黑灰产洗钱链条新兴技术研究与溯源打击新思路

阅读量63554

发布时间 : 2022-09-01 17:30:51

 

通过上半年的研究发现,黑灰产为了躲避监管打击,在攻防手段上不断进行“更新优化”。在引流渠道方面,从早期使用的“GOIP(多卡宝)”设备逐步向成本更低、隐蔽性更强、操作更简单的简易组网GOIP设备“进化”;在洗钱通道上,逐渐减少使用第三方支付、对公账户进行洗钱,转而利用跑分平台加虚拟货币的方式洗钱,导致追溯难度增大。下面将详细分析今年上半年发现的一些趋势变化情况。

 

成本更低、隐蔽性更强、操作更简单 新型诈骗作案工具新披露!

近年来,由于“GOIP设备”具有人机分离、远程操控、异地拨号通话和支持多张电话卡等特点,大量藏匿在境外的电信网络诈骗团伙通过远程操控的方式,使用搭建在境内的“GOIP设备”向受害人拨打电话,从而实施诈骗。

随着全国“断卡”行动不断深入,公安机关持续加大对“GOIP设备”打击力度,有效挤压了相关犯罪生存空间。为逃避侦查打击,一些犯罪分子研发升级出成本更低、隐蔽性更强、操作更简单的新型“简易组网GOIP”设备,迅速成为各类电信网络诈骗团伙拨打诈骗电话的作案工具,诈骗电话从“多卡宝”转向简易组网GOIP。

隐蔽性强的“简易组网GOIP”设备,成为新型诈骗作案工具

图-简易组网GOIP原理

设备关键词:

4部手机、音频线、远控软件、语音聊天软件

对外拨打诈骗电话的串联流程:

整个诈骗流程,使用到了远控类软件。与传统pc远程控制类软件使用到的主控和被控APP分离不同的是,带有屏幕共享功能的会议类软件,即可以当主控端使用,又可以当被控端使用。

从简易组网GOIP整个环节来看,其本质上也是成对出现的手机,只是语音音频进行了共享,很难将此种形式作为某些风控特征,及时发现潜在的GOIP。同时,由于通话语音使用音频线进行了共享,国内GOIP的搭建人员无法获悉远程诈骗话务员与受害人的通话内容,保证了GOIP运行的稳定性,攻防对抗将是一场持久战。

预测更多依赖对外拨打诈骗电话进行诈骗引流的场景,比如购物退款诈骗、冒充公检法诈骗、注销贷款诈骗、刷单返利诈骗等等,都可能是诈骗“重灾区”。

更多技术解读,请关注:https://mp.weixin.qq.com/s/Lsp8_B8pyeLlwHdNdopo5w

 

黑灰产洗钱通道的新趋势转变

在黑产链条里,洗钱犯罪与上游犯罪呈链条式发展,存在明显的相互依存关系,特别是对资金流转需求巨大的电信网络诈骗产业。根据360手机卫士团队多年研究发现,黑灰产洗钱环节在资金流转通道上发生了变化,更顺应“形势”,且追溯难度大。

以往

骗取受害人资金后,借助大量银行卡、对公账号等手段进行资金流转,并衍生出免签技术与第四方支付平台。

现在

随着技术对抗的升级,传统的第三方支付、对公账户洗钱占比已减少,跑分平台+虚拟货币洗钱逐渐成为主要手段之一。

众包式跑分

免签支付一定程度上解决了电信诈骗等黑灰产平台支付通道接口短缺,实现自动化账单对账,但自有资金池搭建存在资金、渠道等行业门槛,同时随着“断卡行动”的持续开展,黑灰产手中的收款账户消失殆尽,难以应对大量黑灰产特别是电信网络诈骗中频繁的账户切换需求。因此黑灰产将目光盯上了涉世未深的学生,通过兼职任务的方式,吸纳学生参与到洗钱流程中,增加其洗钱通道,即众包式跑分。

图-跑分流程

跑分平台以网赚为名,进行兼职众包,吸引跑分客向跑分平台提供收款二维码/银行卡号,跑分平台再提供给诈骗平台,充当收款账户。无需过度担忧洗钱资金池的银行卡被冻结的问题,为后期跑分平台与黑产/诈骗团伙利益分成转账,提供了充足的时间。

诈骗团伙以话术诱导诈骗受害人向该二维码/银行卡号转账后,跑分平台给予跑分客佣金。这个过程中,跑分客的收款账户变成了洗钱通道。利用“白账户”进行涉诈资金的流转,既规避了风控监管,又大大提高转账成功率。

由于诈骗受害人的资金流向了跑分客的账户,跑分客的佣金通过其他形式进行变现,执法机关在进行资金流向追溯时,很难发现跑分客上游的跑分平台。

跑分应用的隐蔽手段多样,对抗难度大

部分黑灰团伙为了保证支付渠道的稳定性,没有使用公开的源码,而是开发具有自己特点的跑分应用,且应用名称多与订餐、食品相关,提高攻防对抗难度。

360手机卫士团队发现的跑分应用“**订餐”,境外跑分团伙/诈骗团伙使用跑分客的银行账户进行收转款时,该应用可实时将跑分客手机收到的银行短信上传至指定的服务器,无需跑分客进行手动操作。能看出黑产在洗钱技术和效率上,都在逐步精进。

图-跑分APP界面

图-跑分APP运行代码逻辑

支付通道接入虚拟货币,“隐匿化”优势显露

随着虚拟货币“隐匿化”优势的显现,开始逐渐采用USDT(泰达币)进行跑分。由于“断卡行动”及各平台验证手段的升级,诈骗团伙从购买他人支付账户转向直接雇佣他人在虚拟货币交易所认证开户,代买卖虚拟货币,一方面跳过了断卡行动的封堵,另一个方面又避免了虚拟货币交易所的实名制认证机制。

图-黑灰产网站充值入口

如下图所示的黑灰产网站充值入口,已经取消了某宝、某信的充值入口,转而更换为虚拟货币充值的入口,使用的虚拟货币中,主要以USDT(泰达币)为主。

日趋成熟的虚拟货币流转

从目前一些诈骗平台使用的虚拟货币入口来看,包含虚拟货币钱包、虚拟货币直转两种方式,在页面点击充值后,可以看出该二维码为虚拟货币收款地址,与早期使用的某信、某宝收款二维码作用相似。

通过支付请求的回连地址,追溯到其背后使用的第四方平台发现,与常规的收款二维码一样,虚拟货币也有收款二维码,大大提升了流转便利性。同时,一键调用API接口、一键生成USDT钱包、一键自动实现USDT充提、一键归集全部地址、一键实名寄售USDT等功能,形成一个极其复杂的交易网络,增加了执法机关追查资金的难度。

图-黑灰产网站充值入口展示的收款方式

更多技术解读,请关注:https://mp.weixin.qq.com/s/vBNJ-MFl2uPDLbfODE388A

关注公众号

回复关键词【报告】查看更多内容

本文由360手机卫士原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/279272

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
360手机卫士
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66