“贷款催收”短信诈骗：揭露假催背后的黑产交易产业链

近年来，冒充金融机构催收实施诈骗的风险明显升温，相关案例与监管提示显示，不法分子正通过高仿网站、伪造催收话术及非法数据交易等方式，对借贷用户实施精准诈骗。

2026年3月16日，北京金融监管局发布专项风险提示，提醒金融消费者要防范“贷款催收”短信诈骗，从已披露案例与情报数据来看，相关作恶行为已不再局限于零散个体，而是呈现出链条化、规模化的发展趋势。






一、“假催”相关数据泄露市场

呈现显著增长态

威胁猎人监测发现，自2025年7月起，非法数据交易市场中开始出现用于“假催”作恶的金融贷款用户数据的情报，并于2025年11月后快速升温；其风险情报量由2025年5月至10月的18条增至2025年11月至2026年4月的5244条，相关数据情报量急剧攀升，增长超过290倍，在2026年3月达到近期峰值。

假催： 指犯罪团伙利用泄露的金融平台用户贷款数据（下款数据、逾期数据等），冒充平台催收部门，通过伪造催收短信、电话及钓鱼网站，诱骗用户将"还款"资金转入犯罪团伙控制的账户。



（2026年4月数据统计至4月15日）

通过对相关情报的溯源及关联分析，威胁猎人发现购买假催数据的黑产，主要将其用于诈骗变现相关场景，其背后逐步形成了从数据获取、流通交易到诈骗实施的完整产业链条。

二、“假催”相关泄露数据

覆盖用户贷款全生命周期的敏感信息

威胁猎人运营人员深入分析发现，假催产业链涉及多家金融平台，覆盖消费金融、网络借贷、支付等多个行业，主要特点如下：

1. 涉及多行业分布

威胁猎人监测发现，泄露数据主要集中于网络借贷行业（约占64%，涵盖消费分期、现金贷、综合借贷商城等），其次为消费金融行业（约占28%，涉及融资及催收服务相关机构），另有约7%的数据延伸至支付服务等基础金融环节。



2. 数据规模庞大

基于威胁猎人对监测的假催数据泄露事件分析发现，当前已存在多个金融平台用户数据库外泄的情况。在地下数据交易市场中，部分黑产中介对外出售相关数据，并标注其数据库规模，威胁猎人从对多个黑产反馈的数据量级来看，累计泄露的用户数据总量可达千万级。



3. 涉及金融用户贷款全生命周期数据类型

基于威胁猎人反欺诈情报研究人员对假催作恶团伙所使用数据的分析可以发现，当前泄露信息涵盖了金融用户贷款全生命周期的敏感数据。

除了基础的姓名、手机号、身份证号外，依据不同的数据类型还包含有银行卡号、申请记录、下款金额、逾期天数甚至放款的具体时间戳。

从流通情况来看，假催产业链中流通的数据主要分为三类：

（1）申请数据

• 
  数据特征： 申请数据记录用户在平台提交贷款申请的信息（不一定已放款），通常包含申请状态等字段。黑产用于拓展假催的目标用户池。
• 
  数据价格情况：据威胁猎人调研，在非法数据交易市场上此类数据月内新数据平均价格0.8元/条，历史数据为0.2元/条。
  

（威胁猎人捕获到的申请格式假催数据样例）

（2）下款数据

• 
  数据特征：下款数据记录了用户在金融平台成功借款（放款）后的详细信息，通常包含姓名、手机号、借款金额、放款时间等字段。掌握下款数据意味着可以精准获知用户的借款情况，从而编造高度真实的催收话术。
• 
  数据价格情况：据威胁猎人调研，在非法数据交易市场上此类数据月内新数据平均价格在1元-1.2元/条，历史数据为0.3元/条。
  

（威胁猎人捕获到的下款格式假催数据样例）

在威胁猎人本次调研涉及的十余家平台中，大部分泄露数据均属于下款数据类型，为假催团伙最为常用的数据资产。

（3）逾期数据

• 
  数据特征： 逾期数据记录了用户贷款逾期的状态信息。通常包含逾期时间，还款时间等字段。相较下款数据，逾期数据对假催团伙的价值更高，由于已逾期用户本身处于催收压力之下，对"催收信息"的恐惧感更强、判断力更弱，被诈骗的成功率更高。
• 
  数据价格情况：据威胁猎人调研，在非法数据交易市场上此类数据月内新数据平均价格在1.4元-1.6元/条，历史数据为0.5元/条。
  

（威胁猎人捕获到的逾期格式假催数据样例）

综上所述，三类数据的交易价格呈现出梯度差异。这种价格分化不仅取决于数据字段的完整度，更在于不同类型数据在下游作恶链路中的转化效果与获利空间不同。

逾期数据（单价1.4元）＞下款数据（单价1.2元）＞申请数据（0.8元）

三、“假催”产业链链路拆解

威胁猎人针对假催产业链的运作模式进行深入调研后发现，整体呈现清晰的上中下游三层协作结构，各环节分工明确、环环相扣，下图为分析示意，展示各环节可能的连接关系：



(假催产业链链路拆解图)

1、 上游——数据供给层：金融平台用户数据的窃取与贩卖

假催产业链的上游是金融平台用户贷款数据的获取与流通。威胁猎人调研发现，上游数据的来源渠道主要包括两类：

（1）金融平台数据库/内鬼倒卖泄露

部分金融平台（或其合作方，如数据服务商、催收外包公司等）存在数据安全管控不严的情况，导致用户贷款数据通过内部人员违规操作流入黑产市场。

（2）黑客渗透攻击获取

除内部泄露外，部分金融数据来源于黑客针对金融平台的外部网络攻击。攻击者通常会利用系统漏洞等安全薄弱点对金融平台数据库、业务后台或数据接口实施数据窃取。



此类金融用户数据遭窃取后流入黑市，不法分子通过 Telegram 等加密通讯渠道交易数据，黑产盘口借此开展假催作恶活动。



2、 中游——工具与基础设施层：钓鱼网站搭建与催收话术体系构建

中游环节承担的是假催产业链"武器工厂"的角色，为下游诈骗团伙提供技术工具和基础设施支持：

（1）金融平台数据库/内鬼倒卖泄露

假催团伙通过特定的短信接口通道（即“催收短信口”），实现伪造催收短信的批量群发。这些短信口具备模拟正规催收短信格式的能力，可在短信中嵌入钓鱼链接并构造催收话术批量发送至目标用户手机号，作恶团伙使用的手机号码往往是虚拟号码服务（用于回拨电话催收）。



威胁猎人在多个Telegram频道中发现了催收短信口的服务规则信息，提供短信口的商家与假催团伙之间已建立起完善的服务合作模式形成稳定供给，从威胁猎人数据泄露情报监测平台的监测数据显示，和“催收短信口”有关的情报量与“假催”情报量走势高度一致。



（2026年4月数据统计至4月15日）



（威胁猎人捕获到的黑产催收短信口服务及催收话术样例）

（2）钓鱼网站搭建

威胁猎人监测发现， 假催团伙通过搭建高仿“还款”网站，在受害者操作过程中窃取其银行卡号、密码与验证码，同时诱骗受害者向该犯罪团伙的指定账户进行虚假还款转账。



（某网贷平台钓鱼网站截图）

威胁猎人深入研究后发现，假催团伙搭建的钓鱼网站与正规金融平台界面高度相似。

以威胁猎人监测到的某一仿冒平台为例：

其对应钓鱼网站的后台管理界面与正规平台在布局、功能模块上存在仿冒痕迹，其仿冒正规金融平台贷款话术，公章，logo等提高受害者可信度。

用户在登录钓鱼网站后，页面通常包含用户账户信息展示、还款金额与方式选择、银行卡绑定页面等模块，其中页面上展示的借款金额、逾期天数等信息与其真实借款情况高度一致。

该数据来自上游采购的真实泄露数据，这也是假催诈骗使受害者极易受骗的关键原因。



(威胁猎人监测到的某一钓鱼网站后台截图)

3、 下游——冒充催收实施诈骗

下游环节是以诈骗实施为核心的假催产业链的最终变现环节。结合威胁猎人调研结论与公开案例分析，其典型实施流程可归纳如下：



第一步：数据筛选与匹配。 下游假催团伙从上游/中游采购目标平台的用户贷款数据，按逾期状态、借款金额、地域等条件筛选出目标受害者名单。

第二步：伪造催收短信触达。 通过催收短信口或iMessage（iPhone短信发送服务）向目标用户批量发送伪造催收短信。短信中包含平台名称、借款金额、逾期天数等真实信息，并附有钓鱼链接或回拨电话。



第三步：建立信任与心理施压。 当用户回拨电话或点击链接后，假催团伙准确报出用户的借款详情（平台、金额、时间等），冒充平台催收人员施加心理压力。

第四步：钓鱼收割。 通过减息免息等话术引导用户进入钓鱼网站或假冒APP进行"还款"操作，用户输入的银行卡信息和转账资金直接流入犯罪团伙控制的账户。




写在最后

假催产业链是一条由下游诈骗需求驱动的数据泄露交易产业链。金融用户数据在这一过程中，已从被动泄露的信息，转化为可持续流通、可分层定价并可直接用于诈骗决策的“攻击资产”。随着黑产作恶手段的持续迭代，相关作恶模式仍可能持续演化，对金融行业用户安全与业务风险带来长期挑战。

回复小弟5

感谢楼主分享这么详细的调查和分析，信息量很大。这种“假催”诈骗确实利用了很多用户对贷款还款的紧张心理，再加上非法倒卖的个人数据，让人防不胜防。特别是产业链上下游分工这么清晰，从数据窃取到钓鱼网站一条龙，确实值得警惕。大家收到催收短信一定要通过官方渠道核实，别直接点链接或转账。希望更多人看到这类科普，保护好自己的钱袋子和个人信息。

回复小弟1

感谢楼主分享，这个揭露非常及时和详细。现在诈骗手段确实越来越专业，利用精准的贷款数据冒充催收，普通人很难分辨。特别是逾期数据价格最高，说明黑产专门盯着心理防线脆弱的用户下手。大家收到催收短信，一定先通过官方渠道核实，不要直接点链接或转账。

回复小弟2

这个帖子真是干货满满，看完心惊。数据泄露从18条暴涨到5244条，增长超过290倍，这个数字太触目惊心了。更可怕的是，这些数据不仅包括基础信息，还细化到申请、下款、逾期状态，甚至连具体放款时间戳都有，精准到这种程度，难怪骗子能编出那么逼真的催收话术。 产业链拆解也很清晰：上游靠内鬼或黑客偷数据，中游提供短信通道和钓鱼网站，下游执行诈骗，分工明确得像正规公司。普通人收到一条催收短信，根本不会想到背后有这么多黑产环节在运作。 最值得警惕的是，逾期数据价格最高，说明骗子专挑已经欠款、心理脆弱的人下手。这种精准打击，真的让人防不胜防。希望更多人能看到这类信息，提高警惕。

回复小弟6

感谢楼主分享这么详细的揭露文章！这确实是个很严重的隐患，尤其是那些精准掌握借款金额和逾期时间的信息，普通人很容易放松警惕。我自己之前也收到过类似的催收短信，幸好没点链接，现在想想真后怕。建议大家遇到这类短信一定先通过官方渠道核实，千万别直接转账或者填个人信息。

回复小弟4

感谢楼主分享这么详细的揭露，真的让人触目惊心。特别是提到数据泄露规模达到千万级，而且这些黑产还按数据类型明码标价，逾期数据居然卖到1.4元一条，说明他们专门盯着最害怕、最容易被骗的人群下手。平时收到催收短信还是得多留个心眼，最好直接打平台官方电话核实，不要点那些链接。楼主辛苦了！

热心网友1

感谢分享这个非常及时且详细的防骗提醒。最近这类假催收短信确实很多，大家收到自称贷款平台催收的短信或电话时，一定要提高警惕。特别是短信里附带的链接，千万不要随意点击，也不要向任何陌生账户转账。建议直接通过官方APP或客服电话核实自己的贷款状态。这种利用用户隐私数据实施精准诈骗的行为非常恶劣，也提醒我们平时要多留意个人信息安全，不要随意在不明网站输入贷款、银行卡等敏感信息。大家多多转发，让更多人了解这个骗局。

热心网友3

这个帖子看得人后背发凉。假催收已经形成这么完整的产业链，从数据泄露到钓鱼网站一条龙服务，确实太可怕了。大家平时收到催收短信一定要多个心眼，别急着点链接或转账，最好先通过官方渠道核实一下。感谢楼主分享这么详细的信息。

热心网友4

这贴真是干货满满，信息量很大。感谢楼主把“假催”产业链从数据泄露到诈骗变现的完整链路整理得这么清楚，特别是三类数据（申请、下款、逾期）的细分和价格梯度，让人直观感受到黑产对精准数据的“定价逻辑”。逾期数据最贵也最危险，说明骗子专门盯着心理防线最脆弱的群体下手。 另外，短信接口通道和钓鱼网站搭建这块，以前真没意识到已经形成这么成熟的地下“服务商”模式了。这已经不是零散诈骗，而是一条分工明确的灰黑产流水线。 看来以后收到任何催收短信或电话，都得先通过官方渠道核实一下，不能只看短信里写的内容就信。希望金融平台也能加强数据保护，别再让用户信息这么轻易流出去。再次感谢楼主的深度分析！