电信网络诈骗犯罪资金流查控研究

谢 玲

(西南政法大学刑事侦查学院， 重庆 401121)

0 引言

信息社会的资金往来存在多种方式且不断衍生新的支付结算手段，其中最具代表性的是各类“互联网+金融”产品，互联网技术的在线优势，冲破了金融领域的种种信息壁垒，彻底改变了传统的金融服务方式，使得金融活动更加便捷、高效。然而，在新兴的互联网金融发展历程的初期和互联网技术与金融模式耦合的基础环节，其各自领域存在的一些固有制度漏洞与有待成熟的新增功能，降低了这一新型交易方式、支付手段的安全和可信赖性，成为电信网络诈骗团伙加以利用的赃款流转渠道。

由于过去电信、网游实名制认证存在管理漏洞，在通讯领域申请手机号码、 SIM卡绑定银行卡及各种账户并未严格执行实名制签约要求，在互联网申请QQ号、微信号作为即时聊天工具账号也未作出相应规定，黑灰产市场上可以向“卡商”“号商”成套购买手机卡、银行卡、社交媒体账号以及与之对应的用户个人信息，而这些存在身份认证漏洞的卡号、账户、账号最后都参与了互联网传输数据对接金融机构内部数据的多样化快捷支付方式的构建，成为包括电信网络诈骗在内的涉嫌网络犯罪资金转移的常用账户工具。诈骗犯罪人利用手机和电脑发起与被害人的通讯接触之后，就可以使用该手机和电脑进行线上金融系统操作，完成被骗资金的传递和洗钱。一些常用于诈骗的即时聊天工具，如QQ、微信，本身就同时具有第三方金融支付功能,诈骗信息沟联与被骗资金转移可以通过“信息输入通道+便捷支付渠道”以“无缝衔接”的方式顺畅实现，信息与支付技术相互结合的方式成为电信网络诈骗团伙达成诈骗目的、产生并获取犯罪收益的两类重要犯罪工具。

资金交易与支付手段的迭代推新是一把“双刃剑”，既加大了被骗资金多头转移的风险，也增加了发现诈骗团伙活动踪迹的涉案电子数据来源。一方面，每一种资金往来方式都可能被单独或组合“设计”为诈骗犯罪人转移被骗财产的特定路径，并且新的快捷支付方式发展越快，资金分析难度越大；另一方面，在使用各种支付手段，尤其是电子支付工具的过程中，都会在某一时间维度形成数据交换，为侦查人员留下资金流去向的线索和工具，信息痕迹已经成为资金流分析的重要抓手。

1 转移被骗资金的基本手段

诈骗犯罪人从事电信网络诈骗的最终目的是从被害人手中获取钱财。为了达成这一犯罪目的，诈骗犯罪人至少需要经历两个必要步骤，第一是利用骗术取得被害人信任，被害人在错误认知之下自愿将资金转移至诈骗犯罪人指定账户；第二是诈骗团伙将被骗资金投入各种洗钱环节，转化为不具有犯罪特征的“收益”，以降低非法资金来源的负效应，避免被侦查机关发现和打击。电信网络诈骗较之传统诈骗，因被骗资金在线流转，资金的流向和落地特征更为明显：自被骗资金脱离被害人账户开始，到进入诈骗犯罪人控制下账户，在金融专用网络中形成了一条特殊的资金转移链路，这一从往来账目中流入、流出的资金运动轨迹及其映射的资金去向和账户串联关系被称之为“资金流”。

以电信网络诈编方式获取的财产都是使用网络转账的方式，利用特定的资金流渠道并使用对应的支付工具。首先，需要一条由若干电子账户组成的资金流通渠道，支持诈骗过程中网银、手机银行的查询、签约和支付等网上操作；其次，需要添加互联网环境下的支付工具端口。利用互联网打通在线支付工具与电子账户的连接，被害人、诈骗犯罪人与银行在网络环境下进行在线资金的归集和转移；接下来，诈骗犯罪人应用在线支付工具转账。银行与被害人、诈骗犯罪人之间的数据交换替代了柜台与顾客之间的支付指令，诈骗窝点利用网络资金流渠道和线上支付工具，进行被骗资金的在线转移和清洗。在这一过程中，在线支付工具不断更新发展，以网银支付、快捷支付为代表的银行卡支付、第三方支付、聚合支付成为电信网络诈骗团伙常用的转移资金方式；而第四方支付、跑分平台、网赌网购平台，虚拟数字货币交易平台则成为诈骗团伙采用的新型洗钱支付系统。

1.1 电信网络诈骗团伙常用的转移资金方式

当前，以互联网技术为基础的电子金融交易和流通正在型构“无现金社会”。为了达到电信网络诈骗的在线取财目的，作案选择的银行卡支付、第三方支付和聚合支付都实现了现金使用的豁免，具有电子支付跨行、跨地区、跨境的交易特征。

(1) 银行卡支付

银行卡支付是个人金融支付服务中使用最为广泛的非现金支付方式。利用银行卡转账结算、信用消费、存取现金功能，诈骗团伙可以对应实现资金转移、盗刷和取现等资金流转环节的犯罪目的。用于诈骗犯罪的银行卡支付可以分为线下支付和线上支付两种形式。

线下支付是指使用现金或付款码面对面支付、交易的方式。一般而言，除了现金支付以外，二维码支付、条码支付、POS机刷卡支付、NFC支付等都属于线下支付。二维码支付是指用户通过手机客户端扫拍商家提供的二维码或商家使用电子支付工具扫描用户付款码，进行支付结算的交易方式；用户向商户展示第三方支付APP付款授权码，通过对方扫码设备将交易信息发送回APP系统以获得支付结果的线下交易又称为条码支付；POS机支付是指商户使用POS机，向银联系统发起收单行对发卡行的交易请求、实现资金结转的交易方式。按照中国银联的业务规则，POS机具布放所在地必须与实体商户注册地相符合。一些不法代理商利用技术手段篡改商户编码、受理机构代码等信息，造成POS机实际所在地脱离商户地址或贩卖给诈骗团伙用于资金转移；NFC支付是一种类似于POS机刷卡支付的新型支付方式，诈骗犯罪人使用带有NFC模块的手机绑定一个虚拟银行账户，靠近NFC收款机、POS机等NFC读卡设备，通过NFC射频通信进行近场感应支付[1]从而转移赃款。NFC收款机也要求固定商户实际所在地，因此，同样存在普通POS机被非法移机境外用于诈骗的风险。

线上支付是指交易双方通过网上资金结算进行交易的方式。电信网络诈骗案件中常见的网银支付和快捷支付都是属于线上支付形式。网银支付即网上银行支付，是指用户开通银行卡的在线支付功能后，下载银行的网上银行客户端，使用电脑和U盾等安全硬件设备，输入银行卡信息、密码和验证码完成支付；快捷支付不需要用户开通在线支付功能，利用持卡人银行卡、身份证、手机号等实名认证的支付验证要素，结合手机短信验证码的安全认证就可以实现支付。

被害人对于转移资金处于知情状态的电信网络诈骗案件中，大多采取网银支付方式将资金转入诈骗团伙设置的一级银行卡。被害人不知自己正在或即将被转移资金的情形下，诈骗团伙利用被害人对于快捷支付方式的知识盲区，使用欺骗手段获取被害人的支付验证要素，实施账户资金转移或盗取。如，采取静默嗅探作案，诈骗团伙通过伪基站、嗅探设备拦截被害人包括验证码在内的手机通信数据，盗刷被害人银行卡。

(2)第三方支付

第三方支付主要是指独立的第三方公司通过与银联、网联对接，建立互联网金融平台，促成交易双方进行交易的网络支付模式。第三方支付的实质是建立交易双方之间的“中间过渡账户”，通过暂时性的资金托管实现交易安全的保证。诈骗犯罪人在其控制的一级银行卡账户收到被害人转账的资金后，再通过二至三级银行卡进行流转，为防止侦查机关止付冻结，通常还会将被骗资金转移至“水房”提供的支付宝、微信等第三方支付账号，再进行下一步购买虚拟货币洗钱、地下钱庄汇兑等更为复杂的资金流转。

(3)聚合支付

聚合支付是指将多个银行、第三方支付公司或清算组织的支付服务对接、整合在一起，形成的一个多渠道支付通道。商户通过聚合支付服务商的代申请服务，向其提供营业执照、税务登记证、组织机构代码证、法人代表身份证等材料，接受经营场所实地核查，再自行选择支付宝、微信、云闪付等需要聚合的多个支付渠道，获得各个渠道的支付权限。黑灰产从业者通过黑市向不法商户收购聚合支付收款码，再转售给诈骗团伙，诈骗犯罪人将其提供给被害人扫拍用于诈骗转账。

1.2 电信网络诈骗团伙采用的新型洗钱通道模式

由于传统转移资金的方式必须借助银行、第三方支付平台等主流支付机构的金融交易体系完成，资金流通会受到机构对于支付结算信息的日常监管和风险监控。在传统资金流模式下，交易行为的非匿名性、交易轨迹的可追踪性、交易流程的可穿透性皆不利于对被骗资金的出入账“洗白”，虽然诈骗团伙设置了多级人头账户进行资金跳转，但在资金落地时仍然存在被查缉的风险。为了达到安全获取犯罪收益的目的，诈骗团伙想方设法绕开主流的封闭式支付体系，在原有的洗钱链条上接入了资金转移速度快、交易痕迹线索少、监管难度大的第四方支付、跑分平台、数字货币汇兑等新型洗钱通道，导致整个洗钱流程更加隐秘复杂、侦查打击更为困难。

(1)第四方支付、“跑分”平台洗钱

第四方支付是指集成正规的第三方支付平台接口，通过大量注册商户或个人账户非法搭建的支付通道。第四方支付与聚合支付具有相似之处，都是将各种类型的支付接口聚合在同一个平台提供综合支付服务，不论用户选择何种支付通道，只需接入其中一个接口即可完成支付。但第四方支付不具有国家支付结算资质，存在为犯罪团伙提供支付接口的高风险，如，应用第四方支付模式，聚合若干第三方支付条码构成第四方支付通道的专用账户，为网络赌博提供赌客充值和交易结算接口，专门用于“跑分”的非法交易活动。

“跑分”平台是第四方支付的延伸，也是目前国内“水房”采用较多的洗钱方式。“跑分”，又称“跑码”，即网络赌博平台与第四方支付平台合作，利用非法整合的第三方支付接口和他人提供的各类第三方支付私人收款码或银行卡，为电信网络诈骗、网络赌博、网络色情等涉网犯罪活动提供代收款服务以赚取佣金的非法金融交易模式。其“经营”模式如下：首先，跑分平台以招收代理兼职、高额返利为诱惑在网上招募相当数量的“跑分人员”注册平台账号，并收取其几千至上万元的“保证金”；当赌客进入赌博网站准备充钱时，跑分平台向“跑分人员”发布同等金额的跑分任务，“跑分人员”以网上抢单的方式接单后，将自己控制使用的支付宝、微信二维码上传到平台供赌客充值，跑分平台从其缴纳的“保证金”中直接扣除赌客充值金额，由此完成“一进一出”的“跑分”；之后，赌博网站根据每笔资金流水的2.5%～3%向跑分平台支付佣金，平台再给予“跑分人员”1%～2%的分成。赌博完成之后，“跑分平台”还使用“跑分人员”的保证金负责为赌博盈利的赌客发放资金提现。境外电信网络诈骗窝点对接赌博网站，将被害人资金以赌资的方式送入赌博网站，利用跑分平台提供的“跑分人员”充值二维码，以“零进整出”的方式清洗赃款。

(2)数字货币汇兑洗钱

数字货币是指基于节点网络和数字加密算法的电子替代货币，由开发者自主发行和管理，不具有国家发行和监管的法币性质，在特定互联网社区被虚拟社区成员接受和使用。数字货币通常具有一定的现金价值，在国际上能够按照一定的比率与国家发行的法币进行相互兑换、赎回，因此，在数字货币领域出现了一些“炒家”参与数字货币的电子形式转移、存储或交易。由于数字货币支持远程点对点交易和资金跨境流转，不受任何政府、法律实体的支持和银行监管，又具有高度的匿名性和安全性，因此，多样化的数字货币与活跃的交易市场成为包括电信网络诈骗在内的网络犯罪团伙利用、进行黑钱“洗白”的洗钱工具。

① 比特币洗钱

比特币是一种“去中心化”的在线虚拟数字货币。比特币与传统货币相比具有以下4个特征：第一，拥有自主发行和管理模式。比特币没有中央发行人，其价值完全由供求关系决定；第二，具有类货币的使用和兑换功能。不仅可以购买商品或服务，也可以兑换法币；第三，运用区块链技术实现转账。由于区块链采取点对点系统构架，各个节点不受中央节点的控制和协调，具有较好的抗操纵性和安全性；第四，交易具有高度匿名性。客户之间的比特币交易记录虽保留在区块链中，但比特币交易不透露买家和卖家真实身份[2]。目前，电信网络诈骗团伙通常是使用取现的赃款或被骗资金流入的银行卡直接在比特币交易所购买比特币，并用虚假身份避开交易平台要求的实名制认证，将赃款转化为比特币后再兑换成法币。侦查机关追查至比特币交易购买环节，发现被骗资金进入了不同国家、与案情不相干的比特币“炒家”帐户中，这些“炒家”对比特币的来源和性质、诈骗团伙的洗钱行为并不知情。

② 泰达币洗钱

泰达币是一种保存在外汇储备账户、与美元对标挂钩的虚拟数字货币。USDT的发行人 Tether公司严格遵守1∶1的准备金保证，即每发行1个USDT代币，就向银行存入1美元，以确保用户可以使用USDT与美元进行等额兑换[3]。电信网络诈骗犯罪团伙、从事网络赌博的犯罪人、“水房”大量使用USDT购买比特币、以太坊进行洗钱。以火币网交易平台为例，由于火币网支持包括人民币在内的法币与数字货币之间的相互兑换，因而成为诈骗团伙使用较多的数字货币交易平台。诈骗犯罪人通过火币网进行USDT洗钱通常有两种方式：

一是直流洗钱模式。诈骗团伙或“水房”使用被骗资金在火币网购买泰达币，然后以稍微低于市场价的方式兑换成人民币完成洗钱。火币网在安全认证上，虽然设置了注册实名认证，并规定交易额超过单笔2 000元或累计10 000元就需要交易方进行人脸识别类的高级认证，但犯罪团伙从黑灰产和个人获取身份资料用于注册、规避认证规则。

二是利用虚拟货币承兑商洗钱。诈骗团伙向黑灰产或虚拟货币承兑商购买火币网账户，将被骗资金打入虚拟货币承兑商的银行账户，由虚拟货币承兑商在火币网上代买泰达币并将钱包地址发送给诈骗团伙，按照兑换资金的2%～5%收取佣金，诈骗团伙在自己的火币账户或其他数字货币钱包中输入钱包地址提取泰达币，然后再将其兑换成人民币，或者是在其他OTC场外交易平台兑换成比特币、以太坊等其他数字货币延长洗钱线路，以逃避侦查机关的追踪。

2017年9月，人民银行等七部门就发布联合公告将代币交易认定为“非法金融活动”，关闭了中国境内诸如“火币网”和“比特币中国”等虚拟货币与法币的交易平台，同时国内的虚拟货币交易平台开始往开曼、新加坡、菲律宾等境外发展数字资产交易所的国家、地区转移。诈骗团伙为了将被骗资金兑换为虚拟资产，利用设立于境外的OTC交易平台洗钱，导致大量人民币外流，客观上也增加了资金流追查的难度。

2 转移被骗资金的基本路径

被害人使用银行卡或绑定银行卡的第三方支付，将资金转入诈骗团伙指定的接收账户，是整个电信网络诈骗资金流的起点。资金流查控研判资金的来龙去脉，就是由被骗资金最初转入的对手银行账户入手开展侦查的。该账户可称为“一级银行账户”，接受一级银行账户资金转移的下一级账户为二级账户，再往下延伸的被骗资金接收帐户，称为三级、四级银行账户等。过去，诈骗团伙通常诱骗被害人进行“银行卡对银行卡”之间的转账，然后再取现反存以实现对被骗资金的控制。公安机关和金融机构采取相应的防诈骗反制手段，设置可疑资金银行拦截系统，建立紧急止付机制，对诈骗团伙直接转账和跨行转账过程中的涉案资金流转进行及时阻断。为了防止赃款被中途拦截，诈骗团伙又演变出一些新的资金流转方式，配合物理隔断方法，以逃避公安机关的侦查与反制。

2.1 直接转账取款

电信网络诈骗最开始转移被骗资金的手段是采取直接转款取现的方式。电信网络诈骗团伙从上游黑灰产链条购买到大量银行卡账户、网银账号、第三方支付账号和重要邮箱账号等公民个人账户信息，围绕传统的“银行卡对银行卡”转账模式，设置多级“人头账户”构建起被骗资金转移的资金流链路。诈骗犯罪人操作网上银行或手机银行将被骗资金“化整为零”分流至多级银行卡直至提款账户，所有的转移资金账户只是赃款流通的“中转”通道，账户外观标识的“所有人”也并非实际的账户控制人。利用这些“人头账户”，诈骗团伙将被骗资金转入到安全账户中再取现。

2.2 接入地下钱庄、“水房”收款

2016年，公安机关启用电信网络诈骗快速止付平台，侦查人员在接到被害人报警之后，可以通过管理平台迅速发起涉案账户查询、止付和冻结请求，第一时间查明涉案的一级账户，协调银行对涉案账户实行五级对手账户的快速冻结和紧急止付。

为了规避侦查，在资金流的出口端，诈骗团伙设法在赃款落地时尽量避免直接接触现金，通过台湾、东南亚和国内“水房”，与缅甸、越南等东南亚国家交界的云南、广西边境地区的地下钱庄以及广东珠海、深圳等口岸城市“换币党”，代收经多级卡转入的被骗资金，采取传统转移资金方式与新型洗钱模式相结合的模式进行洗钱，再出金给诈骗团伙分享诈骗黑利。

(1) 接入“水房”洗钱

“水房”是主要专门为电信网络诈骗团伙洗钱的犯罪窝点。当前，台湾“水房”主要为冒充公检法诈骗、冒充老板骗会计的Q仔诈骗、冒充客服取消批发商分期付款诈骗、“杀猪盘”诈骗、交友投资(赌博)诈骗的诈骗团伙提供专门的洗钱服务；缅北“水房”是为当地盛行的网络赌博、电信网络诈骗、毒品、色情犯罪进行洗钱，诈骗类型的洗钱主要是“杀猪盘”诈骗、裸聊诈骗等；柬埔寨“水房”主要是经营“杀猪盘”诈骗、交友投资诈骗的洗钱业务；菲律宾“水房”从事交友类、情感类、投资或赌博类诈骗的洗钱。国内“水房”洗钱涉及几乎所有诈骗类型。

诈骗团伙在黑钱“洗白”过程中，会在被骗资金转移次数与付出成本之间选择一个合理区间，既要保证钱越洗越干净，最后得到的是更加安全、难以被追溯的资金，也不因成本过高降低了总体收益。因此一些诈骗团伙对于获取的巨额赃款会拉长洗钱路径，增加交易环节，利用位于不同国家的多个“水房”进行跨区域交叉式洗钱，而不同的洗钱团伙之间也会相互“取长补短”“互利互惠”，共同为一个诈骗窝点服务。这一嵌套式洗钱模式通常分为3层，台湾、缅北、柬埔寨、菲律宾等境外“水房”和香港地区的“水房”为第一层资金流转环节，大陆“水房”为第二层和第三层资金流转环节，洗钱模式如图1所示。境外“水房”将第一层洗钱环节完成转换的资金“接力”转移给国内第四方支付、跑分平台进行下一环节的资金清洗，诈骗团伙之所以不再增加更多节点的洗钱渠道，是为了控制洗钱成本，获得效用最大的安全资金。

图1 电信网络诈骗“水房”嵌套式洗钱模式

(2) 接入地下钱庄洗钱

地下钱庄是指利用金融机构的资金结算网络，非法从事买卖外汇、跨国(境)资金转移、资金存储及借贷等金融业务的非法金融组织[4]。地下钱庄游离于金融监管体系之外，既面向合法市场又面向非法市场，如，在正规渠道不畅通时作为部分中小型外贸企业融资、交易的选择方式，同时也为诈骗、网络赌博等犯罪团伙提供洗钱便利。其犯罪运作模式主要分为3类：支付结算型洗钱、跨境汇兑型洗钱和非法买卖外汇型洗钱。

① 支付结算型转移资金

支付结算型地下钱庄或“水房”使用的是最传统的多级转账模式，即通过设立空壳公司、使用大量“人头账户”，采取网银、手机转账等方式协助诈骗团伙将赃款多次从对公账户转入对私账户，再套取现金进行非法支付结算。这一类犯罪手法运作快速、交易量大，但非法转移资金、套现存在较大被查控风险。

② 跨境汇兑型转移资金

跨境汇兑型地下钱庄或“水房”，又称“对敲型”或“对冲型”，这一类地下钱庄或与境外人员相勾结，不问客户的资金来源，同时帮助多方进行跨境汇款、转移资金等活动[5]，以常见的商业贸易行为掩盖洗钱行为。不论是做对外贸易的正规厂家，还是从事网络赌博、实体赌场、电信网络诈骗等违法犯罪活动的团伙，只要约定提成费用，提供自己的资金和账号，该地下钱庄或“水房”就会为其寻找对应的资金供需接口进行资金流对冲，即以对账的形式来实现进出资金的平衡。

③ 非法买卖外汇型转移资金

非法买卖外汇型地下钱庄又称“换汇黄牛”，是指在国内外汇黑市进行低买高卖，从中赚取汇率差价。这一类钱庄规模较小，实施现钞交易。目前，国内以非法买卖外汇方式为电信网络诈骗团伙洗钱的组织和人员主要集中在两个地区，一是云南、广西边境的地下钱庄；二是广东珠海口岸的“换币党”。

在云南、广西的一些边境、口岸贸易中，银行参与货币兑换容易受到境外汇率波动影响，风险不定且交易成本较高。边贸商户为了免除边境两边银行设定的手续费，避免银行转账暴露自身经营状况，通常会选择一些私人兑换组织，即地下钱庄，替代银行获取货币金融服务。如，地下钱庄的“马仔”与有兑换需求的客户直接进行现金交易，实施零星小额货币兑换；地下钱庄依托边境线两侧的银行开设账户实现私人大额货币的兑换，银行仅作为协助私人兑换的转账平台。由于地下钱庄的对手账户多是从事边贸活动商户、与电信网络诈骗不相关的个人或企业账户，要对涉案账户实施紧急止付措施，必须开展账户背景调查，从中查找涉案账户、放回非涉案账户。

珠海口岸因临近澳门地区，活跃着为内地赴澳门赌博的赌客服务的数以万计的“换币党”，从事包括电信网络诈骗在内的洗钱活动。诈骗窝点以被骗资金换取赌博筹码的形式，通过地下钱庄或“换币党”进行资金“洗白”，以减少使用多级银行卡或对公账户转账。可以预见的是，诈骗团伙或“水房”利用“换币党”洗钱将成为2020年“断卡”行动银行卡管控措施出台后，诈骗团伙常用的洗钱手段。

2.3 介入反资金流查控的物理隔断

由于被骗资金通过银行卡对转最后进入地下钱庄或“水房”的流转过程仍然存在被侦查机关拦截的风险，诈骗团伙采取在资金转移链路上做“物理隔断”的方式，对资金流查核的侦查活动进行干扰。

第一种物理隔断是利用POS机做线下消费。诈骗团伙利用银行、第三方机构对商户申请POS机的程序审查形式化及公司注册和信息录入监管不严等制度漏洞，使用虚构资料或“空壳”公司申请POS机，专门用于转移被骗资金；

第二种物理隔断是在资金转移链条中插入第三方支付做线上消费，将被骗资金转移到地下钱庄或“水房”。诈骗团伙先是使用个人支付宝账户进行线上转移资金。2017年支付宝公司关闭扫码收款功能，诈骗团伙又利用支付宝企业账户做物理隔断。支付宝风控系统逐步完善之后，使用企业账户容易被封杀，诈骗团伙又将对公银行账户作为新的资金流通道。同时，诈骗团伙利用银行业推出的银联二维码聚合支付业务进行被骗资金转移。由于资金流虚假对公账户的接入，银行卡基业务加入到扫码支付领域，增加了账户资金转移环节追踪资金流的难度。

第三种物理隔断是在资金转移链条中插入充值点卡交易、赌博网站洗钱、数字货币交易等多种中间环节，最后使用提现银行卡取现。如，购买游戏币、虚拟点卡或话费充值卡、数字货币进行消费，然后挂出虚拟财产折价出售以获取资金；进入赌博网站注册多个账号，在其控制的账户之间进行“对赌”，将赢取的资金转入银行卡提现。

3 电信网络诈骗犯罪资金流查控方法

电信网络诈骗资金流映射的是诈骗团伙通过一系列线上操作和线下活动，被骗资金脱离被害人控制，由赃款转化为清洁资金向诈骗窝点回流的动态过程。沿着资金流展开侦查是为了发现诈骗团伙将不法所得转移至何处，定位诈骗犯罪人利用网络工具转移资金的实际地点，即诈骗团伙线下藏身的窝点。由于利用网络实施的资金转移活动具有互联网特征，必然会留下资金的往来痕迹，也要结合信息流侦查方法发现窝点使用的网络转账设备和工具、转移资金成员的身份信息以及扩线其他窝点成员，为冲击犯罪窝点、抓获犯罪团伙成员提供线索和证据支持。

3.1 资金流查控的基本流程

资金流查控的第一步是查询涉案交易信息，主要包括查询交易帐户信息和轨迹信息两大部分。以追查资金的来龙去脉为目的，由诈骗犯罪人向被害人提供的、被骗资金转入的一级银行账户开户信息与明细账单是交易信息首要查询对象。查询一级银行账户开户信息包括：身份信息、常用住址、职业、工作单位地址、联系电话等；明细账单主要包括：账号或卡号、账户名称、交易时间、交易金额、对手账号、对手账户名称、交易地址等。

查询轨迹信息主要包括：从一级银行账户交易信息出发接续查找对手账号的交易记录，进行交易记录的扩线；将多名嫌疑人的账户交易记录进行对比碰撞，从中发现共有的银行账户；将所有的银行账户交易记录用思维导图的方式表示出来，从中发现资金来源流向的运动轨迹与各账户之间的交易网络关系等。

第二步是查询与资金转移相关的电子信息流。被骗资金的转移可通过网上银行、手机银行、微信银行、电话银行、移动支付、聚合支付等多种利用互联网和移动通讯集成技术的线上交易方式进行，交易过程中会产生电子信息流轨迹并留下转账工具使用痕迹。

(1) 网上银行资金流查询

网上银行是银行利用互联网技术手段，为客户提供的开销户、查询、转帐、信贷等在线服务的虚拟柜台金融模式。对网上银行涉案数据进行查询的主要内容包括：① 银行账户交易信息、账户注册信息、转账设备电子注册信息等静态信息；② 用户签约、绑定设备、查询账户、电子账户登录日志等动态信息。账户登录信息能够全面反映诈骗犯罪人从账户的启用到接收被骗资金、将其流转到对手账户的整个资金转移过程。

(2) 手机银行资金流查询

手机银行是指银行以智能手机为载体，依靠移动无线网络和手机接收短信息功能，为客户办理相关银行业务的电子金融服务渠道。通过手机银行查询的涉案数据包括：绑定的手机号码、手机机身码、手机分配的IP地址、手机位置定位。位置定位是通过基站或APP定位处于移动网络中的移动终端实际地理位置的信息服务。运营商利用无线电通讯网络或外部定位方式可以获取用户设备位置，社交网站和微博服务提供商通过用户主动的位置签到和位置发布可以抓取设备所在经纬度信息。

(3) 跨行交易查询

跨行交易是银行通过央行大额实时支付系统(HVPS)和小额批量支付系统(BEPS)进行跨行信息转接和资金清算的业务。跨行交易是指发生在不同商业银行之间的银行柜台、手机银行、网上银行、POS机和ATM机交易。跨行交易由3大系统支持：大额系统、小额系统和“超级网银”。

① 基于大额系统和小额系统的跨行交易查询路径

由于ATM机的跨行资金划拨由银联通过大额系统完成，POS机收单行与发卡行、商户帐户之间的资金划拔分别由银联通过大额系统、小额系统完成，中国银联处理ATM机和POS机的跨行信息转接。如果诈骗犯罪人使用A银行的银行卡到B银行的ATM机上取款，就需要通过银联查询ATM机跨行线下交易的信息。POS机的跨行交易也与ATM机交易类似，向银联提出查询申请。在资金划拨部分，ATM机的跨行资金划拨由银联通过大额系统完成，POS机收单行与发卡行、商户账户之间的资金划拨则分别由银联通过大额系统、小额系统完成。

② 基于“超级网银”的跨行交易查询路径

手机银行和网上银行通过“超级网银”即网上支付跨行清算系统进行在线跨行交易[6]。线上实施的跨行交易不再限于商业银行之间进行，绑定银行卡的支付宝、微信财付通等第三方支付公司也可以接入支付接口进行资金代发和提现。提取在线跨行交易的相关数据，需要向管理第三方支付公司的网联清算公司提出申请，由其从第三方公司和银行提取数据。

③ 跨行交易查询内容

通过银联主要是查询交易的银行卡交易流水、ATM机取款轨迹、线下商户号和交易商户的注册信息。以POS机跨行交易为例，由于银联为发卡机构和收单机构提供交易支付平台的建设、维护入网，是进行跨行信息转接的“桥梁”，因此，被害人资金进入诈骗窝点提供的人头卡，通过POS机刷卡发生转移，首先需要通过向银联调取涉案POS机的发行人信息，即作为POS机收单方的收单银行或第三方公司信息，然后向收单方申请调取涉案POS机的注册人信息、POS机绑定的银行卡、POS机的使用轨迹，从该绑定银行卡追踪被骗资金的转移去向。

3.2 资金流查控的基本方法

资金流查控的基本方法主要是围绕被骗资金的去向，对诈骗团伙使用不同资金转账方式所涉及的各类账户及其转账消费记录进行数字化金额的流向与用途追踪，对于依托通信网络平台进行被骗资金转移产生的电子伴生信息流予以捕捉、分析，并针对电信网络诈骗犯罪链条上所有交易环节的资金链进行交易主体溯源，由此筛查出控制资金流的电信网络诈编团伙成员真实身份和窝点所在位置，从而为案件的侦破与取证提供重要支持。

(1) 资金转移账户逐层追踪法

被骗资金进入诈骗团伙设置的资金转移渠道直至最后落地，会经历多级、多种类型的账户和交易平台中转，大部分流转过程可以通过银行流水的资金明细展示出来。调取资金转移过程中所有跳转的对手账户是追踪资金去向的基本方法。可以使用若干树状节点代替入金和出金的对手账户，在思维导图上逐级列举多级资金流。资金账户转移的目的是让被骗资金落地取现。被骗资金转入多个落地账户后要实现取现，拆分的账户资金不会超过银行限定的最高取款额。将金额限制作为条件函，可以筛查出最末一级取现银行卡卡号。

侦查人员围绕末级取现银行卡可以开展3项工作：一是通过银行系统锁定取款地点。诈骗团伙在取款前，会通过自动取款机对“人头卡”进行“试卡”操作，围绕自动取款机的数据资料与位置信息，确定部分团伙成员的活动范围[7]；二是对筛选出的末级涉案银行卡卡号进行绑定追踪，随时追查嫌疑人的动态信息，择机进行落地抓捕；三是通过银行自动取款机监控系统和周边路面监控锁定取款“车手”，进一步追踪窝点的同案犯成员。

从诈骗团伙操作的“银行卡对银行卡”转账时间来看，诈骗犯罪人会“争分夺秒”地把账户内资金转入到下级账户流转，资金在中转账户中停留的时间不会太长。由于时间紧迫，在较为特殊情况下，向被害人发出预警信号的同时，可以采取技术干扰措施，防止被骗资金快速跳转取现后无法追查去向。

此外，诈骗团伙也会在转账过程中随机穿插使用第三方支付、简化转款授权过程的快捷支付手段，这导致转移被骗资金的电子渠道变得更加多样化。尽管资金去向错综复杂，仍然要对涉案支付渠道所绑定的银行卡账户所有人进行背景调查，即使在中间穿插了一些交易行为，如，资金转化为游戏点卡、虚拟货币、充值卡或是进入到地下钱庄，入金后又出金，也要始终围绕“资金转入到哪里”，全面核查交易发生的对手账户及其实际控制人身份，尽可能发现一些可疑电子数据痕迹，以便获取更多的线索进行下一步的资金去向筛查。

(2) 资金流、信息流交叉追踪法

在被骗资金转移过程中，诈骗团伙需要操作手机、电脑等通联设备进行手机银行和网上银行的转账，必然会介入网络、通信等信息流通渠道，留下可供调查的电子痕迹。因此，对资金流向进行账户逐级追踪的同时，也要结合转账过程中产生的电子痕迹开展信息流侦查，二者交互使用，共同深挖资金流向线索。如，对账户所绑定的手机号码进行追踪。诈骗团伙要利用手机银行、网上银行转移“人头卡”里面的资金，必须使用手机、电脑登录网上银行。侦查人员可以通过查找前期筛选出的末级涉案银行卡卡号绑定的签约手机，使用技术侦查手段，通过基站位置、手机登录信息等定位手机使用人可能活动的地理位置。

(3) 黑灰产资金链路查证

在电信网络诈骗的犯罪链条上，诈骗团伙需要利用黑灰产业提供的公民个人信息，制作虚假证件、网站、APP技术，租用服务器和通讯设备，专业融资洗钱[8]，才能顺利骗取被害人的信任，完成整套诈骗流程与资金转移。侦查人员可以根据已经发现的电信网络诈骗案件上下游黑灰产链条参与犯罪的线索，从黑灰产服务供应商对外交易的资金链路上，查到与之相连的诈骗团伙资金账户。

以电信网络诈骗案件类型中，诈骗程序最复杂、环节最多的冒充公检法类电信网络诈编案件为例，按照话术剧本，诈骗窝点话务员会诱骗被害人点击最高人民检察院或公安部的假网站，查看专门为被害人制作的假通缉令。涉及到冒充公检法、贷款诈骗的假网站，通过查证网站域名提供方的购买记录，找到实际付款人账号，再经过动态监控发现窝点和同案犯；诈骗团伙在购买通讯线路、租用服务器等犯罪工具时，也存在其成员与帮助搭建窝点的“包网”团伙、提供境外服务器租赁的服务器商等黑灰产组织、人员之间建立购买黑灰产商品、服务的支付渠道；“水房”、地下钱庄、跑分平台、第四方支付平台等洗钱团伙利用其控制下的虚假商户、私人账户、数字货币等手段，为电信网络诈骗窝点“洗白”黑钱，相互之间发生的佣金提成关系涉及资金转账，这些都可以作为侦查工作的切入点，从双方交易给付渠道入手，通过这些非法团伙和人员查找与之发生“购买服务”关系的诈骗窝点成员。

4 结语

被骗资金转移和洗钱是电信网络诈骗犯罪最为核心的环节。无论是嵌套式的“水房”洗钱，还是形态多样的地下钱庄非法汇兑，整个洗钱路径既利用了传统的、由大量“人头卡”(账户)构成的被骗资金转移通道，又结合第四方支付、跑分平台、虚拟货币交易等新型洗钱渠道，增加了整个复杂洗钱网络中的资金跳转节点和被骗资金转移次数。这些多元化、分散化、同时进行的洗钱方式，已经不同于以往单一性的洗钱线路。由于中间环节越多，黑钱洗得越干净，侦查和反制的难度越大，诈骗团伙不断地延长被骗资金流动链条，通过多种洗钱手段的聚合应用将资金转换能力调到最大，以满足电信网络诈骗犯罪较大洗钱额度的需求，这为公安机关打击电信网络诈骗造成了极大的阻碍。虽然“断卡行动”有效截断了被用以转移被害人资金的“人头卡”(账户)非法来源，但诈骗团伙采取了更多新的线上转移资金方法和“不落地”取现获取赃款的方式，减少“人头卡”(账户)的使用而同样达到隐瞒和隐藏犯罪收益的目的。未来，实务界和理论界仍要携手加强对新的支付接口、资金流通平台的洗钱研究，只有摸清诈骗团伙转移资金方式和洗钱方法，发现异常资金出入账户的活动特征，找出非法交易中资金监管的漏洞，把握利用虚拟平台洗钱的规律、动向和趋势，才能为异常交易识别筛查的技术反制，以及从资金流角度打击电信网络诈骗犯罪提出切实可行而又有效的应对方略。