2014年1月，赤峰市红山区人民法院公开审理一起利用支付宝交易平台实施的网络盗窃案。被告人谢某在网上购买了一个木马程序，并从淘宝网站的成交记录查询赤峰买家王某的ID及卖家的联系电话，然后联系王某，加王某为QQ好友，并对王某的计算机进行远程协助，通过QQ将木马程序植入王某的电脑。将王某的网上银行卡的余额转入谢某利用木马绑定的支付宝账号上。谢某用支付宝账户余额购买联通充值卡，然后卖出。

本案是一起利用木马盗窃网银资金、利用支付宝购买充值卡洗钱的案例。多年以来，木马网银盗窃案件层出不穷，开始时第三方支付并不发达，所以这类盗窃团伙往往与专业的洗钱团伙合作，由洗钱团伙雇用“马仔”通过ATM取现等方式转移、清洗网银盗窃的资金。这种方式的缺点是成本高，取现团伙往往要收10％左右的手续费。近年来，第三方支付的迅速发展和平台的大量出现，常常被网银盗窃团伙利用，作为洗钱渠道。

（1）大额资金通过网银转入支付账户

一般情况下，这种通过第三方支付平台洗钱的网银盗窃犯，多是通过木马程序将受害人网上银行账户内资金盗窃转入其支付账户。与一般客户通过网银向支付账户充值时充整数不同，这种转入的资金往往有整有零。

（2）支付账户频繁多次购买充值卡、游戏币等

如本案中，谢某用支付宝账户到中国联通公司网站购买联通充值卡，因中国联通公司网站限购，单次交易最高额5000元，打9.85折即4925元，所以谢某就以4925元为一次，不停地向中国联通公司付款购买充值卡，直至将账户内的余额全部消费。这样，谢某通过网银木马盗窃的资金都变成了充值卡( 卡号和密码) 的形式。除了充值卡外，还有其他可以方便洗钱的商品，如游戏币等。网络盗窃犯先要通过木马将受害人资金转入其控制的支付账户，即集中转入。之后再通过购买充值卡等商品方式“分散转出”，形成“集中转入、分散转出”的结构化操作特点。

（3）支付账户套现后沉睡

网络盗窃分子将清洗后的资金从支付账户再转入其控制的银行账户，从而完成整个洗钱过程。一般情况下，为逃避打击，他会弃用这个支付账户，账户交易显示资金转出后即无任何交易。例如，本案中，谢某将盗窃王某的28万余元购买充值卡后，分别在网上出售给了湖南省邵阳市的张某和李某。收到货款后，谢某将其作案时使用的手机、手机卡、无线网卡以及笔记本电脑等全部销毁，支付宝账户也不再使用。