前言
2022年第一季度发现,洗钱黑产与上游犯罪呈链条式发展,存在明显的相互依存关系,特别是对资金流转需求巨大的电信网络诈骗产业。根据360手机卫士多年来对电信网络诈骗的研究,目前其主要通过虚假兼职、身份冒充、交友敲诈等诈骗场景、话术,利用区块链、虚拟货币、AI智能、GOIP、远程操控、共享屏幕等新技术骗取受害人资金,借助免签、跑分、虚拟货币等手段进行资金流转。随着技术对抗的升级,传统的三方支付、对公账户洗钱占比已减少,大量利用跑分平台加数字货币洗钱,尤其是利用USDT(泰达币)危害最为严重。
绕过第三方支付平台接口限制的免签支付
免签支付相当于绕过了支付平台的接口开通限制,自己搭建了一套支付接口,脱离了监管,且由于免签支付手段的成熟,该类工具、源码已经在黑灰产泛滥,轻易可获得并进行二次加工使用,行业门槛极低。
杀猪盘、刷单、虚假投资等电信网络诈骗场景中,受害人之所以轻易相信对方,缘于骗局早期,能够获得骗子返回的任务佣金,但短期向不同人员过于频繁进行多笔小额资金支付,轻则引起支付平台的风控警觉,重则遭遇冻卡、断卡风险。
与此同时,由于非企业用户无法开通微信、支付宝接口,在缺乏支付接口的状态下,黑产无法及时将支付订单与支付金额进行匹配,故通过免签APP做支付回调完成订单匹配。此种技术早期主要用于发卡平台(卡盟),随着黑产市场需求的增加,已逐渐被“杀猪盘”、虚假刷单等电信网络诈骗产业所采用,故在大量的诈骗平台可以看到其收款账户为个人账户形式的二维码。
第四方支付平台为(黑灰产)使用者提供了免签监控APP、对接管理后台,使用者首先将洗钱手机登录的收款(支付宝/微信)二维码与第四方支付平台绑定,获得监控端绑定二维码,随后在收款手机端安装带有监听手机通知栏功能的免签APP,填入监控端二维码完成第四方管理后台与免签APP的绑定。
检测心跳,指的免签APP是否可以正确监听收款
检测监听指的是第四方支付管理后台,是否可以正确收到监控的收款记录
当手机收到支付宝/微信的收款通知信息后,将信息回传至第四方平台,由第四方平台完成与诈骗平台支付订单的对接,实现支付接口的效果。在对免签产业分析的过程中,还发现其为逃避打击,将免签APP安装在云手机中,以实现被控制端IP与实际使用者网络分离。
吸纳“公众”收款账户充当洗钱资金池的跑分通道
免签支付一定程度上解决了电信诈骗等黑灰产平台支付通道接口短缺,实现自动化账单对账,但自有资金池搭建存在资金、渠道等行业门槛,同时随着“断卡行动”的持续开展,黑灰产手中的收款账户消失殆尽,难以应对大量黑灰产特别是电信网络诈骗中频繁的账户切换需求。因此将目光盯上了涉世未深的学生,通过兼职任务的方式,吸纳学生参与到洗钱流程中,增加其洗钱通道,即众包式跑分。
跑分平台以网赚为名,进行兼职众包,吸引兼职客向跑分平台提供收款二维码/银行卡号,跑分平台再提供给诈骗平台,充当收款账户。诈骗团伙以话术诱导诈骗受害人向该二维码/银行卡号转账后,跑分平台给予兼职客佣金。这个过程中,兼职客的收款账户变现成为了洗钱通道。
利用白账户进行涉诈资金的流转,既规避了风控监管,又大大提高转账成功率,跑分平台无需过度担忧洗钱资金池的银行卡被冻结的问题,为后期跑分平台与黑产/诈骗团伙利益分成转账,提供了充足的时间。同时兼职客在跑分平台进行兼职任务时,需缴纳保证金,跑分平台和诈骗平台也不怕兼职客拿钱跑路。由于诈骗受害人的资金流向了兼职客的账户,兼职客的佣金通过其他形式进行变现,执法机关在进行资金流向追溯时,很难发现兼职客上游的跑分平台。
早期的跑分产业,由于上游黑产使用支付宝、微信、银行卡收款,跑分过程及押金使用网银、支付宝、微信等。随着攻防手段的升级,目前跑分及押金多使用虚拟货币进行,由于一些虚拟货币稳定币的流行,多使用USDT进行跑分。通过对跑分产业使用的工具挖掘,目前黑灰产市场售卖的跑分工具、源码仍以代收型为主。
随着攻防对抗的升级,现阶段跑分APP不像免签应用那样,使用公开的源码进行二维码修改,而是各个跑分平台各自开发具有自己特点的跑分应用,且应用名称多与订餐、食品相关,很难具有共同性,故需要对每个应用做特征专项分析。
例如360手机卫士在2022年发现的跑分应用“**订餐”,其特点是当跑分客的手机收到银行短信时,并将短信上传至指定的服务器,此时境外跑分团伙/诈骗团伙,使用跑分客的银行账户进行收转款时,无需通过兼职客进行操作,即黑产宣传的跑分方案“一次性交付押金,国内存放手机,全自动化,不需要雇佣人力,更有超高技术保护,无任何技术可以发现你的手机位置”。
用于逃避“断卡”打击的虚拟货币
虚拟货币的火热,虚拟货币跑分的成熟,虚拟货币已成为电信诈骗平台支付通道的“宠儿”。原先占据主导地位的微信、支付宝收款方式,在某些杀猪盘平台甚至都销声匿迹。
这里以杀猪盘平台为例,从其充值页面发现,其已经取消了支付宝、微信的充值入口,除仍保留的网银转账入口外,大部分都是虚拟货币充值的入口,包含虚拟货币钱包、虚拟货币直转两种方式。在页面点击充值后,可以看出该二维码为虚拟货币收款地址。
通过支付请求的回连地址,发现其背后与免签、跑分一样,也使用了第四方平台,只不过支付接口、收款二维码换成了虚拟货币。通过场景复现,发现此类四方平台提供一键调用API接口、一键生成USDT钱包、一键自动实现USDT充提、一键归集全部地址、一键实名寄售USDT等功能。
个人安全防护建议
增强风险意识,绝不将银行卡、电话卡、收款码出借或出售给他人,避免被非法利用,不做犯罪分子的“帮凶”。同时,树立正确的投资理念,不参与虚拟货币交易炒作活动,不用于虚拟货币账户充值和提现、购买和销售相关交易充值码以及划转相关交易资金等活动,谨防个人财产及权益受损。
回复关键词【报告】查看更多内容