世界上有什么主要的欺诈组织？

下面按类型，概括目前公开报道中较“知名”、活动规模大、具有明显欺诈或金融犯罪色彩的主要组织或网络（截至约2025–2026年的公开资料）。只列举已经在前面材料中出现过的团体，不做任何新推断，也不对未被正式曝光的个人/机构做指控。

说明：很多是“网络犯罪组织”或“跨国有组织犯罪集团”，其主要行为包括勒索、金融诈骗、洗钱、钓鱼、假投资等，法律定性通常包含“欺诈罪、洗钱罪、网络犯罪”等。

一、国家背景或准国家背景的网络犯罪/欺诈组织

这些组织往往承担情报、破坏、间谍任务，但实际行动中也大量涉及金融盗窃、勒索等具有“欺诈”性质的活动。

1. Lazarus Group（拉撒路组织）——朝鲜背景

背景：被多方情报机构认定为朝鲜侦察总局支持的黑客集团。
主要活动：
- 银行、加密货币交易所盗窃（大规模盗取数字资产）[1]。
- 勒索软件攻击（如WannaCry）[1]。
- 对企业、政府进行破坏和数据窃取。
影响：
- 估计已窃取超过 $3,000,000,000 等值加密货币[1]。
- 典型事件包括：2014年索尼影业事件、2017年WannaCry勒索软件全球爆发等[1]。
性质：兼具国家网络战与大规模“经济犯罪/欺诈型”攻击。

2. Sandworm（砂虫组织）

背景：被普遍认为隶属于俄罗斯军方情报机构 GRU[1]。
活动类型：
- 破坏性网络攻击（如NotPetya）[1]。
- 针对乌克兰电力基础设施、全球企业进行数据清除与系统瘫痪。
欺诈相关性：
- 虽以破坏与战争目标为主，但其攻击衍生出的勒索、金融损失与伪装行为带有严重欺诈和经济犯罪后果。

3. Fancy Bear（APT28）、Cozy Bear（APT29）

背景：
- Fancy Bear/APT28：被指与俄罗斯 GRU 有关[1]。
- Cozy Bear/APT29：被指与俄罗斯对外情报局（SVR）有关[1]。
主要行为：
- 高级持续性入侵（APT）、钓鱼邮件、零日漏洞利用等[1]。
- 例如 SolarWinds 供应链入侵，波及大量政府与大型企业[1]。
欺诈维度：
- 利用伪造身份、钓鱼信息骗取凭证或高级账号访问权限，本质上属于高技术“欺骗与信任滥用”。

4. Equation Group

背景：被认为与美国国家安全局（NSA）有关[1]。
特点：
- 开发高度复杂的恶意工具（部分代码后被“Shadow Brokers”泄露）[1]。
- 其工具被其他犯罪集团改造，用于大规模勒索和欺诈型攻击（如WannaCry）[1]。

5. Volt Typhoon 等其他国家支持团体

Volt Typhoon：中国背景的网络间谍与破坏组织，在通信、能源、交通等关键领域长期潜伏[3]。
NoName057(16)、RuskiNet：俄语圈的黑客/黑客激进团体，通过DDoS、数据泄露等配合政治目标[3]。

二、全球勒索软件与网络敲诈组织（金融欺诈色彩极强）

这些组织通过入侵系统、加密或窃取数据，再以“公开数据/继续加密”为要挟向企业、政府和个人“要钱”，在多数法域中被视为严重经济犯罪/诈骗。

6. Conti 勒索组织（已分裂但残余势力延续）

背景：与俄语圈黑客高度关联，类似“公司化运营”的勒索软件集团。
模式：
- 勒索软件即服务（RaaS），向“加盟黑客”提供工具和技术支持[1]。
- 有工资、KPI、内部文档等“企业化”管理[1]。
影响：
- 针对政府、医院、大型企业索要巨额赎金[1]。
- 2022年前后被泄露出约 60,000 份内部文件后名义上“瓦解”，但核心成员转入新品牌继续活动[1]。

7. LockBit 勒索集团

特点：
- 运营精细的 RaaS 平台，提供软件、基础设施、暗网“客服”[1][3]。
- 多次在被国际执法联合打击后“换皮重生”[1]。
代表事件：
- 2023 年攻击英国 Royal Mail 导致邮政服务严重中断[1]。
欺诈本质：
- 通过入侵、加密和公开威胁，迫使受害者支付赎金（通常为加密货币）。

8. Ryuk、Cl0p、Black Basta、PLAY、Akira 等

Ryuk：
- 与 Wizard Spider/Grim Spider 关联，主要攻击大型机构，赎金金额极高[3]。
Cl0p（TA505）：
- 通过利用GoAnywhere、MOVEit等企业软件漏洞，窃取大量数据后进行“四重勒索”（加密+泄露+威胁+骚扰）[3]。
Black Basta：
- 自 2022 年崛起，采用严格的 affiliate 模式，对全球数百家企业实施攻击[3]。
PLAY (PlayCrypt)、Akira：
- 多采用“先窃取再加密”的多重敲诈模式，通过暗网泄露站公布受害者名单[3]。

这些组织本质都是通过技术手段实施敲诈勒索型欺诈：受害人被迫支付赎金以换取解密、删除数据或阻止曝光。

三、跨国“电信/网络诈骗 + 洗钱”组织和产业链

这一类更接近大众理解的“诈骗集团”：假投资、假客服、假政府机关、杀猪盘、短信钓鱼、电话诈骗等，往往配合高度专业化的洗钱网络。

9. Prince Group（“太子集团”相关跨国诈骗网络）

背景：以陈志（Chen Zhi）为首的跨国犯罪组织，被美国司法部起诉，与柬埔寨强迫劳动诈骗园区相关[4]。
主要犯罪形态：
- 强迫劳工在“诈骗园区”内从事：
  - 假投资“杀猪盘”；
  - 假恋爱诈骗（romance scam）；
  - 加密货币投资骗局等[4]。
- 利用加密货币大规模洗钱，以掩盖资金流向[4]。
规模与打击：
- 被指与超过 $15,000,000,000 的非法资金有关[4]。
- 美国财政部对 146 个相关对象实施制裁[4]。
性质：典型的“园区化、奴工化、金融化”的跨国诈骗集团。

10. 尼日利亚 “Yahoo Boys” 与 Black Axe

Yahoo Boys：
- 早期以“尼日利亚419邮件诈骗”著称，如今已升级为：
  - 商业邮件欺诈（BEC）；
  - 恋爱诈骗、虚假投资；
  - AI 捏造身份、实时深度伪造视频等[5]。
Black Axe：
- 被描述为尼日利亚最复杂的犯罪网络之一，与 Yahoo Boys 紧密合作[5]。
- 有类似“帮派/兄弟会（confraternity）”的层级和训练体系[5]。
影响：
- 其活动遍布五大洲[5]。
- 未成年人性勒索（sextortion）案例在北美、澳大利亚等地激增，2022–2024 年增长逾 1000%，并与多起受害者自杀有关[5]。
性质：集网络诈骗、性勒索、洗钱于一体的跨国犯罪体系。

11. Darcula（Smishing Triad）、Taihe Gong、Lighthouse、Black U

这些是近年在加密货币与短信钓鱼领域暴露出来的中国语系诈骗与洗钱网络[4]。

Darcula（“暗黑/达库拉”短信集团）：
- 通过 短信钓鱼（smishing）+ 钓鱼即服务(PaaS) 运作[4]。
- 冒充政府部门、收费公路（如美国E‑ZPass）、邮政机构等[4]。
Taihe Gong 诈骗团伙：
- 聚焦于钓鱼套件销售和使用，服务多家中文洗钱网络与诈骗“工作室”[4]。
Lighthouse Enterprise（灯塔钓鱼套件）：
- 提供整套钓鱼软件、模板、后台面板等，是诈骗团伙的“基础设施供应商”[4]。
- 内部分为开发、数据经纪、群发(SMS spam)、盗取变现、管理等模块化小组[4]。
Black U 服务：
- 专门帮助诈骗团伙洗白以美元计价稳定币（例如 USDT 等）[4]。
性质：
- 上游：钓鱼套件与“诈骗即服务”；
- 中游：执行诈骗（短信、假网站、假App）；
- 下游：加密货币洗钱网络。
- 整体构成一个高度产业化的诈骗与洗钱生态。

四、暗网与联盟型网络犯罪团体（含欺诈/信息勒索）

这些组织通过暗网市场、数据泄露站、勒索博客等方式进行协作或联盟。

12. Scattered Spider / LAPSUS$ / ShinyHunters 联盟

联盟形式：
- 文献称为 “Scattered LAPSUS$ alliance”，由 Scattered Spider、ShinyHunters、LAPSUS$ 等团体形成[3]。
主要手法：
- 社会工程学（冒充IT人员、运营商、公司员工）骗取登录凭证或多因素认证(MFA)[1][3]。
- 数据窃取后在暗网泄露站公布，向企业勒索[3]。
- 2025 年利用 OAuth token 对 Salesforce 进行著名攻击[3]。
性质：典型的“联盟化、松散合作”的网络欺诈和勒索集团。

13. 其他暗网勒索与恶意软件服务团体

PLAY (PlayCrypt)：多重勒索，针对各国企业和机构[3]。
Lumma Stealer（LummaC2）：信息窃取恶意软件即服务，已感染约 400,000 台 Windows 设备，窃取浏览器数据、加密钱包、2FA 扩展等[3]。
Pikabot：恶意软件加载器，可植入间谍软件、键盘记录器和勒索软件[3]。
这些虽不都是单一“组织”，但构成了为各诈骗团伙提供技术工具的暗网供应链。

五、与传统银行/支付系统相关的欺诈网络

文献中还提到一些 模式化的组织，虽然名称不一定明确，但具有组织化特点：

14. 钱骡网络（Money Mule Rings）

定义：专门招募个人（特别是大学生、失业者）为跨国诈骗团伙收发资金[2]。
运作方式：
- 通过短信、社交媒体、邮件甚至线下网点招募[2]。
- 要求“钱骡”开设或使用自己的账户收款并转移，获取少量佣金[2]。
作用：
- 将电信、网络诈骗和勒索所得拆分、漂白，增加追踪难度。
- 在很多国家被定性为参与洗钱及协助诈骗。

15. “幻影黑客”（Phantom Hacker）诈骗团伙

模式：
- 通过冒充技术支持、银行职员、政府人员，多阶段获取受害者信任[2]。
- 远程控制受害者电脑，诱导转账到“安全账户”（实为诈骗账户）[2]。
特点：
- 原先以老年人为主要目标，报告显示正在向更“懂技术”的人群扩展[2]。
性质：组织化、剧本化、分角色协作（假技术、假银行、假政府）的典型高端话术诈骗集团。

六、如何理解“主要欺诈组织”的共性

从以上公开案例，可以看到几个共通点：

高度专业分工
- 上游提供工具（恶意软件、钓鱼套件、AI机器人）。
- 中游执行诈骗（呼叫中心、园区员工、黑客团队）。
- 下游进行洗钱和资金分配（钱骡网络、加密货币混币服务）。
跨国、跨平台运作
- 几乎所有主流组织都跨数国甚至数大洲活动，利用不同国家的法律缝隙。
- 同时利用银行系统、加密货币、小额支付平台、礼品卡等多种渠道。
技术与“话术”并重
- 一端是高级APT技术、零日漏洞、恶意软件；
- 另一端是极其成熟的心理操控话术和脚本（如杀猪盘、幻影黑客、虚假政府通知）。
“服务化/平台化”
- 勒索软件即服务 (RaaS)、钓鱼即服务 (PhaaS)、恶意软件即服务 (MaaS)，
- 使得技术门槛较低的犯罪分子也能借助平台发动大规模诈骗。

七、对普通人的可操作性建议（简要）

虽然你问的是“有哪些组织”，但从防护角度，了解其共性后，更重要的是：

对所有“主动找上门”的金融/投资机会保持极度怀疑
- 尤其是通过社交媒体、短信、陌生电话联络的“客服、投资顾问、政府或执法人员”。
谨慎处理链接与附件
- 接到涉及罚款、过路费、快递、税务等短信，尽量通过官方网站或官方App核实，不要点陌生链接（特别针对 Darcula 之类短信钓鱼集团）。
为每个重要账户设置独立的强密码 + 多因素认证（MFA）
- 防止类似 Scattered Spider、LAPSUS$ 之类通过社工和短信偷取账号。
不充当“钱骡”
- 不要替他人收款再转账，即便对方说是“代收工资”“帮忙走一下账”“兼职刷单”，很多就是钱骡网络的一环，法律风险极大。
涉及加密货币的“高收益投资”尤其要谨慎
- 很多杀猪盘和跨国诈骗（Prince Group、Yahoo Boys 等）都大量利用加密货币转移资金。

综上，当前世界上重要的欺诈相关组织，大致可分为：

国家背景的APT/网络战团体（Lazarus、Sandworm、APT28/29 等），兼具间谍与金融犯罪；
大型勒索软件团伙（Conti、LockBit、Ryuk、Cl0p、Black Basta、PLAY、Akira 等）；
园区化和社交工程型诈骗集团（Prince Group、Yahoo Boys/Black Axe 等）；
技术供应与洗钱网络（Darcula、Taihe Gong、Lighthouse、Black U、Lumma Stealer 等）；
各类钱骡组织和多角色剧本诈骗团伙（Phantom Hacker 等）。

这些组织的名字和细节会随执法打击不断变化，但其运作模式与产业链结构在未来一段时间内仍会持续存在。

References

[1] The 10 Most Notorious Cybercrime Groups In 2026. https://caniphish.com/blog/most-notorious-cybercrime-groups
[2] Keeping Up with the Most Dangerous Fraud Trends of 2026. https://www.paymentsjournal.com/keeping-up-with-the-most-dangerous-fraud-trends-of-2026/
[3] Dark Web Guide 2026: The Biggest Threat Groups to Watch. https://cybelangel.com/blog/dark-web-guide-2026/
[4] 2026 Crypto Crime Report: Scams. https://www.chainalysis.com/blog/crypto-scams-2026/
[5] World of Crime's Major Threats for 2026: Nigeria's Yahoo .... https://www.seasonsofcrime.com/p/world-of-crimes-major-threats-for-053