前言

近年来，随着我国经济社会向数字化快速转型，犯罪结构发生了根本性变化，传统犯罪持续下降，以电信网络诈骗为代表的新型犯罪快速上升成为“主流”，严重阻碍了我国数字经济的健康发展。

面对严峻的电信网络诈骗现状，公安部陆续开展了各类专项行动，国家反诈中心去年共紧急止付涉案资金3200余亿元，拦截诈骗电话15.5亿次、成功避免2800余万名民众受骗。

本文从电信网络诈骗手法、洗钱方式、产业链为切入点，深度剖析电信网络诈骗背后衍生的洗钱产业，对相关反制手段、思路予以探讨，望能起到抛砖引玉的目的，集思广益。

本文作者：360手机卫士部，转载请注明来自FreeBuf.COM

“充值卡密”流转

1650007281_62591cf1e8e1d30ca3f45.png!small **

不法分子以兼职刷单返佣为名，吸引受害人关注，以电商平台垫付立返单为名，要求受害人在指定的电商平台店铺购买游戏充值卡点券，提交卡密截图完成刷单操作，前期下单后返回受害人本佣金，随后以任务卡数为由，不断加大购买充值卡的数量和金额，但不给受害人返回本佣金，完成诈骗操作后，通过卡盟（提供一站式售卖虚拟商品服务的平台，由于其售卖的商品多与黑灰产相关，又被称为“地下黑市交易所”。）将诈骗获得的充值卡密码售卖给普通的用户，完成变现操作。这里就涉及到一个“黑话”名词**“卡盟”行业称为24小时自动发货/发卡平台，提供一站式售卖虚拟商品**。用户在平台下单，平台自动给用户发货（软件激活密钥），商品包含应用多开、爆粉人脉、微信辅助、虚拟定位、微商辅助、支付宝十六星认证代点亮、代办营业执照、超级会员等。售卖的资源基本上都是些黑灰应用，应用稳定性无法保证，可能随时跑路。
1650007327_62591d1f603b36cf73cca.png!small **

据相关数据显示，这类发卡平台涉及的商品种类将近数千种，商品数量超过百万。**灰色商品主要为：账号类、影视会员卡密类、虚拟商品寄售类、软件技术类四大类。**其中，占比最高的账号类，是黑灰产进行攻击的基础资源，所售账号种类涉及到众多行业，比如社交、电商、娱乐、生活服务等等；发卡平台另一活跃商品类型为各大影视会员卡密，包括但不限于腾讯视频、爱奇艺、优酷等。

1650007359_62591d3fd72ae4b82e349.png!small

发卡平台本质就是一个电商平台，只是这个电商平台售卖的产品，多与黑灰产相关，如羊毛资源、账号资源。从诈骗路径看，电信网络诈骗受害人在电商平台购买了卡密，卡密被诈骗分子通过卡盟以低价的方式售卖给了普通用户，即卡密的真正使用者为普通用户。

从资金路径看，电信网络诈骗受害人资金流向电商平台，卡密的用户资金流向了卡盟平台，购买卡密和使用卡密的人员，其资金流无衔接，出现了资金链断层。这种诈骗方式下，很难直接从诈骗流程、资金流程发现黑灰产人员进行风控限制和事后追溯。

诱导转账”流转

早些年，由于居民安全意识不高和开卡流程不严格，诈骗分子通过多种渠道掌握了大量的四件套（身份x、银行卡、手机号、U盾），依托于此些第三方收款账户建立资金池，吸纳诈骗资金，并通过车手线下取现转移资金。例如2020年、2021年高发的杀猪盘，不法分子在社交平台以恋爱交友为名，吸引受害人关注，随后以掌握快速赚钱方式为名，诱导受害人在赌博、虚假投资平台充值，骗取受害人的充值资金。

从资金路径上看，不法分子通过各种话术，诱导受害人将自由资金转移到他人收款账号上，但由于四件套及资金池的存在，资金在短时间内发生了多级流转，很难及时止付，追溯到资金真正的所有者。

“免密支付”流转

移动支付的普及，极大便利了用户的生活，但各种免密也在一定程度上“帮助”了不法分子。

诈骗分子冒充疾控中心，以新冠疫苗政策开放预约，名额有限为由，引导受害人访问钓鱼网址，进行预约接种，受害人在钓鱼网址中填写银行账号信息、短信校验验证码后，银行账户资金被盗刷。

1650007570_62591e128ee3b0a017d19.png!small

根据分析发现，页面中用于套取个人信息的js进行了混淆，对其解码后可以看到，操作上会通过UserAgent判断访问设备类型，以展示不同页面：

1650007595_62591e2be1f2cbde45908.png!small

要求受害者填写银行卡和预留手机、余额等信息：

1650007624_62591e48575c454a893e6.png!small

诱导受害者提供收到的6位数短信验证码：
1650007662_62591e6ed6bb8b42f0d7c.png!small
骗取受害人输入银行卡密码部分：
1650007687_62591e87184daa1f06b37.png!small

骗取信用卡卡号、CNV码、有效期等信息：一般的信用卡有了这些信息，则可以直接进行支付。

1650007712_62591ea076ce398898561.png!small
通过不断提示受害者审核未通过，从而让受害者银行卡余额保持在5000、10000、15000元，以便于进行非法转账操作。
1650007757_62591ecdda96d76421d19.png!small

随着攻防对抗的升级，不法分子觉得诱导受害人主动填写短信验证码比较繁琐，直接通过恶意APP盗走短信验证码，冒充公检法人员，以受害人涉嫌洗钱/非法集资/出售假货/出售银行卡/出售手机卡/注册诈骗公司/发布传播违法违规信息/非法入境等理由，诱导受害人安装含短信内容截获回传功能的恶意APP，以帮助受害人洗脱罪名为由索要银行信息，结合截获的短信内容进行资金盗刷。

从诈骗场景看，不法分子主要是通过钓鱼网址、恶意应用、屏幕共享等方式截获受害人的短信校验码，从而盗刷受害人的资金。

以“屏幕共享”为例：

1650007783_62591ee7b0202e57578e1.png!small

也就是说，你在手机上的任何操作，对方都能看到，包括输入银行卡账号及密码，收到的短信验证码等。

“共享屏幕”诈骗手段

1650007821_62591f0d113b7e47f6ca2.png!small

从资金流看，受害人的资金被不法分子通过快捷支付、云闪付、手机钱包等多种形式，从线上、线下等消费场景对盗取的银行账户进行资金消费。

“虚拟货币钱包”流转

由于虚拟货币交易使用的密钥和链地址过于臃长，虚拟货币钱包APP应运而生，为用户提供交互界面，管理密钥和地址，跟踪余额以及创建和签名交易。i*en就是虚拟货币钱包中比较知名的一个，鉴于国内严格的虚拟货币政策，应用商店已无虚拟货币相关的应用。对于普通用户而言，搜索引擎、小众应用商店成为获取虚拟货币钱包APK的唯一途径,不法分子通过山寨虚拟货币钱包网站、上架小众应用分发站点，推广假冒的虚拟货币钱包应用，盗走受害人虚拟货币。

从诈骗场景看，不法分子主要是通过钓鱼网址、恶意应用盗走了受害人的虚拟货币。

从资金流看，受害人的虚拟货币资金被不法分子通过子链的方式，进行多次流转，并通过虚拟货币交易所、虚拟货币承兑商、虚拟货币挂单平台进行交易流转，最终完成“资金洗白”。

以某BO彩平台为例，其使用到了3个支付接口，给用户展示网银收款账户、虚拟货币收款地址。

1650007866_62591f3a942d5c788cb67.png!small

通过专门的支付通道后台、应用进行资金流转操作。

1650007901_62591f5dc943b59615879.png!small

相较于传统分散式、小作坊式的诈骗平台、洗钱窝点，目前黑灰产的上游供应链，提供了完整的产业支撑，包括平台开发、引流、运营、支付通道等，下游诈骗平台、诈骗窝点门槛持续降低，但攻防能力却日益提升，从上文中提到的跑分应用、免签支付可以看出其已具有很强的攻防隐蔽能力，一旦上游产业进行迭代，电信网络诈骗、洗钱产业将集体升级。当上游升级的攻击的方式超出安全研究认知范围，整个反制体系就会失效。

目前诈骗情报发现、资金风控、案件溯源出现了脱节，反制手段在短时间内很难有效的突围，互联网公司为稳定业务流程，防止被黑灰产攻击，均建立风控部门，积累了大量的黑灰产情报和工具，对自有业务下的黑灰产行为路径十分了解，但无法对涉诈的资金进行限制。除企业自有的支付体系外，资金交易数据一般存储在银行监管部门数据库中，数据量虽巨大，但均为资金流数据，缺乏对黑灰产行为路径的感知，不易及时发现隐藏在正常资金流水中的黑灰产资金；执法机关在破案时往往已经是事发后，诈骗情报、资金均发生变化。

需建立合作机制，共享涉诈情报，互联网公司从源头发现涉诈风险，形成黑灰产攻击路径和风控特征，金融业根据此些特征匹配挖掘潜在的风险用户、风险账号，反哺互联网挖掘更多的黑灰产情报，并同步至执法机关进行黑灰产打击。打击治理电信网络诈骗，任重道远。