商户洗钱成为趋势，威胁猎人反洗钱情报助力金融机构洗钱风险治理

“洗钱”新手段，店铺商户成为诈骗“帮凶”？

诈骗团伙为了更快速、更隐蔽地洗钱，从过去银行取现、虚拟货币等方式，开始转向茶楼、金店、手机店、烟酒店等商铺进行“大额消费”来套现，以此达到洗钱目的。

威胁猎人研究发现，在商户“洗钱”产业链中已出现了“商户码代收”、“扫街码”、“商户反扫”、“商户代付”（核销码）等多种洗钱方式。

本文基于威胁猎人对商户“洗钱”产业链的研究，客观呈现被用于“洗钱”的商户的“黑白商户”占比、行业分布、洗钱手法等，为金融机构反洗钱策略提供参考意见。

一、什么是商户洗钱？

“商户”通常指具有合法营业资格的商户商家及商户账号。近年来，诈骗或洗钱团伙开始利用商户账户收取“黑钱”来洗钱，使用商家资质开通的收款账户基本没有收款额度限制，可支持花呗、信用卡等多种付款方式，相比传统洗钱方式会更隐蔽和高效。

威胁猎人研究发现，随着洗钱产业链的不断发展，目前已出现了“商户代收”（商家码）、“扫街码”、“商户反扫”、“商户代付”（核销码）等多种商户洗钱方式。

上游：诈骗团伙、赌博团伙

诈骗团伙：使用精心包装过的身份话术，在社交软件上对受害人实施精准诈骗，诱导受害者向商户账户转账，如炒股投资理财诈骗。

赌博团伙：境外赌博平台代理人或者自己出钱找第三方开发独立建站的庄家，通过营销吸引人员到自己站点充值赌博。

中游：码商、散户

码商：掌握大量商户账号等资源，在需要时可以配合代办营业执照和各种需要认证的商户，将商户资料提供给洗钱团伙使用，还可安排人员配合各种人脸认证，保证交易完成。

散户：找到码商中介或者直接对接洗钱团伙，提供自己的商户信息，配合洗钱团伙进行洗钱交易。

下游：洗钱团伙

洗钱团伙：从中游码商、散户手中租赁或者购买第三方商户账号，再对接上游的诈骗团伙或者赌博团伙后，有序地提供商户码，协助非法资金完成转移洗白。

二、参与洗钱的商户现状分析

威胁猎人研究发现，参与洗钱的商户存在两种情况，一种是“黑商户”，一种是“白商户”。

黑商户：指黑产通过租赁、购买等方式持有的商户账号，被黑产专用于洗钱资金转移；这种情况下的商家往往对洗钱知情，可获得佣金，所以称为“黑商户”。

白商户：指黑产通过线下“扫街”、线上购物等方式获取到的正常商户收款账号，黑产使用“黑钱”向商家购买茅台、黄金等昂贵商品，再通过二次转售将资金洗白；这类商户往往对洗钱不知情，所以称为“白商户”。

2.1 参与洗钱的“黑商户”数量远超“白商户”，占比达85.54%

威胁猎人情报数据显示，2024年参与洗钱的商户中，“黑商户”数量占比远远超过了“白商户”，占比85.54%，“白商户”数量占14.46%。

2.2 2024年参与洗钱的商户数量持续增长

威胁猎人情报数据显示，2024年1月至9月，被黑产利用于洗钱的商户数量整体呈上升趋势，尤其是“黑商户”数量大幅上涨。

2.3 洗钱商户覆盖了80多个行业，零售业是洗钱重灾区

威胁猎人情报运营人员对参与洗钱的商户进一步分析发现，这些商户涉及80多个行业，其中零售业商户占比最多，将近40%。零售业商户账号具备资金流动频率高、交易对象多、资金结算快等特征，这些特征正符合黑产洗钱的要求，黑产利用此类商户洗钱更不容易触发风控。

三、商户“洗钱”手法分析

3.1 商户代收码洗钱

1、什么是“商户代收码”洗钱？

最基础的商户洗钱手法。黑产通过购买、租赁等手段获取商户收款码，直接利用商户收款码代收“黑钱”的洗钱方式；这类商户属于“黑商户”。

“黑钱”夹杂在正常资金流水中，更不容易被发现，洗钱更隐蔽；且商家收款码不限额，可以每天进行多次收款，洗钱效率更高。此外，商户收款码可聚合支付功能，除了支持普通银行卡，还能支持信用卡、花呗、借呗等基于信用的支付方式，更容易躲过风控。

应用场景：商户代收码洗钱方式一般被黑产用于大额或需要频繁收款的诈骗洗钱场景，例如投资理财类诈骗场景。

2、案例

威胁猎人曾监测到一起诈骗和洗钱案例，某投资项目“杀猪盘”收款就用了“商户代收”的方式进行洗钱：

1）洗钱团伙通过供应商购买或租用获取到“广西***有限公司”对公账号，提供给诈骗团伙用于收款；

2）通过对公账号对受害人的资金进行归集，再通过对公转账、代发工资等方式对诈骗资金进行转移；

3）洗钱团伙根据转移资金的数额获取相应比例的佣金，在给诈骗团伙按照市场比例的USDT进行汇款。

3.2 商户代充码（核销码）洗钱

1、什么是“商户代充码”洗钱？

为了降低洗钱风控风险，一些黑产团伙会对外提供低折扣的游戏点券、直播币代充服务，提前获取正常用户的充值信息（账号、充值要求等）和白资，再把诈骗获得的“黑钱”充值到“白商户”账户中，完成正常用户代充的同时，也完成了洗钱，所以也称“核销码”。

应用场景：商户代充码洗钱常见于直播币充值、游戏充值、生活费充值等场景。

2、案例

威胁猎人情报人员曾捕获到了一个收款二维码，扫码进去可以看到是一个定制链接，输入金额进行支付时会申请跳转到支付宝支付页面，收款方是广州****有限公司（一家游戏公司）。由此可以得出，该收款二维码是黑产团伙通过技术生成的核销码。

3.3 扫街码洗钱

1、什么是“扫街码”洗钱？

黑产通过购买高额商品（如手机、香烟、名酒等）的方式，往商户收款码支付“黑钱”来达到洗钱的目的，这种商户收款码被称为“扫街码”。这类商家对洗钱不知情，属于“白商户”。

应用场景：扫街码一般被黑产用在实物洗钱场景下，例如购买昂贵的手机、香烟、名酒等商品。黑产会先找到卖手机或名酒的商家，通过线上聊天平台向商家下单，让商家提供收款码，诈骗团伙拿着收款码诱导受害人付款，再让跑腿取走手机，回头将手机二次售卖，洗钱完成。

3.4 商户反扫洗钱

1、什么是“商户反扫”（反扫码）洗钱？

黑产为了降低洗钱风险，通过购买、租赁等手段获取商户的扫码设备，用其扫描受害人的个人付款码进行洗钱，这种方式通常被黑产称为“反扫”；涉及反扫洗钱的商户可能是黑商户或白商户。

应用场景：反扫码会被黑产用于大额或者需要频繁收款的诈骗场景，也会被用于实物洗钱场景。黑产会让受害人拍照提供个人付款码，用商户反扫设备直接扫码扣款，或者找到实体商家购买商品，再提供受害人付款码给商家扫码扣款，以此完成洗钱活动。

四、威胁猎人“反洗钱”情报服务

助力金融机构治理洗钱风险

随着黑产诈骗洗钱产业不断发展，作恶手段和洗钱方式也不断更新迭代，难以辨别，大幅增加了金融机构监测和防范难度。

针对黑产滥用商户账号进行洗钱，金融机构需要及时了解其洗钱流程和洗钱细节，依托全网多渠道监测的商户洗钱情报数据，从“被动防范”转向“主动防御”，提取黑产的使用商户洗钱的特征，再结合自身业务场景建立更精准的风控规则，进行针对性防御。

威胁猎人提供“反洗钱情报服务”，基于全面的情报监测体系，深入监测全网近3000个洗钱支付平台，挖掘洗钱商户账号、涉赌/涉诈银行卡、风险IP、风险手机号等数据，并赋予对应的动态风险标签，做到事前快速识别、事中实时监管、事后策略分析，帮助机构快速识别涉赌/涉诈洗钱账户，摸清资金去向，有效阻击电信诈骗/网络赌博洗钱黑产对正常业务的影响。

威胁猎人如何助力金融机构治理“商户洗钱”风险？

1. 在涉赌/涉诈账号进行转账前

基于威胁猎人银行卡风险标签、洗钱商户信息等聚类分析，拓展更多洗钱“水房卡”，及早布控，将商户洗钱风险扼杀于“萌芽”；目前，威胁猎人风险银行卡数据库总量达430W+，2.2W+洗钱商户。

2. 在涉赌/涉诈交易行为发生时

基于威胁猎人的银行卡风险标签、IP风险标签，结合交易的图特征模型和交易环境特征进行实时建模，提醒或者冻结违规交易。

3. 在事后处理非法交易账户时

基于威胁猎人的情报系统为银行和三方机构提供涉赌资金链情报、商户洗钱资金链路情报等分析报告，帮助金融机构及时调整反洗钱风控策略。

最新动态