写在前面

早在一年半前，我们从各地反诈中心反馈的线索中已经掌握了这个漏洞的链条，但考虑到公开揭露会有教唆犯罪之嫌，迟迟没有下笔。直到今天，这个漏洞已经成为诈骗界公开的秘密，多地反诈中心的工作效果也因此大打折扣，我们在反诈同行的建议下才写下这篇文章，希望能引起相关部门的重视。

你知道吗？钱财转到骗子银行卡上后，挽回损失的黄金时间只有60分钟。

如果两年前你的钱被骗子骗走，反诈中心通过与银行间建立的止付返还机制，有60%-80%的概率将这些钱追回。而如今，如果你的钱——特别是大金额的钱款被骗子骗走，反诈中心就是有再牛逼、再顺畅的运作机制，迅速挽回钱款的概率也基本在10%以下，当然，这不包括破案后追回的赃款。

这一切，都是因为骗子掌握了第三方支付的漏洞。

什么是第三方支付呢?

简单来说，就是非金融机构作为中介提供的网络支付、预付卡、银行卡收单等支付服务。我们最常见的第三方支付平台就是淘宝的支付宝、腾讯的财付通。按照2016年的数据，这两家平台占了移动支付市场份额的92%、互联网支付市场份额的61.9%。

第三方支付结构图

这个漏洞有多厉害？我们先看一个警方截获的某骗子银行卡账户流水。

某骗子控制的银行账户，已做技术处理

从这个账户流水可以看到，受害人分两笔转入100万到该骗子账户后，骗子瞬间以每笔五万元，转出20笔（图中支*金是支付宝备付金的缩写），直至卡中还有112元的余额。

那么，骗子一共用了多少时间呢？我们来看另外一张表。

警方调取的交易详表

从9月12日23时30分许诈骗转款发生，到9月13日0时30分最后一笔转出，只用了1个小时就把100万元全部转出，刚好过了止付的“黄金60分”。

也许有人会问，支付宝都是实名认证，和银行卡号都是绑定的，那就可以直接查到这笔钱流向了哪张银行卡，再去止付不就行了？从道理上讲，是可以的。但实际操作中就不是这样了。因为按照交易规则，第三方平台无权掌握银行卡号信息，通过这些平台的每一笔交易都会生成一个“订单号”。因此想要搞清楚这笔钱通过支付宝转到了哪里，还必须先找到订单号对应的银行卡号。

怎么找呢？只能去求各银行的电子银行部。由于这个查询权限要求较高，所以查询起来也异常麻烦。少则几个小时、一天，多则十天半月。个别银行对异地账户订单号码的查询规定得很死，必须通过总行才能进行，要至少一个月才能反馈结果。等查询回来，银行卡上连根毛都没有了。就这样的反馈时间，还是在工作日、工作时段。如果在非工作日、非工作时段，时间还要往后延长。就算警察24小时不眠不休开展冻结工作，由于很多银行没有24小时对接工作机制，也是“望号兴叹”，干着急，没办法。

也就是说，以前骗子在骗到钱以后，会通过迅速转账到二级、三级、四级等多个银行卡，来增加警察查案的难度，再去找“车手”取现。近两年，各地反诈中心陆续建，警方与银行建立了紧密的合作关系，可以迅速对多级账户进行冻结，这条路基本堵死。所以骗子就改进工作办法，在骗到钱后，通过第三方支付平台转来转去，每转一次就会增加一次查询的时间成本，等警察追查到去向时，早已经过了“黄金60分”。

可能还会有人问，骗子通过第三方支付平台转来转去，钱总还是在银行卡或平台上的吧。如果这样想，那你就太低估骗子的智商了。无数的点卡平台（售卖游戏卡、充值卡的平台）目前已成为了诈骗界的“比特币”或者说“法定货币”。由于点卡平台现在处于监管真空状态，交易既没有特别要求实名制，也没有交易额度限制，骗子在这些点卡平台上通过网银转账的方式一次性购买大额的点卡，随后在另一个点卡平台全部卖出，所有的钱就全部洗白了。

以前本号还扒过微信、支付宝话费充值卡回收功能，不排除骗子还会利用这个回收功能的漏洞洗钱。

从警方掌握的情况看，有的骗子和点卡平台的经营者甚至直接达成协议，购买后再私下归还点卡的密钥，点卡平台按照约定比例抽成。点卡平台在帮助骗子完成洗钱的同时，也直接斩断了警方追查的资金链。

我们再开看看这个资金链条：受害人的钱→骗子的卡→第三方支付平台（多次转账）→点卡网站买点卡→另一个点卡网站卖点卡→骗子转钱到自己账户。

由于支付宝、财付通等大型第三方支付平台可以实时到账，所以成了骗子最喜欢用的平台。特别是支付宝还关联了售卖点卡的淘宝商家，更是可以一键购物，成了骗子手中的香饽饽。某地反诈民警向我们反馈，目前大额诈骗转款洗钱，90%以上都走第三方支付，而支付宝又占了这个额度的大头。其他城市的数据可能会有差别，但是通过第三方支付洗钱已成为主流。当然，骗子为逃避追查而频繁进行的转入转出操作，也给这些第三方支付平台带来可观的利润。

但必须要说明的是，我们不能把板子打在支付宝、财付通等大型第三方支付平台上，它们并没有做错什么。做错的是掌握了银行卡权限的银行，在与第三方结算时只记录了订单号码，而在订单号查询反馈上又奇慢无比。做错的是商务监管部门对虚拟点卡管理的失控。

这种模式经过近两年的发展，现在基本已经在诈骗界普及开来，成了公开的秘密。搞得《人民日报》都看不下去了。在2017年3月16日第10版中专门发了一篇报道：《第三方支付平台，咋成诈骗新宠》。

终结诈骗在此呼吁：

第一，建议人民银行总行调研微调银行与第三方结算记录方式的必要性，最好能同步记录交易的银行卡号。请人民银行总行加大对第三方支付平台的监管，对多次被犯罪分子用于洗钱而又无法有效制止的平台给于处罚，拒不采取有效措施导致人民群众财产受到重大损失的，坚决摘牌。

第二，请各大银行总行立即下放订单号查询权限到各地市银行，让各反诈中心民警能迅速查出该订单号关联的银行卡号，搞清楚资金流向。

第三，请商务部门立即加强对各大点卡平台的管理，全面推行实名制和大额买入卖出限制，避免点卡平台成为洗钱渠道。

第四，请工商部门加强对工商注册和对公账户的管理，避免他人假冒身份注册公司、办理对公账户，用作诈骗。

第五，请第三方支付平台加大监管力度，严格落实实名登记和实名使用机制，确保所有客户真实有效，避免沦为犯罪分子的洗钱通道。

第六，请各位加强防骗知识学习，避免被骗。一旦被骗，也不要把怨气撒在警察身上，因为在这个制度、规则不健全的环境里，他们已经在各种调证中备受委屈、疲于奔命。请给他们多一点关爱和包容！

2017第二届移动金融安全大会将于11月15日在深圳举行，深圳公安局反欺诈中心专家将现身说法：

议程详情见大会专栏：http://www.mpaypass.com.cn/MFSC2017/