起底遊戲、會員代充背後的洗錢之術，你可能是“幫兇”

名錶、豪車和82年的拉菲

馬某是一名“駭客”，他的主要工作就是在網上尋找各大銀行，金融機構的網路安全漏洞。從今年5月以來，馬某變得特別豪，開始大肆的購買豪車、名錶、奢侈品。

犯罪嫌疑人買的豪車（警方供圖）

原來，他發現了某銀行APP的質押貸款業務存在重大漏洞——可以透過技術手段修改定期存款的額度。什麼意思呢？意思就是他只存了500塊到銀行卡裡面，然後可以改成5千，5萬，甚至更多。

這裡的漏洞是專門針對質押貸款的，這些錢是定期存款，因為有定期存款作為質押，使用者可以向銀行申請貸款，定期存款的額度越大，可以申請的貸款金額也就越多。一般貸款額度不能超過存款的90%。

於是，馬某透過黑產渠道購買了五張銀行卡，並往每張銀行卡中存入一定的定期存款，然後篡改金額，再透過質押貸款套現。

我們來算一筆賬：

所以短短幾個月，該團夥便獲利2800多萬元。

根據新民晚報披露，馬某在套現過程中為了躲避偵查和監管，將非法獲利的賬戶存款餘額，在某網路直播平臺上全部購成點數卡，再折價賣給其他使用者。

拿到錢後，馬某開始了紙醉金迷的生活。豪車、名錶、82年的拉菲，觥籌交錯間，他也許預感到，好日子馬上就要到頭了……

而這件案子最值得人深究和玩味的，就是上面提到的馬某是如何躲避偵查和監管，透過購買直播平臺點數卡“洗錢”的。

日營業額20萬元的代充工作室

這是我們開頭提到的另一起案件。

12月20日，浙江線上刊登了一則報道，說浙江嘉興嘉善警方披露了一起非法獲取計算機資訊系統資料的特大“網路駭客”案件。該案件在全省尚屬首例，在全國範圍內也僅僅是第二例。

該黑產團夥是一家名為“小玖”的手遊代充工作室。

手遊代充、直播禮物代充以及會員代充，我們都不陌生。

專門的代充網站

某寶的代充店鋪

使用者為什麼選擇代充？因為比官方便宜。有的甚至便宜特別多！比如愛奇藝會員半價，比如直播點券7折等等。

雖然不知道其他店鋪或者網站的資源廉價是因為什麼，但是這個小玖工作室的廉價，卻大有來頭，甚至有一定的技術含量。

小玖工作室從一家做軟體開發的“科技公司”購買了一款叫做IOS666庫存的入庫外掛。該外掛的作用是，在充值各種熱門遊戲的遊戲幣、直播的禮物、影片平臺的會員權益時，可以將充值成功的憑證進行攔截，並且自動入庫儲存。

網上搜到的相關資源

於是小玖工作室養了大批的蘋果手機，並充值了大量的遊戲、直播、影片等平臺的虛擬物資，然後將這些支付成功的憑證攔截儲存起來。

圖片來源於警方

當有使用者透過小玖工作室充值的時候，他們並不真的付錢幫使用者充值，而是攔截了服務商傳回的支付失敗資訊，修改成支付成功，並將之前保留在庫存中的支付成功憑證一併發給客戶端。客戶端收到支付憑證，便給使用者發放產品。

正常的充值成功流程：

小玖工作室的充值流程：

看到這裡，使用者肯定就有疑問了。這小玖工作室自己掏錢充值，然後把憑證囤起來，再轉賣給別人，並看不出什麼不妥之處，而且還是折價賣給使用者，這是什麼神操作？

偷天換日之“洗錢”

正如上面所說，小玖工作室這種囤貨倒賣好像並沒有什麼問題。其實，問題的關鍵在於購買庫存的錢是什麼錢。

兩個案件的關聯之處想必大家心中已經有些眉目了。

馬某質押貸款的錢到賬之後，就用這些錢去類似於小玖這樣的代充工作室原價大量充值虛擬資產。然後，代充值工作室將憑證用IOS666庫存外掛囤起來，再低價售賣給使用者。

這樣錢看起來好像是虧了，但是使用者付給工作室的錢都是“乾凈”的錢。馬某聯絡的洗錢渠道可能不是小玖工作室，但是其中的具體操作可能都差不多。

當然，洗錢的可能不止是馬某案件這一種，還有之前我們文章中提到的信用卡盜刷、勒索詐騙得來的黑錢，都可以透過這種渠道洗白。

從警方透露的細節來看，小玖工作室日營業額就高達20萬元，不到一年的時間，工作室營業額就超過500萬元。沿著IOS666庫存外掛這條線，警方摸排抓捕了69人，整個案件涉及的金額高達2500萬餘元。

而這，恐怕也只是網路洗錢的冰山一角。

黑色網路圍攻受害者

透過這兩起案件，隱隱約約的我們可以感受到黑產利益鏈條千絲萬縷，錯綜複雜，彷彿一個巨大的網路，一起捕食受害者。

實際上，這隻是上述兩個案子中涉及到的黑產網路。我粗淺的畫了一個網路圖，不難發現，黑產團夥之間的交易都是你來我往的，最終的損失都落到了企業、金融平臺身上。

像利用銀行漏洞，盜刷信用卡等得到的資金，往往不久就會被髮現問題。充值蘋果手機虛擬物資，50天以內，會因結算異常而終止交易，蘋果賬戶內的充值金額就會被追回，那麼已經給使用者發放了虛擬資產的企業將出現大量的壞賬，蒙受巨大的損失。

同時，案件一中的馬某，將錢財使勁揮霍，那麼金融平臺也會面臨部分損失難以回收的情況。2016年，上海男子葉某利用國內某著名金融平臺的網路漏洞，獲利1125萬餘元，被警方發現後，最終只追回了800多萬元，平臺損失200多萬元。

當然，普通使用者也不會佔到所謂的便宜，企業一旦發現賬戶的充值出現異常，就會封禁賬號。明明花了錢，買來的卻是賬號被封。所以，儘量不要貪小便宜。

亡羊補牢與未雨綢繆

上面兩個案件，警方的介入，確實是能夠幫助企業追回一部分損失。但是亡羊補牢終究不是一個好的策略。在我們之前的一些安全從業人員專訪中，大家都有談到一個問題——很多企業並不重視業務安全，總是在事情發生了，才後知後覺的想到還有這種風險。

當然，重視業務安全是一方面，另一方面要真正實現未雨綢繆還是很難的。

我也請教了極驗的風控安全專家，他認為：

很難，但未必不能做。上述兩個案件中都涉及了異常賬戶，一是馬某用於質押貸款的五個銀行賬戶，二是小玖工作室用於充值大量平臺虛擬資源的賬戶。如果能夠透過技術手段，找出這些賬戶的異常，並根據異常追根朔源，發現其背後的動機，那麼我們的企業是可以做到未雨綢繆的。

對於異常賬戶的檢測，一直是做安全、做風控的研究重點。一直以來都有很多安全人在為之努力。像傳統的有評分卡、規則類模型等方法，隨著機器學習的發展，這兩年複雜網路、GCN逐漸崛起，在技術上實現新的突破還是可期的。

相關的技術內容可以參考《淺析圖摺積神經網路》。

兩個案件，涉及金額動輒上千萬元，足見企業蒙受的損失之高。雖然，亡羊補牢長久以來成為網路安全防禦的策略，但是我們都在努力往未雨綢繆的路上前進，而這一天近在咫尺。

相關新聞源連結：

http://www.nsoad.com/news/security/20181218/b1f2b7a2b848f9050744aaf073476aa9.html

http://zjnews.zjol.com.cn/zjnews/jxnews/201812/t20181220_9032178.shtml