前言

近年来，洗钱黑产与上游犯罪呈链条式发展，存在明显的相互依存关系，特别是对资金流转需求巨大的电信网络诈骗产业，依托游离于“监管”之外的第四方支付平台进行资金“洗白”。上文提及的充值卡密流转、诱导转账、免密、虚拟货币使用到了第四方支付产业中的免签、跑分、虚拟货币托管接口等技术。免签用于解决诈骗窝点/洗钱窝点无法开通大量支付宝、微信接口问题；跑分用于解决骗窝点/洗钱窝点银行卡、收款账户短缺问题；虚拟货币托管接口用于解决诈骗窝点/洗钱窝点资金易遭遇风控限制转账，包括受害人向指定账户转账受限，嫌疑人收款账户被限制转账。

绕过第三方支付平台接口限制的免签支付

免签支付相当于绕过了支付平台的接口开通限制，自己搭建了一套支付接口，脱离了监管，且由于免签支付手段的成熟，该类工具、源码已经在黑灰产泛滥，轻易可获得并进行二次加工使用，行业门槛极低。

杀猪盘、刷单、虚假投资等电信网络诈骗场景中，受害人之所以轻易相信对方，缘于骗局早期，能够获得骗子返回的任务佣金，但短期向不同人员过于频繁进行多笔小额资金支付，轻则引起支付平台的风控警觉，重则遭遇冻卡、断卡风险。于此同时，由于非企业用户无法开通微信、支付宝接口，在缺乏支付接口的状态下，黑产无法及时将支付订单与支付金额进行匹配，故其通过免签APP做支付回调完成订单匹配，此种技术早期主要用于发卡平台（卡盟），随着黑产市场需求的增加，已逐渐被杀猪盘、虚假刷单等电信网络诈骗产业所采用，故在大量的诈骗平台可以看到，其收款账户为个人账户形式的二维码。

第四方支付平台为（黑灰产）使用者提供了免签监控APP、对接管理后台，使用者首先将洗钱手机登录的收款（支付宝/微信）二维码与第四方支付平台绑定，获得监控端绑定二维码，随后在收款手机端安装带有监听手机通知栏功能的免签APP，填入监控端二维码完成第四方管理后台与免签APP的绑定。其中的检测心跳，指的免签APP是否可以正确监听收款，检测监听指的是第四方支付管理后台，是否可以正确收到监控的收款记录。当手机收到支付宝/微信的收款通知信息后，将信息回传至第四方平台，由第四方平台与诈骗平台支付订单的对接，实现支付接口的效果。在对免签产业分析的过程中，还发现其为逃避打击，将免签APP安装在云手机中，以实现被控制端IP与实际使用者网络分离。

识别策略与建议

免签类第四方支付网站、免签类APP在黑产圈内源码已经泛滥，很多洗钱团伙会使用源码生成。进而在风控过程中，可以通过监测是否安装免签类APP、手机是否为异常设备、手机IP是否异常等策略，提前发现黑产手机，对其进行反制。

吸纳“公众”收款账户充当洗钱资金池的跑分通道

免签支付一定程度上解决了电信诈骗等黑灰产平台支付通道接口短缺、账单对账功能，但自有资金池搭建存在资金、渠道等行业门槛，同时随着“断卡行动”的持续开展，黑灰产手中的收款账户消失殆尽，难以应对大量黑灰产特别是电信网络诈骗中，频繁的账户切换需求，其将目光盯上了涉世未深的学生，通过兼职任务的方式，吸纳学生参与到洗钱流程中，增加其提供洗钱通道，即众包式跑分。

跑分平台以网赚为名，进行兼职众包，吸引兼职客向跑分平台提供收款二维码/银行卡号，跑分平台再提供给诈骗平台，充当收款账户。诈骗团伙以话术诱导诈骗受害人向该该二维码/银行卡号转账后，跑分平台给予兼职客佣金。这个过程中，兼职客的收款账户变现成为了洗钱的通道。利用白账户进行涉诈资金的流转，既规避了风控监管，又大大提高转账成功率，跑分平台无需过度担忧洗钱资金池的银行卡被冻结的问题，为后期跑分平台与黑产/诈骗团伙利益分成转账，提供了充足的时间，同时兼职客在跑分平台进行兼职任务时，需缴纳保证金，跑分平台和诈骗平台也不怕兼职客拿钱跑路。由于诈骗受害人的资金流向了兼职客的账户，兼职客的佣金通过其他形式进行变现，执法机关在进行资金流向追溯时，很难发现兼职客上游的跑分平台。

早期的跑分产业，由于上游黑产使用支付宝、微信、银行卡收款，跑分过程及押金使用网银、支付宝、微信等。随着攻防手段的升级，目前跑分及押金多使用虚拟货币进行，由于一些虚拟货币稳定币的流行，多使用USDT进行跑分，通过对跑分产业使用的工具挖掘，目前黑灰产市场售卖的跑分工具、源码仍以代收型为主。

USDT（泰达币）是由某外国公司发行的区块链数字货币，以1:1的比例锚定美元。

简单理解就是对标美元自发行的数字货币货币本身具有价值可以交易买卖

识别策略与建议

与免签支付相似，跑分平台也存在APP（跑分）与管理网站（四方支付），但不同的是APP和四方支付网站的用户群体不同，免签产业中APP和网站后台使用者是同一个黑产群体，跑分产业中:

APP使用者是跑分客（兼职提供二维码/银行卡）

网站使用者是跑分平台、诈骗团伙。

诈骗团伙实施诈骗过程中，需要使用二维码/银行卡时，在跑分后台发布需求订单，兼职客在跑分APP中抢单领取任务，将自己的二维码提供给跑分平台供上游（诈骗）使用。

随着攻防对抗的升级，现阶段跑分APP不像免签应用那样，使用公开的源码进行二维码修改，而是各个跑分平台各自开发具有自己特点的跑分应用，且应用名称多与订餐、食品相关，很难具有共同性，故需要对每个应用做特征专项分析，例如360手机卫士在2022年发现的跑分应用“**订餐”，其特点是当跑分客的手机收到银行短信时，自动进行转账确认，并将短信上传至指定的服务器，此时境外跑分团伙/诈骗团伙，使用跑分客的银行账户进行收转款时，无需通过兼职客进行操作，即黑产宣传的跑分方案“一次性付押金，国内存放手机，全自动化，不需要雇佣人力，更有超高技术保护，无任何技术可以发现你的手机位置”。

用于逃避“断卡”打击的虚拟货币

虚拟货币的火热，虚拟货币跑分的成熟，虚拟货币已成为电信诈骗平台支付通道的“宠儿”，原先占据主导地位的微信、支付宝收款方式，在某些杀猪盘平台甚至都销声匿迹了。

这里以杀猪盘平台为例，从其充值页面发现，其已经取消了支付宝、微信的充值入口，除仍保留的网银转账入口外，大部分都是虚拟货币充值的入口，包含虚拟货币钱包、虚拟货币直转两种方式。在页面点击充值后，可以看出该二维码为虚拟货币收款地址。

识别策略与建议

由于虚拟货币从诞生之初就是为了隐蔽性设计的，其攻防难度相较于免签、跑分提高了很多。为此，反制的思路可以针对第四方支付平台进行溯源分析，挖掘更多线索。

深挖黑灰产业链持续进行黑灰产监控

目前电信诈骗攻防形式严峻，诈骗窝点逐渐实施诈骗样本一案一用，导致捕获的样本缺乏再次预警价值；

同一个诈骗样本对接多个支付通道，每次充值页面刷新，其收款账户也发生了变化，说明其基本已解决收款账户短缺问题；

黑灰产内部使用的工具，隐蔽方式更加高深，使用伪界面、大众应用名、随机包名，难以对已知样本进行拓线。故需对捕获的样本进行深挖、抽离出其产业链，包括攻防、洗钱、传播等。

斩断黑产资金链，摧毁黑产迅速变现能力，已成为从根源上打击治理网络犯罪工作的重中之重。以第四方支付为主的非法结算上下游链条，直接影响了资金流向。因此，持续加强对资金变现环节打击力度，遏制住不法资金向外流转的可能，也是相关单位组织及平台的重点努力方向。打击治理电信网络诈骗任重道远。