文章总结： 本文详细记录了2020年1月17日发生在海安的一起信用卡诈骗案。贵州籍女工小罗通过抖音广告办理信用卡时，被伪装成银行客服的诈骗分子以办卡费、激活费、流水验证费、解冻费等名义骗取钱财，并在不知情的情况下被木马程序远程控制银行卡转走8200元，最终损失近万元。报警后警方侦查发现，该案为境外诈骗团伙通过抖音引流、山寨网站收集信息、客服实施诈骗、利用卡农账户洗钱的完整犯罪链条，涉及虚拟号、VPN跳转、虚拟币支付广告、Telegram联系等多种反侦查手段。尽管部分资金被追回，但大部分资金已通过多层转账流向境外。 综合评分： 68 文章分类： 社会工程学,网络诈骗,应急响应,安全意识,威胁情报

---

刷了条抖音，我卡里只剩4分钱

原创

子午猫 子午猫

网络侦查研究院

2026年3月21日 07:47 湖南

#

一、那个“不缺钱也要办卡”的广告

2020年1月17日，上午11点，海安海昌街道出租屋。

小罗趴在床上刷抖音。二十三岁，贵州来的姑娘，在服装厂踩缝纫机，一个月三千八。

手机屏幕滑过一条视频：黑色背景，金色大字——“不缺钱也需要办一张信用卡”。

文案写着：“真正聪明的人，都在用银行的钱赚钱。”

博主叫“什么卡值得办”，粉丝二十多万，认证是“金融理财博主”。视频里，一个穿西装的男人侃侃而谈：“信用卡不是用来透支的，是用来建立信用资产的。你现在不缺钱，但未来买房、买车、创业，都需要信用记录……”

小罗手指停住了。

她想起上个月，老家表哥结婚，彩礼八万八，全家凑不出，最后借了高利贷。母亲打电话时叹气：“要是咱家有点信用，能从银行借就好了。”

“信用”。这个词像根刺，扎在她心里。

视频下方有链接：“点击领取万元额度信用卡”。小罗点了。

跳出一个页面，要填手机号。她犹豫一下，填了。

三分钟后，一个陌生号码打进来。

“您好，我是信用卡中心客户经理，姓王。看到您申请了我们银行的钻石卡，额度一万起，最高十万。”

声音很专业，带点北方口音。

小罗坐直身子：“我……我没申请钻石卡啊？”

“系统自动匹配的。您资质好，我们优先推荐高额度卡。”对方语速很快，“方便加个微信吗？我把申请链接发给您。”

小罗加了。微信名“王经理-信用卡中心”，头像是个银行logo。

王经理发来一个链接。点开，是“XX银行信用卡在线申请”页面，设计精美，有银行标志、客服电话、安全认证标识。

“填一下基本信息，十分钟出额度。”

小罗填了：姓名、身份证号、手机号、工作单位（写了服装厂）、月收入（写了五千）。

提交。页面显示：“审核中，请稍候。”

五分钟后，王经理发来消息：“恭喜！初审通过，额度一万二。但需要缴纳办卡费298元，激活后返还。”

“还要交钱？” “这是制卡费和快递费。正规流程，激活后原路退回。”

小罗想了想，298，不多。她微信转了。

王经理发了个大拇指表情：“明天寄卡。另外，需要审查一下您的银行流水，证明有还款能力。”

“怎么审查？” “您往自己银行卡里存点钱，截图给我看就行。不用转给我，就在您自己卡里。”

小罗觉得合理。她工资卡里有一千二，是下个月房租。她截图发了。

“流水太少了。”王经理说，“至少要有五千块，才能证明还款能力。您找朋友借点，存进去，截图完就可以转回去。”

小罗找同宿舍的小姐妹借了四千，加上自己的一千二，存进卡里。截图发过去。

“好的，流水审查通过。现在需要激活费500元。” “怎么又要钱？” “这是银行规定，激活信用卡需要保证金。激活后和办卡费一起退。”

小罗有点犹豫。但想到一万二的额度，咬咬牙，又转了500。

转完，她问：“什么时候寄卡？” “今天下午就寄。但还有个问题：您刚才的流水，是借的钱对吧？银行监测到异常，怀疑您伪造流水。”

小罗慌了：“那怎么办？” “需要您做一个‘真实流水’。往卡里存八千，我们后台操作一下，走个形式，钱还在您卡里。”

“我没那么多钱……” “找朋友借借？做完马上就能提出来。”

小罗又找另一个工友借了三千，加上卡里五千二，凑了八千二。存进去，截图。

“收到。现在需要支付‘流水验证费’800元。” “怎么又要钱？！”小罗急了。 “这是银行风控部门的要求，验证流水真实性。最后一步了，验证完立刻退款。”

小罗看着微信余额：还剩六百。她全转了。

“验证成功。但系统显示，您刚才的转账有风险，账户被临时冻结了。” “什么？！” “需要解冻费1200元。交了之后，所有钱一起退，总共298+500+800+1200，2798元，加上信用卡额度一万二，一起到账。”

小罗脑子嗡嗡响。她已经转了1598元，卡里还有八千二。但那是借的钱，要还的。

“我没钱了……” “找朋友再借借？这是最后一步了，马上就能拿到卡和退款。”

小罗红着眼眶，给老家母亲打电话：“妈，我急用钱，一千二……”

母亲在电话那头沉默很久：“娃，你是不是被骗了？” “没有！是办信用卡，正规的！” “哪有办卡要交这么多钱的……” “你不懂！”小罗吼了一句，挂了电话。

她打开网贷APP，借了两千。一千二转给王经理，八百留着。

“解冻费交了，现在可以了吗？” “可以了！正在处理，三分钟到账。”

小罗盯着手机银行。三分钟，五分钟，十分钟。

余额没变。

她发微信：“王经理，钱还没到。” 红色感叹号：消息已发出，但被对方拒收了。

她被拉黑了。

小罗手开始抖。打开银行卡APP，查余额：0.04元。

八千二，没了。

她瘫在床上，眼泪流不出来，就是浑身发冷。手机屏幕还亮着，那个“XX银行信用卡在线申请”页面，银行logo闪闪发光。

窗外，服装厂午休铃响了。

二、报警：从“办卡费”到“连环套”

下午两点，海安海昌派出所。

接待小罗的是个年轻民警，姓陈。听完叙述，他第一句话是：“典型的‘信用卡诈骗’连环套。”

“可他说是银行……” “银行从不收办卡费、激活费、流水费。”陈警官调出电脑里的案例库，“你看，去年就有三起，手法一模一样：抖音广告引流，假客服联系，以办卡为名收各种费。”

小罗愣愣地看着屏幕。那些案例里，受害人被骗几千到几万不等，最多的一个，被骗五万八。

“钱能追回来吗？” “我们试试。”

陈警官让她打印转账记录。微信、支付宝、银行卡，一共七笔：

1. 办卡费298元（微信转个人）
2. 激活费500元（微信转个人）
3. 流水验证费800元（支付宝转个人）
4. 解冻费1200元（支付宝转个人）
5. 银行卡内8200元（分两笔转出，转到两个不同账户）

“最后这八千二，怎么转出去的？”陈警官问。 “我……我不知道。”小罗茫然，“我没转过。” “手机给我看看。”

小罗递过手机。陈警官打开银行APP，查交易记录。果然有两笔转账：一笔5000，一笔3200，转到两个陌生账户，时间就在她和王经理通话期间。

“你操作了吗？” “没有！我就截图给他看了余额，没转账！” 陈警官皱眉：“可能他远程控制了你的手机。”

他检查手机设置，果然发现“未知来源应用安装”是开启状态。又在应用列表里找到一个陌生APP，叫“金融助手”，安装时间就在今天上午。

“你装过这个吗？” “没有……” “他可能发了个链接，你点开，自动安装了。这个APP有远程控制权限。”

小罗想起，王经理确实发过一个“银行流水检测工具”链接，她点了，页面闪了一下，没看到下载提示。

“就那一瞬间，你手机被装了木马。”陈警官说，“他让你截图时，其实已经控制了你的手机，在你不知情的情况下转账。”

小罗浑身发抖：“那……那八千二……”

“已经转走了。现在要查收款账户。”

三、第一层侦查：追踪“王经理”

案子立案，编号“2020-0117信用卡诈骗案”。

侦查分两步：一是追踪骗子“王经理”，二是追查资金流向。

第一步：查微信和手机号。

“王经理-信用卡中心”的微信，注册手机号是虚拟号，归属地显示“未知”。朋友圈只有三条，都是信用卡广告，发布时间集中在最近一周。

“新号，专门用来诈骗的。”陈警官说。

他让技术中队查这个微信的登录IP。发现最近一次登录，IP地址在云南西双版纳，但通过VPN跳转，真实IP可能在境外。

“手机号也是虚拟号，从黑市买的，查不到实名。”

线索断了。

第二步：查抖音广告。

小罗刷到的那条视频，博主“什么卡值得办”，粉丝23万，发布过几百条信用卡、贷款广告。

陈警官用工作账号关注了他，私信：“想办信用卡，怎么联系？”

十分钟后，一个叫“信用卡顾问-李”的微信加过来。话术和王经理一模一样：“初审通过，需要办卡费。”

“这是团伙作案。”陈警官判断，“抖音博主负责引流，下面有多个‘客服’接单，统一话术诈骗。”

他查了这个抖音账号的注册信息。实名认证是“陈某”，福建龙岩人，但人脸识别用的是网络图片，大概率是盗用身份。

“账号是买的。”技术中队小刘说，“黑市上，一个二十万粉丝的抖音号，卖两三万。骗子买来，发诈骗广告，骗到钱就弃用。”

第三步：查诈骗网站。

王经理发来的“XX银行信用卡在线申请”链接，陈警官点开。页面做得极像银行官网，但域名是“www.xxxx-yinhang.com”，比正规银行域名多一个横杠。

“山寨网站。”小刘解析域名，“服务器在香港，没有备案。网站后台很简单，就是收集个人信息，没有真正申请功能。”

他尝试在网站输入假信息。提交后，页面显示“审核通过”，然后跳转到微信二维码，要求加客服。

“完全自动化引流。”小刘说，“受害人填完信息，自动推给骗子客服，开始诈骗。”

侦查至此，明确了作案链条：

1. 引流层：抖音博主（可能也是骗子，或卖号给骗子）发布广告，吸引受害人点击。
2. 接触层：山寨网站收集信息，自动分配“客服”。
3. 诈骗层：客服以办卡为名，收取各种费用，最后用木马远程转账。
4. 资金层：钱转入多个账户，迅速转移。

但“王经理”是谁？在哪？不知道。

四、第二层侦查：追踪资金

小罗的七笔转账，收款方都是个人账户。陈警官联系反诈中心，紧急止付。

第一笔（298元）：微信转账，收款人“*伟”。查实名，张伟，河北人。联系当地警方，找到张伟，是个农民工，他说：“我微信被盗了，不知道谁用我收钱。”

第二笔（500元）：微信转账，收款人“*明”。实名，李明，广东人。也是微信被盗。

第三笔（800元）：支付宝转账，收款人“陈某某”。实名，陈华，福建人。账户已被冻结，钱还在。

第四笔（1200元）：支付宝转账，收款人“黄某某”。实名，黄丽，云南人。钱已转走。

第五、六笔（8200元）：银行卡转账，两个收款账户，开户人分别是“赵某”（黑龙江）和“孙某”（河南）。钱到账后五分钟内，又转走了。

“全是卡农账户。”陈警官说，“骗子收买或盗用他人身份，开银行卡、微信、支付宝，用来收款。钱一到账，马上转走。”

他调取了这几个账户的流水。

发现一个规律：小罗的钱，进入“赵某”账户后，分三笔转出：2000元到A账户，3000元到B账户，3200元到C账户。A、B、C又继续往下转。

“这是跑分。”反诈中心老周解释，“洗钱团伙用大量个人账户，像接力赛一样快速转账，把资金打散，最后汇集到几个主账户，买虚拟币或提现。”

老周用资金分析系统，画了一张流向图。小罗的8200元，经过八层转账，最终流入一个叫“鑫源商贸”的对公账户。

查“鑫源商贸”，注册地在山东，法人叫“王鑫”，但公司是空壳，没有实际经营。对公账户的开户行在广西，流水显示，每天有几十万进出。

“水房账户。”老周说，“专门用来汇集诈骗资金，然后批量洗白。”

他申请冻结这个账户。但银行反馈：账户余额只剩五百元，大笔资金已在今天上午转出，流向香港一家公司。

“钱出境了。”老周叹气。

小罗的298元、500元、800元，因为及时止付，追回来了。但1200元和8200元，没了。

“才半天时间，钱就洗到境外了。”陈警官握紧拳头。

五、第三层侦查：挖抖音背后的团伙

虽然资金难追，但人还在境内。陈警官决定从抖音博主“什么卡值得办”入手。

这个账号，每天发布三条信用卡广告，视频内容都是搬运的，配上吸引人的文案：“秒批十万卡”“黑户也能办”“独家渠道”。

评论区里，很多人在问：“怎么办理？”博主统一回复：“私信。”

“明显是引流。”小刘说，“他负责把人引到微信，交给下线诈骗。”

陈警官用技术手段查了这个账号的运营信息。

IP地址：最近登录IP在福建厦门，但也是VPN跳转，真实IP可能在菲律宾。

发布设备：视频都是用同一台手机发布，型号iPhone 11，系统版本较旧。

内容来源：视频都是盗用其他博主的，用剪辑软件去水印，重新配音。

“专业诈骗团伙。”陈警官判断，“有专人负责账号运营、视频剪辑、客服对接、资金洗白。”

他联系抖音平台，要求提供账号的实名信息、登录记录、广告投放数据。

平台反馈：账号实名认证是“陈某”，但绑定的手机号是虚拟号，广告投放费用通过虚拟币支付，无法追踪。

“虚拟币支付？”陈警官注意到这个细节，“骗子用虚拟币买广告，躲避监管。”

他查了这个账号的广告投放记录。过去一个月，投了五十多条广告，总花费约五万元，全部用USDT（泰达币）支付。

“USDT从哪里来？” 平台提供了一串交易哈希值。小刘在区块链浏览器上查，发现这些USDT来自一个交易所，但交易所注册在塞舌尔，不提供用户信息。

线索又断了。

但陈警官不死心。他让小刘监控这个账号的新增粉丝和私信记录。

发现一个规律：每天上午十点、下午三点、晚上八点，账号会集中回复私信，内容都是“加微信XXXX”。

“客服在线时间固定。”陈警官说，“可能团伙有排班。”

他让技术中队尝试定位客服的登录地点。通过抖音后台数据，发现客服回复私信时，使用的IP地址在云南边境一带。

“可能人在境内，但用境外服务器登录。”小刘说。

侦查陷入僵局：知道是团伙作案，知道在抖音引流，知道用虚拟币支付广告，但不知道人在哪，是谁。

六、突破口：一个“卡农”的坦白

转机出现在一周后。

那个收小罗1200元的支付宝账户“黄某某”，实名人是黄丽，云南普洱人。当地警方找到她时，她正在家带孩子。

“我没骗钱！”黄丽哭诉，“是我老公，他把我的支付宝卖了。”

她老公叫阿强，在镇上网吧认识一个“大哥”，说租用支付宝，一个月给八百。阿强把黄丽的支付宝账号、密码、身份证照片都给了对方。

“大哥长什么样？” “没见过，网上联系的。钱是微信转的。”

警方查了阿强的微信。那个“大哥”的微信叫“收闲置账户”，朋友圈全是广告：“收支付宝、微信、银行卡，高价租用。”

陈警官加了这个微信，假装卖账户。

对方很警惕：“先发支付宝截图，看流水。” 陈警官发了个假截图。 “可以，一个月六百，押金两百。” “怎么交易？” “你把账号密码发我，我改绑手机。钱走虚拟币，给你USDT。”

“不要虚拟币，要现金。” “那不行，只走币。”

陈警官判断，这是个专门收账户的中介，上游是诈骗团伙，下游是卡农。

他让云南警方控制阿强，让他配合，约“大哥”见面。

阿强发消息：“大哥，我有个朋友的支付宝也想租，但非要见面交易，怕被骗。” 对方沉默很久，回复：“你在哪？” “普洱。” “明天下午三点，普洱客运站门口，穿红衣服。”

陈警官布控。第二天，客运站门口，一个穿红衣服的年轻男子出现，东张西望。

抓捕。审讯。

男子叫小刀，二十一岁，本地人。他交代，自己只是个“代理”，负责在边境一带收账户，卖给上家“龙哥”。

“龙哥在哪？” “缅甸。” “怎么联系？” “Telegram。”

小刀打开手机，Telegram里有个聊天群，叫“账户收购批发”。群主就是“龙哥”，成员有几百人，都在发各种账户信息。

“龙哥在缅甸搞诈骗，需要大量国内账户收款。我们收一个支付宝，他给八百；收一张银行卡，给一千五。”小刀说。

陈警官让他联系龙哥，说又收到一批账户，要交易。

龙哥回复：“老规矩，先发账户列表，确认后付币。” “这次要现金，我急用钱。” “不可能。只走币。”

交易没成，但陈警官拿到了龙哥的Telegram ID。技术中队尝试定位，发现IP在缅甸勐拉，一个靠近中国边境的诈骗园区。

“人在境外。”陈警官皱眉。

但小刀提供了另一个信息：龙哥在国内有个弟弟，负责给他送物资。

“他弟弟叫小龙，在昆明开超市。每个月，龙哥让他买手机、电脑、SIM卡，打包送到边境，有人接应。”

陈警官眼睛一亮：“查小龙。”

七、第四层侦查：境内支撑团伙

昆明，某小区超市。

老板小龙，二十五岁，和龙哥是亲兄弟。警方秘密调查，发现他超市二楼堆满了电子产品：未拆封的手机、路由器、上网卡。

“都是代购的。”小龙解释，“我哥在缅甸做生意，那边东西贵，让我买了寄过去。”

“什么生意？” “他说是开网吧。”

陈警官查了小龙的快递记录。过去半年，他往云南西双版纳发了三十多箱货物，收件人都是化名，电话是虚拟号。

“这些货，最后都送到缅甸了。”老周判断，“龙哥在缅甸的诈骗团伙，需要大量设备：手机用来登微信、支付宝，路由器用来架设网络，SIM卡用来注册账号。”

他申请监控小龙的通讯。发现他每周和龙哥通一次电话，用的是网络电话，但内容无关紧要，主要是家常。

但有一次，小龙说：“哥，最近风声紧，快递查得严。” 龙哥回：“走老路，让阿斌送。”

“阿斌是谁？” 小龙交代，阿斌是个货车司机，专门跑边境运输。他把货送到西双版纳一个仓库，阿斌接手，开车从山路运到缅甸。

警方找到阿斌。他承认，送过几次货，但不知道里面是什么。“龙哥给钱多，一趟五千，我就送了。”

陈警官让他配合，下次送货时，在货物里放定位器。

机会来了。龙哥又要一批手机，让小龙发货。警方在手机包装盒里装了微型GPS。

阿斌开车，从昆明到西双版纳，进了一个物流园。停车后，有两个人来卸货，把箱子搬上一辆缅甸牌照的货车。

GPS信号显示，货车从物流园出发，走山路，三个小时后，信号进入缅甸境内，最终停在勐拉一个园区。

“就是这里。”老周在地图上标点，“诈骗窝点。”

但人在境外，抓不了。

陈警官转变思路：虽然主犯在境外，但境内有支撑团伙——小龙供货，阿斌运输，小刀收账户，还有抖音博主引流。

“打掉支撑链，境外团伙就难运转。”

八、收网：境内团伙覆灭

2020年3月，统一收网。

昆明：小龙被捕，超市二楼查获手机两百部、路由器五十台、SIM卡五百张。他涉嫌“非法经营”和“帮助信息网络犯罪活动罪”。

普洱：小刀被捕，查获已收购的支付宝账户二十个、银行卡三十张。他涉嫌“侵犯公民个人信息罪”。

西双版纳：阿斌被捕，交代运输路线。警方顺藤摸瓜，打掉一个边境走私团伙，抓获五人。

抖音账号：“什么卡值得办”被平台封禁。但警方发现，这个账号背后还有多个关联账号，都是同一团伙运营，全部封停。

资金链：冻结涉案账户八十三个，追回资金三十余万元，其中小罗的1200元追回，但8200元已出境，无法追回。

审讯中，小龙交代了更多细节：

龙哥的团伙，在缅甸有五十多人，分三组：

1. 引流组：负责运营抖音、快手账号，发广告引流。
2. 话务组：负责冒充客服，打电话、加微信诈骗。
3. 技术组：负责制作山寨网站、木马APP、洗钱系统。

“我哥说，一个月能骗两三百万。”小龙低头，“他说干一年就收手，回来买房。”

陈警官问：“小罗那样的受害人，你们骗过多少？” “不知道……我只看账本，每天都有进账，少则几千，多则几万。”

警方从查获的电脑里，找到一个受害人数据库。里面有一千多条信息，姓名、电话、被骗金额。小罗的信息也在其中，标注“已榨干”。

“榨干”。两个字，刺眼。

九、侦查思路总结：信用卡诈骗的“五环打击法”

办完这个案子，我总结了一套侦查思路，叫“五环打击法”。信用卡诈骗链条长，必须一环一环打。

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络侦查研究院 子午猫 子午猫《刷了条抖音，我卡里只剩4分钱》