零售业商户疑似诈骗洗钱案

中国建设银行（以下称我行）近日在可疑交易监测分析过程中，发现客户A商户账户交易异常，经甄别分析和尽职调查，认为其交易存在明显诈骗洗钱疑点。

一、案情概述

● 企业名：A商户

● 案由：疫情期间交易量激增

我行在人工分析异常交易过程中发现A商户在2020年1月至3月疫情期间，交易量激增，期间累计发生交易笔数占历史总交易笔数的60%左右。

该客户资金交易呈现“分散转入、集中转出、快进快出”的特征，交易频度和交易金额与公司的经营范围、成立时间、注册规模严重不符。客户法定代表人失联，经营地址无挂牌，空壳公司特征显著。上游交易对手众多且地域分散，涉及几百个主体，其中包括数百个个人主体和支付宝账户，来源于华北、华东、华南、西南、西北、东北等地区的十余个省市。下游交易对手相对固定，主要通过数个个人账户和公司账户过渡资金，分布地区集中。贷方以“小额交易”为主，金额为10的倍数，疑似5只一次性医用或民用口罩的批发价格。借方金额多为1000的倍数。频繁使用代理服务器以规避监管，网银交易IP地址经常变更，显示为境外，且与几十个主体共用。贷方交易备注中多次出现“口罩”、“口罩货款”、“（某型号口罩）10000个”等描述，而可疑主体既不是口罩生产企业，也不具备售卖医用口罩的资质，异常交易时间段集中在疫情爆发期间，疑似利用人们在疫情发展阶段防疫物资短缺的恐慌心理实施诈骗，并归集、划转、过渡诈骗资金。

二、客户基本情况

01客户基本信息

A商户，成立时间不长，无注册资本，企业类型：有字号个体工商户，行业：零售业，登记状态：存续，经营范围：日用百货、食品、卷烟、雪茄烟、罚没烟草制品零售。

02客户账户情况

A商户在我行开立一个对公结算账户，签约有企业网银、金融IC单位结算卡、现金管理信息服务。

三、资金交易情况

01总体情况

开户后，客户经历了一段没有交易的沉寂期，而后交易量逐步放大。至分析期，A商户账户累计发生异常交易过万笔，金额累计超千万元，其中借方交易一千余笔，贷方交易近万笔。以上资金交易主要通过网上银行、三方平台等非柜面渠道进行收付。

02资金来源情况

资金来源较分散，主要来自于来源于华东、华南、西南、华北、东北等地区的十余个省市，涉及数百个主体在多家国有银行、股份制银行、农信社等银行业金融机构开立的银行账户及支付宝等第三方平台开立的支付账户、其他公司对公账户，主要通过网上银行、手机银行、三方平台等渠道转入。

03资金去向情况

资金归集到A商户的账户后，立即通过企业网银渠道转出，资金集中流向华南、东北、西南等地区的省市的数个个人和公司，收款人开户行主要为某银行。收款公司集中于贸易和互联网行业。

四、可疑点分析

01客户身份、账户异常情况

（1）空壳公司特征突出

A商户成立时间短；开户预留联系电话为手机号，无固定电话；注册地址为位于乡村。尽职调查显示，开户网点客户经理已通过多渠道联系法定代表人，但内部系统联系方式和外部系统联系均为无人接听，疑似失联。经营地址无挂牌，找不到实际经营地址。

（2）账户异常

账户开立时开通了网银等电子银行服务，开户后几乎未发生柜面业务，频繁通过网上银行等非面对面交易渠道进行交易，借贷方交易金额基本相等，账户过渡性质明显。账户启用之初，发生了几笔单笔交易金额为几十元的小额交易，疑似测试账户状态是否正常。

02资金交易可疑点

（1）交易频繁、资金量巨大，与主体规模不符

几个月内累计交易过万笔，交易金额超千万元，即月均交易数千笔，金额数百万元，交易金额及频率远超正常预期，与该商户仅成立半年、无注册资本、经营地址位于村内、主营业务为小商品零售的资产规模严重不符，远超日常结算所需。

（2）24小时均有交易发生，交易时间异常

账户呈24小时不间断连续交易状态，不分节假日和昼夜，超过四分之三的交易集中在9:00—22:00之间。其中一月至二月期间的十天内发生交易千余笔，累计金额百余万元，并有数百笔，近一半的交易发生在凌晨。

在国家正式公布新冠肺炎疫情开始后，可疑账户交易开始放大，其中2020年1月至3月期间，累计发生交易占总交易笔数和金额约占历史交易量的三分之二左右，交易频率明显高于此前。集中交易时间段与新冠肺炎疫情发展的时间曲线相符，疑似可疑主体通过疫情爆发造成的防护物资恐慌实施诈骗。

（3）上游交易对手多且地域分散，下游交易对手地域集中但对手相对固定

● 贷方交易对手众多，包含几百个个人主体，并涉及几百个支付账户（包含公司及个人账户），上述累计主体个数达数百个，是借方交易对手主体个数的几十倍。第三方支付平台及银行个人账户累计交易金额高达数百万元，占贷方交易金额超99%。几百个个人账户与可疑账户为一次性交易，占贷方个人账户个数的近50%，单点流入特征显著，疑似个人主体在单次交易后立即发现被诈骗而停止后续交易。

● 资金来源地区较分散，来源于华东、华南、西南、华北、东北等地区的十余个省市，大部分为国内疫情严重地区，对口罩、体温枪等防疫物资需求迫切，符合受骗人群地域特征。

● 下游交易对手地域相对集中，超99%的资金流向少数几人的个人账户及某公司的账户，通过跨平台和跨行的资金划转，切断银行对资金流向的追溯，保证诈骗资金的顺利流转。

（4）交易备注异常，与正常经营不符

贷方交易备注中多次出现“口罩”、“口罩货款”、“（某型号口罩）10000个”等描述， 表明贷方汇入款项的主要目的用于购买口罩等防疫物资的备注。按照交易备注提供的信息，可推断可疑主体用于诈骗的口罩价格为几元一个，应为一次性医用或民用口罩，远低于同期市场同类口罩。还可以推断可疑主体虚假承诺客户可大量订购口罩，而其实际上仅仅是一个主营业务为日用百货等的村中小卖部，即不是口罩生产企业，也不具备售卖医用口罩的资质。

有近四分之三的借方资金流向某人在他行个人账户，且备注出现了“QQ”、“安全群”及与数字代码等疑似暗号，或备注为“货款、往来款”等模糊描述。交易金额均为大额整数，与正常的经营性资金交易特征不符。

此外，该商户账户交易较少发生正常企业经营相关的的工资、货款、物流、税款等交易。

（5）规避柜面交易，多户划转，交易模式异常

● 账户启用后频繁发生资金收付，100%的交易使用网上银行、手机银行、第三方支付等非柜面支付手段，层级分明，疑似分户流转诈骗资金；借贷方累计交易金额完全相等，账户过渡性质明显。

● 频繁进行跨行跨地区交易，跨行跨平台交易，占总交易笔数的近90%，占总交易金额的超四分之三。交易对手账户分散在我国境内多家银行（跨行账户身份难以核查），疑似多维度进行资金过渡与转移，以此掩盖资金来源、性质、用途。

● 防疫电信诈骗的主要套路是利用淘宝、微信等网络平台宣称自己有渠道筹集或拥有市场急需的口罩等防疫物资（如声称依据地缘优势可以代购越南口罩等），要求受害者直接缴纳货款，但以疫情期间物流不畅为由延迟发货；待受害者付款后，犯罪嫌疑人可能直接携款消失。具体表现为：资金通过多人（电信诈骗受害人及部分犯罪嫌疑人）多户归集到A商户的账户后，在1-5分钟内通过网上银行、手机银行等电子银行渠道转出，多为同一天或次日凌晨通过余额宝、财付通等三方平台银联入账或支付机构提现。

（6）交易金额异常，特征显著

● 贷方以“小额交易”为主，金额多为10的倍数。疫情发展阶段由于需求突增，物资短缺，导致一次性医用口罩的需求飙升，贷方单笔交易频率较高的金额与口罩批发价格相近，应为5只一次性口罩的价格，为订货下单的最小单位。贷方单笔交易金额介于10-10000之间累计交易，占贷方累计交易量的绝大部分。

● 当账户累计到一定余额时，进行一笔借方转出交易，金额多为1000的倍数。借方单笔交易金额介于1000-200000之间，占借方累计交易量的绝大部分。

（7）IP地址显示位于境外，账户呈集中控制状态

A商户一个月内累计使用代理服务器一百余次，并与数十个公司和个人共用1个IP地址，IP归属地为境外，与可疑主体户籍地址、开户地址均不相符，账户呈集中控制状态，疑似通过租用境外服务器或使用代理，混淆真实地理位置，掩盖真实交易地点和资金最终去向，涉嫌团伙过渡转移资金。

五、最终结论和采取的措施

综合以上客户身份、交易情况等分析，我行认为A商户疑似利用人们在疫情发展阶段防疫物资短缺的恐慌心理实施诈骗，并利用账户过渡和转移诈骗资金，交易频率较高，涉及金额巨大。我行向人行和公安机关报送重点可疑交易报告，将其风险等级调为高风险，并将对其账户采取限制非柜面交易管控措施，持续跟踪监测。