卡。

填卡或念验证码之前我该怎么检查链接？

在你输入任何卡资料或验证码之前，把短信里的链接粘进一个免费的网址检测工具。真正的银行和支付服务跑在自己已验证的官方域名上，设置 Apple Pay 或 Google 钱包只在手机的钱包 App 里完成，绝不会在网页上让你填卡号。一个整个地址都只是 vercel.app、pages.dev 或 netlify.app 下子域名的「支付/验证」页面，或一个几天前才注册的域名，是重大危险信号。SafeBrowz 会在本地、API 和 AI 内容三层之间扫描该链接，几秒钟给出结论。

我已经把验证码念给对方了，现在怎么办？

立刻挂断，不要再做任何「客服指导」的操作。马上用卡背面或银行官方 App 里的电话联系银行，冻结或挂失卡片，要求解除任何不是你本人的钱包绑定，并争议任何陌生的 NFC 消费。如果在钓鱼页输过网银密码，立即修改。在中国大陆拨 110 和 96110，香港拨 18222、紧急拨 999，台湾拨 165。把钓鱼链接、对方号码和扣款记录都留作证据。

我该如何举报这种骗局？

在中国大陆，拨 110 报警并拨 96110 全国反诈专线，或用「国家反诈中心」App 一键举报；把诈骗短信和链接转发到 12321 举报。在香港拨防騙易 18222，紧急情况拨 999；在台湾拨反詐騙專線 165。请附上钓鱼页网址、对方的电话或短信号码、收到的验证码短信截图，以及任何陌生商户的扣款记录。

免费安装 SafeBrowz

添加这款浏览器扩展，它会扫描每一个链接，包括短信里那个让你「验证卡片、添加到钱包」的页面，在页面渲染之前完成。永久免费。

添加到 Chrome 添加到 Firefox 添加到 Edge