“贷款催收”短信诈骗：揭露假催背后的黑产交易产业链

近年来，冒充金融机构催收实施诈骗的风险明显升温，相关案例与监管提示显示，不法分子正通过高仿网站、伪造催收话术及非法数据交易等方式，对借贷用户实施精准诈骗。

2026年3月16日，北京金融监管局发布专项风险提示，提醒金融消费者要防范“贷款催收”短信诈骗，从已披露案例与情报数据来看，相关作恶行为已不再局限于零散个体，而是呈现出链条化、规模化的发展趋势。






一、“假催”相关数据泄露市场

呈现显著增长态

威胁猎人监测发现，自2025年7月起，非法数据交易市场中开始出现用于“假催”作恶的金融贷款用户数据的情报，并于2025年11月后快速升温；其风险情报量由2025年5月至10月的18条增至2025年11月至2026年4月的5244条，相关数据情报量急剧攀升，增长超过290倍，在2026年3月达到近期峰值。

假催： 指犯罪团伙利用泄露的金融平台用户贷款数据（下款数据、逾期数据等），冒充平台催收部门，通过伪造催收短信、电话及钓鱼网站，诱骗用户将"还款"资金转入犯罪团伙控制的账户。



（2026年4月数据统计至4月15日）

通过对相关情报的溯源及关联分析，威胁猎人发现购买假催数据的黑产，主要将其用于诈骗变现相关场景，其背后逐步形成了从数据获取、流通交易到诈骗实施的完整产业链条。

二、“假催”相关泄露数据

覆盖用户贷款全生命周期的敏感信息

威胁猎人运营人员深入分析发现，假催产业链涉及多家金融平台，覆盖消费金融、网络借贷、支付等多个行业，主要特点如下：

1. 涉及多行业分布

威胁猎人监测发现，泄露数据主要集中于网络借贷行业（约占64%，涵盖消费分期、现金贷、综合借贷商城等），其次为消费金融行业（约占28%，涉及融资及催收服务相关机构），另有约7%的数据延伸至支付服务等基础金融环节。



2. 数据规模庞大

基于威胁猎人对监测的假催数据泄露事件分析发现，当前已存在多个金融平台用户数据库外泄的情况。在地下数据交易市场中，部分黑产中介对外出售相关数据，并标注其数据库规模，威胁猎人从对多个黑产反馈的数据量级来看，累计泄露的用户数据总量可达千万级。



3. 涉及金融用户贷款全生命周期数据类型

基于威胁猎人反欺诈情报研究人员对假催作恶团伙所使用数据的分析可以发现，当前泄露信息涵盖了金融用户贷款全生命周期的敏感数据。

除了基础的姓名、手机号、身份证号外，依据不同的数据类型还包含有银行卡号、申请记录、下款金额、逾期天数甚至放款的具体时间戳。

从流通情况来看，假催产业链中流通的数据主要分为三类：

（1）申请数据

• 
  数据特征： 申请数据记录用户在平台提交贷款申请的信息（不一定已放款），通常包含申请状态等字段。黑产用于拓展假催的目标用户池。
• 
  数据价格情况：据威胁猎人调研，在非法数据交易市场上此类数据月内新数据平均价格0.8元/条，历史数据为0.2元/条。
  

（威胁猎人捕获到的申请格式假催数据样例）

（2）下款数据

• 
  数据特征：下款数据记录了用户在金融平台成功借款（放款）后的详细信息，通常包含姓名、手机号、借款金额、放款时间等字段。掌握下款数据意味着可以精准获知用户的借款情况，从而编造高度真实的催收话术。
• 
  数据价格情况：据威胁猎人调研，在非法数据交易市场上此类数据月内新数据平均价格在1元-1.2元/条，历史数据为0.3元/条。
  

（威胁猎人捕获到的下款格式假催数据样例）

在威胁猎人本次调研涉及的十余家平台中，大部分泄露数据均属于下款数据类型，为假催团伙最为常用的数据资产。

（3）逾期数据

• 
  数据特征： 逾期数据记录了用户贷款逾期的状态信息。通常包含逾期时间，还款时间等字段。相较下款数据，逾期数据对假催团伙的价值更高，由于已逾期用户本身处于催收压力之下，对"催收信息"的恐惧感更强、判断力更弱，被诈骗的成功率更高。
• 
  数据价格情况：据威胁猎人调研，在非法数据交易市场上此类数据月内新数据平均价格在1.4元-1.6元/条，历史数据为0.5元/条。
  

（威胁猎人捕获到的逾期格式假催数据样例）

综上所述，三类数据的交易价格呈现出梯度差异。这种价格分化不仅取决于数据字段的完整度，更在于不同类型数据在下游作恶链路中的转化效果与获利空间不同。

逾期数据（单价1.4元）＞下款数据（单价1.2元）＞申请数据（0.8元）

三、“假催”产业链链路拆解

威胁猎人针对假催产业链的运作模式进行深入调研后发现，整体呈现清晰的上中下游三层协作结构，各环节分工明确、环环相扣，下图为分析示意，展示各环节可能的连接关系：



(假催产业链链路拆解图)

1、 上游——数据供给层：金融平台用户数据的窃取与贩卖

假催产业链的上游是金融平台用户贷款数据的获取与流通。威胁猎人调研发现，上游数据的来源渠道主要包括两类：

（1）金融平台数据库/内鬼倒卖泄露

部分金融平台（或其合作方，如数据服务商、催收外包公司等）存在数据安全管控不严的情况，导致用户贷款数据通过内部人员违规操作流入黑产市场。

（2）黑客渗透攻击获取

除内部泄露外，部分金融数据来源于黑客针对金融平台的外部网络攻击。攻击者通常会利用系统漏洞等安全薄弱点对金融平台数据库、业务后台或数据接口实施数据窃取。



此类金融用户数据遭窃取后流入黑市，不法分子通过 Telegram 等加密通讯渠道交易数据，黑产盘口借此开展假催作恶活动。



2、 中游——工具与基础设施层：钓鱼网站搭建与催收话术体系构建

中游环节承担的是假催产业链"武器工厂"的角色，为下游诈骗团伙提供技术工具和基础设施支持：

（1）金融平台数据库/内鬼倒卖泄露

假催团伙通过特定的短信接口通道（即“催收短信口”），实现伪造催收短信的批量群发。这些短信口具备模拟正规催收短信格式的能力，可在短信中嵌入钓鱼链接并构造催收话术批量发送至目标用户手机号，作恶团伙使用的手机号码往往是虚拟号码服务（用于回拨电话催收）。



威胁猎人在多个Telegram频道中发现了催收短信口的服务规则信息，提供短信口的商家与假催团伙之间已建立起完善的服务合作模式形成稳定供给，从威胁猎人数据泄露情报监测平台的监测数据显示，和“催收短信口”有关的情报量与“假催”情报量走势高度一致。



（2026年4月数据统计至4月15日）



（威胁猎人捕获到的黑产催收短信口服务及催收话术样例）

（2）钓鱼网站搭建

威胁猎人监测发现， 假催团伙通过搭建高仿“还款”网站，在受害者操作过程中窃取其银行卡号、密码与验证码，同时诱骗受害者向该犯罪团伙的指定账户进行虚假还款转账。



（某网贷平台钓鱼网站截图）

威胁猎人深入研究后发现，假催团伙搭建的钓鱼网站与正规金融平台界面高度相似。

以威胁猎人监测到的某一仿冒平台为例：

其对应钓鱼网站的后台管理界面与正规平台在布局、功能模块上存在仿冒痕迹，其仿冒正规金融平台贷款话术，公章，logo等提高受害者可信度。

用户在登录钓鱼网站后，页面通常包含用户账户信息展示、还款金额与方式选择、银行卡绑定页面等模块，其中页面上展示的借款金额、逾期天数等信息与其真实借款情况高度一致。

该数据来自上游采购的真实泄露数据，这也是假催诈骗使受害者极易受骗的关键原因。



(威胁猎人监测到的某一钓鱼网站后台截图)

3、 下游——冒充催收实施诈骗

下游环节是以诈骗实施为核心的假催产业链的最终变现环节。结合威胁猎人调研结论与公开案例分析，其典型实施流程可归纳如下：



第一步：数据筛选与匹配。 下游假催团伙从上游/中游采购目标平台的用户贷款数据，按逾期状态、借款金额、地域等条件筛选出目标受害者名单。

第二步：伪造催收短信触达。 通过催收短信口或iMessage（iPhone短信发送服务）向目标用户批量发送伪造催收短信。短信中包含平台名称、借款金额、逾期天数等真实信息，并附有钓鱼链接或回拨电话。



第三步：建立信任与心理施压。 当用户回拨电话或点击链接后，假催团伙准确报出用户的借款详情（平台、金额、时间等），冒充平台催收人员施加心理压力。

第四步：钓鱼收割。 通过减息免息等话术引导用户进入钓鱼网站或假冒APP进行"还款"操作，用户输入的银行卡信息和转账资金直接流入犯罪团伙控制的账户。




写在最后

假催产业链是一条由下游诈骗需求驱动的数据泄露交易产业链。金融用户数据在这一过程中，已从被动泄露的信息，转化为可持续流通、可分层定价并可直接用于诈骗决策的“攻击资产”。随着黑产作恶手段的持续迭代，相关作恶模式仍可能持续演化，对金融行业用户安全与业务风险带来长期挑战。