黑灰產洗錢鏈條新興技術研究與溯源打擊新思路

透過上半年的研究發現，黑灰產為了躲避監管打擊，在攻防手段上不斷進行“更新最佳化”。在引流渠道方面，從早期使用的“GOIP（多卡寶）”裝置逐步向成本更低、隱蔽性更強、操作更簡單的簡易組網GOIP裝置“進化”；在洗錢通道上，逐漸減少使用第三方支付、對公賬戶進行洗錢，轉而利用跑分平臺加虛擬貨幣的方式洗錢，導致追溯難度增大。下面將詳細分析今年上半年發現的一些趨勢變化情況。

成本更低、隱蔽性更強、操作更簡單

新型詐騙作案工具新披露！

近年來，由於“GOIP裝置”具有人機分離、遠端操控、異地撥號通話和支援多張電話卡等特點，大量藏匿在境外的電信網路詐騙團伙透過遠端操控的方式，使用搭建在境內的“GOIP裝置”向受害人撥打電話，從而實施詐騙。

隨著全國“斷卡”行動不斷深入，公安機關持續加大對“GOIP裝置”打擊力度，有效擠壓了相關犯罪生存空間。為逃避偵查打擊，一些犯罪分子研發升級出成本更低、隱蔽性更強、操作更簡單的新型“簡易組網GOIP”裝置，迅速成為各類電信網路詐騙團伙撥打詐騙電話的作案工具，詐騙電話從“多卡寶”轉向簡易組網GOIP。

隱蔽性強的“簡易組網GOIP”裝置，成為新型詐騙作案工具

圖-簡易組網GOIP原理

裝置關鍵詞：4部手機、音訊線、遠控軟體、語音聊天軟體

對外撥打詐騙電話的串聯流程：

整個詐騙流程，使用到了遠控類軟體。與傳統pc遠端控制類軟體使用到的主控和被控APP分離不同的是，帶有螢幕共享功能的會議類軟體，即可以當主控端使用，又可以當被控端使用。

從簡易組網GOIP整個環節來看，其本質上也是成對出現的手機，只是語音音訊進行了共享，很難將此種形式作為某些風控特徵，及時發現潛在的GOIP。同時，由於通話語音使用音訊線進行了共享，國內GOIP的搭建人員無法獲悉遠端詐騙話務員與受害人的通話內容，保證了GOIP執行的穩定性，攻防對抗將是一場持久戰。

預測更多依賴對外撥打詐騙電話進行詐騙引流的場景，比如購物退款詐騙、冒充公檢法詐騙、登出貸款詐騙、刷單返利詐騙等等，都可能是詐騙“重災區”。

更多技術解讀，請關注：https://mp.weixin.qq.com/s/Lsp8_B8pyeLlwHdNdopo5w

黑灰產洗錢通道的新趨勢轉變

在黑產鏈條裡，洗錢犯罪與上游犯罪呈鏈條式發展，存在明顯的相互依存關係，特別是對資金流轉需求巨大的電信網路詐騙產業。根據360手機衛士團隊多年研究發現，黑灰產洗錢環節在資金流轉通道上發生了變化，更順應“形勢”，且追溯難度大。

以往

騙取受害人資金後，藉助大量銀行卡、對公賬號等手段進行資金流轉，並衍生出免籤技術與第四方支付平臺。

現在

隨著技術對抗的升級，傳統的第三方支付、對公賬戶洗錢佔比已減少，跑分平臺+虛擬貨幣洗錢逐漸成為主要手段之一。

眾包式跑分

免籤支付一定程度上解決了電信詐騙等黑灰產平臺支付通道介面短缺，實現自動化賬單對賬，但自有資金池搭建存在資金、渠道等行業門檻，同時隨著“斷卡行動”的持續開展，黑灰產手中的收款賬戶消失殆盡，難以應對大量黑灰產特別是電信網路詐騙中頻繁的賬戶切換需求。因此黑灰產將目光盯上了涉世未深的學生，透過兼職任務的方式，吸納學生參與到洗錢流程中，增加其洗錢通道，即眾包式跑分。

圖-跑分流程

跑分平臺以網賺為名，進行兼職眾包，吸引跑分客向跑分平臺提供收款二維碼/銀行卡號，跑分平臺再提供給詐騙平臺，充當收款賬戶。無需過度擔憂洗錢資金池的銀行卡被凍結的問題，為後期跑分平臺與黑產/詐騙團伙利益分成轉賬，提供了充足的時間。

詐騙團伙以話術誘導詐騙受害人向該二維碼/銀行卡號轉賬後，跑分平臺給予跑分客佣金。這個過程中，跑分客的收款賬戶變成了洗錢通道。利用“白賬戶”進行涉詐資金的流轉，既規避了風控監管，又大大提高轉賬成功率。

由於詐騙受害人的資金流向了跑分客的賬戶，跑分客的佣金透過其他形式進行變現，執法機關在進行資金流向追溯時，很難發現跑分客上游的跑分平臺。

跑分應用的隱蔽手段多樣，對抗難度大

部分黑灰團伙為了保證支付渠道的穩定性，沒有使用公開的原始碼，而是開發具有自己特點的跑分應用，且應用名稱多與訂餐、食品相關，提高攻防對抗難度。

360手機衛士團隊發現的跑分應用“**訂餐”，境外跑分團伙/詐騙團伙使用跑分客的銀行賬戶進行收轉款時，該應用可實時將跑分客手機收到的銀行簡訊上傳至指定的伺服器，無需跑分客進行手動操作。能看出黑產在洗錢技術和效率上，都在逐步精進。

圖-跑分APP介面

圖-跑分APP執行程式碼邏輯

支付通道接入虛擬貨幣，“隱匿化”優勢顯露

隨著虛擬貨幣“隱匿化”優勢的顯現，開始逐漸採用USDT（泰達幣）進行跑分。由於“斷卡行動”及各平臺驗證手段的升級，詐騙團伙從購買他人支付賬戶轉向直接僱傭他人在虛擬貨幣交易所認證開戶，代買賣虛擬貨幣，一方面跳過了斷卡行動的封堵，另一個方面又避免了虛擬貨幣交易所的實名制認證機制。

圖-黑灰產網站充值入口

如下圖所示的黑灰產網站充值入口，已經取消了某寶、某信的充值入口，轉而更換為虛擬貨幣充值的入口，使用的虛擬貨幣中，主要以USDT（泰達幣）為主。

日趨成熟的虛擬貨幣流轉

從目前一些詐騙平臺使用的虛擬貨幣入口來看，包含虛擬貨幣錢包、虛擬貨幣直轉兩種方式，在頁面點選充值後，可以看出該二維碼為虛擬貨幣收款地址，與早期使用的某信、某寶收款二維碼作用相似。

透過支付請求的回連地址，追溯到其背後使用的第四方平臺發現，與常規的收款二維碼一樣，虛擬貨幣也有收款二維碼，大大提升了流轉便利性。同時，一鍵呼叫API介面、一鍵生成USDT錢包、一鍵自動實現USDT充提、一鍵歸集全部地址、一鍵實名寄售USDT等功能，形成一個極其複雜的交易網路，增加了執法機關追查資金的難度。

圖-黑灰產網站充值入口展示的收款方式

更多技術解讀，請關注：https://mp.weixin.qq.com/s/vBNJ-MFl2uPDLbfODE388A 

關注公眾號

回覆關鍵詞【報告】檢視更多內容