面向非法第四方支付平臺(tái)的取證分析技術(shù)研究*

孟彩霞 林俊豪 張驍

1.鐵道警察學(xué)院 2.南昌鐵路公安局 3.廣州鐵路公安局

引言

隨著互聯(lián)網(wǎng)經(jīng)濟(jì)時(shí)代的到來，支付進(jìn)入了掃碼時(shí)代，以微信支付、支付寶為代表的第三方支付逐漸成為人們?nèi)粘ＯM(fèi)的重要方式，為解決“一柜多碼”問題，第四方支付應(yīng)運(yùn)而生，第四方支付是移動(dòng)互聯(lián)網(wǎng)時(shí)代結(jié)構(gòu)性的支付服務(wù)解決方案，極大的提高了資金交易效率。然而，由于法制體系的不夠完善與監(jiān)管上的漏洞，第四方支付也成了新型網(wǎng)絡(luò)犯罪的溫床。據(jù)統(tǒng)計(jì)在2018年，非法第四方支付相關(guān)的案件數(shù)量已是2017年的6倍，相關(guān)案件每年約以2倍的速度增長。同時(shí)，涉及非法第四方支付的年涉案資金流水動(dòng)輒上百億，已造成較大的社會(huì)危害。

文獻(xiàn)[1]指出目前我國針對(duì)非法第四方支付研究集中于犯罪問題以及法律適用的探討，缺乏在取證分析方面的具體技術(shù)研究。文獻(xiàn)[2]指出了非法第四方支付的由來與法律適用，并在法律和監(jiān)管打擊方面提出了建議。文獻(xiàn)[3]以實(shí)際案例為基礎(chǔ)，剖析了非法網(wǎng)絡(luò)支付平臺(tái)的架構(gòu)，分析了支付平臺(tái)的證據(jù)源，對(duì)打擊非法網(wǎng)絡(luò)支付平臺(tái)提供了案例指導(dǎo)。文獻(xiàn)[4]從偵防對(duì)策上總結(jié)了平臺(tái)運(yùn)行方式和資金流動(dòng)方向，并提出了構(gòu)建信息通道，搭建第四方支付警務(wù)預(yù)警平臺(tái)的建議，但并未對(duì)調(diào)查方法和取證技術(shù)做出具體的設(shè)計(jì)和部署。在國外，面向網(wǎng)絡(luò)洗錢的技術(shù)取證已經(jīng)形成了一個(gè)新興的數(shù)字取證子學(xué)科金融科技取證，其中涵蓋金融技術(shù)和金融科技[5]。目前，社會(huì)的數(shù)字化轉(zhuǎn)型正在為支付、資金轉(zhuǎn)賬和其他金融交易引入新的科技，同時(shí)也促進(jìn)了犯罪工具的迭代升級(jí)[6]。非法第四方支付平臺(tái)的出現(xiàn)，不僅能夠隱蔽的為網(wǎng)絡(luò)灰黑產(chǎn)提供洗錢服務(wù)，同時(shí)還避免了犯罪分子與受害人資金上的直接往來，從而幫助上游的違法犯罪逃避公安機(jī)關(guān)的監(jiān)管和打擊，嚴(yán)重破壞了金融秩序，給公安機(jī)關(guān)分析此類案件帶來了嚴(yán)峻的挑戰(zhàn)。因此，研究非法第四方支付平臺(tái)的運(yùn)行方式及證據(jù)特點(diǎn)，及時(shí)構(gòu)建針對(duì)非法第四方支付平臺(tái)的取證分析技術(shù)體系，不斷調(diào)整打擊防范措施，已成為公安機(jī)關(guān)迫在眉睫的工作。

一、非法第四方支付平臺(tái)的結(jié)算機(jī)制

（一）非法第四方支付平臺(tái)

第四方支付是對(duì)微信、支付寶等第三方支付服務(wù)平臺(tái)的一個(gè)整合。第四方支付與各方之間的關(guān)系如圖1所示。第四方支付與第三方支付不同的是，第四方支付本身就是一個(gè)聚合支付通道，因其不受支付結(jié)算許可牌照的限制，從而靈活便捷。但由于缺少對(duì)應(yīng)的監(jiān)管環(huán)境，第四方支付逐漸成為了網(wǎng)絡(luò)洗錢的代名詞。

非法第四方支付平臺(tái)是具有非法清算、核算功能的網(wǎng)絡(luò)支付結(jié)算平臺(tái)，又常被稱為“跑分”平臺(tái)，運(yùn)行機(jī)制類似于外賣員在平臺(tái)搶單配送，其平臺(tái)運(yùn)營者常通過網(wǎng)絡(luò)平臺(tái)利用高額收益為引誘，誘導(dǎo)個(gè)人參與搶單“跑分”賺取提成，或出租、賣出自己的微信、支付寶收款碼在“跑分”平臺(tái)上幫助上游犯罪洗錢，每一單收款金額看似不大，但是參與人數(shù)眾多，為上游的犯罪提供了“螞蟻搬家式”的洗錢服務(wù)，社會(huì)危害較大。

（二）非法第四方支付的結(jié)算模式

本文所探討的非法第四方支付平臺(tái)，采用的是一種相對(duì)廣泛的概念，具體而言，其通常包含3種類型：第一種是利用個(gè)人收款碼進(jìn)行“跑分”賺取傭金的“個(gè)人賬戶模式”；第二種是虛構(gòu)交易生成付款碼進(jìn)行收款交易的“電商店鋪模式”；第三種是利用數(shù)字貨幣收款地址“跑分”賺取傭金的“虛擬幣跑分模式”。這三種模式本質(zhì)上都是利誘大眾利用個(gè)人的收款方式參與資金結(jié)算，賺取提成，實(shí)則是幫助非法資金進(jìn)行洗白。

1.個(gè)人賬戶模式

以境外博彩網(wǎng)站賭資洗錢為例，該模式類似于滴滴打車平臺(tái)的搶單機(jī)制，采用“跑分”的方式實(shí)現(xiàn)平臺(tái)會(huì)員、非法第四方平臺(tái)為博彩網(wǎng)站提供支付結(jié)算服務(wù)，該模式的詳細(xì)流程如圖2所示。

（1）技術(shù)人員搭建“跑分平臺(tái)”，接著通過網(wǎng)絡(luò)引流吸引人員注冊(cè)，然后由注冊(cè)會(huì)員上傳自己的個(gè)人收款碼至支付平臺(tái)，同時(shí)繳納一定數(shù)額的押金。同時(shí)，境外博彩網(wǎng)站在“跑分”平臺(tái)上注冊(cè)商戶賬號(hào)，對(duì)接商戶接口。

（2）賭客在博彩網(wǎng)站充值一定數(shù)額的賭資，博彩網(wǎng)站會(huì)將第三方充值請(qǐng)求發(fā)送至第四方支付平臺(tái)。

（3）第四方支付平臺(tái)會(huì)員頁面發(fā)布搶單信息，注冊(cè)會(huì)員進(jìn)行搶單。

（4）用戶搶單后，平臺(tái)將用戶綁定的個(gè)人收款碼發(fā)送到博彩網(wǎng)站供賭客充值，用戶收到賭資后，平臺(tái)扣除用戶的個(gè)人押金。

（5）用戶此時(shí)將收到的賭資扣除一定比例的傭金，然后轉(zhuǎn)賬至平臺(tái)的指定水房賬戶。賭資轉(zhuǎn)移后用戶押金恢復(fù)如初，之后能繼續(xù)搶單。

（6）平臺(tái)賬號(hào)收到用戶轉(zhuǎn)來的賭資后，扣除一定比例的手續(xù)費(fèi)，之后將賭資轉(zhuǎn)移至境外博彩網(wǎng)站專門用來清洗資金的賬戶中。至此，博彩網(wǎng)站完成資金結(jié)算，非法第四方支付平臺(tái)和參與“跑分”人員均獲得收益。

2.電商店鋪模式

該模式是利用電商平臺(tái)進(jìn)行“掛羊頭賣狗肉”的虛假買賣來實(shí)現(xiàn)。繼續(xù)以“跑分”平臺(tái)為境外博彩網(wǎng)站提供資金結(jié)算服務(wù)為例，該種模式的具體流程如圖3所示。

（1）用戶注冊(cè)電子商務(wù)平臺(tái)，針對(duì)與博彩網(wǎng)站對(duì)接賭客的常用充值金額，在電子商鋪上上架固定價(jià)格的虛擬產(chǎn)品。然后利用大量在電商網(wǎng)站注冊(cè)的小號(hào)下單這些虛購產(chǎn)品，根據(jù)付款方式選擇第三方付款方式，由此得到了大量的產(chǎn)品代付碼，繼而將代付碼傳遞至第四方的支付平臺(tái)或技術(shù)接口。

（2）賭客在博彩網(wǎng)站選擇一種第三方支付渠道進(jìn)行充值。

（3）博彩網(wǎng)站將賭客的充值請(qǐng)求發(fā)送至非法第四方支付平臺(tái)。

（4）非法第四方支付平臺(tái)依據(jù)充值金額的大小調(diào)用代付碼。之后將代付碼推送至賭客手中。

（5）賭客掃碼進(jìn)行充值，賭資進(jìn)入平臺(tái)會(huì)員賬戶。

（6）平臺(tái)會(huì)員扣除傭金后轉(zhuǎn)移賭資至平臺(tái)指定賬戶。

（7）平臺(tái)收到賭資后，也將扣除一定比例的傭金，之后將賭資轉(zhuǎn)入境外博彩網(wǎng)站專門用來清洗資金的賬戶中，經(jīng)過重重清洗后，賭資順利轉(zhuǎn)移到博彩網(wǎng)站手中。

在這種模式下，犯罪分子想通過網(wǎng)絡(luò)電商掩蓋洗錢行為，可是用戶注冊(cè)的電子商鋪信息與賭資仍然產(chǎn)生了信息關(guān)聯(lián)，這也讓取證分析有跡可循、有點(diǎn)可控。但是，隨著技術(shù)的更新迭代。電商鋪模式下還衍生出了一些更為隱蔽的支付模式，例如話費(fèi)充值模式、卡密模式、加油卡跑分、PDD跑分等。

3.虛擬幣跑分模式

隨著監(jiān)管力度的加強(qiáng)以及第三方支付平臺(tái)的風(fēng)控越來越嚴(yán)格，相關(guān)“跑分”平臺(tái)受到了嚴(yán)厲的打擊，但是市場上還是繼續(xù)出現(xiàn)了各種新型“跑分”平臺(tái)，其中最典型的就是USDT（泰達(dá)幣）跑分。2020年某警方成功偵破了一個(gè)跨境博彩和利用USDT跑分平臺(tái)非法經(jīng)營的犯罪案件，經(jīng)查明涉案流水資金近億元，查扣凍結(jié)涉賭資金兩百萬元，該案例為國內(nèi)首起破獲的利用泰達(dá)幣（數(shù)字貨幣）進(jìn)行非法第四方支付結(jié)算的案件。

從流程上講，USDT跑分與個(gè)人賬戶模式相似，只不過是把原本的支付寶、微信收款碼換成了火幣、幣安等虛擬幣交易所的USDT收款地址，把原本的人民幣保證金換成了USDT，如圖4所示。由于泰達(dá)幣并非我國的法定貨幣，相比傳統(tǒng)跑分模式，USDT跑分無需擔(dān)心微信、支付寶風(fēng)控，并且數(shù)字貨幣收款地址具有匿名性，使用非法定數(shù)字貨幣跑分，資金也無法直接凍結(jié)，因此，數(shù)字貨幣跑分更是缺乏管控，同時(shí)，USDT跑分衍生了一系列的資金盤騙局，USDT虛擬幣跑分崩盤，設(shè)盤者卷走保證金跑路的案例時(shí)有發(fā)生。

二、非法第四方支付平臺(tái)的取證分析技術(shù)流程

對(duì)一個(gè)非法第四方支付平臺(tái)進(jìn)行取證分析需要從多個(gè)方面來進(jìn)行，在初期階段，對(duì)平臺(tái)打包的APP應(yīng)用程序進(jìn)行逆向工程[7]，收集關(guān)鍵信息，對(duì)網(wǎng)站進(jìn)行溯源分析，收集網(wǎng)站搭建的相關(guān)技術(shù)。在后期取證分析階段，要及時(shí)運(yùn)用證據(jù)調(diào)取、網(wǎng)絡(luò)遠(yuǎn)程勘驗(yàn)等技術(shù)來固定關(guān)鍵證據(jù)。通過電子數(shù)據(jù)取證綜合分析形成完整的證據(jù)鏈，其具體的流程如圖5所示。非法第四方支付平臺(tái)的取證分析流程與常見的涉網(wǎng)類案件的取證分析流程類似，落腳點(diǎn)主要圍繞平臺(tái)的網(wǎng)站和數(shù)據(jù)庫，數(shù)據(jù)分析的側(cè)重點(diǎn)在于平臺(tái)的業(yè)務(wù)數(shù)據(jù)和資金交易信息。

（1）溯源涉案網(wǎng)站，首先以非法第四方支付平臺(tái)客戶端為切入點(diǎn)，判斷平臺(tái)是否使用APP客戶端，如果平臺(tái)前端使用的是APP客戶端，則需借助安卓逆向工程、網(wǎng)絡(luò)流量分析等技術(shù)手段對(duì)涉案域名進(jìn)行發(fā)掘。如果平臺(tái)前端直接使用網(wǎng)站運(yùn)行，則可對(duì)網(wǎng)站域名進(jìn)行IP溯源，并對(duì)網(wǎng)站的框架和各項(xiàng)服務(wù)進(jìn)行信息收集。

（2）判斷是否要進(jìn)行服務(wù)器勘驗(yàn)，如果不具備服務(wù)器勘查條件則可使用拍照或錄屏的方法對(duì)平臺(tái)的網(wǎng)頁資源進(jìn)行取證固定，如果具備服務(wù)器勘查條件則可進(jìn)行下一步的服務(wù)器取證工作。

（3）通過是否具備服務(wù)器權(quán)限這一條件將勘查分為服務(wù)器遠(yuǎn)程勘驗(yàn)和鏡像調(diào)證兩條路線。在鏡像調(diào)證路線中，通過調(diào)取云服務(wù)器鏡像進(jìn)行仿真取證，還原網(wǎng)站服務(wù)，從而提取關(guān)鍵數(shù)據(jù)進(jìn)行數(shù)據(jù)分析。在服務(wù)器遠(yuǎn)勘路線中，既可以采用進(jìn)入網(wǎng)站后臺(tái)提取涉案數(shù)據(jù)的方式進(jìn)行證據(jù)的固定和分析，也可以采用制作遠(yuǎn)程鏡像，仿真還原平臺(tái)環(huán)境的方式來實(shí)現(xiàn)。

此技術(shù)流程目的在于提取涉案數(shù)據(jù)，對(duì)平臺(tái)的資金數(shù)據(jù)、交易記錄、賬戶信息、商戶信息等數(shù)據(jù)進(jìn)行固定，為案件后續(xù)的分析工作提供線索。本流程嚴(yán)格按照取證原則，符合不損害、避免使用原始證據(jù)等原則。

三、案例應(yīng)用與分析

某公安部門獲取到非法第四方支付平臺(tái)的網(wǎng)站源碼，平臺(tái)后端源碼主要由admin、group leader、merchant、H5、regiment commander的Java歸檔文件組成，分別對(duì)應(yīng)管理員、組長、商戶、客戶端、團(tuán)長的網(wǎng)站界面。通過分析代碼的環(huán)境需求，將平臺(tái)部署在CentOS服務(wù)器上。在該套源碼中，客戶端頁面使用H5（支持移動(dòng)端的媒體交互網(wǎng)頁）搭建，故按照配置要求，將客戶端網(wǎng)頁利用APP打包為一個(gè)apk文件，文件名為“HXXX0.apk”。取證分析過程如下：

（一）Fiddler抓包分析

在安卓模擬器中對(duì)Android程序進(jìn)行分析，運(yùn)行“開心跑”程序，登錄會(huì)員賬號(hào)，程序界面由“接單”、“我的”、“回款”、“審核”四個(gè)模塊組成，如圖6所示。

此時(shí)在模擬器中配置Fiddler網(wǎng)絡(luò)代理，然后在本地測(cè)試環(huán)境中啟動(dòng)Fiddler，開始抓包監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)，通過監(jiān)測(cè)發(fā)現(xiàn)該軟件網(wǎng)絡(luò)流量指向的url，如圖7所示。

（二）Android逆向分析

首先將HXXX0.apk文件放入jadx-gui工具中進(jìn)行反編譯。得到程序反編譯后的源代碼和資源文件，接著對(duì)反編譯后的源代碼進(jìn)行靜態(tài)分析，在“assets/apps/HX0B/www/”目錄下的“manifest.json”文件中找到軟件調(diào)用的后臺(tái)地址“http://XXX:YYY9/login”，如圖8所示。

（三）制作鏡像與操作系統(tǒng)仿真

通過對(duì)服務(wù)器進(jìn)行遠(yuǎn)程勘驗(yàn)，獲取服務(wù)器權(quán)限，利用sshd遠(yuǎn)程連接至服務(wù)器，對(duì)服務(wù)器的“/dev/sda1”磁盤分區(qū)制作磁盤鏡像，如圖9所示。

（四）系統(tǒng)服務(wù)還原

系統(tǒng)服務(wù)還原是網(wǎng)站重構(gòu)的重中之重。仿真完成后進(jìn)入系統(tǒng)，首先通過命令行窗口檢查系統(tǒng)各項(xiàng)服務(wù)的歷史記錄。通過檢查服務(wù)器原本的網(wǎng)絡(luò)配置信息、DNS解析信息、歷史命令、防火墻配置、開機(jī)自啟動(dòng)服務(wù)、定時(shí)任務(wù)、端口開放等信息可以全面的了解服務(wù)器的各項(xiàng)功能和配置。

在案例中，通過對(duì)仿真系統(tǒng)開放的TCP端口和各項(xiàng)服務(wù)的配置信息以及歷史記錄可以判斷出整個(gè)系統(tǒng)的服務(wù)構(gòu)成，系統(tǒng)服務(wù)框架如圖10所示。

根據(jù)收集的系統(tǒng)服務(wù)信息，依次啟動(dòng)服務(wù)器的MySQL、Redis、Java和springboot服務(wù)再將平臺(tái)的各個(gè)業(yè)務(wù)窗口映射到服務(wù)器的TCP端口。

（五）提取關(guān)鍵數(shù)據(jù)

導(dǎo)出管理端的jar包，使用Java反編譯工具jd-gui分析源碼，通過查找關(guān)鍵字“jdbc:mysql”發(fā)現(xiàn)其中包含數(shù)據(jù)庫連接信息，平臺(tái)連接的后端數(shù)據(jù)庫名，再利用前面獲取到的MySQL數(shù)據(jù)庫賬戶信息，遠(yuǎn)程連接至系統(tǒng)數(shù)據(jù)庫，在命令行中將runscore3數(shù)據(jù)庫備份導(dǎo)出。

在網(wǎng)站后臺(tái)中可以看到該跑分平臺(tái)的累計(jì)收益和各項(xiàng)收款金額以及商戶訂單如圖11所示。

在管理后臺(tái)“收款相關(guān)/收款方式”菜單，一級(jí)頁面全部數(shù)據(jù)共有9867條數(shù)據(jù)，其中點(diǎn)擊“查看二維碼”鏈接可以查看到會(huì)員端上傳的收款碼，通過分析后端代碼查找收款碼圖片在服務(wù)器上的保存路徑，最后將收款碼打包，固定證據(jù)。

（六）小結(jié)

通過非法第四方支付平臺(tái)的源碼，搭建平臺(tái)環(huán)境，還原平臺(tái)功能，按照設(shè)計(jì)的取證分析流程，對(duì)非法第四方支付平臺(tái)進(jìn)行取證分析，最終成功獲得平臺(tái)的數(shù)據(jù)庫備份文件、會(huì)員交易的收款碼、參與跑分的賬戶信息等關(guān)鍵信息。

四、結(jié)語

本文深入研究了非法第四方支付平臺(tái)的結(jié)算機(jī)制，系統(tǒng)分析了常見非法第四方支付平臺(tái)的技術(shù)架構(gòu)和證據(jù)特征，通過對(duì)安卓逆向工程、網(wǎng)絡(luò)追蹤溯源技術(shù)、操作系統(tǒng)虛擬仿真等技術(shù)進(jìn)行總結(jié)，提出了一種針對(duì)非法第四方支付平臺(tái)的取證分析技術(shù)流程，最后通過案例應(yīng)用，實(shí)現(xiàn)了對(duì)非法第四方支付平臺(tái)關(guān)鍵證據(jù)的固定，證實(shí)了技術(shù)的實(shí)用性。該技術(shù)方案具有靈活性、高效性等特點(diǎn)，能夠幫助公安機(jī)關(guān)打擊新型網(wǎng)絡(luò)犯罪、創(chuàng)新完善打防機(jī)制，提供有力的技術(shù)支撐。