起底网络黑产“大动脉”:非法资金流转六大趋势
2020-12-30 00:19:12 Author: mp.weixin.qq.com(查看原文) 阅读量:104 收藏

本文作者
腾讯金融安全合规
李乐、张博、刘承箔
   大家好,我是鹅师傅。
前段时间,腾讯安全战略研究部联合腾讯安全联合实验室共同发布了《产业互联网安全十大趋势》(点击查看:「腾讯发布2021产业互联网安全十大趋势」)
 
在里面,我们提到“黑灰产资源模块化、团伙碎片化、运营专业化趋势显著”,随着金融科技的飞速发展,支付通道的多元便利,金融产品的不断涌现,对社会经济和人们生活产生了积极影响,与此同时,黑产资金也在不断的向该领域渗透,利用其便捷性逃避监管。网络黑产“大动脉”的非法资金流也逐渐成为成为监管和黑产之间“猫鼠游戏”的焦点。
 
腾讯安全团队多年来一直致力于与黑产对抗,研究网络黑产资金流转特点,维护金融科技安全发展,研判演变趋势,践行企业责任。
 
现在,鹅师傅就带你一起“起底”黑产资金流转六大趋势:

1

资金账户由自控向众包演变,对公账户成为“新宠”

随着大量以“猫池”设备“养卡”,批量虚假注册社交账号和支付账号等获利的黑产团伙被打掉,利用众包方式向正常用户“租码租号”成为趋势,个人账户从相对固定的自控账户向个人众包演变。
 
众包方式即近年出现的所谓“跑分”、“抓蛋”,例如,“跑分”者用自己正常使用账户的收款账号为黑产收款,再用与收款账户无资金往来的其他账号把资金打给跑分平台,之后跑分平台再结算给黑产,以实现资金链空间上的跳转。
 
简单来说,就是利用你的收款码来帮黑产份子代收款,平台根据你收款的金额来支付一定的手续费。对你来说,可能就是利用收款码和空闲时间做做线上兼职,但实际上你已经落入了黑产挖好的坑里,随时有可能会负上不必要的法律责任!

(图片来源网络)

 
另外,随着对公账户设立由核准制改为备案制,加之其可信度高、交易额度大、司法止付难等特点,逐渐成为网络黑产新宠。
 
现已出现了非法开立、倒卖,以及利用对公账户在支付机构注册商户的黑产链,甚至出现了对公账户的“众包”模式。

(利用“兼职人员”非法开立、倒卖对公账户的黑产模式)

2

代理收付型非法支付滋生发展,“中间商”产业扩大

代收指替黑产收取资金,也可实现对非法资金“入账时即洗白”的作用。主要手法包括:

一是虚拟商品或服务交易。如利用通讯运营商话费充值平台将赌资和真实话费匹配对冲、或构建发卡平台将下注赌资转化为购买卡密等方式,实现赌资和筹码匹配“自动化”、信息流和资金流分离,提升参赌效率和隐蔽性。

二是利用电商“空包”交易。在电商平台注册设立大量店铺,利用店铺二维码做为收款码,赌客扫码支付后,赌资会进入电商平台账户。代收团伙再根据电商交易规则,向所谓的“空包”网站购买快递单号,表明货物已经寄出并签收,进而提取赌资。

 

三是第四方支付平台。第四方支付是依托正规第三方支付平台和银行接口、互联网电信运营商接口等,通过技术手段,为用户整合搭建出更便捷的支付通道。
 
鹅师傅在早好几年前,只带了手机出门,在便利店买东西用移动支付,店员总是要跟我确认下用支付宝、微信支付还是银联二维码。但现在只要是主流的移动支付平台二维码,便利店都能直接扫了。
 
这样的“聚合支付”是与正规支付机构签约合作,使用用户自身主体资料,在多家支付机构代开账户,并将多个二维码或者通道进行聚合,其业务并不涉及资金结算。
 
也就是说,第四方支付其实能给商家、用户带来更好的移动支付体验,让商家收钱、买家付钱更加流畅。
 
但黑产团伙在利益的驱使下,在第三方支付体系下申请多个自控的商户及账号,搭建起可以在自控账号内部从事资金结算的平台,为犯罪提供资金流转渠道。部分不法聚合服务商也突破红线,变身所谓“第四方支付”,使用自己注册和控制的支付商户为网络赌博等黑产提供结算服务。
 
说完代收,那代付又是怎么一回事呢?
 
代付就是指替黑产支付相关运营费用。代付团伙会根据黑产团伙需求使用个人账户为其支付日常运营费用,也有利用企业支付账户向个人支付账户付款的功能,向赌客结算赌博资金的情况。

3

逃避资金监管手段更新,黑产对抗能力提升

为了逃避监管部门,黑产们对管理资金的手段也进行了upgrade,主要有以下特点:
 
1、快进快出。
 
为符合监管规定和保护资金安全,各金融和支付机构建立的商业支付结算规则大多数为T+1至T+7之间,也就是说在一般情况下,商户收款方第二天才能到账,而非法资金结算团伙为了突破这样限制,通过垫付的方式为犯罪黑产团伙实现资金T+0的结算,也就是当天到账。
 
2、分散交易。
 
各大金融和支付机构的风控策略不断优化,众包方式就是为规避收款时账户“多对一”、资金流连续的特征。
 
所谓“众包”,原指的是企业将任务外包给网络上不特定普通大众的一种商业模式。黑产们把非法接码平台与“众包”商业模式相结合,将非法使用用户手机的方式变为“合法”使用。通过“多对多”场景,逃避风控策略,通过“A账户收款、B账户付款”实现资金流物理分离,防止被穿透跟踪。
 
3、不同支付业态往复跳转。
 
从银行账户与第三方支付账户之间的流转扩展到证券、基金、保险、以及所谓的“虚拟货币”(如游戏币、Q币、比特币)等不同支付业态间流转资金,增加资金监管壁垒。
 
4、对抗专业化。
 
黑产有专业的团伙在研究金融和支付机构反洗钱监测策略,有针对性的设计资金流路径,规避策略模型,识别监测者身份。
 
比如有些赌博资金链团伙会使用AI技术来识别某个交易是一个赌客的交易,还是安全团队进行的测试。

4

非法跨境结算渠道多元,境外成为“法外之地”

随着国内不断加大对违法犯罪行为的打击力度,很多黑产团伙开始把“产地”转移到一些网络条件好、治安混乱、出入境审查不严、生活成本低的国家,比如,缅甸、柬埔寨、老挝、马来西亚等国对他们来说简直就是“天堂”。而他们通过非法跨境结算的渠道一般有以下6种:
 
1、跨境交易平台。
 
建立跨境电商、游戏代充值平台,在境内外申请银行或第三方支付机构商户,搭建充值接口,利用虚假交易或物流“空包”等方式洗钱,甚至在平台网页上设置隐蔽非法汇兑窗口,将客户导流至聊天平台单独沟通,用商户账户收款后,在对岸通过个人账户或其他账户支付。
 
2、虚拟货币交易。
 
利用我国不禁止虚拟币OTC(场外交易)和CtoC(个人间交易)的现状,萌生了一种叫承兑服务商的虚拟币兑换者,表面上看,他们都是零散的个人,建立个人的法币池和虚拟货币池。
 
比如,客户用人民币向承兑服务商兑换虚拟货币后,再找到境外的承兑服务商将虚拟币兑换成外币,反之亦然。

但由于比特币(BTC)、以太坊(ETH)等虚拟货币价格浮动比较大,为了降低资金流动损失风险,如今大多黑产团伙都会选择可以随时跟美元1:1进行兑换的USDT。
 
3、利用境外支付业务和离岸账户逃避国内监管。
 
利用与第三方支付机构合作的境外当地持牌支付机构未尽到对账户持有人的强化审查义务的漏洞,在境外申请商户,再利用该商户作为非法资金流转渠道。还出现了利用与境外商户绑定的境外银行账户,将资金转入第三国银行账户的现象,脱离了支付机构和我国的监管。
 
例如,某团伙在境内通过商业银行把人民币进行分拆后转账汇入到团伙成员(商户个人用户)的账户中;然后洗钱组织的成员虚构交易背景并利用第三方支付绑定境内人民币账户,结算付款给团伙控制的境外商户;接着,境外商户通过第三方支付平台和当地银行清算机构结算入账外币到他们境外当地银行的账户里。

4、海外投资。
 
选择对外贸易或投资的行业,成立公司,如虚构大额外贸交易或虚构境外投资(如投资大型地产、酒店),走正常外汇申报或登记审批流程,将大额资金洗出境外。
 
比如,在进口时报高于进口设备或原材料的价格,然后从国外供货商手中索取回扣、分赃款,并将非法所得留存境外;出口时则大幅压低出口商品价格,或采用发票金额远低于实际交易额的花招,将货款差额由国外进口商存入出口商在境外的账户。

(图片来源网络)

5、跨境收单。
 
利用改装过的国内POS机到境外收款,或将国内收款码放在国外用于收取资金。
 
此类操作一般是由经营者自己注册公司或借用他人公司向商业银行申请POS机等终端支付结算账户和设备,然后将POS机跨境运输至境外利用银行卡(包括借记卡和贷记卡)的境外支付汇兑功能实现跨境支付结算。

6、地下钱庄。
 
通过对敲的方式将资金流转与境内外之间。也就是建立“两头资金池”,境内、境外是分割的,资金各自循环,表面上境内人民币没有流出去,境外外币没有进来,实际上交易早已通过“对敲”完成。
 

5

新媒介、新技术不断应用,货币属性成为关注点。

1、利用虚拟货币(如USDT)和网络平台虚拟币(如YY币、游戏虚拟币等)代收。比如,赌客通过购买跑分者手中的虚拟货币来实现下注,或通过为特定平台账号充值来实现收款。
 
随着虚拟币的兴起,跑分平台也开始盯上这一技术。它跟传统的跑分项目极为类似,只是交易的方式换成了虚拟币。
 
鹅师傅以USDT为例,黑产份子首先会让你在交易所买好一些USDT虚拟币,然后A用户充钱进来,那么平台就会把你对接给A用户,A用户充进来的钱会打到你的收款二维码里,平台收取你的USDT,你也拿到现金。你以为自己只是在买卖虚拟币,但却不知不觉沦为黑产洗钱的帮凶。
 
2、专门用于黑产的区块链技术。比如,有一种EOSBET的链专门为赌博服务,这个链上拥有21个赌博游戏和对应的区块链货币,对外宣传该技术可实现反舞弊和公平公正。
 
但即使这样的“公开透明”的区块链赌博机,你想在上面一夜暴富,大捞一笔的可能性还是很低的。因为赌场始终都是需要盈利的,而它盈利的方式就是利用概率论的大数定律。
 
3、不断开发具有“货币”特性的新通道和媒介。黑产团伙为更好的实现资金流转和逃避监管,把流转媒介扩大到与货币有相同或类似功能的等价物上,不断追逐具有价值尺度和流通手段特性的新通道和新媒介, 不论是选择银行、第三方支付、证券、基金,还是选择高流通实物(如苹果手机)、虚拟货币(如USDT)、平台或游戏虚拟资产,只要是市场认可度高,可变现为法币的任何新通道和媒介,都能成为了他们的目标手法。

6

业务链条日渐模块化、产业化,对综合打击、系统治理提出新的要求

由于黑产“市场”需求量大,且各环节专业化加强,非法支付结算已经由专业化向产业化发展,比如有的专门负责非法开立各类银行账户,有的负责为开立支付账户或其他金融账户准备物料,有的负责开发租码租号、收款码自动生成等平台,有的负责搭建第四方支付资金池,有的专门负责资金流转操作等等。
 
各环节都不需要知道资金的来源和性质,只要按要求提供技术或服务即可,这也为司法打击认定主观明知增加了难度。
 
黑产不断利用新的支付产品特征、商业运营模式和潮流技术手段,从时间节点上跳转、从操作手法上更新、在渠道体系间转换,以跳出传统的资金流转模式规避监管。行业机构应加强产品前置合规审查,严格管理服务商和商户,积极参与黑产治理。利用机构的第一感知者特性,保持与监管的互动。
 
同时,也希望监管机构在法律规范完善跟进、学术交流平台搭建、行业资源整合协调、用户安全宣传教育等方面给予指导支持。
 
移动互联网的发展的确提高了我们的生活品质,也让世界变得更加地便利,但对于黑产份子来说,世界越便利,他们的“猎物”也越触手可及。
 
你很难保证这辈子都不会成为犯罪份子的“韭菜”,而犯罪份子们也不会突然地改邪归正,了解更多诈骗和黑产套路,才能让我们更好地与黑产份子进行正与邪的较量。

来源:腾讯安全战略研究



文章来源: http://mp.weixin.qq.com/s?__biz=MzAxNzM4MDY3NA==&mid=2651367570&idx=4&sn=887ac425d6fe9e6845965b7949d5427e&chksm=801a6cbfb76de5a9d4f9f815a3433ad7dc69c3a7fde3e8d6fb0d90811c9943a0da6ac81e23dd#rd
如有侵权请联系:admin#unsafe.sh