孟彩霞 林俊豪 张骁

1.铁道警察学院 2.南昌铁路公安局 3.广州铁路公安局

引言

随着互联网经济时代的到来，支付进入了扫码时代，以微信支付、支付宝为代表的第三方支付逐渐成为人们日常消费的重要方式，为解决“一柜多码”问题，第四方支付应运而生，第四方支付是移动互联网时代结构性的支付服务解决方案，极大的提高了资金交易效率。然而，由于法制体系的不够完善与监管上的漏洞，第四方支付也成了新型网络犯罪的温床。据统计在2018年，非法第四方支付相关的案件数量已是2017年的6倍，相关案件每年约以2倍的速度增长。同时，涉及非法第四方支付的年涉案资金流水动辄上百亿，已造成较大的社会危害。

文献[1]指出目前我国针对非法第四方支付研究集中于犯罪问题以及法律适用的探讨，缺乏在取证分析方面的具体技术研究。文献[2]指出了非法第四方支付的由来与法律适用，并在法律和监管打击方面提出了建议。文献[3]以实际案例为基础，剖析了非法网络支付平台的架构，分析了支付平台的证据源，对打击非法网络支付平台提供了案例指导。文献[4]从侦防对策上总结了平台运行方式和资金流动方向，并提出了构建信息通道，搭建第四方支付警务预警平台的建议，但并未对调查方法和取证技术做出具体的设计和部署。在国外，面向网络洗钱的技术取证已经形成了一个新兴的数字取证子学科金融科技取证，其中涵盖金融技术和金融科技[5]。目前，社会的数字化转型正在为支付、资金转账和其他金融交易引入新的科技，同时也促进了犯罪工具的迭代升级[6]。非法第四方支付平台的出现，不仅能够隐蔽的为网络灰黑产提供洗钱服务，同时还避免了犯罪分子与受害人资金上的直接往来，从而帮助上游的违法犯罪逃避公安机关的监管和打击，严重破坏了金融秩序，给公安机关分析此类案件带来了严峻的挑战。因此，研究非法第四方支付平台的运行方式及证据特点，及时构建针对非法第四方支付平台的取证分析技术体系，不断调整打击防范措施，已成为公安机关迫在眉睫的工作。

一、非法第四方支付平台的结算机制

（一）非法第四方支付平台

第四方支付是对微信、支付宝等第三方支付服务平台的一个整合。第四方支付与各方之间的关系如图1所示。第四方支付与第三方支付不同的是，第四方支付本身就是一个聚合支付通道，因其不受支付结算许可牌照的限制，从而灵活便捷。但由于缺少对应的监管环境，第四方支付逐渐成为了网络洗钱的代名词。

非法第四方支付平台是具有非法清算、核算功能的网络支付结算平台，又常被称为“跑分”平台，运行机制类似于外卖员在平台抢单配送，其平台运营者常通过网络平台利用高额收益为引诱，诱导个人参与抢单“跑分”赚取提成，或出租、卖出自己的微信、支付宝收款码在“跑分”平台上帮助上游犯罪洗钱，每一单收款金额看似不大，但是参与人数众多，为上游的犯罪提供了“蚂蚁搬家式”的洗钱服务，社会危害较大。

（二）非法第四方支付的结算模式

本文所探讨的非法第四方支付平台，采用的是一种相对广泛的概念，具体而言，其通常包含3种类型：第一种是利用个人收款码进行“跑分”赚取佣金的“个人账户模式”；第二种是虚构交易生成付款码进行收款交易的“电商店铺模式”；第三种是利用数字货币收款地址“跑分”赚取佣金的“虚拟币跑分模式”。这三种模式本质上都是利诱大众利用个人的收款方式参与资金结算，赚取提成，实则是帮助非法资金进行洗白。

1.个人账户模式

以境外博彩网站赌资洗钱为例，该模式类似于滴滴打车平台的抢单机制，采用“跑分”的方式实现平台会员、非法第四方平台为博彩网站提供支付结算服务，该模式的详细流程如图2所示。

（1）技术人员搭建“跑分平台”，接着通过网络引流吸引人员注册，然后由注册会员上传自己的个人收款码至支付平台，同时缴纳一定数额的押金。同时，境外博彩网站在“跑分”平台上注册商户账号，对接商户接口。

（2）赌客在博彩网站充值一定数额的赌资，博彩网站会将第三方充值请求发送至第四方支付平台。

（3）第四方支付平台会员页面发布抢单信息，注册会员进行抢单。

（4）用户抢单后，平台将用户绑定的个人收款码发送到博彩网站供赌客充值，用户收到赌资后，平台扣除用户的个人押金。

（5）用户此时将收到的赌资扣除一定比例的佣金，然后转账至平台的指定水房账户。赌资转移后用户押金恢复如初，之后能继续抢单。

（6）平台账号收到用户转来的赌资后，扣除一定比例的手续费，之后将赌资转移至境外博彩网站专门用来清洗资金的账户中。至此，博彩网站完成资金结算，非法第四方支付平台和参与“跑分”人员均获得收益。

2.电商店铺模式

该模式是利用电商平台进行“挂羊头卖狗肉”的虚假买卖来实现。继续以“跑分”平台为境外博彩网站提供资金结算服务为例，该种模式的具体流程如图3所示。

（1）用户注册电子商务平台，针对与博彩网站对接赌客的常用充值金额，在电子商铺上上架固定价格的虚拟产品。然后利用大量在电商网站注册的小号下单这些虚购产品，根据付款方式选择第三方付款方式，由此得到了大量的产品代付码，继而将代付码传递至第四方的支付平台或技术接口。

（2）赌客在博彩网站选择一种第三方支付渠道进行充值。

（3）博彩网站将赌客的充值请求发送至非法第四方支付平台。

（4）非法第四方支付平台依据充值金额的大小调用代付码。之后将代付码推送至赌客手中。

（5）赌客扫码进行充值，赌资进入平台会员账户。

（6）平台会员扣除佣金后转移赌资至平台指定账户。

（7）平台收到赌资后，也将扣除一定比例的佣金，之后将赌资转入境外博彩网站专门用来清洗资金的账户中，经过重重清洗后，赌资顺利转移到博彩网站手中。

在这种模式下，犯罪分子想通过网络电商掩盖洗钱行为，可是用户注册的电子商铺信息与赌资仍然产生了信息关联，这也让取证分析有迹可循、有点可控。但是，随着技术的更新迭代。电商铺模式下还衍生出了一些更为隐蔽的支付模式，例如话费充值模式、卡密模式、加油卡跑分、PDD跑分等。

3.虚拟币跑分模式

随着监管力度的加强以及第三方支付平台的风控越来越严格，相关“跑分”平台受到了严厉的打击，但是市场上还是继续出现了各种新型“跑分”平台，其中最典型的就是USDT（泰达币）跑分。2020年某警方成功侦破了一个跨境博彩和利用USDT跑分平台非法经营的犯罪案件，经查明涉案流水资金近亿元，查扣冻结涉赌资金两百万元，该案例为国内首起破获的利用泰达币（数字货币）进行非法第四方支付结算的案件。

从流程上讲，USDT跑分与个人账户模式相似，只不过是把原本的支付宝、微信收款码换成了火币、币安等虚拟币交易所的USDT收款地址，把原本的人民币保证金换成了USDT，如图4所示。由于泰达币并非我国的法定货币，相比传统跑分模式，USDT跑分无需担心微信、支付宝风控，并且数字货币收款地址具有匿名性，使用非法定数字货币跑分，资金也无法直接冻结，因此，数字货币跑分更是缺乏管控，同时，USDT跑分衍生了一系列的资金盘骗局，USDT虚拟币跑分崩盘，设盘者卷走保证金跑路的案例时有发生。

二、非法第四方支付平台的取证分析技术流程

对一个非法第四方支付平台进行取证分析需要从多个方面来进行，在初期阶段，对平台打包的APP应用程序进行逆向工程[7]，收集关键信息，对网站进行溯源分析，收集网站搭建的相关技术。在后期取证分析阶段，要及时运用证据调取、网络远程勘验等技术来固定关键证据。通过电子数据取证综合分析形成完整的证据链，其具体的流程如图5所示。非法第四方支付平台的取证分析流程与常见的涉网类案件的取证分析流程类似，落脚点主要围绕平台的网站和数据库，数据分析的侧重点在于平台的业务数据和资金交易信息。

（1）溯源涉案网站，首先以非法第四方支付平台客户端为切入点，判断平台是否使用APP客户端，如果平台前端使用的是APP客户端，则需借助安卓逆向工程、网络流量分析等技术手段对涉案域名进行发掘。如果平台前端直接使用网站运行，则可对网站域名进行IP溯源，并对网站的框架和各项服务进行信息收集。

（2）判断是否要进行服务器勘验，如果不具备服务器勘查条件则可使用拍照或录屏的方法对平台的网页资源进行取证固定，如果具备服务器勘查条件则可进行下一步的服务器取证工作。

（3）通过是否具备服务器权限这一条件将勘查分为服务器远程勘验和镜像调证两条路线。在镜像调证路线中，通过调取云服务器镜像进行仿真取证，还原网站服务，从而提取关键数据进行数据分析。在服务器远勘路线中，既可以采用进入网站后台提取涉案数据的方式进行证据的固定和分析，也可以采用制作远程镜像，仿真还原平台环境的方式来实现。

此技术流程目的在于提取涉案数据，对平台的资金数据、交易记录、账户信息、商户信息等数据进行固定，为案件后续的分析工作提供线索。本流程严格按照取证原则，符合不损害、避免使用原始证据等原则。

三、案例应用与分析

某公安部门获取到非法第四方支付平台的网站源码，平台后端源码主要由admin、group leader、merchant、H5、regiment commander的Java归档文件组成，分别对应管理员、组长、商户、客户端、团长的网站界面。通过分析代码的环境需求，将平台部署在CentOS服务器上。在该套源码中，客户端页面使用H5（支持移动端的媒体交互网页）搭建，故按照配置要求，将客户端网页利用APP打包为一个apk文件，文件名为“HXXX0.apk”。取证分析过程如下：

（一）Fiddler抓包分析

在安卓模拟器中对Android程序进行分析，运行“开心跑”程序，登录会员账号，程序界面由“接单”、“我的”、“回款”、“审核”四个模块组成，如图6所示。

此时在模拟器中配置Fiddler网络代理，然后在本地测试环境中启动Fiddler，开始抓包监测网络数据，通过监测发现该软件网络流量指向的url，如图7所示。

（二）Android逆向分析

首先将HXXX0.apk文件放入jadx-gui工具中进行反编译。得到程序反编译后的源代码和资源文件，接着对反编译后的源代码进行静态分析，在“assets/apps/HX0B/www/”目录下的“manifest.json”文件中找到软件调用的后台地址“http://XXX:YYY9/login”，如图8所示。

（三）制作镜像与操作系统仿真

通过对服务器进行远程勘验，获取服务器权限，利用sshd远程连接至服务器，对服务器的“/dev/sda1”磁盘分区制作磁盘镜像，如图9所示。

（四）系统服务还原

系统服务还原是网站重构的重中之重。仿真完成后进入系统，首先通过命令行窗口检查系统各项服务的历史记录。通过检查服务器原本的网络配置信息、DNS解析信息、历史命令、防火墙配置、开机自启动服务、定时任务、端口开放等信息可以全面的了解服务器的各项功能和配置。

在案例中，通过对仿真系统开放的TCP端口和各项服务的配置信息以及历史记录可以判断出整个系统的服务构成，系统服务框架如图10所示。

根据收集的系统服务信息，依次启动服务器的MySQL、Redis、Java和springboot服务再将平台的各个业务窗口映射到服务器的TCP端口。

（五）提取关键数据

导出管理端的jar包，使用Java反编译工具jd-gui分析源码，通过查找关键字“jdbc:mysql”发现其中包含数据库连接信息，平台连接的后端数据库名，再利用前面获取到的MySQL数据库账户信息，远程连接至系统数据库，在命令行中将runscore3数据库备份导出。

在网站后台中可以看到该跑分平台的累计收益和各项收款金额以及商户订单如图11所示。

在管理后台“收款相关/收款方式”菜单，一级页面全部数据共有9867条数据，其中点击“查看二维码”链接可以查看到会员端上传的收款码，通过分析后端代码查找收款码图片在服务器上的保存路径，最后将收款码打包，固定证据。

（六）小结

通过非法第四方支付平台的源码，搭建平台环境，还原平台功能，按照设计的取证分析流程，对非法第四方支付平台进行取证分析，最终成功获得平台的数据库备份文件、会员交易的收款码、参与跑分的账户信息等关键信息。

四、结语

本文深入研究了非法第四方支付平台的结算机制，系统分析了常见非法第四方支付平台的技术架构和证据特征，通过对安卓逆向工程、网络追踪溯源技术、操作系统虚拟仿真等技术进行总结，提出了一种针对非法第四方支付平台的取证分析技术流程，最后通过案例应用，实现了对非法第四方支付平台关键证据的固定，证实了技术的实用性。该技术方案具有灵活性、高效性等特点，能够帮助公安机关打击新型网络犯罪、创新完善打防机制，提供有力的技术支撑。