在杀猪、刷单、虚假投资等电信和网络诈骗场景中，受害人之所以能够轻易

前言

近年来，洗钱与犯罪呈链式发展，相互依存关系明显，尤其是电信和网络诈骗行业，资金流通需求巨大，依赖免费的第四方支付平台从“监管”中获取资金。 “洗白”。 前面提到的充值卡加密流通、诱导转账、免密、虚拟货币在第四方支付行业都使用了免签、跑分、虚拟货币托管接口等技术。 免签证用于解决诈骗窝点/洗钱窝点无法开通大量支付宝和微信接口的问题； 跑分用于解决诈骗窝点/洗钱窝点银行卡和收款账户短缺问题； 虚拟货币托管接口用于解决诈骗窝点/洗钱窝点 资金转出容易遇到风控限制，包括受害人转入指定账户的限制，以及嫌疑人收款账户转出的限制。

绕过第三方支付平台接口限制的免签证支付

免签支付相当于绕过了支付平台的接口开放限制，自己搭建了一套支付接口，不受监管，而且由于免签支付方式的成熟，此类工具和来源代码已泛滥成黑灰，易于获取和二次加工使用，行业门槛极低。

在杀猪、刷单、虚假投资等电信、网络诈骗场景中，受害人之所以容易相信对方，是因为在诈骗初期，可以获得诈骗者返还的任务佣金，但多笔小额资金在短期内过于频繁地发送给不同的人支付，轻则引起支付平台的风控警惕，轻则遭遇冻卡或破卡风险。 同时，由于非企业用户无法打开微信和支付宝接口，在没有支付接口的情况下，黑产无法及时匹配支付订单和支付金额，因此通过支付完成订单匹配通过免签APP回拨。 该技术早期主要应用于发卡平台（Card League）。 随着对非法产品需求的增加，逐渐被杀猪、虚假订单等电信、网络诈骗行业所采用。 因此，在大量的欺诈平台中都能看到它的身影。 收款账号为个人账号形式的二维码。

第四方支付平台为（黑灰）用户提供免签监控APP和对接管理后台。 用户先将洗钱手机登录的收款（支付宝/微信）二维码绑定到第四方支付平台，获取绑定监控终端的二维码，然后安装免签APP在收款手机上监听手机通知栏功能，填写监听端二维码即可完成第三方管理后台与免签APP的绑定。 心跳检测是指免签APP是否能正确监听到收款，检测监听是指第四方支付管理后台是否能正确收到监听到的收款记录。 当手机收到支付宝/微信的支付通知信息后，将信息回传给第四方平台，第四方平台完成与诈骗平台支付订单的对接，实现支付的效果界面。 在对免签行业进行分析的过程中，还发现为避免攻击，在云手机中安装免签APP，将被控终端IP与实际用户网络隔离。

确定策略和建议

免签第四方支付网站、免签APP源码充斥黑业圈，不少洗钱团伙会利用源码生成。 此外，在风控过程中，通过监控是否安装免签APP、手机是否为异常设备、手机IP是否异常等，提前发现非法手机并采取对策。对他们采取行动。

吸引“公众”收款账户

作为洗钱资金池的运行通道

免签支付在一定程度上解决了电信诈骗等黑灰生产平台支付通道接口和账单对账功能不足的问题，但自有资金池建设存在资金、通道等行业门槛. ，黑灰产品手中的收款账户已经消失，难以应对大量黑灰产品频繁切换账户的需求，尤其是电信和网络诈骗。 邀请学生参与洗钱过程，增加他们的洗钱渠道买卖usdt银行卡被冻结，即众筹跑分。

跑分平台以网赚名义进行兼职众包，吸引兼职者向跑分平台提供支付二维码/银行卡号，跑分平台提供给诈骗平台充当收款帐户。 诈骗团伙用文字诱导诈骗受害人向二维码/银行卡号转账后，跑分平台会给兼职者提成。 在此过程中，兼职人员的收款账户成为洗钱的渠道。 使用白账户进行诈骗资金划转，不仅规避了风控监管，还大大提高了划转成功率。 运行子平台无需过多担心洗钱资金池中的银行卡被冻结。 诈骗团伙分享利润、转移资金，提供了充足的时间。 同时，兼职人员在跑分平台上执行兼职任务时需要缴纳保证金。 由于诈骗受害人的资金流向兼职者账户，而兼职者的佣金是通过其他形式实现的，执法部门很难找到该兼职者的上游运行子平台- 追踪资金流向时的计时器。

早期的对标行业，由于上游黑产使用支付宝、微信、银行卡收款，所以对标和入金的流程使用了网银、支付宝、微信。 随着攻防手段的升级，目前跑分和充值多以虚拟货币进行。 由于一些虚拟货币稳定币的流行，USDT多用于跑分。 通过对跑分行业所用工具的挖掘，目前黑灰产市场销售的跑分工具和源码仍以合集类为主。

泰达币（USDT）是外国公司发行的区块链数字货币，按1:1的比例与美元挂钩。

简单理解就是自发的数字货币兑美元是有价值的，可以交易

确定策略和建议

与免签支付类似，跑分平台也有APP（跑分）和管理网站（四方支付）买卖usdt银行卡被冻结，不同的是APP和四方支付网站的用户群体不同。 在免签行业，APP和网站的后台用户是一样的。 某黑产集团，标杆行业：

APP用户为跑分客户（提供二维码/银行卡兼职）

网站用户正在运行评分平台和诈骗团伙。

诈骗团伙在进行诈骗活动过程中需要使用二维码/银行卡，在跑分后台发布需求单，兼职人员在跑分APP中抢单领取任务，并提供自己的二维码给跑分平台供上游（欺诈）使用。

随着攻防对抗的升级，现阶段跑分APP不像免签APP那样，使用开源代码修改二维码。 而是各个跑分平台各自开发自己的跑分应用，各有特色，应用名称大多与点餐、美食相关，很难有共性，有必要专门分析一下各个应用的特点，比如360手机卫士在2022年发现的跑分应用“**点餐”，其特点是作为跑分客户的手机收藏，在收到银行短信时，转账将自动确认，短信将上传至指定服务器。 此时，海外跑分团/诈骗团伙利用跑分客户的银行账户收转款时，不需要通过兼职客户进行操作，即由跑分客户推广的跑分计划。黑产业是“一次性存款，手机国内存储，全自动化，无需雇佣人力，还有超高科技保护，任何技术都找不到你的手机所在位置。”

用来躲避“破卡”打击的虚拟货币

随着虚拟货币的普及和虚拟货币跑分的成熟，虚拟货币已经成为电信诈骗平台支付渠道的“宠儿”。 之前占主导地位的微信和支付宝支付方式在一些平台上什至消失了。

这里我们以杀猪平台为例。 从其充值页面发现，其取消了支付宝和微信的充值入口。 除了现在还保留的网银转账入口外，大部分都是虚拟货币充值入口，包括虚拟货币钱包，虚拟货币直接转账有两种方式。 在页面点击充值后，可以看到二维码为虚拟货币接收地址。

确定策略和建议

由于虚拟货币从诞生之初就是为隐蔽性设计的，其攻防难度远高于免签和跑积分。 为此，反制措施可追溯至第四方支付平台，寻找更多蛛丝马迹。

深挖黑灰色产业链

连续的黑色和灰色生产监控

目前，电信诈骗攻防形态严峻，诈骗窝点逐步实行诈骗样本一案一用，抓获样本缺乏再警戒价值；

同一个诈骗样本接入了多个支付渠道，每次刷新充值页面，其收款账户也发生了变化，说明基本解决了收款账户不足的问题；

黑灰内部使用的工具，有着更加高明的隐藏手段。 他们使用伪接口、流行的应用程序名称和随机包名称，使得难以为已知样本扩展线路。 因此，有必要对捕获的样本进行深入挖掘，提取其产业链，包括攻防、洗钱、传播等。

切断黑色产业的资金链，摧毁黑色产业快速变现的能力，已成为从根源上打击网络犯罪的重中之重。 以第四方支付为主的非法结算上下游链条直接影响资金流向。 因此，继续加大对变现资金的打击力度，遏制非法资金外流的可能性，也是相关机构和平台努力的重点方向。

打击电信网络诈骗

任重而道远