12月17日消息,随着网络黑产高度精细化、产业化发展,不断衍生出大量专业黑产形态。其中贯穿黑产全链条的非法支付结算环节,是各类违法犯罪流转资金,隐瞒、漂白非法所得的最大“帮凶”。腾讯安全管理部高级总监黄凯解读了《非法支付结算犯罪特征观察与趋势研判报告》。
报告总结了非法支付结算的五大特征和趋势,包括恶意注册账号仍然是源头,虚拟商品交易成为主要渠道,非法支付渠道向普通个人账号转移的趋势明显,商户支付接口被聚合支付平台违法挪用情形增多,电商、通信运营商等大型可信商户成为对抗新焦点等。
黄凯表示,当前支付渠道黑产充分利用技术与商业模式创新,与各类网络犯罪交织共生,手法模式快速迭代发展,呈现出专业化、集团化、智能化、国际化趋势,与安全风控策略对抗愈加激烈,我们也将继续跟踪和剖析黑产手法的演变过程。
与此同时两高公布的《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》,也提示我们在平台治理和应对监管、法律风险方面需要进一步升级打法策略,从事前、事中、事后多个维度进一步完善安全风控体系,履行好企业主体责任。
以下为报告分享全文:
今天我和大家分享的是“非法支付结算在网络犯罪中的特征观察与趋势研判”。大家都知道,近些年随着互联网特别是移动互联网的快速发展,传统犯罪的网络化呈现一个急剧上升的态势,公安机关也加大了打击整治涉网犯罪的力度,但这其中一个重要而艰巨的挑战,就是无论是下游的黄赌骗等涉网犯罪,还是诸如DD0s攻击、木马病毒、外挂等计算机犯罪,他们的成功实施,除了网络犯罪本身,还得到了产业利益链条的全环节支撑。这条产业链,我们称之为网络黑产供给链。
网络黑产供给链,指的就是专门为黑产提供物料、流量、支付这三大支撑的产业链条,这些内容不但是黑灰产业的源头,它们本身的存在也破坏了互联网法治秩序,置身于网络黑灰产业犯罪链条当中,也是网络犯罪的一部分。
今天要探讨的关于非法支付结算这个主题,也是互联网犯罪中一个核心的利益链条。移动支付近年来发展迅速,一方面,移动支付为广大人民群众的生活带来了极大的便捷,也为整个金融市场注入了新的活力。而另一方面,我们也客观的看到,一些网络黑灰产也尝试搭上移动支付这辆高速发展的“快车”,例如过去线下的赌博、色情、诈骗和传销等违法行为开始在网上兴起,从而催生了在网络中转移、隐瞒、漂白犯罪所得的“市场需求”,而“非法支付结算平台”则是为这些网络黑灰产提供洗钱、支付结算服务的“中间商”,甚至可以说是网络违法犯
罪行为的“帮凶”。这些非法平台不仅滋生出欺诈、盗刷、信息泄露等其他衍生风险,同时严重还扰乱了金融市场秩序,给支付平台带来监管风险。央行、公安部、最高检、最高法分别作为监管机构、执法机构,都深刻、清晰地看到了“非法支付结算平台”所造成的行业乱象和危害,并组织开展了整治专项。作为国内主要的第三方支付机构之一,腾讯和财付通公司也一直积极地参与到对非法支付结算黑产的打击和治理中。
非法支付结算的特征和趋势
1.恶意注册仍是支付黑产的源头性问题
支付账号是从事非法支付结算黑产的必需物料,除了租借、收购正常用户的支付账号之外,大量作恶账号来源于黑产团伙的批量恶意注册。其通过非法渠道购买大量个人四件套(身份证件、银行卡、手机卡、U盾)和企业八件套(对公银行卡、U盾、法人身份证、公司营业执照、对公账户银行申请表、公司公章、法人印章、公司章程)进行批量化账号注册,加上模拟正常帐号形态的养号行为(社交、流水),突破平台安全策略,短期内获得大量账号。目前腾讯守护者计划安全团队正在协助公安机关办理的案件中,就发现不到10人的一个小型团伙,一天注册商户就达200余个,而在个人账号领域,黑产团伙通过编写恶意脚本,结合短信接码平台和打码平台形成自动化批量注册,体量更是惊人。
恶意注册黑产属于行业问题,其源头在于公民个人信息的泄露与贩卖,在支付领域表现为买卖银行卡和企业注册资料行为的泛滥。2019年4月,广西警方摧毁一个向境外贩卖银行卡的犯罪团伙,缴获的银行卡、企业对公帐户多达11000多张、
1800多个,警方溯源发现无知群众被利用开设银行卡的现象十分严重,同时由于商事制度改革大大降低了企业注册门槛,不少空壳公司被注册出来,为支付账号恶意注册提供了客观条件。
2.虚拟商品高频交易成为黑产窥觊之地
今年以来,犯罪团伙通过高频交易、线上交割模式,将虚拟商品作为结算中介道具,作为网络色情、赌博的线上入金渠道,达到资金流转的目的。
一类是有实体支持的线上商品,像话费、油卡等。2019年9月,守护者计划安全团队协助警方破获全国首例利用运营商话费充值渠道入金的跨境网络赌博案,涉案金额达40亿元。犯罪团伙将从运营商“话费代理渠道”获取的正常用户充值订单,与赌博网站充值需求进行实时匹配,将赌资导入运营商的商户,而正常用户支付的话费资金被结算给赌博团伙。犯罪团伙被捕时正在开发加油卡、视频会员等其他方式,由此可见,符合“高频”、“虚拟”特征的商品,都有可能被犯罪团伙充当成为非法结算的“道具”。
第二类是完全意义上的虚拟商品,像游戏点卡、会员卡密等。例如黑产圈流行的“发卡平台”结算手法,此类手法早期是游戏卡、电话卡的自动售卡平台,而随着移动网络的迅速普及,游戏、运营商自行建立了充值平台,此类发卡平台转而为非法网站服务。非法网站的用户充值时,会跳转至发卡平台付款并获得“卡密”,再将“卡密”填入非法网站上确认充值,最终发卡平台将赃款结算给非法网站。
黑产团伙利用话费、油卡、点卡等虚拟商品的高流转性,伪造虚假交易将结算环节部分脱离支付公司风控体系,以绕开线上策略,导致平台识别、打击成本不断增加。
3.扫码支付场景黑产向个人账户转移
扫码支付因便捷性和低成本,仍是犯罪分子最青睐的收款场景之一。此前嫌疑人主要使用自建、购买的商户作为资金通道,比如网络赌博平台的收款通道都以注册的商户为主,但这样的方式成本高也容易被发现。从2018年底以来,黑产资金通道向个人账号转移的趋势明显,一种采取“智能众包”模式的新型非法结算黑产迅速崛起(俗称微信跑分)。这样的平台通过召募代理,再由层层代理以兼职为名义,发展大量一般正常用户提供支付宝、微信充当结算账号,使用普通用户的收款二维码为赌博网站提供非法结算服务,手法更加隐蔽,发展势头更快。
今年守护者计划安全团队协助警方破获的一个案件中发现,犯罪悬疑人通过以APP为中介,一方面在下游对接了大量网络赌博平台,另一方面形成了海量的支付账户池,不法分子通过技术手段将赌客的入金订单和用户用户的收款二维码进行自动匹配,从而使洗钱效率大大提升。换而言之,平台具备了为各类网络赌博平台提供支付、结算的能力。同时,平台将赌资隐藏于正常的用户收付款行为中,导致上述行为难以被风控模型识别。经警方查明,犯罪悬疑人自2018年底上线运营,发展兼职用户过万人,非法结算资金数十亿元。核心成员和一级代理50余人理遍布于山东、陕西、辽宁等6省。案件落地后,极大的震慑了各类“非法支付结算”平台,网络支付生态也得到净化。
需要注意的是黑产团伙利用个人账号收款结算从“养号”和“买号”,演变成“租号”和“租码”,平台发现难度加大,虽然支付机构风控团队上线的针对性策略一段时间内遏制了此类手法蔓延,黑产团伙仍在不断更新手法(如虚拟币跑分、同城跑分),这里的监测和对抗仍将长期存在。
4.商户支付接口被第四方支付平台挪用
随着聚合支付市场的饱和,部分不法商家突破红线,变身违法“第四方支付”,使用自己注册和控制的支付商户为客户提供结算服务,不但突破了法律红线,也给平台带来一定监管风险。
2019年9月,守护者计划安全团队配合辽宁警方破获一起非法结算案,涉及微信商户流水60亿元。涉案公司属游戏行业比较知名的聚合支付公司,在正常聚合业务之外,还为300余款无牌游戏APP提供收款通道。该案核心手法是挪用了商户支付接口:犯罪团伙将使用空壳公司注册的批量微信商户信息集成到sdk中,当团伙与无牌游戏公司勾连时,便将sdk作为游戏APP的支付功能模块使用,最终将所收的游戏充值款回流给游戏公司,实现结算目的。这种挪用商户接口的行为,在非法结算黑产中属于常用手法,而被聚合支付公司使用则比较罕见。
5.大型可信商户成为策略对抗新焦点
目前我们发现可信商户涉赌问题集中在运营商和大型电商。例如上述第二点中提及的话费充值案件就是运营商的代理渠道与外部非法结算团伙相互勾连,衍生出
的非法结算新手法。而大型电商平台则多涉及“二清”模式,为其平台商家变相开设子商户解决资金结算问题。
非法结算黑产正是利用了大型可信商户的“代理”、“二清”模式,绕开支付机构的风控策略,为黄赌骗犯罪提供资金结算通道。经摸查,目前黑产圈已形成了比较成熟的注册、收款、结算链条,他们大批量入驻这些电商平台成为商家,虚设商品类型和价格,最终以“电商购物”为幌子,实现为黄赌骗犯罪提供收款服务。由于大型电商的内部结算体系脱离于支付平台的风控体系,平台又无法直接处理电商商户,只能与其联合处置商家,导致风控打击成本较高,黑产在此与支付平台进行激烈周旋对抗。
从以上情况看,当前支付渠道黑产充分利用技术与商业模式创新,与各类网络犯罪交织共生,手法模式快速迭代发展,呈现出专业化、集团化、智能化、国际化趋势,与安全风控策略对抗愈加激烈,我们也将继续跟踪和剖析黑产手法的演变过程。与此同时两高公布的《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》,也提示我们在平台治理和应对监管、法律风险方面需要进一步升级打法策略,从事前、事中、事后多个维度进一步完善安全风控体系,履行好企业主体责任。
关键词: 腾讯安全