网络黑产的“动脉”：非法资金流通的六大动向

这篇文章的作者

腾讯金融安全合规

李乐、张博、刘成波

大家好，我是鹅师傅。

前段时间，腾讯安全战略研究部与腾讯安全联合实验室联合发布《工业互联网安全十大趋势》（点击查看：《》）

其中，我们提到“黑灰生产资源模块化、群体碎片化、专业化运作趋势显着”。 随着金融科技的快速发展，支付渠道的多元化便利，金融产品的不断涌现，对社会经济和人们的生活产生了积极的影响。 与此同时，黑色资金也在不断渗透到这一领域，利用其便利性逃避监管。 网络黑业“大动脉”的非法资金流向，逐渐成为监管与黑业“猫鼠游戏”的焦点。

腾讯安全团队多年来致力于打击黑产，研究网络黑产资金流动特征，维护金融科技安全发展，研判演进趋势，践行企业责任。

现在，鹅师傅带你“了解”非法资金流转的六大趋势：

1个

资金账户由自控向众包发展，法人账户成“新宠”

随着一大批利用“猫吃”设备“养卡”、批量虚假注册社交账号和支付账号的营利团伙被取缔，利用众包“租码借号”到常态化已成趋势用户。 账户已经从相对固定的自控账户演变为个人众包。

众包方式就是近几年兴起的所谓“跑分”、“抓蛋”。 其他账户转入资金到跑分平台，跑分平台再结算到黑市，实现资金链空间的跳跃。

简单来说，就是用你的支付码帮不法分子代收钱款，平台会根据你收款的多少支付一定的手续费。 对你来说，可能是利用支付码和空闲时间在网上做兼职，但实际上你已经掉进了黑产业挖的坑里，随时可能承担不必要的法律责任！

（图源网络）

此外，随着公众账户的设立由审批制改为备案制，加上其可信度高、交易金额大、司法止付难度大等特点，逐渐成为网络黑产的新宠。

出现了违规开户、倒卖、利用公众号在支付机构注册商户的行为。 甚至还有公众号的“众包”模式。

（利用“兼职人员”非法开立倒卖企业账户）

2个

代收代付违法支付滋生发展，“中间人”行业壮大

催收是指对黑产的资金进行催收，也可以达到非法资金“入账即洗”的效果。 主要方法包括：

一是虚拟商品或服务的交易。 例如，利用通信运营商的话费充值平台，将赌资与真实话费进行匹配对冲，或搭建发卡平台，将投注赌资转化为购买卡码等，实现赌资筹码匹配“自动化”，信息流与资金流分离，提高参与度。 打赌效率和隐蔽性。

二是利用电子商务“空包”交易。 在电商平台注册开设大量店铺，使用店铺二维码作为支付码。 赌客扫码支付后，赌金就会进入电商平台的账户。 收款团伙随后根据电子商务交易规则，从所谓的“空包”网站购买快递单号，表明货物已发出并签收，然后提取赌资。

三是第四方支付平台。 第四方支付依托正规的第三方支付平台和银行接口、互联网电信运营商接口等，通过技术手段为用户整合构建更加便捷的支付渠道。

几年前，鹅师傅出门只带手机，在便利店买东西都是用手机支付。 店员总是要和我确认是用支付宝，微信支付还是银联二维码。 但现在只要是主流的移动支付平台二维码，便利店都可以直接扫一扫。

此类“聚合支付”是与正规支付机构签约，使用用户自身主要信息，在多家支付机构开立账户，聚合多个二维码或渠道，其业务不涉及资金结算。

也就是说，第四方支付其实可以给商家和用户带来更好的移动支付体验，让商家收款和买家支付更顺畅。

但在利益驱使下，黑业团伙在第三方支付系统下申请了多个自控商户和账户，并搭建了可在自控账户内进行资金结算的平台，为不法分子提供了转移渠道资金。 一些不法聚合服务商也突破红线，变身所谓“第四方支付”，利用自己注册和控制的支付商户，为网络赌博等违法产品提供结算服务。

说完了收款，那付款呢？

代付是指支付违规产品的相关运营费用。 支付团伙会根据黑产团伙的需要，使用个人账户支付日常运营费用，也有使用企业支付账户支付个人支付账户与赌客结算赌博资金的情况。

3个

规避资本监管手段更新，打击黑产能力提升

为了规避监管，黑产者也升级了资金管理手段，主要有以下特点：

1、快进快出。

为符合监管要求和保障资金安全，各金融支付机构制定的商业支付结算规则大多在T+1至T+7之间，也就是说在正常情况下，商户的收款人直到第二天才会到达。 为突破此类限制，不法资金结算团伙通过垫款方式为黑产犯罪团伙实现T+0资金结算，即日到账。

2.去中心化交易。

各大金融支付机构风控策略不断优化。 众包方式是为了避免收款时“多对一”账户和资金持续流动的特点。

所谓“众包”，最初是指企业将任务外包给互联网上不特定的普通人的一种商业模式。 黑产者将非法接入码平台与“众包”商业模式相结合，将用户手机的非法使用变为“合法”使用。 通过“多对多”场景，规避风控策略，通过“A账户收款，B账户支付”实现资金流的物理分离，防止渗透和追踪。

3、不同支付方式之间往复跳转。

从银行账户与第三方支付账户之间的转账，到证券、基金、保险、所谓“虚拟货币”（如游戏币、Q币、比特币）等不同支付方式之间的资金转账，增加资本监管壁垒。

4.反对专业化。

有黑业专业团伙研究金融支付机构反洗钱监控策略，针对性设计资金流动路径，规避策略模型，识别监控。

例如，一些赌资链团伙会利用AI技术来识别一笔交易是赌徒的交易还是安全团队进行的测试。

4个

非法跨境结算渠道多元化，境外成“法外之地”

随着国家不断加大对违法犯罪活动的打击力度，不少黑产团伙开始将“源头”转移到网络条件好、治安混乱、出入境检查不严、生活成本低的国家，比如缅甸和柬埔寨。 中国、老挝、马来西亚等国对他们来说简直就是“世外桃源”。 而他们非法跨境结算的渠道一般有以下六种：

1.跨境交易平台。

建立跨境电商、游戏充值平台，申请国内外银行或第三方支付代理商户，搭建充值接口，利用虚假交易或物流“空包”洗钱，甚至设置隐蔽非法平台网页交换窗口，将客户引流至聊天平台进行个人交流，通过商家账户收款后，通过对方个人账户或其他账户进行支付。

2. 虚拟货币交易。

趁着我国不禁止虚拟货币OTC（场外交易）和CtoC（人际交易）的现状，出现了一种叫做承兑服务商的虚拟货币兑换商。 从表面上看，他们都是分散的个体。 法币池和虚拟币池。

例如，客户用人民币与承兑服务商兑换虚拟货币后USDT支付通道，再找境外承兑服务商将虚拟货币兑换成外币，反之亦然。

但由于比特币（BTC）、以太坊（ETH）等虚拟货币的价格波动比较大，为了降低资金流向流失的风险，现在黑产集团大多选择USDT，可以兑换随时与美元1:1。

3.利用境外支付服务和离岸账户逃避境内监管。

利用与第三方支付机构合作的境外本地持牌支付机构未履行义务的漏洞，加强对开户人的审核，申请境外商户，再将商户作为非法资金划转的渠道。 还出现了利用绑定境外商户的境外银行账户向第三国银行账户转账的现象，这种现象不受支付机构和我国的监管。

例如，团伙通过国内商业银行​​拆分人民币，转入团伙成员（商户和个人用户）账户； 然后洗钱组织成员伪造交易背景，利用第三方支付绑定境内人民币账户进行结算。 向该团伙控制的海外商户付款； 然后，境外商户通过第三方支付平台和当地银行清算机构将外币汇入其境外当地银行账户。

4、境外投资。

选择外贸或投资行业，设立公司，如虚构大额外贸交易或虚构境外投资（如投资大型房地产、酒店），按正常外汇申报或登记审批程序，洗大笔资金出国的资金数额。

例如，在进口时，进口设备或原材料的价格高于进口设备或原材料的价格，进而向国外供应商索取回扣，分摊赃款，将违法所得存放在国外； 实际交易金额的噱头是将国外进口商的货款差额存入出口商的海外账户。

（图源网络）

5.跨境收货。

使用改装后的国内POS机到境外收款，或将国内支付码放到国外收款。

此类操作通常由经营者注册一家公司或借用另一家公司向商业银行申请终端支付结算账户和POS机等设备，然后将POS机跨境运往境外使用。银行卡（包括借记卡和信用卡）的境外支付汇款功能，实现跨境支付结算。

6.地下银行。

资金通过反敲的方式在境内外之间划转。 即建立“两端资金池”。 境内外分开，资金分开流通。 从表面上看，境内人民币没有流出，境外外币也没有进入。

5个

随着新媒体、新技术的不断应用，货币属性成为焦点。

1、使用虚拟货币（如USDT）和网络平台虚拟货币（如YY币、游戏虚拟币等）进行收藏。 例如，赌客通过购买跑者手中的虚拟货币来下注，或者通过给特定平台账户充值来收钱。

随着虚拟货币的兴起，跑分平台也开始关注这项技术。 它与传统的跑分项目非常相似，只是交易方式换成了虚拟货币。

鹅大师以USDT为例。 黑客首先会让你在交易所购买一些USDT虚拟货币，然后用户A将钱存入，然后平台将你连接到用户A，用户A存入的钱将转入你的支付二维码中，平台收取你的USDT，你也得到现金。 你以为自己只是买卖虚拟货币，却不知不觉成了洗钱的帮凶。

2、专门用于非法生产的区块链技术。 例如，有一条专门提供博彩服务的 EOSBET 链。 这条链上有 21 个赌博游戏和相应的区块链货币。 据宣传，这项技术可以实现反欺诈和公平。

但即使有了这样一台“公开透明”的区块链赌机，想要在上面一夜暴富，发大财的可能性仍然很低。 因为赌场总是需要盈利的，而盈利的方式就是利用概率论中的大数定律。

3、不断开拓具有“货币”特色的新渠道和新媒体。 为了更好地实现资金流动和规避监管，黑产团伙将流通媒介扩展为与货币具有相同或相似功能的等价物，并不断追逐具有价值尺度和手段特征的新渠道、新媒介。无论是选择银行、第三方支付、证券、基金，还是选择流通量大的实物（如苹果手机）、虚拟货币（如USDT）、平台或游戏虚拟资产，只要他们被市场高度认可，任何可以转化为法币的新渠道和新媒体，都可以成为他们的目标手段。

6个

业务链日益模块化、产业化，对综合打击和系统治理提出新要求

由于黑产“市场”需求量大，各环节专业化程度不断加强，非法支付结算由专业化向产业化发展。 比如有的负责非法开设各种银行账户，有的负责开支付账户或其他金融账户准备材料USDT支付通道，有的负责开发租房码、租房号、支付自动生成等平台代码，有的负责搭建第四方支付资金池，有的负责资金划转操作等。

所有环节都不需要知道资金来源和性质，只要按要求提供技术或服务即可，这也增加了司法打击认定主观知情的难度。

黑产业不断利用新的支付产品特性、业务运营模式和新潮技术手段，从时间节点上跳转，更新运营方式，切换渠道体系，跳出传统的资金流动模式，规避监管。 行业组织要加强产品预合规审查，严格服务商和商家管理，积极参与违法行业治理。 利用该机构的第一感知性质来保持与监管机构的互动。

同时，也希望监管部门在法律规范完善跟进、学术交流平台搭建、行业资源整合协调、用户安全宣传教育等方面给予指导和支持。

移动互联网的发展确实提高了我们的生活质量，让世界变得更加便捷，但对于不法分子来说，越是便捷的世界，他们的“猎物”就越是触手可及。

你很难保证这辈子自己不会成为不法分子的“韭菜”，不法分子不会突然改弦更张。 只有多了解造假和黑产的套路，才能更好的和黑产成员交流。 邪恶的比赛。