從電信網路詐騙角度剖析，詐騙資金是如何流轉的？

前言

近年來，隨著我國經濟社會向數字化快速轉型，犯罪結構發生了根本性變化，傳統犯罪持續下降，以電信網路詐騙為代表的新型犯罪快速上升成為“主流”，嚴重阻礙了我國數字經濟的健康發展。

面對嚴峻的電信網路詐騙現狀，公安部陸續開展了各類專項行動，國家反詐中心去年共緊急止付涉案資金3200餘億元，攔截詐騙電話15.5億次、成功避免2800餘萬名民眾受騙。

依託於360安全大腦的能力，從電信網路詐騙手法、洗錢方式、產業鏈為切入點，深度剖析電信網路詐騙背後衍生的洗錢產業，對相關反制手段、思路予以探討，望能起到拋磚引玉的目的，集思廣益。

“充值卡密”流轉

“充值卡密”流轉

不法分子以兼職刷單返傭為名，吸引受害人關注，以電商平臺墊付立返單為名，要求受害人在指定的電商平臺店鋪購買遊戲充值卡點券，提交卡密截圖完成刷單操作，前期下單後返回受害人本佣金，隨後以任務卡 數為由，不斷加大購買充值卡的數量和金額，但不給受害人返回本佣金，完成詐騙操作後，透過卡盟（提供一站式售賣虛擬商品服務的平臺，由於 其售賣的商品多與黑灰產相關，又被稱為“地下黑市交易所”。）將詐騙獲得的充值卡密碼售賣給普通的使用者，完成變現操作。

這裡就涉及到一個“黑話”名詞

“卡盟”

行業稱為24小時自動發貨/髮卡平臺，提供一站式售賣虛擬商品。使用者在平臺下單，平臺自動給使用者發貨（軟體啟用金鑰），商品包含應用多開、爆粉人脈、微信輔助、虛擬定位、微商輔助、支付寶十六星認證代點亮、代辦營業執照、超級會員等。售賣的資源基本上都是些黑灰應用，應用穩定性無法保證，可能隨時跑路。

據相關資料顯示，這類髮卡平臺涉及的商品種類將近數千種，商品數量超過百萬。灰色商品主要為：賬號類、影視會員卡密類、虛擬商品寄售類、軟體技術類四大類。其中，佔比最高的賬號類，是黑灰產進行攻擊的基礎資源，所售賬號種類涉及到眾多行業，比如社交、電商、娛樂、生活服務等等；髮卡平臺另一活躍商品型別為各大影視會員卡密，包括但不限於騰訊影片、愛奇藝、優酷等。

髮卡平臺本質就是一個電商平臺

只是這個電商平臺售賣的產品

多與黑灰產相關，如羊毛資源、賬號資源

從詐騙路徑看，電信網路詐騙受害人在電商平臺購買了卡密，卡密被詐騙分子透過卡盟以低價的方式售賣給了普通使用者，即卡密的真正使用者為普通使用者。

從資金路徑看，電信網路詐騙受害人資金流向電商平臺，卡密的使用者資金流向了卡盟平臺，購買卡密和使用卡密的人員，其資金流無銜接，出現了資金鍊斷層。這種詐騙方式下，很難直接從詐騙流程、資金流程發現黑灰產人員進行風控限制和事後追溯。

“誘導轉賬”流轉

早些年，由於居民安全意識不高和開卡流程不嚴格，詐騙分子透過多種渠道掌握了大量的四件套（身份證、銀行卡、手機號、U盾），依託於此些第三方收款賬戶建立資金池，吸納詐騙資金，並透過車手線下取現轉移資金。例如2020年、2021年高發的殺豬盤，不法分子在社交平臺以戀愛交友為名，吸引受害人關注，隨後以掌握快速賺錢方式為名，誘導受害人在賭博、虛假投資平臺充值，騙取受害人的充值資金。

從資金路徑上看，不法分子透過各種話術，誘導受害人將自由資金轉移到他人收款賬號上，但由於四件套及資金池的存在，資金在短時間內發生了多級流轉，很難及時止付，追溯到資金真正的所有者。

“免密支付”流轉

移動支付的普及，極大便利了使用者的生活，但各種免密也在一定程度上“幫助”了不法分子。

詐騙分子冒充疾控中心，以新冠疫苗政策開放預約，名額有限為由，引導受害人訪問釣魚網址，進行預約接種，受害人在釣魚網址中填寫銀行賬號資訊、簡訊校驗驗證碼後，銀行賬戶資金被盜刷。

根據360安全大腦分析發現，頁面中用於套取個人資訊的js進行了混淆，對其解碼後可以看到，操作上會透過UserAgent判斷訪問裝置型別，以展示不同頁面：

要求受害者填寫銀行卡和預留手機、餘額等資訊：

誘導受害者提供收到的6位數簡訊驗證碼：

騙取受害人輸入銀行卡密碼部分：

騙取信用卡卡號、CNV碼、有效期等資訊：一般的信用卡有了這些資訊，則可以直接進行支付。

透過不斷提示受害者稽核未透過，從而讓受害者銀行卡餘額保持在5000、10000、15000元，以便於進行非法轉賬操作。

隨著攻防對抗的升級，不法分子覺得誘導受害人主動填寫簡訊驗證碼比較繁瑣，直接透過惡意APP盜走簡訊驗證碼，冒充公檢法人員，以受害人涉嫌洗錢/非法集資/出售假貨/出售銀行卡/出售手機卡/註冊詐騙公司/釋出傳播違法違規資訊/非法入境等理由，誘導受害人安裝含簡訊內容截獲回傳功能的惡意APP，以幫助受害人洗脫罪名為由索要銀行資訊，結合截獲的簡訊內容進行資金盜刷。

從詐騙場景看，不法分子主要是透過釣魚網址、惡意應用、螢幕共享等方式截獲受害人的簡訊校驗碼，從而盜刷受害人的資金。

以“螢幕共享”為例：

也就是說

你在手機上的任何操作

對方都能看到

包括輸入銀行卡賬號及密碼

收到的簡訊驗證碼等

“共享螢幕”詐騙手段

從資金流看，受害人的資金被不法分子透過快捷支付、雲閃付、手機錢包等多種形式，從線上、線下等消費場景對盜取的銀行賬戶進行資金消費。

“虛擬貨幣錢包”流轉

由於虛擬貨幣交易使用的金鑰和鏈地址過於臃長，虛擬貨幣錢包APP應運而生，為使用者提供互動介面，管理金鑰和地址，跟蹤餘額以及建立和簽名交易。i*en就是虛擬貨幣錢包中比較知名的一個，鑑於國內嚴格的虛擬貨幣政策，應用商店已無虛擬貨幣相關的應用。對於普通使用者而言，搜尋引擎、小眾應用商店成為獲取虛擬貨幣錢包APK的唯一途徑,不法分子透過山寨虛擬貨幣錢包網站、上架小眾應用分發站點，推廣假冒的虛擬貨幣錢包應用，盜走受害人虛擬貨幣。

從詐騙場景看，不法分子主要是透過釣魚網址、惡意應用盜走了受害人的虛擬貨幣。

從資金流看，受害人的虛擬貨幣資金被不法分子透過子鏈的方式，進行多次流轉，並透過虛擬貨幣交易所、虛擬貨幣承兌商、虛擬貨幣掛單平臺進行交易流轉，最終完成“資金洗白”。

以某博彩平臺為例，其使用到了3個支付介面，給使用者展示網銀收款賬戶、虛擬貨幣收款地址。

透過專門的支付通道後臺、應用進行資金流轉操作。

相較於傳統分散式、小作坊式的詐騙平臺、洗錢窩點，目前黑灰產的上游供應鏈，提供了完整的產業支撐，包括平臺開發、引流、運營、支付通道等，下游詐騙平臺、詐騙窩點門檻持續降低，但攻防能力卻日益提升，從上文中提到的跑分應用、免籤支付可以看出其已具有很強的攻防隱蔽能力，一旦上游產業進行迭代，電信網路詐騙、洗錢產業將集體升級。當上遊升級的攻擊的方式超出安全研究認知範圍，整個反制體系就會失效。

目前詐騙情報發現、資金風控、案件溯源出現了脫節，反制手段在短時間內很難有效的突圍，網際網路公司為穩定業務流程，防止被黑灰產攻擊，均建立風控部門，積累了大量的黑灰產情報和工具，對自有業務下的黑灰產行為路徑十分了解，但無法對涉詐的資金進行限制。除企業自有的支付體系外，資金交易資料一般儲存在銀行監管部門資料庫中，資料量雖巨大，但均為資金流資料，缺乏對黑灰產行為路徑的感知，不易及時發現隱藏在正常資金流水中的黑灰產資金；執法機關在破案時往往已經是事發後，詐騙情報、資金均發生變化。

需建立合作機制，共享涉詐情報，網際網路公司從源頭發現涉詐風險，形成黑灰產攻擊路徑和風控特徵，金融業根據此些特徵匹配挖掘潛在的風險使用者、風險賬號，反哺網際網路挖掘更多的黑灰產情報，並同步至執法機關進行黑灰產打擊。

打擊治理電信網路詐騙

任重道遠

     — END —