原創(chuàng) 獵人君 威脅獵人Threat Hunter

2023年，黑灰產(chǎn)從業(yè)人員人數(shù)超過580萬，威脅獵人捕獲到的國內(nèi)作惡手機號數(shù)量高達625萬，日活躍風(fēng)險IP數(shù)量602萬，洗錢銀行卡數(shù)量87萬。

從百萬級黑灰產(chǎn)業(yè)鏈規(guī)模、大幅提升的攻擊資源量級可見，2023年是黑產(chǎn)攻防對抗空前激烈的一年。推陳出新的攻擊資源和技術(shù)成為黑產(chǎn)攻擊的“保護色”。

因難以監(jiān)測黑產(chǎn)攻擊行為和溯源潛在風(fēng)險，不少企業(yè)遭受嚴重損失，成為業(yè)務(wù)安全建設(shè)中亟需攻破的難點。

威脅獵人發(fā)布《2023年互聯(lián)網(wǎng)黑灰產(chǎn)研究年度報告》，針對2023年黑灰產(chǎn)業(yè)鏈進行了深入研究，從2023年互聯(lián)網(wǎng)黑灰產(chǎn)發(fā)展現(xiàn)狀、黑灰產(chǎn)攻擊資源、黑灰產(chǎn)攻擊場景等維度進行全面梳理分析，力求通過客觀呈現(xiàn)黑灰產(chǎn)情報數(shù)據(jù)，幫助更多企業(yè)深入直觀了解黑灰產(chǎn)業(yè)，有效防控各類攻擊風(fēng)險。

相關(guān)名詞定義

1、風(fēng)險IP：業(yè)內(nèi)也稱黑IP，指存在攻擊風(fēng)險（包括代理、秒撥等惡意行為）的IP；

2、風(fēng)險手機號：存在被濫用盜用等風(fēng)險的手機號，如被黑產(chǎn)用于接收短信，實施批量惡意攻擊的手機號，通常從接碼平臺或發(fā)卡平臺捕獲；

3、風(fēng)險郵箱：指被黑產(chǎn)用于惡意注冊生成的臨時郵箱，用以騙取用戶重要信息、傳播惡意程序等；

4、黑手機卡：指未進行實名登記或以假身份進行實名登記的，并被不法分子利用實施違法犯罪活動的電話卡；

5、貓池卡：指通過“貓池”這一網(wǎng)絡(luò)通信硬件，實現(xiàn)同時支持多個號碼通話、群發(fā)短信等功能的黑手機卡；

6、攔截卡：指通過病毒木馬控制真實用戶手機短信/驗證碼收發(fā)權(quán)限的手機卡，通常捕獲自攔截卡平臺；

7、洗錢銀行卡：指被黑產(chǎn)用于非法資金清洗（將違法所得收入合法化）的銀行卡，例如賭博及詐騙團伙通過銀行卡消費、轉(zhuǎn)賬等方式轉(zhuǎn)移洗錢資金；

8、洗錢數(shù)字錢包：指被黑產(chǎn)用于非法資金清洗的加密數(shù)字貨幣，例如通過數(shù)字人民幣消費、轉(zhuǎn)賬等方式轉(zhuǎn)移資金，利用數(shù)字貨幣的隱蔽性來逃避監(jiān)管審查；

9、洗錢對公賬戶：指被黑產(chǎn)用于非法資金清洗的銀行對公賬戶，因?qū)~戶具有收款額度大、轉(zhuǎn)賬次數(shù)多等特點，使得“對公賬戶”常常作為黑錢轉(zhuǎn)賬的集中點及發(fā)散點；

10、改機：指的是通過修改手機設(shè)備信息，如手機型號、串碼、IMEI、GPS定位等，達成繞過廠商設(shè)備檢測的目的；

11、改定位：指利用相關(guān)工具修改手機定位信息，例如通過修改地理位置信息參加地域性活動并進行營銷作弊；

12、數(shù)據(jù)泄露情報：威脅獵人通過TG群、暗網(wǎng)等渠道捕獲到的“未授權(quán)個人/組織敏感信息被公開交易或使用” 的情報信息，可能包含歷史數(shù)據(jù)、重復(fù)數(shù)據(jù)等，往往量級巨大；

13、數(shù)據(jù)泄露事件：威脅獵人安全研究專家針對數(shù)據(jù)泄露情報的樣例等進行分析及驗證，確認為真實、有效的數(shù)據(jù)泄露事件；

14、暗網(wǎng)：指隱藏的網(wǎng)絡(luò)，普通網(wǎng)民無法通過常規(guī)手段搜索訪問，需要使用一些特定的軟件、配置或者授權(quán)才能登錄；

15、公民個人信息：指公民個人身份信息，包括但不限于姓名、身份證號碼、出生日期、手機號碼、家庭住址、銀行賬戶信息等。

一、2023年互聯(lián)網(wǎng)黑灰產(chǎn)業(yè)發(fā)展現(xiàn)狀

1.1 2023年互聯(lián)網(wǎng)黑灰產(chǎn)從業(yè)人員達587萬，較2022年上升141%

威脅獵人安全研究員調(diào)研統(tǒng)計發(fā)現(xiàn)，2023年互聯(lián)網(wǎng)黑灰產(chǎn)從業(yè)人數(shù)持續(xù)上升，從業(yè)人員數(shù)量達到587.1萬，較2022年上升141%。

1.2 2023年黑灰產(chǎn)資源整體情況

1.2.1 2023年國內(nèi)作惡手機號較2022年增長15.44%

2023年國內(nèi)作惡手機號數(shù)量達到625.5萬，較2022年上升15.44%。

1.2.2 2023年風(fēng)險IP數(shù)量較2022年增長88.47%

2023年風(fēng)險IP數(shù)量持續(xù)上升，風(fēng)險IP數(shù)量達到602.2萬，較2022年上升88.47%。

1.2.3 2023年洗錢銀行卡數(shù)量較2022年增長133.74%

2023年洗錢銀行卡數(shù)量持續(xù)上升，洗錢銀行卡數(shù)量達到87.4萬，較2022年上升133.74%。

二、2023年黑產(chǎn)攻擊資源分析

2.1 2023年黑手機卡資源分析

2.1.1 2023年貓池卡資源變化趨勢

（1）2023年國內(nèi)貓池卡數(shù)量較2022年增長8.25%

據(jù)威脅獵人威脅情報運營平臺數(shù)據(jù)顯示，2023年新捕獲貓池卡586.6萬個，較2022年上升8.25%。從2023年國內(nèi)貓池卡數(shù)量的變化趨勢來看，1-3月出現(xiàn)明顯上升趨勢，4-6月逐漸降低。

經(jīng)威脅獵人情報專家分析，出現(xiàn)這一趨勢的主要原因是：

1-3月某頭部接碼平臺對接的黑產(chǎn)持續(xù)上傳大量新的接碼手機號，使得該時間段內(nèi)的新增作惡手機號數(shù)量持續(xù)上升；4-6月該頭部接碼平臺遭遇持續(xù)性DDos攻擊而無法正常運營，導(dǎo)致該時間段內(nèi)的作惡手機號數(shù)量持續(xù)下降。

（2）2023年貓池卡歸屬最多的三個省份為：江蘇、山東、河南

威脅獵人情報專家對2023年捕獲到的國內(nèi)貓池卡進行統(tǒng)計分析，發(fā)現(xiàn)江蘇、山東、河南三省為貓池卡歸屬地最多的三個省份；針對歸屬城市分析發(fā)現(xiàn)，南京、上海、北京三城市為貓池卡歸屬地最多的城市。

（3）2023年捕獲的貓池卡中，歸屬國內(nèi)三大運營商的占41.78%

2023年威脅獵人威脅情報運營平臺捕獲貓池卡618萬張，其中歸屬國內(nèi)三大運營商的攔截卡占比41.78%，歸屬其他運營商的占比58.2%。

2.1.2 2023年攔截卡資源變化趨勢

（1）2023年國內(nèi)攔截卡數(shù)量達38.9萬，并于3月出現(xiàn)大幅上升

2023年，威脅獵人最新捕獲攔截卡達38.9萬，并于3月捕獲到大量新增攔截卡，經(jīng)過持續(xù)監(jiān)測分析發(fā)現(xiàn)，其主要原因是：2023年3月出現(xiàn)一個新的攔截卡接碼平臺，導(dǎo)致3月新增攔截卡數(shù)量大幅上升。

（2）2023年攔截卡歸屬最多的三個省份為：廣西、山東、江蘇

威脅獵人安全研究員對2023年捕獲到的國內(nèi)攔截卡進行統(tǒng)計分析，發(fā)現(xiàn)廣西、山東、江蘇三省為攔截卡歸屬地最多的三個省份，與貓池卡歸屬省份存在一定的重合；針對歸屬城市分析發(fā)現(xiàn)，南京、貴港、南寧三城市為攔截卡歸屬地最多的城市。

（3）2023年捕獲的攔截卡中，歸屬國內(nèi)三大運營商的占98.48%

2023年威脅獵人威脅情報運營平臺捕獲攔截卡87萬張，歸屬國內(nèi)三大運營商的攔截卡占比達98.48%，歸屬其他運營商占比1.52%。

值得注意的是，2023年威脅情報運營平臺捕獲到的192號段黑手機卡數(shù)量達到87.8萬，黑產(chǎn)大量使用192號段的黑手機卡進行作惡。從192號段黑手機卡數(shù)量的變化趨勢來看，7月、8月及10月出現(xiàn)大幅增長。

經(jīng)威脅獵人情報專家分析，7月、8月及10月新增量較大的主要原因是：

自第三季度開始，有4個供應(yīng)渠道進一步增大192號段手機卡的投入規(guī)模，使得第三季度新增量進一步增加。

10月，部分黑產(chǎn)開始將目光投向非頭部互聯(lián)網(wǎng)平臺并展開攻擊，直到11月這些平臺開始察覺到攻擊情況并對其進行風(fēng)控，192號段的新增量開始逐漸下降。

2.1.3 發(fā)卡平臺成為黑產(chǎn)投放高價值接碼手機卡的主流渠道之一

從威脅獵人威脅情報運營平臺捕獲的數(shù)據(jù)來看，提供接碼服務(wù)的發(fā)卡平臺及發(fā)卡店鋪數(shù)量呈明顯上升趨勢，同時通過發(fā)卡平臺捕獲到的接碼手機號也呈現(xiàn)出明顯上升趨勢。

由此可見，“發(fā)卡平臺”成為黑產(chǎn)投放高價值接碼手機卡的主流渠道之一。

高質(zhì)量接碼手機號：手機號入網(wǎng)時間短，在網(wǎng)狀態(tài)正常，絕大多數(shù)都是黑產(chǎn)卡商通過特定渠道及技術(shù)新開的實體手機卡。

黑產(chǎn)多利用此類手機號對熱門APP業(yè)務(wù)進行攻擊并實現(xiàn)獲利，如熱門的視頻APP、互聯(lián)網(wǎng)社交APP或電商APP的注冊和換綁業(yè)務(wù)。

（1）2023年每月捕獲的涉及接碼的發(fā)卡平臺及發(fā)卡店鋪數(shù)量持續(xù)上升

自2023年1月起，每月捕獲的涉及接碼的發(fā)卡平臺數(shù)量持續(xù)上升，截至2023年12月，活躍發(fā)卡平臺達到28個。

在這些發(fā)卡平臺中，直接向黑產(chǎn)提供手機號接碼服務(wù)的發(fā)卡店鋪數(shù)量亦也出現(xiàn)大幅度上升，2023年12月，威脅獵人共捕獲該類店鋪322家。

（2）2023年通過發(fā)卡店鋪每月捕獲的高價值接碼手機號數(shù)量持續(xù)走高

自2023年1月起，威脅獵人通過發(fā)卡店鋪捕獲到用于作惡的接碼手機號數(shù)量出現(xiàn)大幅上升。2023年12月，威脅獵人共捕獲作惡手機號12.9萬個。

威脅獵人安全研究員發(fā)現(xiàn)：“黑灰產(chǎn)手機號接碼服務(wù)愈發(fā)成熟，已呈現(xiàn)出明顯分工趨勢”。

例如手機卡商提供黑卡物料，代理商匯集多個卡商渠道，通過在發(fā)卡平臺開設(shè)店鋪的形式為黑產(chǎn)提供隱蔽的接碼服務(wù)。

2.2 2023年風(fēng)險IP資源分析

2.2.1 2023年風(fēng)險IP資源變化

近年來國內(nèi)互聯(lián)網(wǎng)平臺業(yè)務(wù)不斷開拓海外市場，如何識別海外風(fēng)險IP已成為各大企業(yè)亟需重視的問題。威脅獵人海外風(fēng)險IP監(jiān)測能力的提升，也為互聯(lián)網(wǎng)平臺優(yōu)化海外風(fēng)控規(guī)則提供了有力支持。

2023年威脅獵人持續(xù)監(jiān)測國內(nèi)風(fēng)險IP5906萬個，國外風(fēng)險IP7172萬個。我們對國內(nèi)及國外兩種類型的風(fēng)險IP分析發(fā)現(xiàn)：

（1）2023年國內(nèi)風(fēng)險IP歸屬最多的三個省份：江蘇、浙江、廣東

（2）2023年國內(nèi)風(fēng)險IP歸屬最多的三個城市：上海、重慶、蘇州

（3）2023年國外風(fēng)險IP歸屬最多的三個國家：巴西、印度、美國

（4）2023年國內(nèi)風(fēng)險IP類型中，家庭寬帶類型占比超90%

（5）2023年海外風(fēng)險IP類型以家庭寬帶、移動網(wǎng)絡(luò)為主

2.2.2 黑產(chǎn)通過植入木馬惡意使用正常用戶IP的行為更加猖獗

威脅獵人發(fā)現(xiàn)，黑產(chǎn)通過在正常用戶設(shè)備中植入木馬，實現(xiàn)在其網(wǎng)絡(luò)上建立代理通道，且每次使用時間很短，因此普通用戶難以感知到自己的IP被盜用。

從甲方風(fēng)控視角來看，正常用戶的IP被黑產(chǎn)惡意使用，這類IP屬于“好壞共用-代理”IP。

這類IP由于大部分時間是正常用戶進行操作，如點擊、充值、瀏覽等行為均正常，少量時間會出現(xiàn)短暫的作惡行為。因此平臺可能會認定該用戶為正常用戶，進而忽視其短暫的作惡行為，給黑產(chǎn)可乘之機。

通過對代理IP平臺的持續(xù)監(jiān)測，我們發(fā)現(xiàn)黑產(chǎn)通過植入木馬惡意使用正常用戶IP的行為更加猖獗。

以威脅獵人2023年11月及12月捕獲到的數(shù)據(jù)為例：11月捕獲被劫持IP數(shù)量達508萬，12月捕獲被劫持IP數(shù)量達934萬，較11月增加83.85%。

2.3 2023年網(wǎng)絡(luò)洗錢資源分析

2.3.1 2023年銀行卡資源變化

2023年威脅獵人共捕獲洗錢銀行卡87.4萬張，對捕獲到的洗錢銀行卡進一步分析發(fā)現(xiàn)：

（1）涉及洗錢銀行卡歸屬國有銀行的占比遠高于非國有銀行

（2）銀行卡洗錢金額的主要區(qū)間為1000-5000元

（3）洗錢銀行卡使用時間間隔極短，過半銀行卡再次使用時間不超過一天

2.3.2 2023年數(shù)字人民幣資源變化

隨著社會公眾對零售支付便捷性、安全性等需求日益提高，數(shù)字人民幣支付正在成為消費新趨勢。

由于數(shù)字人民幣“第四類錢包”無需綁定用戶身份信息，有手機號即可注冊，洗錢團伙會利用專門提供手機小號并接收驗證碼的平臺，批量注冊數(shù)字人民幣錢包賬戶，或直接租用、購買普通民眾的數(shù)字人民幣賬戶，用于收取賭資。

（1）2023年捕獲涉及洗錢的數(shù)字人民幣錢包數(shù)量達23萬，月增幅超270%

2023年威脅獵人共捕獲涉及洗錢的數(shù)字人民幣錢包23.2萬個，同時發(fā)現(xiàn)黑產(chǎn)利用數(shù)字人民幣進行洗錢的情況整體呈上升趨勢，尤其是9月，月增幅超過了270%。

經(jīng)調(diào)查發(fā)現(xiàn)，9月出現(xiàn)較大增幅的主要原因是：9月出現(xiàn)大量支持數(shù)字人民幣洗錢的第四方支付平臺，使得利用數(shù)字人民幣進行洗錢的情況變得更加高頻。

（2）涉及洗錢的數(shù)字人民幣支付中，歸屬國有銀行的占比超80%

目前，威脅獵人監(jiān)測到數(shù)字人民幣洗錢涉及銀行數(shù)十家，其中國有銀行占比超80%。就支持開通數(shù)字人民幣的銀行用戶數(shù)量而言，國有六大行的銀行用戶總數(shù)遠大于其余銀行之和，因此其潛在的數(shù)字人民幣用戶也相對較多。

2.3.3 2023年對公賬戶資源變化

銀行對公賬戶具有收款額度大、轉(zhuǎn)賬次數(shù)多等特點，這使得“對公賬戶”常常作為黑錢轉(zhuǎn)賬的集中點及發(fā)散點，在黑產(chǎn)洗錢鏈條中擔(dān)任極其重要的位置。

在打擊洗錢犯罪過程中，銀行對涉及洗錢的對公賬戶進行風(fēng)控也是十分重要的一環(huán)。

因為一個對公賬戶的收款額度往往在幾百萬到幾千萬不等，及時發(fā)現(xiàn)涉嫌洗錢的對公賬戶并進行針對性風(fēng)控，往往能中斷某個黑產(chǎn)團伙的某一洗錢鏈條。

2023年威脅獵人持續(xù)覆蓋及監(jiān)測黑產(chǎn)在洗錢過程中所使用的銀行對公賬戶資源，發(fā)現(xiàn)涉及洗錢的對公賬戶數(shù)量持續(xù)上升。

（1）2023年捕獲涉及洗錢的對公賬戶數(shù)量逐月上升

（2）2023年捕獲涉及洗錢對公賬戶的所屬銀行中，非國有銀行占比超60%

2023年威脅獵人共捕獲到涉及洗錢的對公賬戶4782個，涉及銀行695家，涉及洗錢對公賬戶的所屬銀行中，非國有銀行占比超60%。

（3）2023年捕獲涉及洗錢對公賬戶歸屬最多的三個省份：廣東、山東、河南

（4）黑產(chǎn)洗錢利用最多的轉(zhuǎn)賬額度為500萬

2.3.4 2023年黑產(chǎn)洗錢手法多達19種，影響平臺眾多

2023年，威脅獵人安全研究員捕獲到的洗錢手法多達19種，作惡手法不斷迭代，受害平臺眾多。

（1）對公賬戶洗錢流程介紹

① 擔(dān)保公群是什么？

為了加強渠道的可信度，確保數(shù)據(jù)交易順利進行，交易雙方往往會通過第三方平臺保障交易過程的可信度及可行性，最常見的方式就是“擔(dān)保公群”。

在交易時，買賣雙方在交易前會在擔(dān)保公群提供的虛擬貨幣賬戶中轉(zhuǎn)入等價于交易金額的虛擬貨幣作為押金；通過第三方擔(dān)保公群收取押金的方式，避免受騙帶來的損失。

② 黑產(chǎn)如何通過擔(dān)保公群用對公賬戶進行洗錢？

2.4 2023年風(fēng)險郵箱資源分析

2.4.1 2023年風(fēng)險郵箱資源變化

（1）2023年9月捕獲大量風(fēng)險企業(yè)郵箱

從2023年每月不同類型風(fēng)險郵箱捕獲數(shù)量來看，9月出現(xiàn)大幅上漲。2023年9月，威脅獵人安全研究員通過已知的風(fēng)險郵箱進行MX解析，關(guān)聯(lián)出了大量的風(fēng)險企業(yè)郵箱。

MX，即Mail Exchanger（郵件交換記錄），它指向一個郵件服務(wù)器，主要用于電子郵件系統(tǒng)發(fā)郵件時根據(jù)收信人的地址后綴來定位郵件服務(wù)器。通常情況下，一個MX可以綁定多個郵箱域名。

（2）2023年捕獲風(fēng)險郵箱中，企業(yè)郵箱占68%以上

三、2023年黑產(chǎn)通用型攻擊技術(shù)

3.1 黑產(chǎn)應(yīng)用AI技術(shù)大幅提升攻擊效率，突破企業(yè)防御體系

2023年，AI技術(shù)應(yīng)用于網(wǎng)絡(luò)安全的多個場景，AI技術(shù)的深度應(yīng)用也引起了大量黑產(chǎn)團伙的覬覦。

威脅獵人研究人員觀察到，不少黑產(chǎn)團伙利用文本生成、照片活化、人臉替換、驗證碼識別、語音生成等AI技術(shù)進行攻擊并實施詐騙行為。

由于AI的智能、自動化能力，攻擊者運用AI技術(shù)繞過企業(yè)現(xiàn)有防御，發(fā)起高度隱蔽、復(fù)雜、自動化的攻擊，在同等時間內(nèi)攻擊盡可能多的目標(biāo)用戶，因此近年來利用AI技術(shù)實施網(wǎng)絡(luò)攻擊的事件快速增長。

（1）黑產(chǎn)在社交場景接入AI機器人，自動生成聊天話術(shù)

威脅獵人安全研究員在2023年第三季度發(fā)現(xiàn)，黑灰產(chǎn)在社交引流場景已經(jīng)接入AI機器人，使聊天更智能。

以捕獲的一款自動聊天工具“AiTuLing”為例，該工具除了常規(guī)的“基于預(yù)設(shè)話術(shù)進行引流”外，還支持接入AI機器人，同時該工具支持市面上近百個社交平臺的自動引流。

研究發(fā)現(xiàn)，黑產(chǎn)通過購買AI服務(wù)平臺的服務(wù)，并在此基礎(chǔ)上進行整合、開發(fā)及售賣，最終被更多作惡團伙用于社交平臺自動引流及詐騙。

值得注意的是，AI機器人的接入成本也極為低廉，最低只需19.9元/月即可；同時使用方法極為簡單，只需填入相關(guān)賬號并啟動軟件即可自動聊天引流，目前被大量應(yīng)用于電商平臺及社交群聊，一定程度上增加了對應(yīng)平臺的檢測難度。

（2）黑產(chǎn)利用AI進行視頻偽造，人臉驗證需警惕

2023年，黑產(chǎn)大規(guī)模利用AI換臉工具制作換臉視頻提供代認證服務(wù)，以社交APP為例，黑產(chǎn)通常會購買大量的實名賬號進行發(fā)言引流，當(dāng)賬號觸發(fā)平臺風(fēng)控而需要進行人臉認證時，則需要借助AI換臉技術(shù)繞過人臉驗證。

此外，利用會議軟件+AI換臉工具偽裝成受害者熟人對受害者實施詐騙轉(zhuǎn)賬的案件頻繁發(fā)生。

案件中，詐騙者往往讓受害者在手機上安裝會議軟件，并通過會議軟件+實時直播換臉工具，偽裝成熟人從而騙取受害者信任，進而實施詐騙。

威脅獵人對“視頻會議軟件模擬熟人進行詐騙”的案例復(fù)現(xiàn)如下：

3.2 提供云手機服務(wù)的平臺持續(xù)增加，配套攻擊工具更加完善

據(jù)威脅獵人研究發(fā)現(xiàn)，2023年提供云手機服務(wù)的平臺持續(xù)增加，且頭部云手機平臺已呈現(xiàn)出產(chǎn)業(yè)化趨勢。

這類平臺除了提供云手機服務(wù)外，還提供配套的攻擊工具，如代理IP服務(wù)、改機工具、改定位工具、Hook框架等，極大提高黑產(chǎn)攻擊效率。下表為某云手機平臺提供的配套服務(wù)：

相較于真實手機設(shè)備，云手機具備以下優(yōu)勢：

（1）購買成本低：購買真實手機需要幾百到上千元不等，租用云手機只需花費幾十元/月即可；

（2）使用方便且配套服務(wù)完善：云手機自帶改機工具且具備虛擬定位、自動化腳本工具等配套服務(wù)。

以上云手機的優(yōu)勢使黑產(chǎn)的攻擊作惡成本大大降低，同時節(jié)省了黑產(chǎn)安裝、配置作惡環(huán)境所需的時間，提高了黑產(chǎn)的攻擊效率，為企業(yè)風(fēng)控帶來了一定的挑戰(zhàn)。

除安卓端云手機外，黑產(chǎn)使用iOS云手機進行作惡的情況并不少見，由于iOS系統(tǒng)對應(yīng)用權(quán)限申請的嚴格限制，使得大部分互聯(lián)網(wǎng)公司在iOS設(shè)備上獲取設(shè)備信息的難度遠大于安卓端設(shè)備，這在一定程度上可能會使得平臺在iOS設(shè)備上進行風(fēng)控識別的難度更高。

針對此類情況，威脅獵人建議企業(yè)應(yīng)及時獲取此類平臺樣本，進行相關(guān)樣本分析和防御。

四、2023年黑產(chǎn)攻擊場景分析

4.1 2023年業(yè)務(wù)欺詐場景分析

4.1.1 營銷活動

（1）營銷活動攻擊情報928萬條，涉及作惡黑產(chǎn)人數(shù)達15.9萬

今年各企業(yè)平臺營銷活動遭受黑產(chǎn)攻擊的現(xiàn)狀依舊嚴峻，2023年威脅獵人共捕獲營銷活動攻擊情報928萬條，監(jiān)測到活躍的作惡社交群組1.2萬個，涉及作惡黑產(chǎn)人數(shù)達15.9萬名。

（2）大量黑產(chǎn)利用業(yè)務(wù)規(guī)則漏洞薅取用戶優(yōu)惠

2023年12月，威脅獵人發(fā)現(xiàn)大量黑灰產(chǎn)和羊毛黨通過“第三方渠道購買后在官方渠道退款”的方式來薅取銀行、平臺立減優(yōu)惠，導(dǎo)致合作平臺出現(xiàn)大量異常退款單的同時，活動立減金也被白白薅走。

主要由于黑產(chǎn)利用了提供購買服務(wù)的第三方平臺與官方平臺之間信息不互通這一特點。

（3）眾包平臺“私域化”，作惡行為更加隱蔽

2023年，威脅獵人研究人員發(fā)現(xiàn)，黑灰產(chǎn)為了避免眾包平臺被監(jiān)測和風(fēng)控，推出了更為復(fù)雜、安全的眾包發(fā)布渠道。

其復(fù)雜性主要體現(xiàn)在：

1、首先眾包人員需要先進入特定的社交群聊才能獲取到眾包平臺的網(wǎng)站鏈接；

2、而后眾包人員需要訪問鏈接并注冊登錄后，才能執(zhí)行接單任務(wù)。

這種方式做單雖增加了執(zhí)行時間和操作成本，但其隱蔽性使得平臺的監(jiān)測及風(fēng)控難度大大提升。

除了私域眾包平臺外，威脅獵人還觀察到部分公開的眾包平臺也開始推出新的策略，防止平臺被監(jiān)測及風(fēng)控，例如：

1、刷量任務(wù)中，刷量鏈接使用短鏈接代替真實的刷量鏈接；

2、拉新任務(wù)中，需注冊、實名眾包APP，并領(lǐng)取任務(wù)后才能獲取詳細的任務(wù)步驟及教程。

（4）電商代下現(xiàn)狀嚴峻，日化快消和美妝護膚品成為電商代下重災(zāi)區(qū)

2023年，威脅獵人捕獲的代下方案中，代下品類Top3為日化快消、美妝護膚和醫(yī)藥器械類，分別占總數(shù)的55.35%、20.09%和8%，余下16.56%的品類與保健品、家電、手機數(shù)碼、時尚服飾、酒類等相關(guān)。

4.1.2 信貸作弊

（1）信貸欺詐攻擊情報196萬條，監(jiān)測到活躍群組4486個

2023年，威脅獵人共捕獲信貸欺詐攻擊情報196萬條，監(jiān)測活躍的作惡社交群組4486個，作惡黑產(chǎn)2.8萬名。

雖然2023年活躍的作惡群組數(shù)及作惡黑產(chǎn)數(shù)量變化相對平穩(wěn)，平臺仍需警惕信貸欺詐黑灰產(chǎn)的作惡情況。

（2）反催收手法及案例

反催收通常指的是一些組織或個人通過非正常手段幫助債務(wù)人惡意躲避債務(wù)的行為，幫助債務(wù)人延長還款期限、減免利息費用，或者通過其他方式減少債務(wù)人的還款責(zé)任。

例如反催收中介讓債務(wù)人寄個人電話卡或者設(shè)置呼叫轉(zhuǎn)移，由反催收團伙這邊所謂的法務(wù)人員代替?zhèn)鶆?wù)人進行協(xié)商溝通，達成減免利息和延期/分期還款等目的，最終基于反催收結(jié)果向債務(wù)人收取一定比例手續(xù)費，由此來獲利。

經(jīng)調(diào)研發(fā)現(xiàn)，在反催收作惡場景中主要存在四個主要角色：

① 貸款者：反饋延期停息需求，尋求反催收中介的幫助；

② 反催收中介：在各類社交平臺/渠道發(fā)布反催收業(yè)務(wù)廣告，招攬已逾期的貸款者

③ 法務(wù)：代替貸款者向網(wǎng)貸平臺申請協(xié)商延期以及協(xié)商談判

④ 借貸平臺：在法務(wù)的話術(shù)威脅下同意協(xié)商延期

以下是貸款逾期的延期停息操作的運作流程：

4.1.3 內(nèi)容刷量

2023年，整體刷量作弊情況依舊嚴峻，威脅獵人共捕獲直播平臺、內(nèi)容平臺、電商平臺及應(yīng)用下載平臺刷量作弊攻擊情報42.5萬條，監(jiān)測活躍的刷量作惡社交群組4364個，作惡黑產(chǎn)人數(shù)達5759。

就刷量方式而言，隨著各大平臺對惡意刷量行為的識別能力提升，眾多刷量工作室逐漸減少協(xié)議刷量及基于真實設(shè)備的群控刷量，轉(zhuǎn)而使用真人刷量。

（1）直播平臺及內(nèi)容平臺遭受刷量攻擊最為嚴重

（2）真人作弊刷量仍為主流刷量方式

（3）刷量服務(wù)售后完善，黑產(chǎn)提供“補量”服務(wù)

隨著各大平臺對惡意刷量行為的識別能力提升，同一批次的刷量往往無法達到既定的目標(biāo)數(shù)量。

此時，黑產(chǎn)通常會進行補量操作，即“在規(guī)定的一段時間內(nèi)，通過持續(xù)刷量，讓文章或視頻的瀏覽數(shù)、點擊數(shù)保持在既定的目標(biāo)數(shù)量上”。

4.2 2023年數(shù)據(jù)泄露場景分析

（1）2023年監(jiān)測數(shù)據(jù)泄露事件超19500起， 金融、物流、航旅等行業(yè)是數(shù)據(jù)泄露重災(zāi)區(qū)

據(jù)威脅獵人數(shù)據(jù)泄露風(fēng)險監(jiān)測平臺數(shù)據(jù)顯示，2023年全網(wǎng)監(jiān)測到的近1.5億條情報中，分析驗證有效的的數(shù)據(jù)泄露事件超過19500起。

從行業(yè)分布來看，2023年數(shù)據(jù)泄露事件涉及二十余個行業(yè)，數(shù)據(jù)泄露事件數(shù)量Top5行業(yè)分別為金融、物流、航旅、電商、汽車。

（2）金融行業(yè)數(shù)據(jù)泄露事件8758起位列第一，航旅行業(yè)躍居第三

2023年，金融行業(yè)依舊是個人信息泄露重災(zāi)區(qū)，數(shù)據(jù)泄露事件數(shù)量8758起，涉及銀行、保險、證券等行業(yè)高凈值人群信息，主要源于下游黑產(chǎn)用于營銷推廣以及詐騙的收益價值更高。

從金融細分行業(yè)來看，數(shù)據(jù)泄露事件數(shù)量發(fā)生最多的是銀行業(yè)，全年共發(fā)生4293起，其次為網(wǎng)絡(luò)借貸、保險、證券及支付行業(yè)。

（3）2023年“公民個人信息”依舊是數(shù)據(jù)泄露的主要類型，占比超90%

從數(shù)據(jù)泄露的類型來看，2023年泄露數(shù)據(jù)類型主要有3種：公民個人信息共計18347起（93.68%）、敏感代碼共計727起（3.71%）、敏感文件資料共計510起（2.6%）。

（4）公民個人信息在夜間交易的超過50%，在非工作日交易的超過30%

威脅獵人研究統(tǒng)計發(fā)現(xiàn)，2023年公民個人信息泄露事件中的數(shù)據(jù)交易時間中，非工作日（周末、節(jié)假日）發(fā)生的事件數(shù)量高達31.21%，夜間發(fā)生的事件占比高達51.88%，超過一半。（夜間：18:30至次日09:30）

在防守最薄弱的時候，企業(yè)難以在數(shù)據(jù)泄露事件爆發(fā)時快速感知、及時響應(yīng)，以至于錯過最佳應(yīng)對時機，給企業(yè)資金、品牌聲譽及商業(yè)競爭帶來重大影響。

（5）數(shù)據(jù)泄露原因包括運營商通道泄露、內(nèi)鬼泄露、黑客攻擊等

從數(shù)據(jù)泄露的具體原因來看，2023年數(shù)據(jù)泄露原因包括運營商通道泄露、內(nèi)鬼泄露、黑客攻擊、安全意識問題等。其中，因運營商通道泄露引發(fā)的數(shù)據(jù)泄露事件數(shù)量最多。

（6）Telegram、暗網(wǎng)是數(shù)據(jù)泄露的主要渠道，占比高達92%

2023年威脅獵人監(jiān)測到的數(shù)據(jù)泄露事件中，發(fā)生在Telegram及暗網(wǎng)的達92%以上，其中82.26%集中在Telegram，10.01%發(fā)生在暗網(wǎng)。

主要原因是 Telegram及暗網(wǎng)渠道的隱蔽性較高，難以追溯到黑產(chǎn)本人，是黑產(chǎn)溝通和交易的首選渠道。

此外，威脅獵人在代碼倉庫（如 GitHub、GitLab 、Postman等）、網(wǎng)盤文庫等渠道也監(jiān)測到了數(shù)據(jù)泄露事件。

截至2023年12月，威脅獵人數(shù)據(jù)泄露監(jiān)測情報覆蓋了Telegram近2萬個頻道/群聊，在超過1700個頻道/群聊中發(fā)現(xiàn)公民個人信息泄露風(fēng)險事件。

4.3 2023年釣魚仿冒場景分析

2023年，威脅獵人共捕獲到釣魚網(wǎng)站28794例，涉及234家企業(yè)；捕獲到仿冒APP1295例，涉及67家企業(yè)。此類網(wǎng)站及APP都是通過仿冒正常網(wǎng)站及APP，獲取用戶信任并騙取用戶的個人信息及錢財。

威脅獵人研究人員針對捕獲到的案例進行分析發(fā)現(xiàn)：

（1）金融行業(yè)遭受的釣魚仿冒情況最為嚴重

無論是釣魚網(wǎng)站，還是仿冒APP，金融行業(yè)成為黑產(chǎn)攻擊的主要目標(biāo)。

由于金融行業(yè)的業(yè)務(wù)場景多涉及資金流轉(zhuǎn)，且交易金額較大，故黑產(chǎn)往往在不引起受害者懷疑的同時，還能最大程度的獲利。同時，大多數(shù)情況下，黑產(chǎn)為了盡可能取信于受害者，往往會選擇行業(yè)頭部企業(yè)進行仿冒。

（2）作惡手法以誘導(dǎo)下載仿冒理財及刷單APP進行轉(zhuǎn)賬為主

① 誘導(dǎo)下載仿冒投資APP

此類型詐騙套路相對隱蔽，用戶在注冊時，需要相關(guān)介紹人提供注冊碼才能注冊成功。

作惡的大致流程如下：

1、黑產(chǎn)通過技術(shù)手段實現(xiàn)精準(zhǔn)獲客，目標(biāo)客群一般是擁有一定數(shù)額存款的高收入人群；

2、介紹人（黑產(chǎn)口中的“理財/投資/分析師”）通過夸大理財收益誘導(dǎo)客戶下載指定APP進行理財或投資；

3、用戶進行短期、多次理財投入，且每次都能獲取到一定數(shù)額的收益；

4、分析師再次誘導(dǎo)用戶加大理財（投資）投入，累計一定數(shù)額鎖定用戶賬號；

5、客服再引導(dǎo)用戶充值解凍用戶賬號，直到用戶停止充值，平臺直接“跑路”。

② 誘導(dǎo)下載仿冒電商刷單APP

該仿冒類型表面上是仿冒電商平臺的APP，用戶安裝APP后會發(fā)現(xiàn)該APP實際上是仿冒社交平臺的APP，再嵌入一個刷單詐騙的H5界面（也就是刷單系統(tǒng)）。

用戶需要通過上游提供的邀請碼才能注冊賬號，并進入相關(guān)的刷單系統(tǒng)。

作惡套路大致為：

1、刷單系統(tǒng)需要用戶充值一定的金額才能進行接單，充值的金額越多，用戶的等級越高，每日接單的數(shù)量和刷單返回的金額就越高。

這種模式會誘導(dǎo)用戶不斷充值，充值到一定程度，賬號就會出現(xiàn)凍結(jié)狀態(tài)。

2、當(dāng)用戶尋找客服解除賬號凍結(jié)狀態(tài)，客服會引導(dǎo)用戶多充錢解除賬號異常后才能提現(xiàn)。

3、用戶不進行充值或者發(fā)現(xiàn)平臺異常后，用戶的大量資金已經(jīng)被黑產(chǎn)轉(zhuǎn)移，平臺也會“跑路”。

五、總結(jié)

2023年黑灰產(chǎn)作惡情況愈發(fā)嚴峻，黑灰產(chǎn)從業(yè)人員數(shù)量、作惡資源量級連續(xù)兩年呈現(xiàn)上升趨勢，黑灰產(chǎn)獲取作惡資源的途徑更為隱蔽。

無論是攻擊資源、作惡手法還是作惡場景，都發(fā)生了巨大的變化，黑產(chǎn)攻防對抗也成為了各企業(yè)平臺面臨的極大挑戰(zhàn)。

從2023年互聯(lián)網(wǎng)黑灰產(chǎn)趨勢來看，企業(yè)需要重點關(guān)注以下問題：

1、在攻擊資源方面，2023年黑灰產(chǎn)整體資源量級大幅上升，應(yīng)用方式更加高效隱蔽

2023年國內(nèi)作惡手機號較2022年增長15.44%，風(fēng)險IP數(shù)量較2022年上升88.47%，洗錢銀行卡數(shù)量較2022年增長133.74%。

在應(yīng)用方面也有了新的趨勢，如發(fā)卡平臺成為黑產(chǎn)投放高價值接碼手機卡的主流渠道之一；黑產(chǎn)通過植入木馬惡意使用正常用戶IP的行為更加猖獗，這種“好壞共用”的IP更容易逃脫企業(yè)風(fēng)控。

2、在攻擊技術(shù)方面，AI技術(shù)的應(yīng)用大幅提升攻擊效率，頭部云手機平臺呈現(xiàn)產(chǎn)業(yè)化趨勢

2023年，AI技術(shù)應(yīng)用于網(wǎng)絡(luò)安全的多個場景，AI技術(shù)的深度應(yīng)用也引起了大量黑產(chǎn)團伙的覬覦。

不少黑產(chǎn)團伙利用如文本生成、照片活化、人臉替換等AI技術(shù)進行攻擊，進一步實施詐騙行為，包括在社交場景接入AI機器人自動生成聊天話術(shù)、利用AI進行視頻偽造繞過人臉驗證等。

2023年提供云手機服務(wù)的平臺持續(xù)增加，且頭部云手機平臺已呈現(xiàn)出產(chǎn)業(yè)化趨勢，這類平臺除了提供云手機服務(wù)外，還會提供配套的攻擊工具，如代理IP服務(wù)、改機工具、改定位工具、Hook框架等，極大提高黑產(chǎn)攻擊效率。

3、在攻擊場景方面，為逃避企業(yè)風(fēng)控系統(tǒng)，出現(xiàn)了更多隱蔽的攻擊方式

在營銷欺詐場景上，2023年威脅獵人研究人員發(fā)現(xiàn)，黑灰產(chǎn)為了避免眾包平臺被監(jiān)測和風(fēng)控，推出了更為復(fù)雜、安全的眾包發(fā)布渠道。

這種眾包平臺“私域化”雖增加了執(zhí)行時間和操作成本，但其隱蔽性使得平臺的監(jiān)測及風(fēng)控難度大大提升。

數(shù)據(jù)泄露場景上，威脅獵人研究員發(fā)現(xiàn)，公民個人信息泄露事件中的數(shù)據(jù)交易時間中，非工作日（周末、節(jié)假日）發(fā)生的事件數(shù)量高達31.21%，夜間（18:30至次日09:30）發(fā)生的事件占比高達51.88%。

夜間和非工作日時間是企業(yè)防守最薄弱的時候，大部分企業(yè)很難在數(shù)據(jù)泄露事件發(fā)生時快速感知、及時響應(yīng)，以至于錯過最佳應(yīng)對時機，給企業(yè)資金、品牌聲譽及商業(yè)競爭帶來重大影響。

近年來，黑灰產(chǎn)不斷優(yōu)化攻擊資源、迭代攻擊技術(shù)，以確保持續(xù)、高效的獲利，日益嚴峻的黑灰產(chǎn)攻防局勢也意味著，各企業(yè)平臺在感知黑灰產(chǎn)的攻擊行為上存在一定的滯后性。

針對層出不窮的作惡事件，企業(yè)應(yīng)及時了解其作惡流程及細節(jié)，并結(jié)合自身業(yè)務(wù)場景建立具體的風(fēng)控規(guī)則。

此外，企業(yè)也需要意識到與外部黑產(chǎn)的對抗是動態(tài)的、持續(xù)性的，可以依托基于全網(wǎng)多渠道監(jiān)測的黑灰產(chǎn)情報數(shù)據(jù)，提取黑灰產(chǎn)攻擊模式及資源特征，與企業(yè)業(yè)務(wù)中的異常流量進行匹配，快速識別風(fēng)險并進行針對性防御。

對抗黑灰產(chǎn)的道路任重道遠，企業(yè)在外部“威脅情報”的助力下，能夠全面、及時感知黑灰產(chǎn)團伙的軌跡及動向，在日益嚴峻的黑灰產(chǎn)風(fēng)險局勢中精準(zhǔn)打擊黑灰產(chǎn)，更好地守護自身業(yè)務(wù)安全。

原標(biāo)題：《【黑產(chǎn)大數(shù)據(jù)】2023年互聯(lián)網(wǎng)黑灰產(chǎn)研究年度報告》

閱讀原文