孟彩霞 林俊豪 張驍
1.鐵道警察學(xué)院 2.南昌鐵路公安局 3.廣州鐵路公安局
隨著互聯(lián)網(wǎng)經(jīng)濟(jì)時(shí)代的到來,支付進(jìn)入了掃碼時(shí)代,以微信支付、支付寶為代表的第三方支付逐漸成為人們?nèi)粘OM(fèi)的重要方式,為解決“一柜多碼”問題,第四方支付應(yīng)運(yùn)而生,第四方支付是移動(dòng)互聯(lián)網(wǎng)時(shí)代結(jié)構(gòu)性的支付服務(wù)解決方案,極大的提高了資金交易效率。然而,由于法制體系的不夠完善與監(jiān)管上的漏洞,第四方支付也成了新型網(wǎng)絡(luò)犯罪的溫床。據(jù)統(tǒng)計(jì)在2018年,非法第四方支付相關(guān)的案件數(shù)量已是2017年的6倍,相關(guān)案件每年約以2倍的速度增長。同時(shí),涉及非法第四方支付的年涉案資金流水動(dòng)輒上百億,已造成較大的社會(huì)危害。
文獻(xiàn)[1]指出目前我國針對(duì)非法第四方支付研究集中于犯罪問題以及法律適用的探討,缺乏在取證分析方面的具體技術(shù)研究。文獻(xiàn)[2]指出了非法第四方支付的由來與法律適用,并在法律和監(jiān)管打擊方面提出了建議。文獻(xiàn)[3]以實(shí)際案例為基礎(chǔ),剖析了非法網(wǎng)絡(luò)支付平臺(tái)的架構(gòu),分析了支付平臺(tái)的證據(jù)源,對(duì)打擊非法網(wǎng)絡(luò)支付平臺(tái)提供了案例指導(dǎo)。文獻(xiàn)[4]從偵防對(duì)策上總結(jié)了平臺(tái)運(yùn)行方式和資金流動(dòng)方向,并提出了構(gòu)建信息通道,搭建第四方支付警務(wù)預(yù)警平臺(tái)的建議,但并未對(duì)調(diào)查方法和取證技術(shù)做出具體的設(shè)計(jì)和部署。在國外,面向網(wǎng)絡(luò)洗錢的技術(shù)取證已經(jīng)形成了一個(gè)新興的數(shù)字取證子學(xué)科金融科技取證,其中涵蓋金融技術(shù)和金融科技[5]。目前,社會(huì)的數(shù)字化轉(zhuǎn)型正在為支付、資金轉(zhuǎn)賬和其他金融交易引入新的科技,同時(shí)也促進(jìn)了犯罪工具的迭代升級(jí)[6]。非法第四方支付平臺(tái)的出現(xiàn),不僅能夠隱蔽的為網(wǎng)絡(luò)灰黑產(chǎn)提供洗錢服務(wù),同時(shí)還避免了犯罪分子與受害人資金上的直接往來,從而幫助上游的違法犯罪逃避公安機(jī)關(guān)的監(jiān)管和打擊,嚴(yán)重破壞了金融秩序,給公安機(jī)關(guān)分析此類案件帶來了嚴(yán)峻的挑戰(zhàn)。因此,研究非法第四方支付平臺(tái)的運(yùn)行方式及證據(jù)特點(diǎn),及時(shí)構(gòu)建針對(duì)非法第四方支付平臺(tái)的取證分析技術(shù)體系,不斷調(diào)整打擊防范措施,已成為公安機(jī)關(guān)迫在眉睫的工作。
第四方支付是對(duì)微信、支付寶等第三方支付服務(wù)平臺(tái)的一個(gè)整合。第四方支付與各方之間的關(guān)系如圖1所示。第四方支付與第三方支付不同的是,第四方支付本身就是一個(gè)聚合支付通道,因其不受支付結(jié)算許可牌照的限制,從而靈活便捷。但由于缺少對(duì)應(yīng)的監(jiān)管環(huán)境,第四方支付逐漸成為了網(wǎng)絡(luò)洗錢的代名詞。
非法第四方支付平臺(tái)是具有非法清算、核算功能的網(wǎng)絡(luò)支付結(jié)算平臺(tái),又常被稱為“跑分”平臺(tái),運(yùn)行機(jī)制類似于外賣員在平臺(tái)搶單配送,其平臺(tái)運(yùn)營者常通過網(wǎng)絡(luò)平臺(tái)利用高額收益為引誘,誘導(dǎo)個(gè)人參與搶單“跑分”賺取提成,或出租、賣出自己的微信、支付寶收款碼在“跑分”平臺(tái)上幫助上游犯罪洗錢,每一單收款金額看似不大,但是參與人數(shù)眾多,為上游的犯罪提供了“螞蟻搬家式”的洗錢服務(wù),社會(huì)危害較大。
本文所探討的非法第四方支付平臺(tái),采用的是一種相對(duì)廣泛的概念,具體而言,其通常包含3種類型:第一種是利用個(gè)人收款碼進(jìn)行“跑分”賺取傭金的“個(gè)人賬戶模式”;第二種是虛構(gòu)交易生成付款碼進(jìn)行收款交易的“電商店鋪模式”;第三種是利用數(shù)字貨幣收款地址“跑分”賺取傭金的“虛擬幣跑分模式”。這三種模式本質(zhì)上都是利誘大眾利用個(gè)人的收款方式參與資金結(jié)算,賺取提成,實(shí)則是幫助非法資金進(jìn)行洗白。
1.個(gè)人賬戶模式
以境外博彩網(wǎng)站賭資洗錢為例,該模式類似于滴滴打車平臺(tái)的搶單機(jī)制,采用“跑分”的方式實(shí)現(xiàn)平臺(tái)會(huì)員、非法第四方平臺(tái)為博彩網(wǎng)站提供支付結(jié)算服務(wù),該模式的詳細(xì)流程如圖2所示。
(1)技術(shù)人員搭建“跑分平臺(tái)”,接著通過網(wǎng)絡(luò)引流吸引人員注冊(cè),然后由注冊(cè)會(huì)員上傳自己的個(gè)人收款碼至支付平臺(tái),同時(shí)繳納一定數(shù)額的押金。同時(shí),境外博彩網(wǎng)站在“跑分”平臺(tái)上注冊(cè)商戶賬號(hào),對(duì)接商戶接口。
(2)賭客在博彩網(wǎng)站充值一定數(shù)額的賭資,博彩網(wǎng)站會(huì)將第三方充值請(qǐng)求發(fā)送至第四方支付平臺(tái)。
(3)第四方支付平臺(tái)會(huì)員頁面發(fā)布搶單信息,注冊(cè)會(huì)員進(jìn)行搶單。
(4)用戶搶單后,平臺(tái)將用戶綁定的個(gè)人收款碼發(fā)送到博彩網(wǎng)站供賭客充值,用戶收到賭資后,平臺(tái)扣除用戶的個(gè)人押金。
(5)用戶此時(shí)將收到的賭資扣除一定比例的傭金,然后轉(zhuǎn)賬至平臺(tái)的指定水房賬戶。賭資轉(zhuǎn)移后用戶押金恢復(fù)如初,之后能繼續(xù)搶單。
(6)平臺(tái)賬號(hào)收到用戶轉(zhuǎn)來的賭資后,扣除一定比例的手續(xù)費(fèi),之后將賭資轉(zhuǎn)移至境外博彩網(wǎng)站專門用來清洗資金的賬戶中。至此,博彩網(wǎng)站完成資金結(jié)算,非法第四方支付平臺(tái)和參與“跑分”人員均獲得收益。
2.電商店鋪模式
該模式是利用電商平臺(tái)進(jìn)行“掛羊頭賣狗肉”的虛假買賣來實(shí)現(xiàn)。繼續(xù)以“跑分”平臺(tái)為境外博彩網(wǎng)站提供資金結(jié)算服務(wù)為例,該種模式的具體流程如圖3所示。
(1)用戶注冊(cè)電子商務(wù)平臺(tái),針對(duì)與博彩網(wǎng)站對(duì)接賭客的常用充值金額,在電子商鋪上上架固定價(jià)格的虛擬產(chǎn)品。然后利用大量在電商網(wǎng)站注冊(cè)的小號(hào)下單這些虛購產(chǎn)品,根據(jù)付款方式選擇第三方付款方式,由此得到了大量的產(chǎn)品代付碼,繼而將代付碼傳遞至第四方的支付平臺(tái)或技術(shù)接口。
(2)賭客在博彩網(wǎng)站選擇一種第三方支付渠道進(jìn)行充值。
(3)博彩網(wǎng)站將賭客的充值請(qǐng)求發(fā)送至非法第四方支付平臺(tái)。
(4)非法第四方支付平臺(tái)依據(jù)充值金額的大小調(diào)用代付碼。之后將代付碼推送至賭客手中。
(5)賭客掃碼進(jìn)行充值,賭資進(jìn)入平臺(tái)會(huì)員賬戶。
(6)平臺(tái)會(huì)員扣除傭金后轉(zhuǎn)移賭資至平臺(tái)指定賬戶。
(7)平臺(tái)收到賭資后,也將扣除一定比例的傭金,之后將賭資轉(zhuǎn)入境外博彩網(wǎng)站專門用來清洗資金的賬戶中,經(jīng)過重重清洗后,賭資順利轉(zhuǎn)移到博彩網(wǎng)站手中。
在這種模式下,犯罪分子想通過網(wǎng)絡(luò)電商掩蓋洗錢行為,可是用戶注冊(cè)的電子商鋪信息與賭資仍然產(chǎn)生了信息關(guān)聯(lián),這也讓取證分析有跡可循、有點(diǎn)可控。但是,隨著技術(shù)的更新迭代。電商鋪模式下還衍生出了一些更為隱蔽的支付模式,例如話費(fèi)充值模式、卡密模式、加油卡跑分、PDD跑分等。
3.虛擬幣跑分模式
隨著監(jiān)管力度的加強(qiáng)以及第三方支付平臺(tái)的風(fēng)控越來越嚴(yán)格,相關(guān)“跑分”平臺(tái)受到了嚴(yán)厲的打擊,但是市場上還是繼續(xù)出現(xiàn)了各種新型“跑分”平臺(tái),其中最典型的就是USDT(泰達(dá)幣)跑分。2020年某警方成功偵破了一個(gè)跨境博彩和利用USDT跑分平臺(tái)非法經(jīng)營的犯罪案件,經(jīng)查明涉案流水資金近億元,查扣凍結(jié)涉賭資金兩百萬元,該案例為國內(nèi)首起破獲的利用泰達(dá)幣(數(shù)字貨幣)進(jìn)行非法第四方支付結(jié)算的案件。
從流程上講,USDT跑分與個(gè)人賬戶模式相似,只不過是把原本的支付寶、微信收款碼換成了火幣、幣安等虛擬幣交易所的USDT收款地址,把原本的人民幣保證金換成了USDT,如圖4所示。由于泰達(dá)幣并非我國的法定貨幣,相比傳統(tǒng)跑分模式,USDT跑分無需擔(dān)心微信、支付寶風(fēng)控,并且數(shù)字貨幣收款地址具有匿名性,使用非法定數(shù)字貨幣跑分,資金也無法直接凍結(jié),因此,數(shù)字貨幣跑分更是缺乏管控,同時(shí),USDT跑分衍生了一系列的資金盤騙局,USDT虛擬幣跑分崩盤,設(shè)盤者卷走保證金跑路的案例時(shí)有發(fā)生。
對(duì)一個(gè)非法第四方支付平臺(tái)進(jìn)行取證分析需要從多個(gè)方面來進(jìn)行,在初期階段,對(duì)平臺(tái)打包的APP應(yīng)用程序進(jìn)行逆向工程[7],收集關(guān)鍵信息,對(duì)網(wǎng)站進(jìn)行溯源分析,收集網(wǎng)站搭建的相關(guān)技術(shù)。在后期取證分析階段,要及時(shí)運(yùn)用證據(jù)調(diào)取、網(wǎng)絡(luò)遠(yuǎn)程勘驗(yàn)等技術(shù)來固定關(guān)鍵證據(jù)。通過電子數(shù)據(jù)取證綜合分析形成完整的證據(jù)鏈,其具體的流程如圖5所示。非法第四方支付平臺(tái)的取證分析流程與常見的涉網(wǎng)類案件的取證分析流程類似,落腳點(diǎn)主要圍繞平臺(tái)的網(wǎng)站和數(shù)據(jù)庫,數(shù)據(jù)分析的側(cè)重點(diǎn)在于平臺(tái)的業(yè)務(wù)數(shù)據(jù)和資金交易信息。
(1)溯源涉案網(wǎng)站,首先以非法第四方支付平臺(tái)客戶端為切入點(diǎn),判斷平臺(tái)是否使用APP客戶端,如果平臺(tái)前端使用的是APP客戶端,則需借助安卓逆向工程、網(wǎng)絡(luò)流量分析等技術(shù)手段對(duì)涉案域名進(jìn)行發(fā)掘。如果平臺(tái)前端直接使用網(wǎng)站運(yùn)行,則可對(duì)網(wǎng)站域名進(jìn)行IP溯源,并對(duì)網(wǎng)站的框架和各項(xiàng)服務(wù)進(jìn)行信息收集。
(2)判斷是否要進(jìn)行服務(wù)器勘驗(yàn),如果不具備服務(wù)器勘查條件則可使用拍照或錄屏的方法對(duì)平臺(tái)的網(wǎng)頁資源進(jìn)行取證固定,如果具備服務(wù)器勘查條件則可進(jìn)行下一步的服務(wù)器取證工作。
(3)通過是否具備服務(wù)器權(quán)限這一條件將勘查分為服務(wù)器遠(yuǎn)程勘驗(yàn)和鏡像調(diào)證兩條路線。在鏡像調(diào)證路線中,通過調(diào)取云服務(wù)器鏡像進(jìn)行仿真取證,還原網(wǎng)站服務(wù),從而提取關(guān)鍵數(shù)據(jù)進(jìn)行數(shù)據(jù)分析。在服務(wù)器遠(yuǎn)勘路線中,既可以采用進(jìn)入網(wǎng)站后臺(tái)提取涉案數(shù)據(jù)的方式進(jìn)行證據(jù)的固定和分析,也可以采用制作遠(yuǎn)程鏡像,仿真還原平臺(tái)環(huán)境的方式來實(shí)現(xiàn)。
此技術(shù)流程目的在于提取涉案數(shù)據(jù),對(duì)平臺(tái)的資金數(shù)據(jù)、交易記錄、賬戶信息、商戶信息等數(shù)據(jù)進(jìn)行固定,為案件后續(xù)的分析工作提供線索。本流程嚴(yán)格按照取證原則,符合不損害、避免使用原始證據(jù)等原則。
某公安部門獲取到非法第四方支付平臺(tái)的網(wǎng)站源碼,平臺(tái)后端源碼主要由admin、group leader、merchant、H5、regiment commander的Java歸檔文件組成,分別對(duì)應(yīng)管理員、組長、商戶、客戶端、團(tuán)長的網(wǎng)站界面。通過分析代碼的環(huán)境需求,將平臺(tái)部署在CentOS服務(wù)器上。在該套源碼中,客戶端頁面使用H5(支持移動(dòng)端的媒體交互網(wǎng)頁)搭建,故按照配置要求,將客戶端網(wǎng)頁利用APP打包為一個(gè)apk文件,文件名為“HXXX0.apk”。取證分析過程如下:
在安卓模擬器中對(duì)Android程序進(jìn)行分析,運(yùn)行“開心跑”程序,登錄會(huì)員賬號(hào),程序界面由“接單”、“我的”、“回款”、“審核”四個(gè)模塊組成,如圖6所示。
此時(shí)在模擬器中配置Fiddler網(wǎng)絡(luò)代理,然后在本地測(cè)試環(huán)境中啟動(dòng)Fiddler,開始抓包監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù),通過監(jiān)測(cè)發(fā)現(xiàn)該軟件網(wǎng)絡(luò)流量指向的url,如圖7所示。
首先將HXXX0.apk文件放入jadx-gui工具中進(jìn)行反編譯。得到程序反編譯后的源代碼和資源文件,接著對(duì)反編譯后的源代碼進(jìn)行靜態(tài)分析,在“assets/apps/HX0B/www/”目錄下的“manifest.json”文件中找到軟件調(diào)用的后臺(tái)地址“http://XXX:YYY9/login”,如圖8所示。
通過對(duì)服務(wù)器進(jìn)行遠(yuǎn)程勘驗(yàn),獲取服務(wù)器權(quán)限,利用sshd遠(yuǎn)程連接至服務(wù)器,對(duì)服務(wù)器的“/dev/sda1”磁盤分區(qū)制作磁盤鏡像,如圖9所示。
系統(tǒng)服務(wù)還原是網(wǎng)站重構(gòu)的重中之重。仿真完成后進(jìn)入系統(tǒng),首先通過命令行窗口檢查系統(tǒng)各項(xiàng)服務(wù)的歷史記錄。通過檢查服務(wù)器原本的網(wǎng)絡(luò)配置信息、DNS解析信息、歷史命令、防火墻配置、開機(jī)自啟動(dòng)服務(wù)、定時(shí)任務(wù)、端口開放等信息可以全面的了解服務(wù)器的各項(xiàng)功能和配置。
在案例中,通過對(duì)仿真系統(tǒng)開放的TCP端口和各項(xiàng)服務(wù)的配置信息以及歷史記錄可以判斷出整個(gè)系統(tǒng)的服務(wù)構(gòu)成,系統(tǒng)服務(wù)框架如圖10所示。
根據(jù)收集的系統(tǒng)服務(wù)信息,依次啟動(dòng)服務(wù)器的MySQL、Redis、Java和springboot服務(wù)再將平臺(tái)的各個(gè)業(yè)務(wù)窗口映射到服務(wù)器的TCP端口。
導(dǎo)出管理端的jar包,使用Java反編譯工具jd-gui分析源碼,通過查找關(guān)鍵字“jdbc:mysql”發(fā)現(xiàn)其中包含數(shù)據(jù)庫連接信息,平臺(tái)連接的后端數(shù)據(jù)庫名,再利用前面獲取到的MySQL數(shù)據(jù)庫賬戶信息,遠(yuǎn)程連接至系統(tǒng)數(shù)據(jù)庫,在命令行中將runscore3數(shù)據(jù)庫備份導(dǎo)出。
在網(wǎng)站后臺(tái)中可以看到該跑分平臺(tái)的累計(jì)收益和各項(xiàng)收款金額以及商戶訂單如圖11所示。
在管理后臺(tái)“收款相關(guān)/收款方式”菜單,一級(jí)頁面全部數(shù)據(jù)共有9867條數(shù)據(jù),其中點(diǎn)擊“查看二維碼”鏈接可以查看到會(huì)員端上傳的收款碼,通過分析后端代碼查找收款碼圖片在服務(wù)器上的保存路徑,最后將收款碼打包,固定證據(jù)。
通過非法第四方支付平臺(tái)的源碼,搭建平臺(tái)環(huán)境,還原平臺(tái)功能,按照設(shè)計(jì)的取證分析流程,對(duì)非法第四方支付平臺(tái)進(jìn)行取證分析,最終成功獲得平臺(tái)的數(shù)據(jù)庫備份文件、會(huì)員交易的收款碼、參與跑分的賬戶信息等關(guān)鍵信息。
本文深入研究了非法第四方支付平臺(tái)的結(jié)算機(jī)制,系統(tǒng)分析了常見非法第四方支付平臺(tái)的技術(shù)架構(gòu)和證據(jù)特征,通過對(duì)安卓逆向工程、網(wǎng)絡(luò)追蹤溯源技術(shù)、操作系統(tǒng)虛擬仿真等技術(shù)進(jìn)行總結(jié),提出了一種針對(duì)非法第四方支付平臺(tái)的取證分析技術(shù)流程,最后通過案例應(yīng)用,實(shí)現(xiàn)了對(duì)非法第四方支付平臺(tái)關(guān)鍵證據(jù)的固定,證實(shí)了技術(shù)的實(shí)用性。該技術(shù)方案具有靈活性、高效性等特點(diǎn),能夠幫助公安機(jī)關(guān)打擊新型網(wǎng)絡(luò)犯罪、創(chuàng)新完善打防機(jī)制,提供有力的技術(shù)支撐。