黑產大數據2024年互聯網黑灰產趨勢年度總結2關于威脅獵人威脅獵人ThreatHunter（深圳永安在線科技有限公司）成立于2017年，以黑灰產情報能力和反欺詐技術為核心，專注于及時、精準、有效的業務欺詐風險的發現和響應。公司圍繞不同行業在數字化發展過程中面臨的業務欺詐、數據泄露、釣魚仿冒、API攻擊等風險場景，提供成熟多樣的產品與服務，并多次入選Gartner技術成熟度曲線報告、IDC威脅情報領域代表廠商。公司總部在深圳，在北京、上海、重慶、新加坡等地設有分公司，并在深圳和重慶兩地建立數字風險應急響應中心（DRRC為客戶提供7*24小時全天候數字風險應急響應和及時、優質的服務支持。截至目前，公司已為金融、政務、物流、互聯網、科技、零售等行業的300多家客戶提供安全服務，覆蓋85%頭部互聯網企業，每年幫助客戶減少數十億資金損失。32024年，互聯網黑灰產攻擊依舊嚴峻。不管是在黑灰產團伙規模，還是攻擊資源、攻擊技術的應用以及攻擊場景的演變，均出現了較大的變化。在攻擊資源方面，2024年威脅獵人捕獲全球新增作惡手機號1600多萬例，日活躍作惡IP1170萬例，較2023年大幅提升。為躲避風控監測，黑灰產不斷升級技術尋找更加隱蔽的攻擊資源，如通過在正常用戶設備植入木馬將其IP作為攻擊資源、“商戶洗錢”產業鏈快速發展等。在攻擊技術方面，2024年黑產團伙對通用技術的應用也有新的發展，如濫用“子母機”繞過身份認證、利用“NFC遠程傳輸軟件”進行境外洗錢、定制化云手機系統提升攻擊效率等等。在攻擊場景方面，線上業務欺詐、金融貸款欺詐、品牌廣告欺詐、API攻擊、釣魚仿冒、數據泄露、電信網絡詐騙等場景熱度持續高漲。線上業務欺詐已進入深水區，全行業、全業務環節無差別攻擊；“王星事件”更是進一步提升了公眾對電信網絡詐騙的關注度。威脅獵人發布《2024年互聯網黑色產業鏈研究報告》，基于對2024年互聯網黑色產業鏈的深入研究，從2024年黑灰產攻擊資源、攻擊技術、攻擊場景等維度進行分析，客觀呈現2024年互聯網黑灰產的整體發展態勢，旨在從情報維度幫助各行各業企業提升對黑灰產的認知，從而進一步完善風控策略。4關于威脅獵人 2前言 3一、2024年互聯網黑灰產攻擊資源分析 61.12024年作惡手機號資源分析 61.22024年作惡IP資源分析 1.32024年網絡洗錢資源分析 221.42024年風險郵箱資源分析 二、2024年互聯網黑灰產通用型攻擊技術分析 342.1身份繞過技術演化：黑產利用“子母機”繞過認證，無資質人員也可平臺接單 2.2黑產利用“NFC”遠程傳輸軟件進行境外洗錢，達到轉移違法資金的目的 362.3定制化云手機系統，進一步提升黑產攻擊效率 38三、2024年互聯網黑灰產攻擊場景分析 413.1線上業務欺詐場景 413.2金融貸款欺詐場景 513.3品牌廣告欺詐場景 603.4API攻擊場景 633.5釣魚仿冒場景 3.6數據泄露場景 3.7電信網絡詐騙場景 76寫在最后 80012024年互聯網黑灰產攻擊資源分析61.12024年作惡手機號資源分析據威脅獵人情報數據顯示，近年來國內作惡手機號數量持續上漲，2024年新增量級超800萬，較2023年增長30%。作惡手機號資源中，“貓池卡”和“攔截卡”占比最高，下文1.1.2和1.1.3將重點分析2024年“貓池卡”和“攔截卡”資源的變化情況。（1）2024年國內新增貓池卡615萬，較2023年增加4.86%7據威脅獵人情報數據顯示，2024年國內新增貓池卡615萬個，較2023年上升4.86%。貓池卡：指通過“貓池”網絡通信硬件實現同時多個號碼通話、群發短信等功能的作惡手機卡。從2024年國內貓池卡數量的變化趨勢來看，2月、6月到9月期間，新增國內貓池手機卡數量呈現下滑趨勢。經威脅獵人情報專家分析，出現這一趨勢的主要原因是：1、2月因春節期間黑產交易放緩，攻擊者活躍度降低導致數量顯著下降，節后恢復穩步上漲趨勢；2、6-9月期間，由于監管機構加強打擊，多個發卡平臺被關停，部分卡商被捕，造成供應減少，導致新增貓池卡數量下降。（2）2024年國內新增貓池卡歸屬省份TOP3：上海、北京、遼寧8威脅獵人情報數據統計顯示，2024年國內新增貓池卡歸屬地省份（含直轄市）主要集中在上海、北京、和遼寧省。其中，歸屬地在上海的貓池卡數量同比2023年增長了87.86%。威脅獵人關注到，今年上海的貓池卡在全年各月均保持較高數量，活躍在發卡平臺的頭部卡商今年也持續提供上海貓池卡。通過對上海今年新增的貓池卡來源渠道分析，發現來自發卡平臺的貓池卡數量占比超過一半：92024年國內新增貓池卡歸屬地TOP10對比2023年變化情況如下：【關注】2024年歸屬地為中國香港的作惡手機號持續增長，全年捕獲78.25萬例值得關注的是，威脅獵人情報數據顯示，自2024年3月起，歸屬地為中國香港的風險手機卡交易數量大幅增長，9月份達到峰值。由于下游詐騙黑產需求旺盛，中國香港手機號因可注冊國內外應用、成本低、可用時間長等特點，仍被黑產大量需求。對比其他境內手機卡，中國香港手機卡具備如下特點：1、注冊范圍廣：香港手機卡注冊范圍廣，可注冊Telegram、WhatsApp等海內外應用；2、在線使用時間長：香港手機卡接碼服務的在線使用時間相對其他境內卡更長，一般可保證一個月重復使用，而其他境內手機卡一般為數日；3、價格較低：香港手機卡的價格相對其他境內卡接碼價格更低；4、支持多種接碼形式：香港卡支持多種接碼形式，目前威脅獵人在接碼平臺、發卡網站、私域接碼均發現了香港相關手機卡的作惡記錄。（3）2024年國內新增貓池卡歸屬為三大運營商的占比為76.42%，比去年提升14.51%威脅獵人情報數據顯示，今年國內新增貓池卡的歸屬運營商主要為基礎運營商，占比高達76.42%，相比去年提升了14.51%。威脅獵人情報人員通過調研發現，今年三大運營商占比提升，主要是很多企業進一步提升對虛擬運營商手機卡的風險控制，導致黑產對國內三大運營商的手機卡資源需求增加。（4）【關注】2024年貓池卡發卡平臺數量增加了39.37%，但平臺生存周期縮短威脅獵人持續監控黑灰產作惡資源來源渠道變化趨勢，發現作為貓池卡主要貢獻渠道的發卡平臺在2024年數量大幅增加，但生存周期縮短：2024年新出現了171個貓池卡發卡平臺，同步2023年增長39.37%，但其中有24%的貓池卡發卡平臺運營時間不足一周。威脅獵人進一步調研發現，今年發卡平臺遭受了較強的監管壓力，多個發卡平臺以及活躍的貓池卡卡商因遭受監管打擊而停止運營或活躍。此外，威脅獵人對目前還存活的貓池卡相關發卡平臺進行測試發現，一些黑灰產為了防止被監管打擊，會采取一些較高的安全措施，包括但不限于周期性訂單刪除、使用加密貨幣支付、頻繁修改接碼地址、限制異常訪問和支付等。（1）2024年國內新增攔截卡196萬例，較2023年增長405.50%據威脅獵人情報數據顯示，2024年國內新增攔截卡大幅增加，共有196.64萬例，較2023年增長405.50%。威脅獵人研究發現，一月份攔截卡數量大幅提升是因為去年年底新出現的一個攔截卡渠道，投放了大量攔截卡資源，2024年該渠道貢獻攔截卡數量近百萬余例，占今年整體數量的48.82%。但該渠道在2024年6月到7月期間暫停活躍，最終在2024年12月停止運營。（2）2024年國內新增攔截卡歸屬省份TOP3：廣東、山東、四川威脅獵人情報數據統計顯示，2024年國內新增攔截卡歸屬地省份（含直轄市）主要集中在廣東、山東和四川。2024年國內新增攔截卡歸屬地TOP10對比2023年變化情況：（3）2024年國內新增攔截卡歸屬為三大運營商的占比為98.99%威脅獵人情報數據顯示，今年國內新增攔截卡的歸屬運營商98.99%為基礎運營商，歸屬其他運營商的占比1.01%。（4）【關注】“群接碼”模式簡化黑產使用攔截卡的流程，并使攔截卡真實平臺更隱蔽威脅獵人研究發現，攔截卡的接碼方式也逐漸從傳統的攔截卡平臺接碼模式轉變為“群接碼”模式。這種模式下，攔截卡卡商隱藏真實號碼，僅展示打碼號碼，只有黑卡購買者可獲取完整號碼完成接碼作惡。傳統的攔截卡平臺接碼樣例：“攔截卡”的群接碼模式接碼樣例相比傳統攔截卡平臺使用專屬接碼工具接碼，這種模式的優勢在于：1、使用更便利，卡商只需提供號碼和接碼鏈接，無需為下游代理或黑卡使用者開設賬戶或配置權2、更高隱蔽性，卡商可通過“群接碼”模式隱蔽真實的平臺信息，不將平臺的敏感信息暴露于使用者。目前，通過“群接碼”渠道日均捕獲作惡短信記錄1269例，作惡記錄最高峰為11月，捕獲作惡短信記錄近6萬例：1.22024年作惡IP資源分析據威脅獵人情報數據顯示，近年來日活躍作惡IP數量持續上升，2024年日活躍作惡IP數量達到1178萬，較2023年增長95.68%（1）2024年國內作惡IP有7794萬個，同比2023年增長31.96%2024年，威脅獵人共捕獲國內作惡IP7794萬個，同比2023年增長31.96%。威脅獵人研究發現，2024年國內作惡IP的大幅增長主要是劫持共用代理IP數量急劇增長導致。2024年，國內劫持共用代理平臺發展迅速，威脅獵人捕獲劫持共用代理IP數量超4000萬，占比從去年14.91%提升至今年的51.47%，且超過普通代理IP的占比。劫持共用代理IP：指被黑產惡意劫持的正常用戶IP資源。黑產通過在正常用戶設備中植入木馬，通過木馬在正常用戶網絡上建立代理通道，且每次使用時間很短，因此普通用戶難以感知到自己的IP被盜用。威脅獵人在2024年1月已把這類IP標記為“劫持共用代理IP”風險標簽（2）2024年國內作惡IP歸屬省份TOP3：江蘇、廣東、河南威脅獵人情報數據統計顯示，2024年國內活躍的作惡IP歸屬省份（含直轄市）主要集中在江蘇省、廣東省和河南省。其中，河南省量級提升最大，提升了54.45%，排名也從23年的第六到了第三。（3）【關注】黑產IP資源獲取技術升級，利用正常用戶的IP資源規避風控檢測隨著網絡安全監管及企業風控策略的增強，為規避風控檢測和追蹤，黑產也在升級技術嘗試挖掘更加隱蔽的IP攻擊資源。近年來，威脅獵人陸續發現正常用戶與不法分子混合使用的作惡IP類型，并對其進行深入研究，于2024年推出「劫持共用代理IP」、「云服務IP」、「云手機IP」等風險標簽。1.2024年劫持共用代理IP占比過半，成為攻擊者主要使用的攻擊資源劫持共用代理IP是指被黑產惡意劫持的正常用戶IP資源。威脅獵人發現，黑產通過在正常用戶設備中植入木馬，通過木馬在正常用戶網絡上建立代理通道，且每次使用時間很短，因此普通用戶難以感知到自己的IP被盜用。劫持共用IP大部分時間是正常用戶的常規行為，僅少數時間被黑產劫持用于短暫惡意行為，因此平臺風控會直接將其視為正常用戶，忽視其短暫作惡行為，這就使得黑產使用劫持共用IP的成功率往往高于普通代理IP，導致越來越多的平臺轉向劫持共用代理IP資源。這類劫持共用代理IP在2023年底出現，2024年快速發展、數量急劇增加，2024年威脅獵人捕獲劫持共用代理IP超4000萬，同比增長341.81%，且超過了普通代理IP的數量。2.黑產濫用云技術：云函數與云手機群控技術成黑產IP作惡新手段云服務技術為各行業帶來便利的同時，也在被黑產濫用。一些黑產將云技術成果轉為作惡工具，如借助云服務搭建代理IP資源池、利用云手機的群控設置向企業發起攻擊等。威脅獵人發現，一些攻擊者為了掩蓋真實源IP，會利用云計算平臺的云函數IP搭建代理IP池執行攻擊，或者利用云手機的群控配置執行批量攻擊，威脅獵人將這兩種方式產生的IP定義為「云服務IP」、「云手機IP」。不管是云服務IP還是云手機IP，都是廣泛服務眾多正常用戶，因此平臺風控一般會直接將其視為正常用戶，忽視了它們的作惡行為。（1）2024年捕獲國外作惡IP4479萬個，同比2023年增長102.14%2024年，威脅獵人加強對海外作惡IP進行的監測，2024年共捕獲海外作惡IP4479萬個，相比2023年提升了102.14%。（2）2024年國外作惡IP歸屬國家TOP3：巴西、美國、印度（3）國內外作惡IP類型占比存在差異，國外移動網絡占比遠超國內威脅獵人情報人員對國內和國外作惡IP類型進行分析，發現二者存在差異：國內作惡IP主要以家庭寬帶IP為主，占比將近90%，國內作惡代理IP、秒撥IP和劫持共用代理IP都與家庭寬帶密切相關；國外作惡IP雖然家庭寬帶占比也是最大，但移動網絡占比也比較高，超過40%，進一步分析發現，這些IP主要來自流量卡，通過頻繁切換飛行模式來實現IP變化。1.32024年網絡洗錢資源分析（1）2024年參與洗錢的銀行卡中涉詐卡占比最多，占比42.03%威脅獵人對捕獲到的33.6萬張參與洗錢的銀行卡進行分析，主要分為涉賭卡、跑分卡和涉詐卡三種類型，其中涉詐卡占比最大，達到42.03%。涉賭卡：活躍在賭博平臺中，為賭博平臺內收款使用的銀行卡，常被用于賭博平臺內進行充值收款行為，關聯的資產涉及到賭博洗錢行為。威脅獵人通過人工和自動化結合的方式，從各類賭博平臺中采集用于收款行為的銀行卡賬號信息。跑分卡：活躍在跑分平臺，為跑分份子使用的銀行卡，常被用于各種非法來源資金的流通交易。威脅獵人通過自動化的方式，從跑分平臺APP中獲取到跑分訂單中的銀行卡賬號信息。涉詐卡：在各類匿名社交黑產群聊中，被詐騙團伙購買用于洗錢的銀行卡，常用于詐騙類黑資金轉移。威脅獵人通過自動化的方式，從各大匿名社交黑產群聊中發送的記錄中，提取出詐騙團伙所使用的銀行卡賬號信息。（2）2024年參與洗錢的銀行卡歸屬銀行分布：六大國有銀行占比最高威脅獵人通過對三類洗錢卡的監測數據發現，歸屬為六大國有銀行的洗錢卡占比最大。這主要是因為其覆蓋范圍廣、客戶基數大，因此也更容易被黑產利用作為洗錢工具。。這主要是因為其覆蓋范圍廣、客戶基數大，因此也更容易被黑產利用作為洗錢工具。*其他銀行包括：民營銀行、開發性金融機構及其他金融機構（3）2024年參與洗錢的銀行卡歸屬地區分布：廣東省數量最多威脅獵人研究發現，三種類型的洗錢銀行卡歸屬地區分布上有相似也有差異：相同點：三種類型的洗錢銀行卡歸屬省份TOP10（排名有先后）都是廣東、廣西、江蘇、湖北、山西、河南、重慶、四川、山東、云南，且TOP1都是廣東省；三種類型的洗錢銀行卡歸屬城市TOP10（排名有先后）都是深圳、廣州、重慶、東莞、上海、武漢、晉城、鄭州、成都；且TOP3（排名有先后）都是深圳、廣州、重慶。差異點：河南、山西、四川、云南和山東等地的涉詐卡數量均高于跑分卡和涉賭卡；重慶的涉詐卡和涉賭卡最多，深圳和廣州的跑分卡最多。（4）參與洗錢的銀行卡超過50%活躍周期不到1天威脅獵人研究發現，2024年參與洗錢的銀行卡，超過50%的卡只在1天內活躍，其中涉詐卡在1天內活躍的占比達到84.03%，高于跑分卡的66.33%，和涉賭卡的52.58%。這也說明，洗錢場景下，黑產更傾向于快速完成交易，具有明顯的短期、高頻操作特點，尤其是在詐騙洗錢場景下更明顯。洗錢對公賬戶：對公賬戶指以公司名義在銀行開立的賬戶，洗錢對公賬戶指被黑產用于非法資金清洗的銀行對公賬戶，因對公賬戶具有收款額度大、轉賬次數多等特點，使得“對公賬戶”常常作為黑錢轉賬的集中點及發散點。（1）2024年新增參與洗錢的對公賬戶8059個，較2023年上漲58.05%2024年，威脅獵人持續監測黑產在洗錢過程中所使用的銀行對公賬戶資源，根據威脅獵人情報監測洗錢對公賬戶數據顯示，2024年，新增洗錢對公賬戶數量大幅上漲，同比2023年增長了58.05%。（2）2024年涉及洗錢的對公賬戶所屬銀行中，城市商業銀行排行第一威脅獵人情報數據顯示，參與洗錢的對公賬戶歸屬銀行類型分布中，城市商業銀行排行第一，占比30.63%。進一步分析發現，今年城商行對公賬戶數量較2023年上升8.13%，農信社和農商行的對公數量較比2023年分別上升5.48%和3.48%，而六大國有占比下降11.21%。按照此趨勢，黑產利用對公賬戶洗錢的過程中可能開始轉向地方性銀行，威脅獵人將保持關注。（3）2024年涉及洗錢的對公賬戶歸屬省份TOP3：廣東省、山東省、河南省（4）2024年監測到涉及洗錢對公賬戶歸屬地區最多的三個城市：北京市、深圳市、上海市威脅獵人研究發現，洗錢團伙除了使用個人銀行卡、對公賬號等進行洗錢外，也會利用“商戶賬號”進行洗錢。“商戶”通常指具有合法營業資格的商戶商家及商戶賬號。近年來，詐騙或洗錢團伙開始利用商戶賬戶收取“黑錢”來洗錢，使用商家資質開通的收款賬戶基本沒有收款額度限制，可支持花唄、信用卡等多種付款方式，相比傳統洗錢方式會更隱蔽和高效。威脅獵人在2024年針對“商戶洗錢”產業鏈進行重點研究，發現目前已出現了“商戶代收”（商家碼）、“掃街碼”、“商戶反掃”、“商戶代付”（核銷碼）等多種商戶洗錢方式。（1）“商戶洗錢”成上升趨勢，2024年參與洗錢的商戶及黑產團伙持續增多威脅獵人情報數據顯示，2024年參與洗錢的商戶數量持續增多，下半年相比上半年增長了141.42%。2024年下半年，活躍的洗錢黑產團伙數量顯著增加，同比上半年增長81.91%。（2）2024年參與洗錢的商戶歸屬地TOP3省份：廣東省、浙江省、四川省（3）2024年參與洗錢的商戶歸屬地TOP3城市：深圳市、成都市、廣州市（4）2024年參與洗錢的商戶所屬行業分布TOP3：零售業、批發業、餐飲業威脅獵人情報人員對參與洗錢的商戶進一步分析發現，這些商戶涉及80多個行業，其中零售業商戶占比最多，超過了40%，其次是批發業、餐飲業。這類行業具備資金流動頻率高、交易對象多、資金結算快等特征，這些特征正符合黑產洗錢的要求，黑產利用此類商戶洗錢更不容易觸發風控。（5）【關注】2024年金融行業收單機構洗錢風險排名威脅獵人研究發現，在“商戶洗錢”產業鏈中，有一個核心的角色——收單機構。收單機構既有企業性質的第三方收單機構，也有銀行自身作為收單機構角色。在威脅獵人監控的300多家涉及商戶洗錢風險的收單機構中，銀行自身作為收單機構的占比最多，達到84.17%。威脅獵人按照洗錢交易次數排名，將2024年涉及洗錢的收單機構整理輸出TOP50排名：1.42024年風險郵箱資源分析2024年捕獲高風險郵箱（臨時郵箱）域名數量9334個，占總量4.57%。從2024年不同類型郵箱數量來看，2024年捕獲郵箱20.41萬個，其中低風險企業郵箱占總量76.58%，高風險郵箱（臨時郵箱）占比4.57%，今年新增郵箱主要集中在企業郵箱。022024年互聯網黑灰產通用型攻擊技術分析威脅獵人研究發現，由于各企業擁有不同的業務環境和風險控制措施，黑產組織針對這些企業所采用的惡意工具、攻擊服務也呈現出多樣性，但通過深入分析這些工具的底層技術特征，我們可以將攻擊服務劃分為“過身份”、“多身份”、“批量化”三大模塊，其中每個模塊涉及到多種底層攻擊技術，這些技術是實現各類具體攻擊行為的關鍵所在。2.1身份繞過技術演化：黑產利用“子母機”繞過認證，無資質人員也可平臺接單威脅獵人研究發現，2024年黑灰產利用“子母機”技術，可使兩臺手機同時登錄同一平臺賬號，利用這一技術，黑產可實現兩個人同時共用一個平臺賬戶完成平臺相關操作。“子母機”的應用邏輯是：黑產先用母手機登錄賬號完成身份認證，在通過代碼劫持獲取賬號的Cookie、設備環境等信息，再將這些信息復制到子設備上，替換其原始文件，并讓子設備讀取新信息。目前，出行、外賣等行業已出現此類工具的售賣，可能導致未經培訓或資質不符的司機/外賣員違規上崗，不僅影響平臺的服務質量，還可能危及平臺用戶的人身安全，給平臺帶來更大的損失和名譽受損。【出行平臺“子母機”示例】以出行行業某APP為例：①首先，在A手機上登錄并認證完成了A師傅的平臺賬號；②然后，通過劫持等方式把A手機上的cookie和設備環境信息等，復制到B手機上；③B手機此時掌握在B師傅上，但B手機上的信息，是A師傅的賬號信息；④每次人臉認證時，只需要在A手機上進行認證，即可在兩臺手機上都生效，A、B師傅都可繼續使用賬號進行業務操作。具體流程如下：2.2黑產利用“NFC”遠程傳輸軟件進行境外洗錢，達到轉移違法資金的目的威脅獵人研究發現，2024年有黑灰產利用“NFC技術”實現遠程洗錢活動。NFC（近場通信）是一種短距離無線通信技術，有效距離通常在10cm以內，廣泛應用于移動支付（如ApplePay、GooglePay）、門禁卡、數據交換等領域。所謂NFC遠程傳輸，指的是先通過NFC技術讀取設備信息，再借由網絡遠程傳輸這些信息。例如，設備A讀取IC卡信息后，通過特定應用將信息發送至服務器或設備B，設備B即可模擬該IC卡使用。黑灰產正是利用這一技術，實現IC卡信息的遠程讀取與復原。即使手機設備B與IC卡物理上分離，也能執行如POS機支付等操作。最典型的攻擊案例便是洗錢：黑產將國內信用卡信息遠程傳輸至國外設備，利用這些信息進行POS機消費，購買奢侈品、珠寶等，從而繞過信用卡交易的地理限制，完成洗錢行為。以威脅獵人發現的某款傳輸APP為例：①該軟件介紹“不受時間及國界限制，無論何時何地都能完成交易”、“可實體，可虛擬，支持所有錢包”：②國內（傳卡方）、國外（接收方）兩部手機都下載這個軟件；③使用國內的手機，去碰實體銀行卡，此時會將銀行卡的信息傳到了國內的手機上；④國內手機接收到到銀行卡信息后，會通過手機上安裝的軟件把銀行卡信息傳輸到國外的手機上；⑤國外手機通過軟件接收到銀行卡信息后，即可正常刷卡使用。圖A：國內手機(傳卡方)去碰銀行卡圖B：國內/國外手機都收到了銀行卡信息圖C：國外手機進行支付了操作具體流程如下：2.3定制化云手機系統，進一步提升黑產攻擊效率威脅獵人在2023年發布的《互聯網黑灰產研究年度報告》中指出，云手機平臺的配套服務日益豐富，黑產技術呈現出集成化、服務化的特點。2024年，我們繼續跟蹤觀察發現，云手機平臺不僅集成化、服務化趨勢愈發明顯，定制化趨勢也愈發成熟。服務化主要提供完善的基礎攻擊工具，讓用戶基于這些工具實施攻擊。而定制化則是云手機平臺針對特定app進行風控繞過、開發對應的作惡腳本，并集成到云手機系統中，供用戶直接使用。以某社交app為例：黑產為其定制開發的云手機系統涵蓋了注冊、養號、引流變現等完整攻擊流程的自動化實現。這不僅降低了攻擊者的準入門檻，使新手也能進行傻瓜式操作，還讓攻擊者無需關注風控層面的對抗，從而極大提升了攻擊效率。032024年互聯網黑灰產攻擊場景分析3.1線上業務欺詐場景本報告中的線上業務欺詐場景不局限于傳統營銷活動欺詐攻擊，只要是所有干擾業務正常運營，從正常的業務開展中牟利的惡意行為，都被稱之為“業務欺詐攻擊”，如營銷欺詐、惡意引流、刷量欺詐、認證繞過等。2024年，威脅獵人共捕獲業務欺詐攻擊相關情報2.72億條，監測業務欺詐作惡群組12萬個，涉及作惡賬號223萬個。2024年12月業務欺詐相關情報出現暴漲現象，威脅獵人情報人員進一步分析發現，12月增長量中超過一半源自匿名群聊上的情報信息，這一現象主要是因為一些大型賭博黑產團伙線上賭博活動頻繁，以及跑分洗錢團伙通過多賬號進行廣告“招商”和暴力引流所導致。2024年，威脅獵人捕獲業務欺詐活躍作惡群組數月均3.2萬：2024年，威脅獵人捕獲業務欺詐活躍作惡網站/論壇（暗網除外）月均163個，全年作惡帖子總量926萬例：2024年，威脅獵人捕獲業務欺詐活躍作惡賬號數月均32萬：威脅獵人風險情報平臺為客戶提供風險情報挖掘和事件預警服務，支持將黑灰產原始線索深入分析并結構化為有效的攻擊事件。在2024年，該平臺已為合作客戶預警了4158起明確的攻擊事件，平均每月約346起。通過對這些攻擊事件進一步分析，我們發現業務欺詐攻擊已經滲透到多個行業、多個業務。也就是說，線上業務欺詐針對不同行業、不同業務環節呈現“無差別攻擊”，任何有利可圖的地方都是黑灰產的攻擊目標。通過對攻擊事件進行熱詞提取，我們發現當前業務欺詐攻擊不局限于過去專攻注冊登錄、領券搶單等業務，內容發布、商品管理、訂單交易、支付交易、售后支付、企業數據傳輸等各個環節均可能被黑產攻擊獲利。隨著業務風控能力的不斷提升，大多數典型的機器作弊行為已被有效識別。盡管一些高端黑產仍在使用定制化技術進行對抗，但越來越多的黑灰產開始轉向真人眾包作弊方式進行攻擊。從威脅獵人捕獲到的情報信息來看，2024年，真人作弊行為變得更加定制化，角色多樣化，且界限模糊。主要體現在以下幾方面：（1）傳統的任務型眾包平臺，即以“發布任務”和“領取任務”為主的模式，無論是平臺數量還是任務數量，都在持續增長。2024年以來，威脅獵人共捕獲到889萬個眾包任務，月均超過63萬個，高峰時期甚至達到100萬個。（2）黑灰產采取了更加隱蔽的眾包組織形式，如通過眾包私域群聊、開發專項APP來招募真人執行特定任務，這種模式類似于刷單真人群，很難被風控系統識別。這些專項任務可能包括變相刷單、瀏覽酒店頁面以增加瀏覽量、或使用真人賬號掛機爬取平臺商品數據等。案例1：以“酒店截圖”眾包項目為例，黑產開發了一款名為“指尖xx”的APP，通過該APP組織兼職人員完成酒店截圖任務。參與者按照APP提供的教程，針對指定的入住平臺、日期、地區和酒店名稱，截取酒店頁面的價格信息并上傳。APP會自動通過OCR技術識別并提取價格信息，參與者隨后可以領取相應的傭金。案例2：黑灰產以兼職名義創建群組，組織、招募真人使用其賬號對指定電商平臺商品鏈接進行訪問，按要求獲取商品對應件數、對應活動條件的到手價格上傳表格。這就是一種“真人爬蟲”行為。（3）欺詐角色邊界逐漸模糊，越來越多的真人用戶通過研究和利用平臺業務的“正當”規則進行惡意牟利。近幾年，各平臺層出不窮的多倍賠付、僅退款教程、價保退款攻略，更多反映了在黑灰產“引導”下，以平臺真人用戶為主的欺詐趨勢。案例：威脅獵人捕獲了一起羊毛用戶利用平臺保價政策結合支付券識別漏洞，“0擼”或低價購買平臺商品，該類攻擊短時間內對平臺和開通價保的商家造成了大額的損失和退款。羊毛黨發現某平臺某類商品可領取滿減優惠券和支付券（合作銀行或平臺品類但二者只能選擇其一使用；羊毛黨通過支付券購買了這款商品，然后利用商家的保價政策規則申請店鋪滿減優惠券保價金額（商家看不到用戶使用了支付券，因為是不同平臺最終達到0擼或低價購入。威脅獵人情報人員針對這類型漏洞攻擊進行分析，發現羊毛黨主要利用了兩個方面的漏洞：首先，他們利用了保價政策中對店鋪優惠券的補償機制，該機制原本是為了在短時間內對用戶發放補償；其次，他們利用了保價政策無法識別已使用支付券優惠的漏洞。這使得黑產分子能夠同時“享受”兩種優惠券的優惠。這種行為在短時間內對平臺和開通價保的商家造成了大額的損失和退款。黑灰產業鏈能夠持續不斷地高效運作離不開上游資源交易和下游套利變現，上游黑產通過特定渠道采購賬號、工具、手機號等攻擊資源，下游黑產通過各種渠道（發卡網站和二手閑置交易平臺等將持有的上游攻擊資源以及攻擊所得的優惠券、現金券、會員權益、實體商品等進行變現。自2024年7月正式上線黑灰產交易市場以來，累積捕獲到黑灰產交易商品610萬起，月均101萬，大量活躍交易商品和豐富品類表明黑灰產攻擊活動仍處上升期、持續運轉。商品交易市場的流動，實則破壞了平臺用戶和玩家的平等權益，縮減、損害了業務方的預期收益。基于7月份以來捕獲的黑灰產交易商品數據，交易熱度TOP的商品類別分別為：會員權益類、教程工具類和代下單服務類型，分別占交易商品總量的22.16%、17.63%和13.94%。各商品大類下存在多個細分豐富商品，如會員權益類包含合作平臺聯合權益的會員轉賣、等級vip權益；優惠券類包含平臺紅包、優惠券、折扣券轉賣；教程工具類則是包含了一體機、繞過人臉驗證、改定位、搶購、搶單等自動化、批量化作弊工具、搬磚項目教程等；代下單服務類型包含了收取使用費，使用業務方折扣賬號、會員權益、補貼名額進行代下單和搶單等；代理服務類型與代注冊、資質繞過相關，其中有大量商品觸及違規。教程工具類商品：網約車子母機，受眾為資質未通過審核、欲多賬號接單擴大收益的作弊司機群體。代理服務商品：違規繞過服務，如利用信息差和內部渠道等手段，為申請資質不合規的商家店鋪、司機等，直接入駐平臺運營。代下單服務商品：各類低價卡券代下和自助下單商品，通過代下服務和上游搭建的自助對接下單系統，黑產將回收的券出售套利，羊毛黨低于原價獲取商品。威脅獵人關注到，相比過去主要在普通社交平臺發布，現在更多業務欺詐黑產逐漸轉向更隱秘的渠道，如在Telegram等匿名群聊渠道上建立大量與業務欺詐相關的討論頻道。2024年，威脅獵人監測到圍繞業務欺詐風險的討論量在匿名渠道上達到了46萬起，且每月呈現增長趨勢。對匿名渠道內中活躍的頻道發布信息進一步了解，信息涉及攻擊業務方活動的活動腳本、羊毛討論、惡意賠付教程、搶單工具等相關，下半年比上半年增加91.43%。涉及案例包含但不限于打假項目、活動自動薅取、出行行業搶單工具交易頻道：3.2金融貸款欺詐場景威脅獵人研究發現，金融貸款欺詐已經形成了一條分工明確、利益瓜分的成熟產業鏈。以“職業背債”為例，其上游操作方、中間黑產、下游中介以及背債人等角色各司其職，通過嚴密的協作機制組織騙貸活動。這種黑產的存在不僅破壞了金融市場的正常運行，給金融機構造成巨大的損失，還會對社會的穩定和經濟的健康發展構成嚴重威脅。2024年，威脅獵人共捕獲貸款欺詐攻擊情報414萬條，監控活躍的作惡社交群組34697個，作惡黑產11.5萬名；不管是欺詐情報熱度，還是作惡群組數、作惡黑產數（包括惡意貸款中介均呈逐漸上升趨勢。（1）2024年捕獲惡意貸款欺詐情報414萬條，每月持續上漲（2）2024年監控活躍的作惡社交群組34697個，下半年比上半年增長30%。（3）2024年捕獲貸款欺詐作惡黑產11.5萬名，下半年作惡黑產數比上半年增長51%。（4）2024年貸款欺詐惡意中介4.3萬名，下半年惡意貸款中介數比上半年增長50%從貸款產品類型來看，2024年信貸欺詐熱度TOP5的貸款產品類型分別是：企業貸、信用貸、房抵貸、車抵貸、和公積金貸。從地域分布情況來看，2024年信貸欺詐地區熱度排在TOP5的地區是：廣東、重慶、山東、浙江、3.2.4職業背債：“賣征信換錢”現象加劇，黑產瞄準高信用、高資質隨著社會經濟大環境的不斷變化、金融消費文化的轉變，越來越多消費者開始崇尚“賣征信換錢”，“背債”熱度持續上漲。（1）2024年“背債”熱度持續上升，下半年相關情報數量比上半年增長56%2024年，威脅獵人捕獲“背債”相關攻擊情報呈上升趨勢，背債熱度上升，并在9月達到峰值，下半年比上半年增長56%。（2）2024年背債地區熱度TOP3省份：廣東、四川、重慶威脅獵人情報數據顯示，2024年“背債”相關的貸款欺詐，活躍熱度TOP3的省份（含直轄市）是廣東、四川、重慶。（3）2024年背債地區熱度TOP3城市：重慶、深圳、長沙威脅獵人情報數據顯示，2024年“背債”相關的貸款欺詐，活躍熱度TOP3的城市（含直轄市）是重慶、深圳、長沙。（4）黑產更傾向于選擇征信條件好、資質好、外貌條件好的客戶威脅獵人研究發現，黑產在選擇背債人選的時候，逐漸更偏向于選擇征信條件好、資質好、外貌條件好的客戶。很多金融機構現有的反欺詐模型、評分卡等很難識別這類優質的高風險客戶，自動化審批通過的背債人占比也越來越高。2024年黑產對背債人屬性的選擇性變化主要體現為以下情況：以下是背債黑產招募的一些廣告信息：3.2.5融車欺詐：車貸欺詐熱度持續上漲，“買車套現”日益猖狂近年來，汽車金融市場持續擴大，汽車貸款欺詐也日益猖狂。威脅獵人調研發現，不法黑產打著“融車”、“0首付購車”、“買車套現”的旗號，召集一些無法通過正常貸款融資但有資金需求的人群，如征信為白戶、花戶、黑戶等，通過身份包裝后進行“假購車、真套現”的合同詐騙、貸款詐騙。（1）2024年融車相關攻擊情報呈上升趨勢，下半年融車風險輿情比上半年增長62%。（2）2024年融車欺詐情報熱度TOP3城市：深圳、重慶、保定（3）融車欺詐手法和表現方式威脅獵人研究發現，黑產通過召集一些自身無貸款資質但有資金需求的人群，在黑產鏈的組織、墊資、包裝及客戶配合下，一人可以辦理多筆車貸、一輛汽車也可以辦理多家金融機構貸款。汽車貸款欺詐更多詳情可查看：【黑產大數據】汽車貸款欺詐產業威脅獵人研究發現，有些人因資質不符、缺乏條件等問題無法正常申請貸款，會通過虛假工作信息、虛假流水等“假數據”來達到借貸目的。（1）2024年材料包裝欺詐熱度呈上升趨勢，下半年熱度比上半年增加148%（2）材料包裝欺詐類型和方式3.3品牌廣告欺詐場景威脅獵人基于廣告暗刷流量監測捕獲到大量廣告欺詐數據，涉及到多個行業，涉及到食品飲料、電子消費品等多個行業，食品飲料行業依舊是遭受欺詐占比最大的廣告主。遭到廣告欺詐的廣告主品牌排名如下：從捕獲數據中的欺詐廣告形式來看，欺詐廣告中以15秒的視頻廣告為主，這類廣告占捕獲欺詐廣告總量的99%以上。從欺詐廣告的播放情況來看，設備暗刷偽造并上報的廣告中，大部分都是完整播放完畢的，100%播完的占比達到70.02%，這一數據明顯不符合正常用戶的行為，現實情況下有耐心將廣告看完的用戶并不多。視頻廣告包括開始播放、播放中、完成播放等階段，不同階段都會進行廣告追蹤，并將流量上報至廣告監測平臺，實際上這些廣告并未播放，僅僅是通過設備暗刷偽造了虛假的廣告播放情況，并將虛假追蹤情況上報。在廣告欺詐刷量的作弊鏈路中，上報的作弊廣告流量往往會包含動態變化的偽造設備參數信息，模擬真實的設備信息及其展現廣告的數據情況，以欺騙廣告主。威脅獵人針對偽造的廣告播放數據進行分析發現，偽造并上報的虛假廣告數據里，覆蓋了三大類終端：移動端、OTT端、PC端。進一步分析發現，廣告偽造的移動端中包含了手機及平板，其中以手機為主，覆蓋多個手機品牌。廣告偽造的OTT終端中，包含了智能電視、電視盒子、智慧屏、智能音箱（帶屏）、唱歌機、投影儀等，覆蓋多個OTT終端品牌。3.4API攻擊場景數字化與線上化趨勢下，API接口作為應用連接、數據傳輸的重要通道，近年來大規模增長。API應用的增速與其安全發展的不平衡，使其成為惡意攻擊的首選目標，圍繞API安全的攻防較量愈演愈烈。威脅獵人情報數據顯示，2024年遭受攻擊的API數量超過了250萬，涉及音視頻、軟件應用、汽車、電商、政務等多個行業。威脅獵人情報數據顯示，2024年全年平均每月遭受攻擊的API數量超過21萬。3.4.22024年API攻擊行業分布主要分布在音視頻、政務機構、互聯網軟件應用從2024年API攻擊的行業分布數據來看，音視頻行業受攻擊熱度最高。黑產利用音視頻平臺有安全缺陷的API非法爬取內容、用戶信息等數據，通過販賣音視頻內容或用戶信息獲取高額利益，如非法分發、轉售、侵犯版權，以及利用用戶信息進行釣魚攻擊、詐騙等。（1）營銷欺詐：某互聯網平臺登錄API存在安全隱患，企業營銷產品被薅羊毛2024年9月，威脅獵人風險情報平臺監測到攻擊者對國內某互聯網平臺發起批量登陸攻擊，使用歷史版本的登錄API接口獲取用戶憑證，再訪問“當前版本應用”利用積分免費兌換商品業務，給企業帶來損失。從威脅獵人蜜罐捕獲的攻擊流量發現，從2024年9月至11月，攻擊者使用代理IP，對該歷史版本的登錄API發起攻擊超13萬次，超10W左右的賬號使用積分兌換商品。如下圖所示，該登錄API接口中賬號密碼參數并未進行加密，均為明文傳輸，且缺失簡單的人機驗證方式，導致成為了黑產發起批量登錄攻擊的主要對象。（2）數據爬取：某銀行線上業務遭受黑灰產掃號攻擊，大量用戶信息被泄露2024年6月，威脅獵人風險情報平臺監測到攻擊者對國內某銀行發起掃號攻擊。經過流量分析與復現，發現該銀行資產接口存在“錯誤提示不合理漏洞”，黑產可大量驗證手機號信息是否為平臺注冊用戶，導致有效賬號暴露，用戶隱私泄露，威脅系統安全。從威脅獵人蜜罐捕獲的攻擊流量發現，在2024年6月，攻擊者在一周內，對該銀行資產接口發起攻擊超24萬次，導致大量有效賬號暴露。如下圖所示，黑產對請求體進行構造，使用不同的手機號，而其他鑒權參數信息特征保持不變，如驗證碼id、操作記錄變量等，如果手機號碼為無效賬號，回顯“賬號不存在，請注冊后登陸”，如果手機號碼為有效賬號，平臺回顯“沒有找到對應短信驗證碼信息”，黑產可通過回顯來判斷手機號是否為有效賬號。（3）黃牛搶號：醫院線上掛號業務被黃牛搶號，醫療資源被搶占2024年10月，威脅獵人風險情報平臺監測到攻擊者對某大型醫院進行批量注冊，注冊后訪問醫生掛號信息并進行搶號，搶占醫療資源。通過對威脅獵人蜜罐捕獲的流量進行分析，發現攻擊者使用大量的黑卡進行批量注冊，并偽裝為正常病人，后續使用注冊的賬號進行登錄，登錄后開始不斷訪問醫生掛號信息并進行預約搶號。如下圖所示，由于掛號接口沒有限制訪問頻率，攻擊者可以不斷的獲取醫生掛號信息并在第一時間進行搶號。3.5釣魚仿冒場景2024年，威脅獵人共監測到釣魚仿冒風險事件44640例，涉及671家企業，較2023年監測總量增長150%，整體呈現持續增長趨勢。相較去年，威脅獵人今年進一步加強對仿冒社媒的監控力度，新增了多個主流平臺，從渠道多樣性、監測深度和覆蓋面等角度全面提升監控能力，為企業提供更廣泛的風險防護支持。從2024年釣魚仿冒事件的行業分布數據來看，釣魚仿冒行業占比TOP3的行業為電商、證券行業和消費金融行業，其中電商行業成為釣魚仿冒最為嚴重的行業，電商行業仿冒相關的風險案例占總量的46.41%。隨著跨境貿易的火熱，海外電商平臺為吸引新手賣家推出低門檻政策，導致大量缺乏經驗的賣家涌入，成為騙子的目標。“海外商城盤”就是其中一種以“開網店創業”為幌子的騙局，詐騙者冒用知名海外電商平臺身份，以“零成本開店”和“高收益分銷”吸引受害者注冊仿冒電商平臺進行詐騙，這種行為不僅給商家帶來直接經濟損失，還嚴重損害電商平臺品牌資產；破壞了平臺的商家準入機制，影響品牌公信力。“海外商城盤”主要流程及角色分工如下：打粉獲客階段：騙子通過交友軟件等途徑接觸目標人群，與受害者建立信任。仿冒平臺引流階段：騙子通過分享網店創業經驗、用“零成本開店”和“高收益分銷”為誘餌，讓受害者注冊仿冒電商平臺。誘導開店運營階段：在受害者注冊后，詐騙者引導開設店鋪并通過虛擬訂單和偽造盈利截圖，營造生意興隆的假象，誘導受害者不斷充值墊資發貨，逐步加大資金投入。殺魚詐騙階段：當受害者投入大量資金后，詐騙者以延遲物流、凍結賬戶等為借口，進一步要求繳納違約金或保證金，直到受害者資金被完全掏空。整個騙局偽裝成合法創業，利用受害者對快速賺錢的渴望逐步完成詐騙閉環。3.6數據泄露場景威脅獵人數據泄露風險監測平臺數據顯示，2024年1月至12月全網監測了3.03億條關于數據泄露的情報，基于威脅獵人真實性驗證引擎以及DRRC專業人工分析驗證出有效的數據泄露事件共計37575起，涉及金融、電商、快遞等行業2598家企業。從行業分布來看，2024年1月至12月數據泄露事件中涉及88個行業，前五行業分別是銀行、電商、消費金融、保險以及快遞。其中銀行行業數據泄露事件數量高達6333起，連續兩年為數據泄露事件數最多的行業。此外，今年本地生活行業數據泄露事件行業排名相比2023年有所上升，從之前的Top14上升至Top10。數據顯示，2024年本地生活行業共發現700多起數據泄露事件，較2023年大幅上漲7.22倍。進一步分析發現，本地生活數據泄露大幅上漲的原因是新型泄露類型“強登”導致。強登：指通過技術手段強制登錄用戶賬號，獲取用戶賬號中的隱私信息。本地生活：主要指提供外賣、餐飲、電影票、買菜等與生活息息相關的服務平臺。威脅獵人在2024年發現了一種新的查檔類型——“強登”，泄露信息主要涉及用戶的網購訂單、外賣配送訂單、出行打車訂單、快遞訂單信息等，涵蓋了電商、快遞、本地生活服務（主要是外賣行業）和出行服務等多個行業的頭部平臺。自2024年6月起，通過“強登”獲取數據的方式開始出現，到12月底已累計超過6600起。最初主要集中在電商頭部平臺，隨后逐漸蔓延至外賣和快遞等多個平臺。強登：指黑灰產通過