普通人是如何不知不覺參與犯罪團伙“洗錢”的？帶你瞭解黑錢“洗白”過程

前言

近年來，洗錢黑產與上游犯罪呈鏈條式發展，存在明顯的相互依存關係，特別是對資金流轉需求巨大的電信網路詐騙產業，依託遊離於“監管”之外的第四方支付平臺進行資金“洗白”。上文提及的充值卡密流轉、誘導轉賬、免密、虛擬貨幣使用到了第四方支付產業中的免籤、跑分、虛擬貨幣託管介面等技術。免籤用於解決詐騙窩點/洗錢窩點無法開通大量支付寶、微信介面問題；跑分用於解決騙窩點/洗錢窩點銀行卡、收款賬戶短缺問題；虛擬貨幣託管介面用於解決詐騙窩點/洗錢窩點資金易遭遇風控限制轉賬，包括受害人向指定賬戶轉賬受限，嫌疑人收款賬戶被限制轉賬。

繞過第三方支付平臺介面限制的免籤支付

免籤支付相當於繞過了支付平臺的介面開通限制，自己搭建了一套支付介面，脫離了監管，且由於免籤支付手段的成熟，該類工具、原始碼已經在黑灰產氾濫，輕易可獲得並進行二次加工使用，行業門檻極低。

殺豬盤、刷單、虛假投資等電信網路詐騙場景中，受害人之所以輕易相信對方，緣於騙局早期，能夠獲得騙子返回的任務佣金，但短期向不同人員過於頻繁進行多筆小額資金支付，輕則引起支付平臺的風控警覺，重則遭遇凍卡、斷卡風險。於此同時，由於非企業使用者無法開通微信、支付寶介面，在缺乏支付介面的狀態下，黑產無法及時將支付訂單與支付金額進行匹配，故其透過免籤APP做支付回撥完成訂單匹配，此種技術早期主要用於髮卡平臺（卡盟），隨著黑產市場需求的增加，已逐漸被殺豬盤、虛假刷單等電信網路詐騙產業所採用，故在大量的詐騙平臺可以看到，其收款賬戶為個人賬戶形式的二維碼。

第四方支付平臺為（黑灰產）使用者提供了免籤監控APP、對接管理後臺，使用者首先將洗錢手機登入的收款（支付寶/微信）二維碼與第四方支付平臺繫結，獲得監控端繫結二維碼，隨後在收款手機端安裝帶有監聽手機通知欄功能的免籤APP，填入監控端二維碼完成第四方管理後臺與免籤APP的繫結。其中的檢測心跳，指的免籤APP是否可以正確監聽收款，檢測監聽指的是第四方支付管理後臺，是否可以正確收到監控的收款記錄。當手機收到支付寶/微信的收款通知資訊後，將資訊回傳至第四方平臺，由第四方平臺完成與詐騙平臺支付訂單的對接，實現支付介面的效果。在對免籤產業分析的過程中，還發現其為逃避打擊，將免籤APP安裝在雲手機中，以實現被控制端IP與實際使用者網路分離。

識別策略與建議

免籤類第四方支付網站、免籤類APP在黑產圈內原始碼已經氾濫，很多洗錢團伙會使用原始碼生成。進而在風控過程中，可以透過監測是否安裝免籤類APP、手機是否為異常裝置、手機IP是否異常等策略，提前發現黑產手機，對其進行反制。

 

吸納“公眾”收款賬戶

充當洗錢資金池的跑分通道

免籤支付一定程度上解決了電信詐騙等黑灰產平臺支付通道介面短缺、賬單對賬功能，但自有資金池搭建存在資金、渠道等行業門檻，同時隨著“斷卡行動”的持續開展，黑灰產手中的收款賬戶消失殆盡，難以應對大量黑灰產特別是電信網路詐騙中，頻繁的賬戶切換需求，其將目光盯上了涉世未深的學生，透過兼職任務的方式，吸納學生參與到洗錢流程中，增加其提供洗錢通道，即眾包式跑分。

跑分平臺以網賺為名，進行兼職眾包，吸引兼職客向跑分平臺提供收款二維碼/銀行卡號，跑分平臺再提供給詐騙平臺，充當收款賬戶。詐騙團伙以話術誘導詐騙受害人向該該二維碼/銀行卡號轉賬後，跑分平臺給予兼職客佣金。這個過程中，兼職客的收款賬戶變現成為了洗錢的通道。利用白賬戶進行涉詐資金的流轉，既規避了風控監管，又大大提高轉賬成功率，跑分平臺無需過度擔憂洗錢資金池的銀行卡被凍結的問題，為後期跑分平臺與黑產/詐騙團伙利益分成轉賬，提供了充足的時間，同時兼職客在跑分平臺進行兼職任務時，需繳納保證金，跑分平臺和詐騙平臺也不怕兼職客拿錢跑路。由於詐騙受害人的資金流向了兼職客的賬戶，兼職客的佣金透過其他形式進行變現，執法機關在進行資金流向追溯時，很難發現兼職客上游的跑分平臺。

早期的跑分產業，由於上游黑產使用支付寶、微信、銀行卡收款，跑分過程及押金使用網銀、支付寶、微信等。隨著攻防手段的升級，目前跑分及押金多使用虛擬貨幣進行，由於一些虛擬貨幣穩定幣的流行，多使用USDT進行跑分，透過對跑分產業使用的工具挖掘，目前黑灰產市場售賣的跑分工具、原始碼仍以代收型為主。

USDT（泰達幣）是由某外國公司發行的區塊鏈數字貨幣，以1:1的比例錨定美元。

簡單理解就是對標美元自發行的數字貨幣貨幣本身具有價值可以交易買賣

識別策略與建議

與免籤支付相似，跑分平臺也存在APP（跑分）與管理網站（四方支付），但不同的是APP和四方支付網站的使用者群體不同，免籤產業中APP和網站後臺使用者是同一個黑產群體，跑分產業中:

APP使用者是跑分客（兼職提供二維碼/銀行卡）

網站使用者是跑分平臺、詐騙團伙。

詐騙團伙實施詐騙過程中，需要使用二維碼/銀行卡時，在跑分後臺釋出需求訂單，兼職客在跑分APP中搶單領取任務，將自己的二維碼提供給跑分平臺供上游（詐騙）使用。

隨著攻防對抗的升級，現階段跑分APP不像免籤應用那樣，使用公開的原始碼進行二維碼修改，而是各個跑分平臺各自開發具有自己特點的跑分應用，且應用名稱多與訂餐、食品相關，很難具有共同性，故需要對每個應用做特徵專項分析，例如360手機衛士在2022年發現的跑分應用“**訂餐”，其特點是當跑分客的手機收到銀行簡訊時，自動進行轉賬確認，並將簡訊上傳至指定的伺服器，此時境外跑分團伙/詐騙團伙，使用跑分客的銀行賬戶進行收轉款時，無需透過兼職客進行操作，即黑產宣傳的跑分方案“一次性交付押金，國記憶體放手機，全自動化，不需要僱傭人力，更有超高技術保護，無任何技術可以發現你的手機位置”。

用於逃避“斷卡”打擊的虛擬貨幣

虛擬貨幣的火熱，虛擬貨幣跑分的成熟，虛擬貨幣已成為電信詐騙平臺支付通道的“寵兒”，原先佔據主導地位的微信、支付寶收款方式，在某些殺豬盤平臺甚至都銷聲匿跡了。

這裡以殺豬盤平臺為例，從其充值頁面發現，其已經取消了支付寶、微信的充值入口，除仍保留的網銀轉賬入口外，大部分都是虛擬貨幣充值的入口，包含虛擬貨幣錢包、虛擬貨幣直轉兩種方式。在頁面點選充值後，可以看出該二維碼為虛擬貨幣收款地址。

識別策略與建議

由於虛擬貨幣從誕生之初就是為了隱蔽性設計的，其攻防難度相較於免籤、跑分提高了很多。為此，反制的思路可以針對第四方支付平臺進行溯源分析，挖掘更多線索。

 

深挖黑灰產業鏈

持續進行黑灰產監控

目前電信詐騙攻防形式嚴峻，詐騙窩點逐漸實施詐騙樣本一案一用，導致捕獲的樣本缺乏再次預警價值；

同一個詐騙樣本對接多個支付通道，每次充值頁面重新整理，其收款賬戶也發生了變化，說明其基本已解決收款賬戶短缺問題；

黑灰產內部使用的工具，隱蔽方式更加高深，使用偽介面、大眾應用名、隨機包名，難以對已知樣本進行拓線。故需對捕獲的樣本進行深挖、抽離出其產業鏈，包括攻防、洗錢、傳播等。

斬斷黑產資金鍊，摧毀黑產迅速變現能力，已成為從根源上打擊治理網路犯罪工作的重中之重。以第四方支付為主的非法結算上下游鏈條，直接影響了資金流向。因此，持續加強對資金變現環節打擊力度，遏制住不法資金向外流轉的可能，也是相關單位組織及平臺的重點努力方向。

打擊治理電信網路詐騙

任重道遠

 

     — END —