【TechWeb】12月17日消息，隨着網絡黑產高度精細化、產業化發展，不斷衍生出大量專業黑產形態。其中貫穿黑產全鏈條的非法支付結算環節，是各類違法犯罪流轉資金，隱瞞、漂白非法所得的最大“幫兇”。騰訊安全管理部高級總監黃凱解讀了《非法支付結算犯罪特徵觀察與趨勢研判報告》。

報告總結了非法支付結算的五大特徵和趨勢，包括惡意註冊賬號仍然是源頭，虛擬商品交易成爲主要渠道，非法支付渠道向普通個人賬號轉移的趨勢明顯，商戶支付接口被聚合支付平臺違法挪用情形增多，電商、通信運營商等大型可信商戶成爲對抗新焦點等。

黃凱表示，當前支付渠道黑產充分利用技術與商業模式創新，與各類網絡犯罪交織共生，手法模式快速迭代發展，呈現出專業化、集團化、智能化、國際化趨勢，與安全風控策略對抗愈加激烈，我們也將繼續跟蹤和剖析黑產手法的演變過程。

與此同時兩高公佈的《關於辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》，也提示我們在平臺治理和應對監管、法律風險方面需要進一步升級打法策略，從事前、事中、事後多個維度進一步完善安全風控體系，履行好企業主體責任。

以下爲報告分享全文：

今天我和大家分享的是“非法支付結算在網絡犯罪中的特徵觀察與趨勢研判”。大家都知道，近些年隨着互聯網特別是移動互聯網的快速發展，傳統犯罪的網絡化呈現一個急劇上升的態勢，公安機關也加大了打擊整治涉網犯罪的力度，但這其中一個重要而艱鉅的挑戰，就是無論是下游的黃賭騙等涉網犯罪，還是諸如DD0s攻擊、木馬病毒、外掛等計算機犯罪，他們的成功實施，除了網絡犯罪本身，還得到了產業利益鏈條的全環節支撐。這條產業鏈，我們稱之爲網絡黑產供給鏈。

網絡黑產供給鏈，指的就是專門爲黑產提供物料、流量、支付這三大支撐的產業鏈條，這些內容不但是黑灰產業的源頭，它們本身的存在也破壞了互聯網法治秩序，置身於網絡黑灰產業犯罪鏈條當中，也是網絡犯罪的一部分。

今天要探討的關於非法支付結算這個主題，也是互聯網犯罪中一個核心的利益鏈條。移動支付近年來發展迅速，一方面，移動支付爲廣大人民羣衆的生活帶來了極大的便捷，也爲整個金融市場注入了新的活力。而另一方面，我們也客觀的看到，一些網絡黑灰產也嘗試搭上移動支付這輛高速發展的“快車”，例如過去線下的賭博、色情、詐騙和傳銷等違法行爲開始在網上興起，從而催生了在網絡中轉移、隱瞞、漂白犯罪所得的“市場需求”，而“非法支付結算平臺”則是爲這些網絡黑灰產提供洗錢、支付結算服務的“中間商”，甚至可以說是網絡違法犯

罪行爲的“幫兇”。這些非法平臺不僅滋生出欺詐、盜刷、信息泄露等其他衍生風險，同時嚴重還擾亂了金融市場秩序，給支付平臺帶來監管風險。央行、公安部、最高檢、最高法分別作爲監管機構、執法機構，都深刻、清晰地看到了“非法支付結算平臺”所造成的行業亂象和危害，並組織開展了整治專項。作爲國內主要的第三方支付機構之一，騰訊和財付通公司也一直積極地參與到對非法支付結算黑產的打擊和治理中。

非法支付結算的特徵和趨勢

1.惡意註冊仍是支付黑產的源頭性問題

支付賬號是從事非法支付結算黑產的必需物料，除了租借、收購正常用戶的支付賬號之外，大量作惡賬號來源於黑產團伙的批量惡意註冊。其通過非法渠道購買大量個人四件套（身份證件、銀行卡、手機卡、U盾）和企業八件套（對公銀行卡、U盾、法人身份證、公司營業執照、對公賬戶銀行申請表、公司公章、法人印章、公司章程）進行批量化賬號註冊，加上模擬正常帳號形態的養號行爲（社交、流水），突破平臺安全策略，短期內獲得大量賬號。目前騰訊守護者計劃安全團隊正在協助公安機關辦理的案件中，就發現不到10人的一個小型團伙，一天註冊商戶就達200餘個，而在個人賬號領域，黑產團伙通過編寫惡意腳本，結合短信接碼平臺和打碼平臺形成自動化批量註冊，體量更是驚人。

惡意註冊黑產屬於行業問題，其源頭在於公民個人信息的泄露與販賣，在支付領域表現爲買賣銀行卡和企業註冊資料行爲的泛濫。2019年4月，廣西警方摧毀一個向境外販賣銀行卡的犯罪團伙，繳獲的銀行卡、企業對公帳戶多達11000多張、

1800多個，警方溯源發現無知羣衆被利用開設銀行卡的現象十分嚴重，同時由於商事制度改革大大降低了企業註冊門檻，不少空殼公司被註冊出來，爲支付賬號惡意註冊提供了客觀條件。

2.虛擬商品高頻交易成爲黑產窺覬之地

今年以來，犯罪團伙通過高頻交易、線上交割模式，將虛擬商品作爲結算中介道具，作爲網絡色情、賭博的線上入金渠道，達到資金流轉的目的。

一類是有實體支持的線上商品，像話費、油卡等。2019年9月，守護者計劃安全團隊協助警方破獲全國首例利用運營商話費充值渠道入金的跨境網絡賭博案，涉案金額達40億元。犯罪團伙將從運營商“話費代理渠道”獲取的正常用戶充值訂單，與賭博網站充值需求進行實時匹配，將賭資導入運營商的商戶，而正常用戶支付的話費資金被結算給賭博團伙。犯罪團伙被捕時正在開發加油卡、視頻會員等其他方式，由此可見，符合“高頻”、“虛擬”特徵的商品，都有可能被犯罪團伙充當成爲非法結算的“道具”。

第二類是完全意義上的虛擬商品，像遊戲點卡、會員卡密等。例如黑產圈流行的“髮卡平臺”結算手法，此類手法早期是遊戲卡、電話卡的自動售卡平臺，而隨着移動網絡的迅速普及，遊戲、運營商自行建立了充值平臺，此類髮卡平臺轉而爲非法網站服務。非法網站的用戶充值時，會跳轉至髮卡平臺付款並獲得“卡密”，再將“卡密”填入非法網站上確認充值，最終髮卡平臺將贓款結算給非法網站。

黑產團伙利用話費、油卡、點卡等虛擬商品的高流轉性，僞造虛假交易將結算環節部分脫離支付公司風控體系，以繞開線上策略，導致平臺識別、打擊成本不斷增加。

3.掃碼支付場景黑產向個人賬戶轉移

掃碼支付因便捷性和低成本，仍是犯罪分子最青睞的收款場景之一。此前嫌疑人主要使用自建、購買的商戶作爲資金通道，比如網絡賭博平臺的收款通道都以註冊的商戶爲主，但這樣的方式成本高也容易被發現。從2018年底以來，黑產資金通道向個人賬號轉移的趨勢明顯，一種採取“智能衆包”模式的新型非法結算黑產迅速崛起（俗稱微信跑分）。這樣的平臺通過召募代理，再由層層代理以兼職爲名義，發展大量一般正常用戶提供支付寶、微信充當結算賬號，使用普通用戶的收款二維碼爲賭博網站提供非法結算服務，手法更加隱蔽，發展勢頭更快。

今年守護者計劃安全團隊協助警方破獲的一個案件中發現，犯罪懸疑人通過以APP爲中介，一方面在下游對接了大量網絡賭博平臺，另一方面形成了海量的支付賬戶池，不法分子通過技術手段將賭客的入金訂單和用戶用戶的收款二維碼進行自動匹配，從而使洗錢效率大大提升。換而言之，平臺具備了爲各類網絡賭博平臺提供支付、結算的能力。同時，平臺將賭資隱藏於正常的用戶收付款行爲中，導致上述行爲難以被風控模型識別。經警方查明，犯罪懸疑人自2018年底上線運營，發展兼職用戶過萬人，非法結算資金數十億元。核心成員和一級代理50 餘人理遍佈于山東、陝西、遼寧等6 省。案件落地後，極大的震懾了各類“非法支付結算”平臺，網絡支付生態也得到淨化。

需要注意的是黑產團伙利用個人賬號收款結算從“養號”和“買號”，演變成“租號”和“租碼”，平臺發現難度加大，雖然支付機構風控團隊上線的針對性策略一段時間內遏制了此類手法蔓延，黑產團伙仍在不斷更新手法（如虛擬幣跑分、同城跑分），這裏的監測和對抗仍將長期存在。

4.商戶支付接口被第四方支付平臺挪用

隨着聚合支付市場的飽和，部分不法商家突破紅線，變身違法“第四方支付”，使用自己註冊和控制的支付商戶爲客戶提供結算服務，不但突破了法律紅線，也給平臺帶來一定監管風險。

2019年9月，守護者計劃安全團隊配合遼寧警方破獲一起非法結算案，涉及微信商戶流水60億元。涉案公司屬遊戲行業比較知名的聚合支付公司，在正常聚合業務之外，還爲300餘款無牌遊戲APP提供收款通道。該案核心手法是挪用了商戶支付接口：犯罪團伙將使用空殼公司註冊的批量微信商戶信息集成到sdk中，當團伙與無牌遊戲公司勾連時，便將sdk作爲遊戲APP的支付功能模塊使用，最終將所收的遊戲充值款迴流給遊戲公司，實現結算目的。這種挪用商戶接口的行爲，在非法結算黑產中屬於常用手法，而被聚合支付公司使用則比較罕見。

5.大型可信商戶成爲策略對抗新焦點

目前我們發現可信商戶涉賭問題集中在運營商和大型電商。例如上述第二點中提及的話費充值案件就是運營商的代理渠道與外部非法結算團伙相互勾連，衍生出

的非法結算新手法。而大型電商平臺則多涉及“二清”模式，爲其平臺商家變相開設子商戶解決資金結算問題。

非法結算黑產正是利用了大型可信商戶的“代理”、“二清”模式，繞開支付機構的風控策略，爲黃賭騙犯罪提供資金結算通道。經摸查，目前黑產圈已形成了比較成熟的註冊、收款、結算鏈條，他們大批量入駐這些電商平臺成爲商家，虛設商品類型和價格，最終以“電商購物”爲幌子，實現爲黃賭騙犯罪提供收款服務。由於大型電商的內部結算體系脫離於支付平臺的風控體系，平臺又無法直接處理電商商戶，只能與其聯合處置商家，導致風控打擊成本較高，黑產在此與支付平臺進行激烈周旋對抗。

從以上情況看，當前支付渠道黑產充分利用技術與商業模式創新，與各類網絡犯罪交織共生，手法模式快速迭代發展，呈現出專業化、集團化、智能化、國際化趨勢，與安全風控策略對抗愈加激烈，我們也將繼續跟蹤和剖析黑產手法的演變過程。與此同時兩高公佈的《關於辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》，也提示我們在平臺治理和應對監管、法律風險方面需要進一步升級打法策略，從事前、事中、事後多個維度進一步完善安全風控體系，履行好企業主體責任。

相關文章