從電信網路詐騙角度剖析,詐騙資金是如何流轉的?

360反詐中心發表於2022-04-15

前言

近年來,隨著我國經濟社會向數字化快速轉型,犯罪結構發生了根本性變化,傳統犯罪持續下降,以電信網路詐騙為代表的新型犯罪快速上升成為“主流”,嚴重阻礙了我國數字經濟的健康發展。

面對嚴峻的電信網路詐騙現狀,公安部陸續開展了各類專項行動,國家反詐中心去年共緊急止付涉案資金3200餘億元,攔截詐騙電話15.5億次、成功避免2800餘萬名民眾受騙。

依託於360安全大腦的能力,從電信網路詐騙手法、洗錢方式、產業鏈為切入點,深度剖析電信網路詐騙背後衍生的洗錢產業,對相關反制手段、思路予以探討,望能起到拋磚引玉的目的,集思廣益。

“充值卡密”流轉

“充值卡密”流轉

從電信網路詐騙角度剖析,詐騙資金是如何流轉的? 

不法分子以兼職刷單返傭為名,吸引受害人關注,以電商平臺墊付立返單為名,要求受害人在指定的電商平臺店鋪購買遊戲充值卡點券,提交卡密截圖完成刷單操作,前期下單後返回受害人本佣金,隨後以任務卡 數為由,不斷加大購買充值卡的數量和金額,但不給受害人返回本佣金,完成詐騙操作後,透過卡盟(提供一站式售賣虛擬商品服務的平臺,由於 其售賣的商品多與黑灰產相關,又被稱為“地下黑市交易所”。)將詐騙獲得的充值卡密碼售賣給普通的使用者,完成變現操作。

這裡就涉及到一個“黑話”名詞

“卡盟”

行業稱為24小時自動發貨/髮卡平臺,提供一站式售賣虛擬商品。使用者在平臺下單,平臺自動給使用者發貨(軟體啟用金鑰),商品包含應用多開、爆粉人脈、微信輔助、虛擬定位、微商輔助、支付寶十六星認證代點亮、代辦營業執照、超級會員等。售賣的資源基本上都是些黑灰應用,應用穩定性無法保證,可能隨時跑路。

從電信網路詐騙角度剖析,詐騙資金是如何流轉的? 


據相關資料顯示,這類髮卡平臺涉及的商品種類將近數千種,商品數量超過百萬。灰色商品主要為:賬號類、影視會員卡密類、虛擬商品寄售類、軟體技術類四大類。其中,佔比最高的賬號類,是黑灰產進行攻擊的基礎資源,所售賬號種類涉及到眾多行業,比如社交、電商、娛樂、生活服務等等;髮卡平臺另一活躍商品型別為各大影視會員卡密,包括但不限於騰訊影片、愛奇藝、優酷等。

從電信網路詐騙角度剖析,詐騙資金是如何流轉的? 

髮卡平臺本質就是一個電商平臺

只是這個電商平臺售賣的產品

多與黑灰產相關,如羊毛資源、賬號資源

從詐騙路徑看,電信網路詐騙受害人在電商平臺購買了卡密,卡密被詐騙分子透過卡盟以低價的方式售賣給了普通使用者,即卡密的真正使用者為普通使用者。

從資金路徑看,電信網路詐騙受害人資金流向電商平臺,卡密的使用者資金流向了卡盟平臺,購買卡密和使用卡密的人員,其資金流無銜接,出現了資金鍊斷層。這種詐騙方式下,很難直接從詐騙流程、資金流程發現黑灰產人員進行風控限制和事後追溯。

 


“誘導轉賬”流轉

早些年,由於居民安全意識不高和開卡流程不嚴格,詐騙分子透過多種渠道掌握了大量的四件套(身份證、銀行卡、手機號、U盾),依託於此些第三方收款賬戶建立資金池,吸納詐騙資金,並透過車手線下取現轉移資金。例如2020年、2021年高發的殺豬盤,不法分子在社交平臺以戀愛交友為名,吸引受害人關注,隨後以掌握快速賺錢方式為名,誘導受害人在賭博、虛假投資平臺充值,騙取受害人的充值資金。

從資金路徑上看,不法分子透過各種話術,誘導受害人將自由資金轉移到他人收款賬號上,但由於四件套及資金池的存在,資金在短時間內發生了多級流轉,很難及時止付,追溯到資金真正的所有者。



“免密支付”流轉

移動支付的普及,極大便利了使用者的生活,但各種免密也在一定程度上“幫助”了不法分子。

詐騙分子冒充疾控中心,以新冠疫苗政策開放預約,名額有限為由,引導受害人訪問釣魚網址,進行預約接種,受害人在釣魚網址中填寫銀行賬號資訊、簡訊校驗驗證碼後,銀行賬戶資金被盜刷。

從電信網路詐騙角度剖析,詐騙資金是如何流轉的?從電信網路詐騙角度剖析,詐騙資金是如何流轉的? 

根據360安全大腦分析發現,頁面中用於套取個人資訊的js進行了混淆,對其解碼後可以看到,操作上會透過UserAgent判斷訪問裝置型別,以展示不同頁面:

從電信網路詐騙角度剖析,詐騙資金是如何流轉的? 

要求受害者填寫銀行卡和預留手機、餘額等資訊:

從電信網路詐騙角度剖析,詐騙資金是如何流轉的? 

誘導受害者提供收到的6位數簡訊驗證碼:

從電信網路詐騙角度剖析,詐騙資金是如何流轉的? 

騙取受害人輸入銀行卡密碼部分:

從電信網路詐騙角度剖析,詐騙資金是如何流轉的? 

騙取信用卡卡號、CNV碼、有效期等資訊:一般的信用卡有了這些資訊,則可以直接進行支付。

從電信網路詐騙角度剖析,詐騙資金是如何流轉的? 

透過不斷提示受害者稽核未透過,從而讓受害者銀行卡餘額保持在5000、10000、15000元,以便於進行非法轉賬操作。

從電信網路詐騙角度剖析,詐騙資金是如何流轉的? 

隨著攻防對抗的升級,不法分子覺得誘導受害人主動填寫簡訊驗證碼比較繁瑣,直接透過惡意APP盜走簡訊驗證碼,冒充公檢法人員,以受害人涉嫌洗錢/非法集資/出售假貨/出售銀行卡/出售手機卡/註冊詐騙公司/釋出傳播違法違規資訊/非法入境等理由,誘導受害人安裝含簡訊內容截獲回傳功能的惡意APP,以幫助受害人洗脫罪名為由索要銀行資訊,結合截獲的簡訊內容進行資金盜刷。

從詐騙場景看,不法分子主要是透過釣魚網址、惡意應用、螢幕共享等方式截獲受害人的簡訊校驗碼,從而盜刷受害人的資金。

以“螢幕共享”為例:

從電信網路詐騙角度剖析,詐騙資金是如何流轉的? 

也就是說

你在手機上的任何操作

對方都能看到

包括輸入銀行卡賬號及密碼

收到的簡訊驗證碼等

“共享螢幕”詐騙手段

從電信網路詐騙角度剖析,詐騙資金是如何流轉的? 

從資金流看,受害人的資金被不法分子透過快捷支付、雲閃付、手機錢包等多種形式,從線上、線下等消費場景對盜取的銀行賬戶進行資金消費。

 

 

“虛擬貨幣錢包”流轉

由於虛擬貨幣交易使用的金鑰和鏈地址過於臃長,虛擬貨幣錢包APP應運而生,為使用者提供互動介面,管理金鑰和地址,跟蹤餘額以及建立和簽名交易。i*en就是虛擬貨幣錢包中比較知名的一個,鑑於國內嚴格的虛擬貨幣政策,應用商店已無虛擬貨幣相關的應用。對於普通使用者而言,搜尋引擎、小眾應用商店成為獲取虛擬貨幣錢包APK的唯一途徑,不法分子透過山寨虛擬貨幣錢包網站、上架小眾應用分發站點,推廣假冒的虛擬貨幣錢包應用,盜走受害人虛擬貨幣。

從詐騙場景看,不法分子主要是透過釣魚網址、惡意應用盜走了受害人的虛擬貨幣。

從資金流看,受害人的虛擬貨幣資金被不法分子透過子鏈的方式,進行多次流轉,並透過虛擬貨幣交易所、虛擬貨幣承兌商、虛擬貨幣掛單平臺進行交易流轉,最終完成“資金洗白”。

以某博彩平臺為例,其使用到了3個支付介面,給使用者展示網銀收款賬戶、虛擬貨幣收款地址。

從電信網路詐騙角度剖析,詐騙資金是如何流轉的? 

透過專門的支付通道後臺、應用進行資金流轉操作。

 從電信網路詐騙角度剖析,詐騙資金是如何流轉的?

 

相較於傳統分散式、小作坊式的詐騙平臺、洗錢窩點,目前黑灰產的上游供應鏈,提供了完整的產業支撐,包括平臺開發、引流、運營、支付通道等,下游詐騙平臺、詐騙窩點門檻持續降低,但攻防能力卻日益提升,從上文中提到的跑分應用、免籤支付可以看出其已具有很強的攻防隱蔽能力,一旦上游產業進行迭代,電信網路詐騙、洗錢產業將集體升級。當上遊升級的攻擊的方式超出安全研究認知範圍,整個反制體系就會失效。

目前詐騙情報發現、資金風控、案件溯源出現了脫節,反制手段在短時間內很難有效的突圍,網際網路公司為穩定業務流程,防止被黑灰產攻擊,均建立風控部門,積累了大量的黑灰產情報和工具,對自有業務下的黑灰產行為路徑十分了解,但無法對涉詐的資金進行限制。除企業自有的支付體系外,資金交易資料一般儲存在銀行監管部門資料庫中,資料量雖巨大,但均為資金流資料,缺乏對黑灰產行為路徑的感知,不易及時發現隱藏在正常資金流水中的黑灰產資金;執法機關在破案時往往已經是事發後,詐騙情報、資金均發生變化。

需建立合作機制,共享涉詐情報,網際網路公司從源頭發現涉詐風險,形成黑灰產攻擊路徑和風控特徵,金融業根據此些特徵匹配挖掘潛在的風險使用者、風險賬號,反哺網際網路挖掘更多的黑灰產情報,並同步至執法機關進行黑灰產打擊。

打擊治理電信網路詐騙

任重道遠

     — END —

 

相關文章