九卦|数字化下如何防控新型“跑分洗钱”？

作者 | 程元鸿 金驰 程佩哲 吕博良（中国工商银行业务研发中心）

来源| 中国金融电脑

编辑 | 武文 张云迪

美编| 杨文华

黑产洗钱经历了从无到有、从少到多的渐进式发展过程，纵观洗钱行为的演变历史，洗钱往往同非法融资、赌博等违法行为密不可分，以下为几种典型的洗钱手法。

1.“地下钱庄”

“地下钱庄”通过“两头资金池”进行洗钱，境内、境外资金完全分割，各自循环，从账面上看，没有发生外汇交易行为，实际交易已通过“对敲”完成。不法分子在货物进口时申报高于进口设备或原材料的价格，从国外供货商手中索取回扣、赃款，并将非法所得留存境外；出口时则大幅压低商品价格，或通过发票金额远低于实际交易额的方式，将货款差额由国外进口商存入出口商在境外的账户。

2.赌场筹码

为了将非法所得合法化，不法分子在合法的赌场购买与非法所得等额的筹码进行赌博，通常通过赌大小的方式两边均等下注，待手中筹码转换为赌博所得后，不法分子要求赌场将现金汇到自己账户。当司法机关启动对犯罪嫌疑人反洗钱调查程序时，其通常以“在合法赌场赌博获取”为理由为自己辩护，而境外合法的赌场受到法律保护且严禁向任何第三方泄露客户个人资料。在有限的时间和成本范围内，司法机关很难获得足够的证据证明不法分子的非法所得不是靠赌博获取的。

近年来，随着人工智能、大数据分析等新技术在反欺诈与反洗钱领域的运用与推广，传统黑产洗钱手段得到有效遏制。为了规避金融机构的风控拦截，一种名为“二维码跑分”(以下简称“跑分”)的新型洗钱手法逐渐在黑产团队间蔓延开来。

跑分是一种利用微信支付、支付宝等二维码支付平台进行赌资或诈资转移的新型洗钱模式。涉赌、涉诈团伙收集大量正常用户的收款二维码，将赌资、诈资隐藏在正常的资金流水中，从而逃避监管打击。

相较于传统洗钱方式，跑分隐匿性更强，给反洗钱监管带来更大挑战。“跑分洗钱”总体呈现出渠道及场景转移、参与人员泛化、团伙线上扩张三大特点。

1.洗钱阵地从银行向第三方支付平台转移

传统洗钱主要以银行卡为载体，通过手机银行、网上银行等渠道进行转账和支付操作，金融机构经过多年积累，已经部署大量反洗钱风控模型对异常资金流进行拦截，不法分子遂将目光转向了第三方支付平台。互联网支付平台在反洗钱经验与模型建设等方面，与大型商业银行等金融机构存在一定差距，为“跑分洗钱”提供了存活的空间。黑产人员恶意将资金转移至互联网支付平台，导致银行侧资金流向数据出现断点，从而无法对洗钱资金流进行有效阻断。

2.洗钱参与人员呈现泛化、隐蔽性特点

传统的反洗钱核心工作主要针对黑产内部人员，由于过去黑产人员数量及资源有限，通过风控防护、溯源打击等手段治理效果较为显著。但随着监管力度的进一步加大，黑产的洗钱手段也进一步隐蔽化。为逃避风控模型打击，黑产人员将“跑分洗钱”活动包装为兼职工作，以“学生兼职”“高薪日结”等标题吸引普通民众参与跑分，使得在跑分活动中出现了大量非职业黑产人员的参与。由于这些跑分人员使用的跑分账户往往是其日常生活中使用的银行卡账户，其中包含了工资、消费等正常的交易记录，进一步加大了反洗钱的识别与防控难度。

3.通过线上方式快速扩张

传统洗钱团伙通过线下方式招募人员，招募成本高、扩张规模有限，成员之间都具有一定的社会或亲属关系，且地域特征较为明显，易被溯源抓捕。跑分运作机制突破了传统线下洗钱的招募限制，借助于各类社交平台、暗网等途径招揽跑分人员，仅需线上提供二维码图片即可完成洗钱团伙的组建，使得团伙组织速度更快。同时，跑分人员之间通过匿名加密聊天软件进行单线联系，溯源整个团伙的难度非常大。因此，跑分团伙规模极易在线上快速扩张，且难以被溯源。

传统的反洗钱方式已经无法有效保障企业和用户免受不法分子的欺诈，为此，工商银行安全攻防实验室分别从账户、交易、设备等维度提出应对办法，从而更有效地防控新型洗钱风险。

1.账户维度：知识图谱

过去，对于洗钱行为的判断往往基于事后分析交易行为和以往的历史经验，但如今跑分人员使用的都是拥有正常消费记录的银行卡，从交易维度上看，极难在洗钱交易进行前完成账户判别，导致判断存在滞后性。而过于强硬的规则和名单判断方式，又不可避免地影响到正常客户的使用体验，引发不必要的投诉等问题。

为解决上述问题，工商银行引入了知识图谱技术。在反洗钱领域，通过知识图谱技术聚合客户交易对象、所用设备、IP等特征，并将聚合后具有强相关性的银行卡账号关联起来，从而在洗钱交易发生前实现风险预警。洗钱交易存在“快进快出”的特点，呈现大额转入小额分批转出的趋势，资金一旦入账便很快通过转账、消费等方式进行转移，且交易IP经常发生变化。工商银行基于知识图谱分析，日均可关联可疑IP地址7053个，涉及风险账户2836个，通过对识别到的风险账户建立黑灰名单机制，可实现对黑产团伙内未暴露的不法分子进行提前预警，避免客户资金受到进一步的损失。

2.交易维度：联邦学习

机器学习的准确率取决于有效样本的数量，商业银行单纯依赖自身数据难以高效完成风控模型训练，必须借助行业数据加以完善。在如今数据即资产的大环境下，出于行业竞争、隐私安全等考虑，不同机构之间数据难以实现全面共享。不法分子深谙此道，所以会选择使用不同银行的账户或者第三方支付账户跨行、跨机构支付，导致每家机构只能追寻到保存在本机构的消费记录和线索，而难以追踪整个交易闭环。

为解决上述痛点问题，工商银行尝试引入了联邦学习技术。利用纵向联邦学习模型(如图1所示)，打通了银行与互联网金融企业、社交媒体间存在的数据孤岛，完善了交易链条，有效地总结了洗钱行为特征。以两家或者多家机构同时提供的数据进行训练，这些数据只会被作为模型参数使用，不会引发隐私泄露问题。工商银行利用联邦学习技术探索跨金融同业机构的电子银行欺诈账户识别模型，算法原型证明了使用联邦学习技术在确保数据不出本地的情况下，与第三方支付机构数据共建模型的可行性及有效性，使共建模型较独立模型准确率提升38.3%，精确率提升28.9%，召回率提升37.2%。共建模型可以清晰地勾勒出不法分子的整个交易链条，使其洗钱行为无所遁形。

图1 纵向联邦学习模型示意

3.设备维度：设备指纹

新兴的洗钱团伙已经不需要召集跑分人员到达现场，只需对跑分人员手机安装远控App，即可获取跑分人员的网银短信验证码等信息，且使用单台手机可以登录多个网银账户，实现脚本自动化洗钱。跑分人员之间不存在社会关系，所使用的银行账户也无地区相关性。

针对这种离散化的人员分布，工商银行通过设备指纹技术来锁定不法分子所使用的涉黑设备，通过对涉黑设备的追踪实现对涉黑账户的定位。设备指纹技术可收集客户端设备多个维度特征属性信息，并将其加密上传到后台服务器，然后通过随机算法为每台客户设备生成唯一ID来进行标识，图2为一个简单的设备指纹生成示例。

图2 设备指纹生成示例

安卓和iOS系统都留有可供开发者调用的API来获取客户端相关的软硬件信息，虽然黑灰产机构会通过刷机或者虚拟机的方式来绕过这些API，但可以考虑通过多个维度的软硬件信息的收集来规避这些伪造行为。图3为一个收集多维度信息生成设备指纹的简单示例，这些信息因设备而异，设备指纹通过部分的差异信息来生成完全独立的设备ID。

图3 收集多维度信息生成设备指纹示例

在跑分过程中，不法分子登录网银之后通常不会立刻启用，而是会先通过多笔小额支付(如微信红包、支付宝转账等)来确认银行卡的可用性，这个时期我们称之为“静默期”。在确保银行账户可正常使用后，不法分子才会进行大额资金的转入转出操作。依托设备指纹技术，工商银行通过采集设备的70余项特征，生成36个风险标签，如在“静默期”检测到账户在涉黑设备上登录，可以将其拉入灰名单进行管控;当该账户提出大额转入转出申请时，即可阻断交易，冻结银行卡，从而避免进一步的资金损失。

上述三种应对“跑分洗钱”的技术思路，工商银行都已在与黑产的真实对抗过程中进行了尝试与实践。以“跑分洗钱”账户作为分析源，从设备、交易、通信及网络等维度打通数据联系，挖掘欺诈账户特征。横向扩大反洗钱分析范围，纵向加深洗钱团伙挖掘深度，从转账、支付等环节入手，通过关联分析识别完整洗钱链条，梳理团伙内组织脉络和时空轨迹，从而增强对欺诈团伙网络隐藏痕迹的溯源能力，为欺诈账户识别进行业务赋能。工商银行在“跑分洗钱”相对高发的部分省份进行试点，实施当月即实现涉案账户环比下降56%，从源头加强对涉赌、涉诈资金的堵截，为维护金融安全作出重要贡献，得到了属地监管机构的高度评价。

洗钱场景已成为金融业与黑产博弈的主战场，银行是反洗钱工作的前沿阵地，工商银行安全攻防实验室将持续关注黑产最新动向，加强反洗钱管控技术研究，努力实现异常资金流动的提前发现，有效预防和打击洗钱犯罪，为维护国家经济金融秩序、保障社会稳定发展贡献力量。