前言近年来,随着我国经济社会向数字化快速转型,犯罪结构发生了根本性变化,传统犯罪持续下降,以电信网络诈骗为代表的新型犯罪快速上升成为“主流”,严重阻碍了我国数字经济的健康发展。面对严峻的电信网络诈骗现状,公安部陆续开展了各类专项行动,国家反诈中心去年共紧急止付涉案资金3200余亿元,拦截诈骗电话15.5亿次、成功避免2800余万名民众受骗。本文从电信网络诈骗手法、洗钱方式、产业链为切入点,深度剖析电信网络诈骗背后衍生的洗钱产业,对相关反制手段、思路予以探讨,望能起到抛砖引玉的目的,集思广益。“充值卡密”流转不法分子以兼职刷单返佣为名,吸引受害人关注,以电商平台垫付立返单为名,要求受害人在指定的电商平台店铺购买游戏充值卡点券,提交卡密截图完成刷单操作,前期下单后返回受害人本佣金,随后以任务卡 数为由,不断加大购买充值卡的数量和金额,但不给受害人返回本佣金,完成诈骗操作后,通过卡盟(提供一站式售卖虚拟商品服务的平台,由于 其售卖的商品多与黑灰产相关,又被称为“地下黑市交易所”。)将诈骗获得的充值卡密码售卖给普通的用户,完成变现操作。这里就涉及到一个“黑话”名词“卡盟”行业称为24小时自动发货/发卡平台,提供一站式售卖虚拟商品。用户在平台下单,平台自动给用户发货(软件激活密钥),商品包含应用多开、爆粉人脉、微信辅助、虚拟定位、微商辅助、支付宝十六星认证代点亮、代办营业执照、超级会员等。售卖的资源基本上都是些黑灰应用,应用稳定性无法保证,可能随时跑路。据相关数据显示,这类发卡平台涉及的商品种类将近数千种,商品数量超过百万。灰色商品主要为:账号类、影视会员卡密类、虚拟商品寄售类、软件技术类四大类。其中,占比最高的账号类,是黑灰产进行攻击的基础资源,所售账号种类涉及到众多行业,比如社交、电商、娱乐、生活服务等等;发卡平台另一活跃商品类型为各大影视会员卡密,包括但不限于腾讯视频、爱奇艺、优酷等。发卡平台本质就是一个电商平台,只是这个电商平台售卖的产品,多与黑灰产相关,如羊毛资源、账号资源。从诈骗路径看,电信网络诈骗受害人在电商平台购买了卡密,卡密被诈骗分子通过卡盟以低价的方式售卖给了普通用户,即卡密的真正使用者为普通用户。从资金路径看,电信网络诈骗受害人资金流向电商平台,卡密的用户资金流向了卡盟平台,购买卡密和使用卡密的人员,其资金流无衔接,出现了资金链断层。这种诈骗方式下,很难直接从诈骗流程、资金流程发现黑灰产人员进行风控限制和事后追溯。“诱导转账”流转早些年,由于居民安全意识不高和开卡流程不严格,诈骗分子通过多种渠道掌握了大量的四件套(身份x、银行卡、手机号、U盾),依托于此些第三方收款账户建立资金池,吸纳诈骗资金,并通过车手线下取现转移资金。例如2020年、2021年高发的杀猪盘,不法分子在社交平台以恋爱交友为名,吸引受害人关注,随后以掌握快速赚钱方式为名,诱导受害人在赌博、虚假投资平台充值,骗取受害人的充值资金。从资金路径上看,不法分子通过各种话术,诱导受害人将自由资金转移到他人收款账号上,但由于四件套及资金池的存在,资金在短时间内发生了多级流转,很难及时止付,追溯到资金真正的所有者。“免密支付”流转移动支付的普及,极大便利了用户的生活,但各种免密也在一定程度上“帮助”了不法分子。诈骗分子冒充疾控中心,以新冠疫苗政策开放预约,名额有限为由,引导受害人访问钓鱼网址,进行预约接种,受害人在钓鱼网址中填写银行账号信息、短信校验验证码后,银行账户资金被盗刷。根据分析发现,页面中用于套取个人信息的js进行了混淆,对其解码后可以看到,操作上会通过UserAgent判断访问设备类型,以展示不同页面:要求受害者填写银行卡和预留手机、余额等信息:诱导受害者提供收到的6位数短信验证码:骗取受害人输入银行卡密码部分:骗取信用卡卡号、CNV码、有效期等信息:一般的信用卡有了这些信息,则可以直接进行支付。通过不断提示受害者审核未通过,从而让受害者银行卡余额保持在5000、10000、15000元,以便于进行非法转账操作。随着攻防对抗的升级,不法分子觉得诱导受害人主动填写短信验证码比较繁琐,直接通过恶意APP盗走短信验证码,冒充公检法人员,以受害人涉嫌洗钱/非法集资/出售假货/出售银行卡/出售手机卡/注册诈骗公司/发布传播违法违规信息/非法入境等理由,诱导受害人安装含短信内容截获回传功能的恶意APP,以帮助受害人洗脱罪名为由索要银行信息,结合截获的短信内容进行资金盗刷。从诈骗场景看,不法分子主要是通过钓鱼网址、恶意应用、屏幕共享等方式截获受害人的短信校验码,从而盗刷受害人的资金。以“屏幕共享”为例:也就是说,你在手机上的任何操作,对方都能看到,包括输入银行卡账号及密码,收到的短信验证码等。“共享屏幕”诈骗手段从资金流看,受害人的资金被不法分子通过快捷支付、云闪付、手机钱包等多种形式,从线上、线下等消费场景对盗取的银行账户进行资金消费。“虚拟货币钱包”流转由于虚拟货币交易使用的密钥和链地址过于臃长,虚拟货币钱包APP应运而生,为用户提供交互界面,管理密钥和地址,跟踪余额以及创建和签名交易。i*en就是虚拟货币钱包中比较知名的一个,鉴于国内严格的虚拟货币政策,应用商店已无虚拟货币相关的应用。对于普通用户而言,搜索引擎、小众应用商店成为获取虚拟货币钱包APK的唯一途径,不法分子通过山寨虚拟货币钱包网站、上架小众应用分发站点,推广假冒的虚拟货币钱包应用,盗走受害人虚拟货币。从诈骗场景看,不法分子主要是通过钓鱼网址、恶意应用盗走了受害人的虚拟货币。从资金流看,受害人的虚拟货币资金被不法分子通过子链的方式,进行多次流转,并通过虚拟货币交易所、虚拟货币承兑商、虚拟货币挂单平台进行交易流转,最终完成“资金洗白”。以某BO彩平台为例,其使用到了3个支付接口,给用户展示网银收款账户、虚拟货币收款地址。通过专门的支付通道后台、应用进行资金流转操作。相较于传统分散式、小作坊式的诈骗平台、洗钱窝点,目前黑灰产的上游供应链,提供了完整的产业支撑,包括平台开发、引流、运营、支付通道等,下游诈骗平台、诈骗窝点门槛持续降低,但攻防能力却日益提升,从上文中提到的跑分应用、免签支付可以看出其已具有很强的攻防隐蔽能力,一旦上游产业进行迭代,电信网络诈骗、洗钱产业将集体升级。当上游升级的攻击的方式超出安全研究认知范围,整个反制体系就会失效。目前诈骗情报发现、资金风控、案件溯源出现了脱节,反制手段在短时间内很难有效的突围,互联网公司为稳定业务流程,防止被黑灰产攻击,均建立风控部门,积累了大量的黑灰产情报和工具,对自有业务下的黑灰产行为路径十分了解,但无法对涉诈的资金进行限制。除企业自有的支付体系外,资金交易数据一般存储在银行监管部门数据库中,数据量虽巨大,但均为资金流数据,缺乏对黑灰产行为路径的感知,不易及时发现隐藏在正常资金流水中的黑灰产资金;执法机关在破案时往往已经是事发后,诈骗情报、资金均发生变化。需建立合作机制,共享涉诈情报,互联网公司从源头发现涉诈风险,形成黑灰产攻击路径和风控特征,金融业根据此些特征匹配挖掘潜在的风险用户、风险账号,反哺互联网挖掘更多的黑灰产情报,并同步至执法机关进行黑灰产打击。打击治理电信网络诈骗,任重道远。