揭秘诈骗洗钱新趋势:挂单充值、商户洗钱等模式蔓延
在全球数字化加速、金融交易日益便捷的当下,黑灰产洗钱活动愈发猖獗。随着国家金融监管力度加大,传统洗钱方式操作空间被压缩,黑灰产团伙为逃避打击,不断推出更隐蔽、复杂的洗钱手段,给银行等金融机构的风险防控带来新挑战。
威胁猎人分析发现,传统跑分模式因“断卡行动”等监管收紧,成本增加、风险暴露。黑产转而采用挂单洗钱混淆资金来源,或通过商户洗钱将赃款伪装成合法交易,目的是降低洗钱成本、提高隐蔽性和实现便捷的跨境资金转移。
对比传统跑分洗钱与新型洗钱模式,随着模式演进,洗钱人员构成、资金流路径、交易特征及隐蔽性都发生了变化,新型模式的隐蔽性和反追踪能力更强。
一、黑产早期跑分模式洗钱
跑分模式洗钱以“资金池”为核心,通过招募跑分用户提供银行卡并缴纳押金,为诈骗团伙分散诈骗资金。整个洗钱路径中,用跑分用户的银行卡隔离洗钱资金。
该模式有四类核心角色:跑分平台、跑分用户、诈骗团伙、受害人。
诈骗团伙:是洗钱资金的需求方,用精心包装的身份话术,在社交软件上对受害人精准诈骗,诱导转账,如炒股投资理财诈骗。
跑分平台:是洗钱核心组织者,监控诈骗资金流入、调度跑分用户银行卡、结算佣金及诈骗团伙资金。
跑分用户:是诈骗资金中转的“人肉通道”,在跑分平台缴纳押金作信用担保,提供个人银行卡接收诈骗资金。
受害人:被诈骗团伙诱导后,将资金转入跑分用户银行卡。
传统跑分模式虽用跑分用户银行卡隔离诈骗资金,但交易记录可追溯仍有风险。为隐蔽犯罪所得资金,黑产采取以下手段:
1、跑分押金用虚拟货币支付:要求跑分用户用虚拟货币(如USDT)缴纳押金。
2、结算诈骗资金用虚拟货币:跑分平台给诈骗团伙结算资金也通过虚拟货币(如USDT)完成。
黑产利用虚拟货币的匿名性、去中心化、跨境流通特性,规避国内资金监管,将诈骗资金快速转移到境外,导致被害人损失难追回,还助长上游诈骗犯罪。此外,黑产还演进出更多样化的洗钱模式以提高隐蔽性、规避监管。
二、黑产洗钱模式多元化演进:挂单模式洗钱、商户洗钱
威胁猎人研究发现,近年来黑产洗钱模式多元化,“挂单洗钱”“商户洗钱”突出。
2.1 挂单模式洗钱
挂单模式是赌客将提现订单提交至挂单平台,平台把订单信息转给诈骗团伙。诈骗团伙引导受害人将钱转入赌客银行卡,实现资金“代付”,赌客不知情成为洗钱通道,完成赃款转移。
挂单模式洗钱有四类角色:挂单平台、诈骗团伙、赌客、受害人。
挂单平台:是洗钱交易的撮合者,监控充提订单,匹配赌客“提现”需求,调度给诈骗团伙。
赌客:不知情成为诈骗资金中转的“人肉通道”,提现赌资却收到诈骗资金。
受害人:被诈骗团伙诱导后,将资金转入跑分用户银行卡。
与早期跑分模式相比,挂单洗钱无需招募专业跑分人员,利用赌客银行卡低成本获取大量账号分散转移诈骗资金。赌客卡前期无明显洗钱特征,提升了资金转移隐蔽性,使银行现有反诈模型难识别。
威胁猎人监控数据显示,2025年上半年,挂单充值中参与洗钱的银行卡环比上升115%。
挂单洗钱规模扩大,被动参与的银行卡增多,给银行等金融机构反洗钱工作带来挑战:
1、洗钱交易隐蔽性提升,受害人直接给赌客转账,与正常个人转账无异,传统监测模型失效,无法通过对手方特征识别风险。
2、诈骗资金链路断裂,与传统跑分模式相比,无“资金池”,诈骗资金只在受害人和赌客账户一次性流动。
3、银行难识别客户身份,赌客被动成为洗钱工具,银行难界定其主观恶意,批量冻结账户会误伤用户,遭大量投诉。
黑产将洗钱风险转移到正常金融账户的方式,也应用到风控薄弱的商户交易环节。
2.2 商户洗钱
商户洗钱指黑产盗用合法商户账户或开设虚假商户账户,将诈骗资金通过商户转移,依托真实交易掩护或伪造交易完成资金清洗。
商户洗钱有四个核心角色:诈骗团伙、洗钱团伙、商户提供者、受害人。
诈骗团伙:用精心包装的身份话术,在社交软件上对受害人精准诈骗,诱导向商户账户转账,如炒股投资理财诈骗。
商户提供者:
码商:掌握大量商户账号资源,可代办营业执照和认证商户,提供资料给洗钱团伙,安排人员配合人脸认证。
散户:找码商中介或直接对接洗钱团伙,提供商户信息,配合洗钱交易。
商家:被黑产套取商户收款码,提供给线上洗钱团伙,通过赃款购买名贵商品完成洗钱交易。
洗钱团伙:从码商、散户处租赁或购买商户账号,或套取线下商家收款码,对接诈骗团伙,协助非法资金转移洗白。
受害人:被诈骗诱导后,向商户账户支付黑资,成为犯罪组织的“人肉取款机”。
威胁猎人分析,目前商户洗钱主要有三类:利用线下商家洗钱,利用线上电商平台商家洗钱和开通虚假商家码洗钱。
「利用线下商家洗钱」
黑产线下找商家,将收款账号给线上洗钱团伙,以购买商品或信用卡套现名义,把诈骗资金转入商家账户,再销赃回款。
「利用电商商家洗钱」
「开通虚假商家码洗钱」
黑产招募人员,用个人信息和虚假商家材料开通商户码,给洗钱团伙用于诈骗资金归集和转移。
威胁猎人监控数据显示,2025年上半年,商户洗钱团伙规模环比上涨60%,洗钱商户数量环比上涨43%。这表明黑产利用商户账号洗钱向组织化、规模化演变。
黑产利用商户洗钱规模扩大,被利用的商户增多,给收单机构、电商平台和商家带来风险与挑战:
1、收单机构面临监管重压:黑产用虚假材料开通虚假商户洗钱,易使收单机构监管评级下调。
2、电商平台经营安全与声誉受影响:黑产利用电商平台业务洗钱,将非法资金混入正常流水,平台为拦截资金可能批量冻结账户,误伤正常商家,声誉受损。
3、商家正当权益受损:正常商家账户被冻结,日常经营中断,被动接收黑资后账户被司法冻结,现金流断裂。
三、黑产洗钱模式多元化的应对措施
洗钱模式从“链条可控”变为“路径分散”,从“黑产自营”走向“混入日常”。传统跑分团伙被打击,更多普通赌客、商户、散户不知情卷入洗钱流程,成为“隐形节点”。
因此,金融机构要及时了解黑产洗钱手法,依托全网黑产洗钱情报监测数据,将单一交易监测升级为系统性生态对抗,从“被动防御”转向“主动防御”。
威胁猎人提供的“反洗钱情报服务”:基于全面的情报监测体系,深入监测全网3000 + 洗钱支付平台,1.6W + 个洗钱群聊,实时监控黑产的涉赌/涉诈银行卡、洗钱商户、洗钱对公账户等数据,赋予动态风险标签,可事前识别、事中监管、事后分析,帮助金融机构识别涉赌/涉诈洗钱账户,拦截洗钱资金。
我们在过往服务案例及API攻击情报平台监测事件中,也发现不少业务逻辑相关的安全问题。
威胁猎人助力金融机构治理洗钱账户的方式:
1、转账前
基于威胁猎人监控的数据进行分析,及早布控,扼杀账户涉诈风险。其风险银行卡数据库总量达474W + ,3W + 洗钱商户,2.7W + 洗钱对公账户。
2、交易时
基于监控数据,结合交易特征模型和交易环境特征实时建模,提醒或限制风险资金交易。
3、事后处理
基于监控数据证据链条,结合行内可疑交易记录,及时提交可疑交易报告。
本文仅代表作者观点,版权归原创者所有,如需转载请在文中注明来源及作者名字。
免责声明:本文系转载编辑文章,仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布,请及时与我们联系进行审核处理或删除,您可以发送材料至邮箱:service@tojoy.com