文章总结: 本文详述了一起复合型刷单诈骗案的侦破过程,受害人被骗26万。警方通过追踪资金与网络线索,揭示了该诈骗团伙涉及信息黑产、技术支撑、引流推广、资金洗白及境外操控等七个环节的完整链条。虽然国内抓获多名洗钱人员并追回部分资金,但境外核心成员逃脱。文章总结了侦查七步拆解法,强调快速定性与多维度追踪的重要性,为打击此类犯罪提供了实战经验与防控建议。 综合评分: 90 文章分类: 实战经验,社会工程学,威胁情报,应急响应
复合型刷单诈骗案侦破之被 “任务”吞噬的26万
原创
子午猫 子午猫
网络侦查研究院
2026年3月2日 07:56 湖南
#
一、从46.8元到26万:王先生的噩梦
2026年2月6日,河北邢台,气温零下三度。
王建国(化名)坐在市公安局刑警支队的询问室里,手里攥着一张皱巴巴的银行流水单。单子上的数字像刀子一样扎眼:26万3870元。这是他过去十年攒下的全部积蓄,外加网贷平台上欠的12万。
“我就是想赚点外快。”他声音沙哑,眼睛盯着地面,“第一天还赚了46块8毛,微信直接到账,一分没少。”
刑警老李给他倒了杯热水,没说话。这种开场白他听过太多次了。
王建国是个货车司机,42岁,跑长途货运。去年行情不好,活儿少,在家待了两个月。刷短视频时,他看到一条广告:“急招打字员,千字30元,时间自由,日结。”
他填了申请表。十分钟后,一个企业微信好友申请跳出来,头像是个职业装女性,名字叫“客服-小雅”。
“王先生您好,恭喜您通过初审。请扫码下载我们的专属APP,方便派发任务。”
他扫了码,下载了一个叫“星耀兼职”的APP。注册后,被拉进一个五百多人的大群。群里热火朝天,不断有人发截图:“任务完成,佣金已到账!”“感谢平台,又赚了68!”
群公告写着:“今日任务:直播助阵。无需垫资,打开电商APP搜索指定直播间,停留3分钟即可,一单3.6元。普通学员每日限13单。”
王建国试了试。确实简单,搜索、进入、等待,截图发到群里,几分钟后,微信收到转账:3.6元。他做了13单,46.8元准时到账。
“这比开车轻松多了。”他心里想。
第二天,他盯着群里“正式学员”的福利眼红——他们一单10.8元,一天能做20单。想转正,得先做两单“预付任务”。
指导员私聊他:“99元档,做完返130元,净赚31。放心,我们签了保密协议,泄露数据要承担法律责任。”
他选了4999元的档位。付款后,被拉进一个4人专属小群。刚进去,指导员就说他操作失误,导致所有人的钱都要“打水漂”。
群里另外三个人瞬间炸了。
“你怎么搞的?我投了两万!” “完了完了,这下全没了!” “赶紧想办法啊!”
王建国脑子“嗡”的一声,愧疚感淹没了他。这时指导员递来“救命稻草”:充2.7万或3.3万就能补救。群里三人异口同声选了2.7万。
他咬咬牙,把银行卡里最后一点钱充了进去。
钱刚到账,指导员甩出新任务:“要做完两单才能提现,是你们自己没看清规则。”群里三人又把矛头对准他:“都怪你!连累大家!”
接着,三个新档位摆出来:6.5万、8.8万、12万。大家“一致”选了最低的6.5万。
王建国没钱了。对方派来“资金专员”,手把手教他网贷,连贷款电话的话术都写好了。他贷了6万,冲进去。
又一个“晴天霹雳”:队友操作失误了。他自己犯过错,不敢埋怨,只能跟着慌。指导员给出两个方案:自己操作交12万,他代为操作交15万。“15万更保险,能避免再出错。”
群里有人问:“交了15万,之前的钱全能拿回来吗?”
“肯定能。”指导员斩钉截铁。
没过多久,群里有人晒出提现成功的截图。王建国像抓住最后一根稻草,被资金专员带着掏空了信用卡,借遍了贷款软件,凑够16万充了进去。
满心欢喜点提现,系统提示“操作过早”。指导员当场发火:“你的失误导致系统冲正中断,还要再交15万。”
那天是周五晚上。指导员轻飘飘一句:“下班了,周一再处理。”
王建国魂不守舍地熬到周六早上,才猛然惊醒。他翻看聊天记录,发现那三个“队友”说话风格很像,每次都是同时附和。他试着在群里问话,没人回应。
他给指导员发消息,显示被拉黑。APP打不开了。
26万多,没了。
二、立案:从“经济纠纷”到诈骗案
王建国来报案时,接警的小张第一反应是:“这听着像经济纠纷。”
很多刷单诈骗案,一开始都被当成普通纠纷。骗子会伪造合同、协议,制造“你情我愿”的假象。甚至有些受害者因为自己参与了“刷单”(本身违法),不敢报警。
但老李经验丰富。他听完王建国的叙述,问了几个关键问题:
“那三个队友,你加过他们好友吗?” “没有,只在群里说话。” “APP是从官方应用商店下的吗?” “不是,扫码下载的。” “转账是转到公司账户还是个人账户?” “都是个人,不同名字。”
老李心里有数了。这是典型的复合型诈骗:以“打字员”引流,用“直播浏览”建立信任,最后以“刷单任务”实施大额诈骗。群里那三个“队友”,九成九是托儿。
“立案。”老李拍板,“按诈骗案办。”
但立案只是开始。这种案子,破案率不足0.1%。钱一旦转出去,就像水泼进沙漠,瞬间消失。
三、侦查第一步:追踪资金,大海捞针
专案组调取了王建国的所有转账记录。26万多,分17笔转出,收款方是11个不同的个人账户,开户地遍布全国:广东、福建、湖南、江西、黑龙江……
“水房账户。”技术组长老周说,“专门用来洗钱的。”
所谓“水房”,就是诈骗团伙的资金流转中心。他们从黑市收购大量银行卡(“卡农”),搭建多层转账体系,让资金在短时间内多次拆分、转移,最终流向境外或变现。
侦查员小赵负责追第一层账户。她发现,王建国的钱转到那些账户后,平均停留时间不超过3分钟。3分钟内,钱被拆分成几十笔小额,转到第二层账户。
第二层账户更分散,有些甚至是数字货币交易平台。钱在这里被兑换成USDT(泰达币),然后转入匿名钱包。
“到这儿,传统追踪就失效了。”小赵说,“数字货币匿名性强,跨境流通快,很难追。”
但老李没放弃。“水房在国内,抓不到最终骗子,先把水房端了。”
他们从11个收款账户中,选了一个开户地在湖南娄底的。账户主人叫刘伟,25岁,本地人。查询发现,这张卡近一个月流水高达300多万,但刘伟本人无业,住在城中村。
“典型的卡农。”老李带人赶赴娄底。
在刘伟的出租屋里,他们找到7张银行卡、3部手机。刘伟交代,他在网上看到“租银行卡,日结500元”的广告,就把自己的卡租出去了。“对方说用来做电商流水,我不知道是诈骗。”
根据刘伟提供的上线联系方式,专案组在长沙抓到了一个“收卡中介”吴某。吴某手下有二十多个“卡农”,他负责收卡、验卡、发卡,每张卡抽成30%。
从吴某的手机里,侦查员找到了一个加密聊天群。群里有上百人,分工明确:收卡组、转账组、提现组、风控组。
“这是一个专业水房。”老李说,“但还不是核心。核心的诈骗团伙,可能根本不在国内。”
四、侦查第二步:追踪网络,虚拟世界的脚印
资金流难追,网络流是另一个突破口。
技术组长老周是网安出身,他带着团队分析王建国提供的线索:
- 那个“星耀兼职”APP
- 企业微信“客服-小雅”
- 诈骗微信群
- 指导员和资金专员的聊天账号
“APP是最大的突破口。”老周说,“只要找到它的服务器,就能挖出很多东西。”
他们解析了APP的安装包,发现它没有数字签名,是用简易工具打包的。服务器IP在境外,但通过技术手段反向追踪,发现它的域名注册商在国内。
域名注册信息是假的,但注册时留的邮箱是真实的。通过邮箱,关联到一个手机号。机主叫张某,福建安溪人——电信诈骗高危地区。
“安溪那边,很多家族式诈骗团伙。”老周说,“他们技术不一定高,但话术成熟,分工明确。”
侦查员赶赴安溪,找到了张某。他承认卖过域名,但坚称不知道对方用来诈骗。“网上买的,几百块一个,我卖了一千多。”
线索似乎断了。但老周没放弃,他让团队继续深挖APP的通信协议。发现它和一个已知的诈骗软件“兼职宝”使用同一套后台管理系统。
“兼职宝”是2025年浙江警方打掉的一个诈骗平台,源代码在黑市流传。骗子稍作修改,换个名字,就能继续用。
“这说明,诈骗团伙的技术可能是外包的。”老周判断,“他们买现成的软件,自己只管运营。”
顺着这个思路,他们找到了“兼职宝”源代码的销售渠道——一个暗网论坛。通过网安部门的协作,锁定了几个频繁购买此类源码的账号。
其中一个账号,登录IP经常出现在云南边境。
五、侦查第三步:人员落地,从虚拟到现实
云南边境,尤其是缅北地区,曾是电信诈骗的重灾区。近年来国内打击严厉,很多团伙转移到了柬埔寨、迪拜等地。
专案组分析,这个团伙可能盘踞在境外,但国内一定有“后勤支撑”:负责引流、收卡、洗钱、技术维护。
老李决定双线作战:一路继续追资金,打掉水房;一路追人员,找到团伙核心。
从水房中介吴某的聊天记录里,他们发现了一个关键信息:每隔几天,水房就会收到一个“工资表”,上面列着每个卡农的报酬。发放工资的账户,来自广西东兴。
东兴与越南接壤,是边境贸易重镇,也是非法资金流动的活跃区。
侦查员赶到东兴,在当地银行调取了那个账户的流水。发现它每个月收到来自全国各地的转账,总额上百万,然后分批取现。
取现地点固定在一个ATM机。调取监控,发现取款人是个中年女性,每次戴口罩,但骑一辆粉色电动车。
通过电动车轨迹追踪,警方找到了她的住处。她叫黄姐,45岁,东兴本地人,无业,但生活阔绰。
“我就是帮人取点钱,赚点手续费。”黄姐交代,“对方说做外贸的,现金结算方便。”
她提供了一个上线联系方式:一个境外电话号码。侦查员通过技术手段定位,发现这个号码的基站信号出现在柬埔寨西哈努克港。
“西港,很多诈骗园区。”老李说,“那里法律宽松,成了犯罪分子的避风港。”
与此同时,网络组也有突破。他们通过分析“客服-小雅”的企业微信注册信息,发现它绑定的营业执照是盗用的。盗用者通过非法渠道购买企业信息,批量注册微信,用于诈骗。
这些企业信息的来源,指向一个数据泄露团伙。2025年8月,河南警方刚打掉一个贩卖公民个人信息的犯罪团伙,主犯李某在押。
专案组提审李某。他交代,确实卖过一批企业资料给“做兼职平台的”,对方要求“带法人身份证照片和手机号”。
“他们买资料,是为了注册企业微信,增加可信度。”李某说,“我还卖过一批‘兼职人员’名单,都是网上找工作的,有电话和求职意向。”
这条线索,把诈骗的“引流”环节也串起来了。
六、侦查第四步:复合型诈骗的完整链条
随着侦查深入,这个复合型诈骗团伙的全貌逐渐清晰:
第一环:信息黑产。 从数据贩子手中购买企业信息、求职者名单、手机号等,成本低廉。
第二环:技术支撑。 从暗网购买诈骗软件源码,租用境外服务器,搭建虚假兼职平台。同时注册大量企业微信、微信群,营造“正规”假象。
第三环:引流推广。 在短视频平台、社交网站发布“打字员”“直播浏览”等兼职广告,吸引目标人群。用“无需垫资、日结”为诱饵,筛选出易上当的受害者。
第四环:话务运营。 “客服”负责初步接待,引导下载APP。“指导员”负责建立信任,用小额返利让受害者放松警惕。“托儿”在群里扮演其他学员,制造从众效应和紧迫感。
第五环:诈骗实施。 以“转正”“升级”为由,诱导预付。然后以“操作失误”“任务未完成”等借口,要求不断充值。利用受害者的沉没成本心理(已经投了钱,想捞回来),让其越陷越深。
第六环:资金洗白。 通过国内水房,将诈骗资金多层拆分、转移,最终兑换成数字货币或跨境取现。水房与诈骗团伙分离,降低风险。
第七环:境外操控。 核心成员躲在柬埔寨、迪拜等地,远程指挥国内各个环节。即使国内环节被打掉,他们也能迅速重建。
“这是一个产业化、链条化的犯罪网络。”老李在案情分析会上说,“每个环节都是独立的,又环环相扣。打掉一个,其他环节还能运转。”
七、收网:艰难的跨国协作
2026年3月,专案组准备收网。
国内部分,他们打掉了三个水房窝点,抓获犯罪嫌疑人23名,查扣资金300余万元,冻结银行卡200多张。这些大多是“卡农”和中介,不是核心成员。
境外部分,通过国际刑警组织协调,柬埔寨警方对西港的诈骗园区进行了清查。但反馈令人失望:园区早已人去楼空,设备搬空,人员转移。
“他们像老鼠,闻到风声就跑。”老李叹气,“跨国抓捕,难度太大了。”
唯一的好消息是,通过资金链反推,专案组帮王建国追回了5万多元——来自那些还没被完全洗白的账户。
“剩下的钱,可能永远追不回来了。”老李对王建国说。
王建国沉默了很久,说:“能追回一点是一点。至少,别人知道了,别再上当。”
八、侦查思路总结:复合型诈骗的“七步拆解法”
办完这个案子,专案组开了三天总结会。我把侦查思路整理出来,叫它“七步拆解法”:
第一步:快速定性,避免误判。 刷单诈骗常被误认为经济纠纷。关键区分点:是否有虚构事实、隐瞒真相;是否以非法占有为目的;是否使用虚假身份、虚假平台。王建国的案子中,虚假APP、伪造身份、托儿演戏,明显是诈骗。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网络侦查研究院 子午猫 子午猫《复合型刷单诈骗案侦破之被 “任务”吞噬的26万》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论