【威脅獵人】2024年互聯(lián)網(wǎng)黑灰產(chǎn)趨勢年度總結(jié)

黑產(chǎn)大數(shù)據(jù)2024年互聯(lián)網(wǎng)黑灰產(chǎn)趨勢年度總結(jié)2關(guān)于威脅獵人威脅獵人ThreatHunter（深圳永安在線科技有限公司）成立于2017年，以黑灰產(chǎn)情報(bào)能力和反欺詐技術(shù)為核心，專注于及時(shí)、精準(zhǔn)、有效的業(yè)務(wù)欺詐風(fēng)險(xiǎn)的發(fā)現(xiàn)和響應(yīng)。公司圍繞不同行業(yè)在數(shù)字化發(fā)展過程中面臨的業(yè)務(wù)欺詐、數(shù)據(jù)泄露、釣魚仿冒、API攻擊等風(fēng)險(xiǎn)場景，提供成熟多樣的產(chǎn)品與服務(wù)，并多次入選Gartner技術(shù)成熟度曲線報(bào)告、IDC威脅情報(bào)領(lǐng)域代表廠商。公司總部在深圳，在北京、上海、重慶、新加坡等地設(shè)有分公司，并在深圳和重慶兩地建立數(shù)字風(fēng)險(xiǎn)應(yīng)急響應(yīng)中心（DRRC為客戶提供7*24小時(shí)全天候數(shù)字風(fēng)險(xiǎn)應(yīng)急響應(yīng)和及時(shí)、優(yōu)質(zhì)的服務(wù)支持。截至目前，公司已為金融、政務(wù)、物流、互聯(lián)網(wǎng)、科技、零售等行業(yè)的300多家客戶提供安全服務(wù)，覆蓋85%頭部互聯(lián)網(wǎng)企業(yè)，每年幫助客戶減少數(shù)十億資金損失。32024年，互聯(lián)網(wǎng)黑灰產(chǎn)攻擊依舊嚴(yán)峻。不管是在黑灰產(chǎn)團(tuán)伙規(guī)模，還是攻擊資源、攻擊技術(shù)的應(yīng)用以及攻擊場景的演變，均出現(xiàn)了較大的變化。在攻擊資源方面，2024年威脅獵人捕獲全球新增作惡手機(jī)號(hào)1600多萬例，日活躍作惡IP1170萬例，較2023年大幅提升。為躲避風(fēng)控監(jiān)測，黑灰產(chǎn)不斷升級(jí)技術(shù)尋找更加隱蔽的攻擊資源，如通過在正常用戶設(shè)備植入木馬將其IP作為攻擊資源、“商戶洗錢”產(chǎn)業(yè)鏈快速發(fā)展等。在攻擊技術(shù)方面，2024年黑產(chǎn)團(tuán)伙對(duì)通用技術(shù)的應(yīng)用也有新的發(fā)展，如濫用“子母機(jī)”繞過身份認(rèn)證、利用“NFC遠(yuǎn)程傳輸軟件”進(jìn)行境外洗錢、定制化云手機(jī)系統(tǒng)提升攻擊效率等等。在攻擊場景方面，線上業(yè)務(wù)欺詐、金融貸款欺詐、品牌廣告欺詐、API攻擊、釣魚仿冒、數(shù)據(jù)泄露、電信網(wǎng)絡(luò)詐騙等場景熱度持續(xù)高漲。線上業(yè)務(wù)欺詐已進(jìn)入深水區(qū)，全行業(yè)、全業(yè)務(wù)環(huán)節(jié)無差別攻擊；“王星事件”更是進(jìn)一步提升了公眾對(duì)電信網(wǎng)絡(luò)詐騙的關(guān)注度。威脅獵人發(fā)布《2024年互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈研究報(bào)告》，基于對(duì)2024年互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈的深入研究，從2024年黑灰產(chǎn)攻擊資源、攻擊技術(shù)、攻擊場景等維度進(jìn)行分析，客觀呈現(xiàn)2024年互聯(lián)網(wǎng)黑灰產(chǎn)的整體發(fā)展態(tài)勢，旨在從情報(bào)維度幫助各行各業(yè)企業(yè)提升對(duì)黑灰產(chǎn)的認(rèn)知，從而進(jìn)一步完善風(fēng)控策略。4關(guān)于威脅獵人 2前言 3一、2024年互聯(lián)網(wǎng)黑灰產(chǎn)攻擊資源分析 61.12024年作惡手機(jī)號(hào)資源分析 61.22024年作惡IP資源分析 1.32024年網(wǎng)絡(luò)洗錢資源分析 221.42024年風(fēng)險(xiǎn)郵箱資源分析 二、2024年互聯(lián)網(wǎng)黑灰產(chǎn)通用型攻擊技術(shù)分析 342.1身份繞過技術(shù)演化：黑產(chǎn)利用“子母機(jī)”繞過認(rèn)證，無資質(zhì)人員也可平臺(tái)接單 2.2黑產(chǎn)利用“NFC”遠(yuǎn)程傳輸軟件進(jìn)行境外洗錢，達(dá)到轉(zhuǎn)移違法資金的目的 362.3定制化云手機(jī)系統(tǒng)，進(jìn)一步提升黑產(chǎn)攻擊效率 38三、2024年互聯(lián)網(wǎng)黑灰產(chǎn)攻擊場景分析 413.1線上業(yè)務(wù)欺詐場景 413.2金融貸款欺詐場景 513.3品牌廣告欺詐場景 603.4API攻擊場景 633.5釣魚仿冒場景 3.6數(shù)據(jù)泄露場景 3.7電信網(wǎng)絡(luò)詐騙場景 76寫在最后 80012024年互聯(lián)網(wǎng)黑灰產(chǎn)攻擊資源分析61.12024年作惡手機(jī)號(hào)資源分析據(jù)威脅獵人情報(bào)數(shù)據(jù)顯示，近年來國內(nèi)作惡手機(jī)號(hào)數(shù)量持續(xù)上漲，2024年新增量級(jí)超800萬，較2023年增長30%。作惡手機(jī)號(hào)資源中，“貓池卡”和“攔截卡”占比最高，下文1.1.2和1.1.3將重點(diǎn)分析2024年“貓池卡”和“攔截卡”資源的變化情況。（1）2024年國內(nèi)新增貓池卡615萬，較2023年增加4.86%7據(jù)威脅獵人情報(bào)數(shù)據(jù)顯示，2024年國內(nèi)新增貓池卡615萬個(gè)，較2023年上升4.86%。貓池卡：指通過“貓池”網(wǎng)絡(luò)通信硬件實(shí)現(xiàn)同時(shí)多個(gè)號(hào)碼通話、群發(fā)短信等功能的作惡手機(jī)卡。從2024年國內(nèi)貓池卡數(shù)量的變化趨勢來看，2月、6月到9月期間，新增國內(nèi)貓池手機(jī)卡數(shù)量呈現(xiàn)下滑趨勢。經(jīng)威脅獵人情報(bào)專家分析，出現(xiàn)這一趨勢的主要原因是：1、2月因春節(jié)期間黑產(chǎn)交易放緩，攻擊者活躍度降低導(dǎo)致數(shù)量顯著下降，節(jié)后恢復(fù)穩(wěn)步上漲趨勢；2、6-9月期間，由于監(jiān)管機(jī)構(gòu)加強(qiáng)打擊，多個(gè)發(fā)卡平臺(tái)被關(guān)停，部分卡商被捕，造成供應(yīng)減少，導(dǎo)致新增貓池卡數(shù)量下降。（2）2024年國內(nèi)新增貓池卡歸屬省份TOP3：上海、北京、遼寧8威脅獵人情報(bào)數(shù)據(jù)統(tǒng)計(jì)顯示，2024年國內(nèi)新增貓池卡歸屬地省份（含直轄市）主要集中在上海、北京、和遼寧省。其中，歸屬地在上海的貓池卡數(shù)量同比2023年增長了87.86%。威脅獵人關(guān)注到，今年上海的貓池卡在全年各月均保持較高數(shù)量，活躍在發(fā)卡平臺(tái)的頭部卡商今年也持續(xù)提供上海貓池卡。通過對(duì)上海今年新增的貓池卡來源渠道分析，發(fā)現(xiàn)來自發(fā)卡平臺(tái)的貓池卡數(shù)量占比超過一半：92024年國內(nèi)新增貓池卡歸屬地TOP10對(duì)比2023年變化情況如下：【關(guān)注】2024年歸屬地為中國香港的作惡手機(jī)號(hào)持續(xù)增長，全年捕獲78.25萬例值得關(guān)注的是，威脅獵人情報(bào)數(shù)據(jù)顯示，自2024年3月起，歸屬地為中國香港的風(fēng)險(xiǎn)手機(jī)卡交易數(shù)量大幅增長，9月份達(dá)到峰值。由于下游詐騙黑產(chǎn)需求旺盛，中國香港手機(jī)號(hào)因可注冊(cè)國內(nèi)外應(yīng)用、成本低、可用時(shí)間長等特點(diǎn)，仍被黑產(chǎn)大量需求。對(duì)比其他境內(nèi)手機(jī)卡，中國香港手機(jī)卡具備如下特點(diǎn)：1、注冊(cè)范圍廣：香港手機(jī)卡注冊(cè)范圍廣，可注冊(cè)Telegram、WhatsApp等海內(nèi)外應(yīng)用；2、在線使用時(shí)間長：香港手機(jī)卡接碼服務(wù)的在線使用時(shí)間相對(duì)其他境內(nèi)卡更長，一般可保證一個(gè)月重復(fù)使用，而其他境內(nèi)手機(jī)卡一般為數(shù)日；3、價(jià)格較低：香港手機(jī)卡的價(jià)格相對(duì)其他境內(nèi)卡接碼價(jià)格更低；4、支持多種接碼形式：香港卡支持多種接碼形式，目前威脅獵人在接碼平臺(tái)、發(fā)卡網(wǎng)站、私域接碼均發(fā)現(xiàn)了香港相關(guān)手機(jī)卡的作惡記錄。（3）2024年國內(nèi)新增貓池卡歸屬為三大運(yùn)營商的占比為76.42%，比去年提升14.51%威脅獵人情報(bào)數(shù)據(jù)顯示，今年國內(nèi)新增貓池卡的歸屬運(yùn)營商主要為基礎(chǔ)運(yùn)營商，占比高達(dá)76.42%，相比去年提升了14.51%。威脅獵人情報(bào)人員通過調(diào)研發(fā)現(xiàn)，今年三大運(yùn)營商占比提升，主要是很多企業(yè)進(jìn)一步提升對(duì)虛擬運(yùn)營商手機(jī)卡的風(fēng)險(xiǎn)控制，導(dǎo)致黑產(chǎn)對(duì)國內(nèi)三大運(yùn)營商的手機(jī)卡資源需求增加。（4）【關(guān)注】2024年貓池卡發(fā)卡平臺(tái)數(shù)量增加了39.37%，但平臺(tái)生存周期縮短威脅獵人持續(xù)監(jiān)控黑灰產(chǎn)作惡資源來源渠道變化趨勢，發(fā)現(xiàn)作為貓池卡主要貢獻(xiàn)渠道的發(fā)卡平臺(tái)在2024年數(shù)量大幅增加，但生存周期縮短：2024年新出現(xiàn)了171個(gè)貓池卡發(fā)卡平臺(tái)，同步2023年增長39.37%，但其中有24%的貓池卡發(fā)卡平臺(tái)運(yùn)營時(shí)間不足一周。威脅獵人進(jìn)一步調(diào)研發(fā)現(xiàn)，今年發(fā)卡平臺(tái)遭受了較強(qiáng)的監(jiān)管壓力，多個(gè)發(fā)卡平臺(tái)以及活躍的貓池卡卡商因遭受監(jiān)管打擊而停止運(yùn)營或活躍。此外，威脅獵人對(duì)目前還存活的貓池卡相關(guān)發(fā)卡平臺(tái)進(jìn)行測試發(fā)現(xiàn)，一些黑灰產(chǎn)為了防止被監(jiān)管打擊，會(huì)采取一些較高的安全措施，包括但不限于周期性訂單刪除、使用加密貨幣支付、頻繁修改接碼地址、限制異常訪問和支付等。（1）2024年國內(nèi)新增攔截卡196萬例，較2023年增長405.50%據(jù)威脅獵人情報(bào)數(shù)據(jù)顯示，2024年國內(nèi)新增攔截卡大幅增加，共有196.64萬例，較2023年增長405.50%。威脅獵人研究發(fā)現(xiàn)，一月份攔截卡數(shù)量大幅提升是因?yàn)槿ツ昴甑仔鲁霈F(xiàn)的一個(gè)攔截卡渠道，投放了大量攔截卡資源，2024年該渠道貢獻(xiàn)攔截卡數(shù)量近百萬余例，占今年整體數(shù)量的48.82%。但該渠道在2024年6月到7月期間暫?；钴S，最終在2024年12月停止運(yùn)營。（2）2024年國內(nèi)新增攔截卡歸屬省份TOP3：廣東、山東、四川威脅獵人情報(bào)數(shù)據(jù)統(tǒng)計(jì)顯示，2024年國內(nèi)新增攔截卡歸屬地省份（含直轄市）主要集中在廣東、山東和四川。2024年國內(nèi)新增攔截卡歸屬地TOP10對(duì)比2023年變化情況：（3）2024年國內(nèi)新增攔截卡歸屬為三大運(yùn)營商的占比為98.99%威脅獵人情報(bào)數(shù)據(jù)顯示，今年國內(nèi)新增攔截卡的歸屬運(yùn)營商98.99%為基礎(chǔ)運(yùn)營商，歸屬其他運(yùn)營商的占比1.01%。（4）【關(guān)注】“群接碼”模式簡化黑產(chǎn)使用攔截卡的流程，并使攔截卡真實(shí)平臺(tái)更隱蔽威脅獵人研究發(fā)現(xiàn)，攔截卡的接碼方式也逐漸從傳統(tǒng)的攔截卡平臺(tái)接碼模式轉(zhuǎn)變?yōu)椤叭航哟a”模式。這種模式下，攔截卡卡商隱藏真實(shí)號(hào)碼，僅展示打碼號(hào)碼，只有黑卡購買者可獲取完整號(hào)碼完成接碼作惡。傳統(tǒng)的攔截卡平臺(tái)接碼樣例：“攔截卡”的群接碼模式接碼樣例相比傳統(tǒng)攔截卡平臺(tái)使用專屬接碼工具接碼，這種模式的優(yōu)勢在于：1、使用更便利，卡商只需提供號(hào)碼和接碼鏈接，無需為下游代理或黑卡使用者開設(shè)賬戶或配置權(quán)2、更高隱蔽性，卡商可通過“群接碼”模式隱蔽真實(shí)的平臺(tái)信息，不將平臺(tái)的敏感信息暴露于使用者。目前，通過“群接碼”渠道日均捕獲作惡短信記錄1269例，作惡記錄最高峰為11月，捕獲作惡短信記錄近6萬例：1.22024年作惡IP資源分析據(jù)威脅獵人情報(bào)數(shù)據(jù)顯示，近年來日活躍作惡IP數(shù)量持續(xù)上升，2024年日活躍作惡IP數(shù)量達(dá)到1178萬，較2023年增長95.68%（1）2024年國內(nèi)作惡IP有7794萬個(gè)，同比2023年增長31.96%2024年，威脅獵人共捕獲國內(nèi)作惡IP7794萬個(gè)，同比2023年增長31.96%。威脅獵人研究發(fā)現(xiàn)，2024年國內(nèi)作惡IP的大幅增長主要是劫持共用代理IP數(shù)量急劇增長導(dǎo)致。2024年，國內(nèi)劫持共用代理平臺(tái)發(fā)展迅速，威脅獵人捕獲劫持共用代理IP數(shù)量超4000萬，占比從去年14.91%提升至今年的51.47%，且超過普通代理IP的占比。劫持共用代理IP：指被黑產(chǎn)惡意劫持的正常用戶IP資源。黑產(chǎn)通過在正常用戶設(shè)備中植入木馬，通過木馬在正常用戶網(wǎng)絡(luò)上建立代理通道，且每次使用時(shí)間很短，因此普通用戶難以感知到自己的IP被盜用。威脅獵人在2024年1月已把這類IP標(biāo)記為“劫持共用代理IP”風(fēng)險(xiǎn)標(biāo)簽（2）2024年國內(nèi)作惡IP歸屬省份TOP3：江蘇、廣東、河南威脅獵人情報(bào)數(shù)據(jù)統(tǒng)計(jì)顯示，2024年國內(nèi)活躍的作惡IP歸屬省份（含直轄市）主要集中在江蘇省、廣東省和河南省。其中，河南省量級(jí)提升最大，提升了54.45%，排名也從23年的第六到了第三。（3）【關(guān)注】黑產(chǎn)IP資源獲取技術(shù)升級(jí)，利用正常用戶的IP資源規(guī)避風(fēng)控檢測隨著網(wǎng)絡(luò)安全監(jiān)管及企業(yè)風(fēng)控策略的增強(qiáng)，為規(guī)避風(fēng)控檢測和追蹤，黑產(chǎn)也在升級(jí)技術(shù)嘗試挖掘更加隱蔽的IP攻擊資源。近年來，威脅獵人陸續(xù)發(fā)現(xiàn)正常用戶與不法分子混合使用的作惡IP類型，并對(duì)其進(jìn)行深入研究，于2024年推出「劫持共用代理IP」、「云服務(wù)IP」、「云手機(jī)IP」等風(fēng)險(xiǎn)標(biāo)簽。1.2024年劫持共用代理IP占比過半，成為攻擊者主要使用的攻擊資源劫持共用代理IP是指被黑產(chǎn)惡意劫持的正常用戶IP資源。威脅獵人發(fā)現(xiàn)，黑產(chǎn)通過在正常用戶設(shè)備中植入木馬，通過木馬在正常用戶網(wǎng)絡(luò)上建立代理通道，且每次使用時(shí)間很短，因此普通用戶難以感知到自己的IP被盜用。劫持共用IP大部分時(shí)間是正常用戶的常規(guī)行為，僅少數(shù)時(shí)間被黑產(chǎn)劫持用于短暫惡意行為，因此平臺(tái)風(fēng)控會(huì)直接將其視為正常用戶，忽視其短暫作惡行為，這就使得黑產(chǎn)使用劫持共用IP的成功率往往高于普通代理IP，導(dǎo)致越來越多的平臺(tái)轉(zhuǎn)向劫持共用代理IP資源。這類劫持共用代理IP在2023年底出現(xiàn)，2024年快速發(fā)展、數(shù)量急劇增加，2024年威脅獵人捕獲劫持共用代理IP超4000萬，同比增長341.81%，且超過了普通代理IP的數(shù)量。2.黑產(chǎn)濫用云技術(shù)：云函數(shù)與云手機(jī)群控技術(shù)成黑產(chǎn)IP作惡新手段云服務(wù)技術(shù)為各行業(yè)帶來便利的同時(shí)，也在被黑產(chǎn)濫用。一些黑產(chǎn)將云技術(shù)成果轉(zhuǎn)為作惡工具，如借助云服務(wù)搭建代理IP資源池、利用云手機(jī)的群控設(shè)置向企業(yè)發(fā)起攻擊等。威脅獵人發(fā)現(xiàn)，一些攻擊者為了掩蓋真實(shí)源IP，會(huì)利用云計(jì)算平臺(tái)的云函數(shù)IP搭建代理IP池執(zhí)行攻擊，或者利用云手機(jī)的群控配置執(zhí)行批量攻擊，威脅獵人將這兩種方式產(chǎn)生的IP定義為「云服務(wù)IP」、「云手機(jī)IP」。不管是云服務(wù)IP還是云手機(jī)IP，都是廣泛服務(wù)眾多正常用戶，因此平臺(tái)風(fēng)控一般會(huì)直接將其視為正常用戶，忽視了它們的作惡行為。（1）2024年捕獲國外作惡IP4479萬個(gè)，同比2023年增長102.14%2024年，威脅獵人加強(qiáng)對(duì)海外作惡IP進(jìn)行的監(jiān)測，2024年共捕獲海外作惡IP4479萬個(gè)，相比2023年提升了102.14%。（2）2024年國外作惡IP歸屬國家TOP3：巴西、美國、印度（3）國內(nèi)外作惡IP類型占比存在差異，國外移動(dòng)網(wǎng)絡(luò)占比遠(yuǎn)超國內(nèi)威脅獵人情報(bào)人員對(duì)國內(nèi)和國外作惡IP類型進(jìn)行分析，發(fā)現(xiàn)二者存在差異：國內(nèi)作惡IP主要以家庭寬帶IP為主，占比將近90%，國內(nèi)作惡代理IP、秒撥IP和劫持共用代理IP都與家庭寬帶密切相關(guān)；國外作惡IP雖然家庭寬帶占比也是最大，但移動(dòng)網(wǎng)絡(luò)占比也比較高，超過40%，進(jìn)一步分析發(fā)現(xiàn)，這些IP主要來自流量卡，通過頻繁切換飛行模式來實(shí)現(xiàn)IP變化。1.32024年網(wǎng)絡(luò)洗錢資源分析（1）2024年參與洗錢的銀行卡中涉詐卡占比最多，占比42.03%威脅獵人對(duì)捕獲到的33.6萬張參與洗錢的銀行卡進(jìn)行分析，主要分為涉賭卡、跑分卡和涉詐卡三種類型，其中涉詐卡占比最大，達(dá)到42.03%。涉賭卡：活躍在賭博平臺(tái)中，為賭博平臺(tái)內(nèi)收款使用的銀行卡，常被用于賭博平臺(tái)內(nèi)進(jìn)行充值收款行為，關(guān)聯(lián)的資產(chǎn)涉及到賭博洗錢行為。威脅獵人通過人工和自動(dòng)化結(jié)合的方式，從各類賭博平臺(tái)中采集用于收款行為的銀行卡賬號(hào)信息。跑分卡：活躍在跑分平臺(tái)，為跑分份子使用的銀行卡，常被用于各種非法來源資金的流通交易。威脅獵人通過自動(dòng)化的方式，從跑分平臺(tái)APP中獲取到跑分訂單中的銀行卡賬號(hào)信息。涉詐卡：在各類匿名社交黑產(chǎn)群聊中，被詐騙團(tuán)伙購買用于洗錢的銀行卡，常用于詐騙類黑資金轉(zhuǎn)移。威脅獵人通過自動(dòng)化的方式，從各大匿名社交黑產(chǎn)群聊中發(fā)送的記錄中，提取出詐騙團(tuán)伙所使用的銀行卡賬號(hào)信息。（2）2024年參與洗錢的銀行卡歸屬銀行分布：六大國有銀行占比最高威脅獵人通過對(duì)三類洗錢卡的監(jiān)測數(shù)據(jù)發(fā)現(xiàn)，歸屬為六大國有銀行的洗錢卡占比最大。這主要是因?yàn)槠涓采w范圍廣、客戶基數(shù)大，因此也更容易被黑產(chǎn)利用作為洗錢工具。。這主要是因?yàn)槠涓采w范圍廣、客戶基數(shù)大，因此也更容易被黑產(chǎn)利用作為洗錢工具。*其他銀行包括：民營銀行、開發(fā)性金融機(jī)構(gòu)及其他金融機(jī)構(gòu)（3）2024年參與洗錢的銀行卡歸屬地區(qū)分布：廣東省數(shù)量最多威脅獵人研究發(fā)現(xiàn)，三種類型的洗錢銀行卡歸屬地區(qū)分布上有相似也有差異：相同點(diǎn)：三種類型的洗錢銀行卡歸屬省份TOP10（排名有先后）都是廣東、廣西、江蘇、湖北、山西、河南、重慶、四川、山東、云南，且TOP1都是廣東省；三種類型的洗錢銀行卡歸屬城市TOP10（排名有先后）都是深圳、廣州、重慶、東莞、上海、武漢、晉城、鄭州、成都；且TOP3（排名有先后）都是深圳、廣州、重慶。差異點(diǎn)：河南、山西、四川、云南和山東等地的涉詐卡數(shù)量均高于跑分卡和涉賭卡；重慶的涉詐卡和涉賭卡最多，深圳和廣州的跑分卡最多。（4）參與洗錢的銀行卡超過50%活躍周期不到1天威脅獵人研究發(fā)現(xiàn)，2024年參與洗錢的銀行卡，超過50%的卡只在1天內(nèi)活躍，其中涉詐卡在1天內(nèi)活躍的占比達(dá)到84.03%，高于跑分卡的66.33%，和涉賭卡的52.58%。這也說明，洗錢場景下，黑產(chǎn)更傾向于快速完成交易，具有明顯的短期、高頻操作特點(diǎn)，尤其是在詐騙洗錢場景下更明顯。洗錢對(duì)公賬戶：對(duì)公賬戶指以公司名義在銀行開立的賬戶，洗錢對(duì)公賬戶指被黑產(chǎn)用于非法資金清洗的銀行對(duì)公賬戶，因?qū)~戶具有收款額度大、轉(zhuǎn)賬次數(shù)多等特點(diǎn)，使得“對(duì)公賬戶”常常作為黑錢轉(zhuǎn)賬的集中點(diǎn)及發(fā)散點(diǎn)。（1）2024年新增參與洗錢的對(duì)公賬戶8059個(gè)，較2023年上漲58.05%2024年，威脅獵人持續(xù)監(jiān)測黑產(chǎn)在洗錢過程中所使用的銀行對(duì)公賬戶資源，根據(jù)威脅獵人情報(bào)監(jiān)測洗錢對(duì)公賬戶數(shù)據(jù)顯示，2024年，新增洗錢對(duì)公賬戶數(shù)量大幅上漲，同比2023年增長了58.05%。（2）2024年涉及洗錢的對(duì)公賬戶所屬銀行中，城市商業(yè)銀行排行第一威脅獵人情報(bào)數(shù)據(jù)顯示，參與洗錢的對(duì)公賬戶歸屬銀行類型分布中，城市商業(yè)銀行排行第一，占比30.63%。進(jìn)一步分析發(fā)現(xiàn)，今年城商行對(duì)公賬戶數(shù)量較2023年上升8.13%，農(nóng)信社和農(nóng)商行的對(duì)公數(shù)量較比2023年分別上升5.48%和3.48%，而六大國有占比下降11.21%。按照此趨勢，黑產(chǎn)利用對(duì)公賬戶洗錢的過程中可能開始轉(zhuǎn)向地方性銀行，威脅獵人將保持關(guān)注。（3）2024年涉及洗錢的對(duì)公賬戶歸屬省份TOP3：廣東省、山東省、河南?。?）2024年監(jiān)測到涉及洗錢對(duì)公賬戶歸屬地區(qū)最多的三個(gè)城市：北京市、深圳市、上海市威脅獵人研究發(fā)現(xiàn)，洗錢團(tuán)伙除了使用個(gè)人銀行卡、對(duì)公賬號(hào)等進(jìn)行洗錢外，也會(huì)利用“商戶賬號(hào)”進(jìn)行洗錢。“商戶”通常指具有合法營業(yè)資格的商戶商家及商戶賬號(hào)。近年來，詐騙或洗錢團(tuán)伙開始利用商戶賬戶收取“黑錢”來洗錢，使用商家資質(zhì)開通的收款賬戶基本沒有收款額度限制，可支持花唄、信用卡等多種付款方式，相比傳統(tǒng)洗錢方式會(huì)更隱蔽和高效。威脅獵人在2024年針對(duì)“商戶洗錢”產(chǎn)業(yè)鏈進(jìn)行重點(diǎn)研究，發(fā)現(xiàn)目前已出現(xiàn)了“商戶代收”（商家碼）、“掃街碼”、“商戶反掃”、“商戶代付”（核銷碼）等多種商戶洗錢方式。（1）“商戶洗錢”成上升趨勢，2024年參與洗錢的商戶及黑產(chǎn)團(tuán)伙持續(xù)增多威脅獵人情報(bào)數(shù)據(jù)顯示，2024年參與洗錢的商戶數(shù)量持續(xù)增多，下半年相比上半年增長了141.42%。2024年下半年，活躍的洗錢黑產(chǎn)團(tuán)伙數(shù)量顯著增加，同比上半年增長81.91%。（2）2024年參與洗錢的商戶歸屬地TOP3省份：廣東省、浙江省、四川省（3）2024年參與洗錢的商戶歸屬地TOP3城市：深圳市、成都市、廣州市（4）2024年參與洗錢的商戶所屬行業(yè)分布TOP3：零售業(yè)、批發(fā)業(yè)、餐飲業(yè)威脅獵人情報(bào)人員對(duì)參與洗錢的商戶進(jìn)一步分析發(fā)現(xiàn)，這些商戶涉及80多個(gè)行業(yè)，其中零售業(yè)商戶占比最多，超過了40%，其次是批發(fā)業(yè)、餐飲業(yè)。這類行業(yè)具備資金流動(dòng)頻率高、交易對(duì)象多、資金結(jié)算快等特征，這些特征正符合黑產(chǎn)洗錢的要求，黑產(chǎn)利用此類商戶洗錢更不容易觸發(fā)風(fēng)控。（5）【關(guān)注】2024年金融行業(yè)收單機(jī)構(gòu)洗錢風(fēng)險(xiǎn)排名威脅獵人研究發(fā)現(xiàn)，在“商戶洗錢”產(chǎn)業(yè)鏈中，有一個(gè)核心的角色——收單機(jī)構(gòu)。收單機(jī)構(gòu)既有企業(yè)性質(zhì)的第三方收單機(jī)構(gòu)，也有銀行自身作為收單機(jī)構(gòu)角色。在威脅獵人監(jiān)控的300多家涉及商戶洗錢風(fēng)險(xiǎn)的收單機(jī)構(gòu)中，銀行自身作為收單機(jī)構(gòu)的占比最多，達(dá)到84.17%。威脅獵人按照洗錢交易次數(shù)排名，將2024年涉及洗錢的收單機(jī)構(gòu)整理輸出TOP50排名：1.42024年風(fēng)險(xiǎn)郵箱資源分析2024年捕獲高風(fēng)險(xiǎn)郵箱（臨時(shí)郵箱）域名數(shù)量9334個(gè)，占總量4.57%。從2024年不同類型郵箱數(shù)量來看，2024年捕獲郵箱20.41萬個(gè)，其中低風(fēng)險(xiǎn)企業(yè)郵箱占總量76.58%，高風(fēng)險(xiǎn)郵箱（臨時(shí)郵箱）占比4.57%，今年新增郵箱主要集中在企業(yè)郵箱。022024年互聯(lián)網(wǎng)黑灰產(chǎn)通用型攻擊技術(shù)分析威脅獵人研究發(fā)現(xiàn)，由于各企業(yè)擁有不同的業(yè)務(wù)環(huán)境和風(fēng)險(xiǎn)控制措施，黑產(chǎn)組織針對(duì)這些企業(yè)所采用的惡意工具、攻擊服務(wù)也呈現(xiàn)出多樣性，但通過深入分析這些工具的底層技術(shù)特征，我們可以將攻擊服務(wù)劃分為“過身份”、“多身份”、“批量化”三大模塊，其中每個(gè)模塊涉及到多種底層攻擊技術(shù)，這些技術(shù)是實(shí)現(xiàn)各類具體攻擊行為的關(guān)鍵所在。2.1身份繞過技術(shù)演化：黑產(chǎn)利用“子母機(jī)”繞過認(rèn)證，無資質(zhì)人員也可平臺(tái)接單威脅獵人研究發(fā)現(xiàn)，2024年黑灰產(chǎn)利用“子母機(jī)”技術(shù)，可使兩臺(tái)手機(jī)同時(shí)登錄同一平臺(tái)賬號(hào)，利用這一技術(shù)，黑產(chǎn)可實(shí)現(xiàn)兩個(gè)人同時(shí)共用一個(gè)平臺(tái)賬戶完成平臺(tái)相關(guān)操作?！白幽笝C(jī)”的應(yīng)用邏輯是：黑產(chǎn)先用母手機(jī)登錄賬號(hào)完成身份認(rèn)證，在通過代碼劫持獲取賬號(hào)的Cookie、設(shè)備環(huán)境等信息，再將這些信息復(fù)制到子設(shè)備上，替換其原始文件，并讓子設(shè)備讀取新信息。目前，出行、外賣等行業(yè)已出現(xiàn)此類工具的售賣，可能導(dǎo)致未經(jīng)培訓(xùn)或資質(zhì)不符的司機(jī)/外賣員違規(guī)上崗，不僅影響平臺(tái)的服務(wù)質(zhì)量，還可能危及平臺(tái)用戶的人身安全，給平臺(tái)帶來更大的損失和名譽(yù)受損?！境鲂衅脚_(tái)“子母機(jī)”示例】以出行行業(yè)某APP為例：①首先，在A手機(jī)上登錄并認(rèn)證完成了A師傅的平臺(tái)賬號(hào)；②然后，通過劫持等方式把A手機(jī)上的cookie和設(shè)備環(huán)境信息等，復(fù)制到B手機(jī)上；③B手機(jī)此時(shí)掌握在B師傅上，但B手機(jī)上的信息，是A師傅的賬號(hào)信息；④每次人臉認(rèn)證時(shí)，只需要在A手機(jī)上進(jìn)行認(rèn)證，即可在兩臺(tái)手機(jī)上都生效，A、B師傅都可繼續(xù)使用賬號(hào)進(jìn)行業(yè)務(wù)操作。具體流程如下：2.2黑產(chǎn)利用“NFC”遠(yuǎn)程傳輸軟件進(jìn)行境外洗錢，達(dá)到轉(zhuǎn)移違法資金的目的威脅獵人研究發(fā)現(xiàn)，2024年有黑灰產(chǎn)利用“NFC技術(shù)”實(shí)現(xiàn)遠(yuǎn)程洗錢活動(dòng)。NFC（近場通信）是一種短距離無線通信技術(shù)，有效距離通常在10cm以內(nèi)，廣泛應(yīng)用于移動(dòng)支付（如ApplePay、GooglePay）、門禁卡、數(shù)據(jù)交換等領(lǐng)域。所謂NFC遠(yuǎn)程傳輸，指的是先通過NFC技術(shù)讀取設(shè)備信息，再借由網(wǎng)絡(luò)遠(yuǎn)程傳輸這些信息。例如，設(shè)備A讀取IC卡信息后，通過特定應(yīng)用將信息發(fā)送至服務(wù)器或設(shè)備B，設(shè)備B即可模擬該IC卡使用。黑灰產(chǎn)正是利用這一技術(shù)，實(shí)現(xiàn)IC卡信息的遠(yuǎn)程讀取與復(fù)原。即使手機(jī)設(shè)備B與IC卡物理上分離，也能執(zhí)行如POS機(jī)支付等操作。最典型的攻擊案例便是洗錢：黑產(chǎn)將國內(nèi)信用卡信息遠(yuǎn)程傳輸至國外設(shè)備，利用這些信息進(jìn)行POS機(jī)消費(fèi)，購買奢侈品、珠寶等，從而繞過信用卡交易的地理限制，完成洗錢行為。以威脅獵人發(fā)現(xiàn)的某款傳輸APP為例：①該軟件介紹“不受時(shí)間及國界限制，無論何時(shí)何地都能完成交易”、“可實(shí)體，可虛擬，支持所有錢包”：②國內(nèi)（傳卡方）、國外（接收方）兩部手機(jī)都下載這個(gè)軟件；③使用國內(nèi)的手機(jī)，去碰實(shí)體銀行卡，此時(shí)會(huì)將銀行卡的信息傳到了國內(nèi)的手機(jī)上；④國內(nèi)手機(jī)接收到到銀行卡信息后，會(huì)通過手機(jī)上安裝的軟件把銀行卡信息傳輸?shù)絿獾氖謾C(jī)上；⑤國外手機(jī)通過軟件接收到銀行卡信息后，即可正常刷卡使用。圖A：國內(nèi)手機(jī)(傳卡方)去碰銀行卡圖B：國內(nèi)/國外手機(jī)都收到了銀行卡信息圖C：國外手機(jī)進(jìn)行支付了操作具體流程如下：2.3定制化云手機(jī)系統(tǒng)，進(jìn)一步提升黑產(chǎn)攻擊效率威脅獵人在2023年發(fā)布的《互聯(lián)網(wǎng)黑灰產(chǎn)研究年度報(bào)告》中指出，云手機(jī)平臺(tái)的配套服務(wù)日益豐富，黑產(chǎn)技術(shù)呈現(xiàn)出集成化、服務(wù)化的特點(diǎn)。2024年，我們繼續(xù)跟蹤觀察發(fā)現(xiàn)，云手機(jī)平臺(tái)不僅集成化、服務(wù)化趨勢愈發(fā)明顯，定制化趨勢也愈發(fā)成熟。服務(wù)化主要提供完善的基礎(chǔ)攻擊工具，讓用戶基于這些工具實(shí)施攻擊。而定制化則是云手機(jī)平臺(tái)針對(duì)特定app進(jìn)行風(fēng)控繞過、開發(fā)對(duì)應(yīng)的作惡腳本，并集成到云手機(jī)系統(tǒng)中，供用戶直接使用。以某社交app為例：黑產(chǎn)為其定制開發(fā)的云手機(jī)系統(tǒng)涵蓋了注冊(cè)、養(yǎng)號(hào)、引流變現(xiàn)等完整攻擊流程的自動(dòng)化實(shí)現(xiàn)。這不僅降低了攻擊者的準(zhǔn)入門檻，使新手也能進(jìn)行傻瓜式操作，還讓攻擊者無需關(guān)注風(fēng)控層面的對(duì)抗，從而極大提升了攻擊效率。032024年互聯(lián)網(wǎng)黑灰產(chǎn)攻擊場景分析3.1線上業(yè)務(wù)欺詐場景本報(bào)告中的線上業(yè)務(wù)欺詐場景不局限于傳統(tǒng)營銷活動(dòng)欺詐攻擊，只要是所有干擾業(yè)務(wù)正常運(yùn)營，從正常的業(yè)務(wù)開展中牟利的惡意行為，都被稱之為“業(yè)務(wù)欺詐攻擊”，如營銷欺詐、惡意引流、刷量欺詐、認(rèn)證繞過等。2024年，威脅獵人共捕獲業(yè)務(wù)欺詐攻擊相關(guān)情報(bào)2.72億條，監(jiān)測業(yè)務(wù)欺詐作惡群組12萬個(gè)，涉及作惡賬號(hào)223萬個(gè)。2024年12月業(yè)務(wù)欺詐相關(guān)情報(bào)出現(xiàn)暴漲現(xiàn)象，威脅獵人情報(bào)人員進(jìn)一步分析發(fā)現(xiàn)，12月增長量中超過一半源自匿名群聊上的情報(bào)信息，這一現(xiàn)象主要是因?yàn)橐恍┐笮唾€博黑產(chǎn)團(tuán)伙線上賭博活動(dòng)頻繁，以及跑分洗錢團(tuán)伙通過多賬號(hào)進(jìn)行廣告“招商”和暴力引流所導(dǎo)致。2024年，威脅獵人捕獲業(yè)務(wù)欺詐活躍作惡群組數(shù)月均3.2萬：2024年，威脅獵人捕獲業(yè)務(wù)欺詐活躍作惡網(wǎng)站/論壇（暗網(wǎng)除外）月均163個(gè)，全年作惡帖子總量926萬例：2024年，威脅獵人捕獲業(yè)務(wù)欺詐活躍作惡賬號(hào)數(shù)月均32萬：威脅獵人風(fēng)險(xiǎn)情報(bào)平臺(tái)為客戶提供風(fēng)險(xiǎn)情報(bào)挖掘和事件預(yù)警服務(wù)，支持將黑灰產(chǎn)原始線索深入分析并結(jié)構(gòu)化為有效的攻擊事件。在2024年，該平臺(tái)已為合作客戶預(yù)警了4158起明確的攻擊事件，平均每月約346起。通過對(duì)這些攻擊事件進(jìn)一步分析，我們發(fā)現(xiàn)業(yè)務(wù)欺詐攻擊已經(jīng)滲透到多個(gè)行業(yè)、多個(gè)業(yè)務(wù)。也就是說，線上業(yè)務(wù)欺詐針對(duì)不同行業(yè)、不同業(yè)務(wù)環(huán)節(jié)呈現(xiàn)“無差別攻擊”，任何有利可圖的地方都是黑灰產(chǎn)的攻擊目標(biāo)。通過對(duì)攻擊事件進(jìn)行熱詞提取，我們發(fā)現(xiàn)當(dāng)前業(yè)務(wù)欺詐攻擊不局限于過去專攻注冊(cè)登錄、領(lǐng)券搶單等業(yè)務(wù)，內(nèi)容發(fā)布、商品管理、訂單交易、支付交易、售后支付、企業(yè)數(shù)據(jù)傳輸?shù)雀鱾€(gè)環(huán)節(jié)均可能被黑產(chǎn)攻擊獲利。隨著業(yè)務(wù)風(fēng)控能力的不斷提升，大多數(shù)典型的機(jī)器作弊行為已被有效識(shí)別。盡管一些高端黑產(chǎn)仍在使用定制化技術(shù)進(jìn)行對(duì)抗，但越來越多的黑灰產(chǎn)開始轉(zhuǎn)向真人眾包作弊方式進(jìn)行攻擊。從威脅獵人捕獲到的情報(bào)信息來看，2024年，真人作弊行為變得更加定制化，角色多樣化，且界限模糊。主要體現(xiàn)在以下幾方面：（1）傳統(tǒng)的任務(wù)型眾包平臺(tái)，即以“發(fā)布任務(wù)”和“領(lǐng)取任務(wù)”為主的模式，無論是平臺(tái)數(shù)量還是任務(wù)數(shù)量，都在持續(xù)增長。2024年以來，威脅獵人共捕獲到889萬個(gè)眾包任務(wù)，月均超過63萬個(gè)，高峰時(shí)期甚至達(dá)到100萬個(gè)。（2）黑灰產(chǎn)采取了更加隱蔽的眾包組織形式，如通過眾包私域群聊、開發(fā)專項(xiàng)APP來招募真人執(zhí)行特定任務(wù)，這種模式類似于刷單真人群，很難被風(fēng)控系統(tǒng)識(shí)別。這些專項(xiàng)任務(wù)可能包括變相刷單、瀏覽酒店頁面以增加瀏覽量、或使用真人賬號(hào)掛機(jī)爬取平臺(tái)商品數(shù)據(jù)等。案例1：以“酒店截圖”眾包項(xiàng)目為例，黑產(chǎn)開發(fā)了一款名為“指尖xx”的APP，通過該APP組織兼職人員完成酒店截圖任務(wù)。參與者按照APP提供的教程，針對(duì)指定的入住平臺(tái)、日期、地區(qū)和酒店名稱，截取酒店頁面的價(jià)格信息并上傳。APP會(huì)自動(dòng)通過OCR技術(shù)識(shí)別并提取價(jià)格信息，參與者隨后可以領(lǐng)取相應(yīng)的傭金。案例2：黑灰產(chǎn)以兼職名義創(chuàng)建群組，組織、招募真人使用其賬號(hào)對(duì)指定電商平臺(tái)商品鏈接進(jìn)行訪問，按要求獲取商品對(duì)應(yīng)件數(shù)、對(duì)應(yīng)活動(dòng)條件的到手價(jià)格上傳表格。這就是一種“真人爬蟲”行為。（3）欺詐角色邊界逐漸模糊，越來越多的真人用戶通過研究和利用平臺(tái)業(yè)務(wù)的“正當(dāng)”規(guī)則進(jìn)行惡意牟利。近幾年，各平臺(tái)層出不窮的多倍賠付、僅退款教程、價(jià)保退款攻略，更多反映了在黑灰產(chǎn)“引導(dǎo)”下，以平臺(tái)真人用戶為主的欺詐趨勢。案例：威脅獵人捕獲了一起羊毛用戶利用平臺(tái)保價(jià)政策結(jié)合支付券識(shí)別漏洞，“0擼”或低價(jià)購買平臺(tái)商品，該類攻擊短時(shí)間內(nèi)對(duì)平臺(tái)和開通價(jià)保的商家造成了大額的損失和退款。羊毛黨發(fā)現(xiàn)某平臺(tái)某類商品可領(lǐng)取滿減優(yōu)惠券和支付券（合作銀行或平臺(tái)品類但二者只能選擇其一使用；羊毛黨通過支付券購買了這款商品，然后利用商家的保價(jià)政策規(guī)則申請(qǐng)店鋪滿減優(yōu)惠券保價(jià)金額（商家看不到用戶使用了支付券，因?yàn)槭遣煌脚_(tái)最終達(dá)到0擼或低價(jià)購入。威脅獵人情報(bào)人員針對(duì)這類型漏洞攻擊進(jìn)行分析，發(fā)現(xiàn)羊毛黨主要利用了兩個(gè)方面的漏洞：首先，他們利用了保價(jià)政策中對(duì)店鋪優(yōu)惠券的補(bǔ)償機(jī)制，該機(jī)制原本是為了在短時(shí)間內(nèi)對(duì)用戶發(fā)放補(bǔ)償；其次，他們利用了保價(jià)政策無法識(shí)別已使用支付券優(yōu)惠的漏洞。這使得黑產(chǎn)分子能夠同時(shí)“享受”兩種優(yōu)惠券的優(yōu)惠。這種行為在短時(shí)間內(nèi)對(duì)平臺(tái)和開通價(jià)保的商家造成了大額的損失和退款。黑灰產(chǎn)業(yè)鏈能夠持續(xù)不斷地高效運(yùn)作離不開上游資源交易和下游套利變現(xiàn)，上游黑產(chǎn)通過特定渠道采購賬號(hào)、工具、手機(jī)號(hào)等攻擊資源，下游黑產(chǎn)通過各種渠道（發(fā)卡網(wǎng)站和二手閑置交易平臺(tái)等將持有的上游攻擊資源以及攻擊所得的優(yōu)惠券、現(xiàn)金券、會(huì)員權(quán)益、實(shí)體商品等進(jìn)行變現(xiàn)。自2024年7月正式上線黑灰產(chǎn)交易市場以來，累積捕獲到黑灰產(chǎn)交易商品610萬起，月均101萬，大量活躍交易商品和豐富品類表明黑灰產(chǎn)攻擊活動(dòng)仍處上升期、持續(xù)運(yùn)轉(zhuǎn)。商品交易市場的流動(dòng)，實(shí)則破壞了平臺(tái)用戶和玩家的平等權(quán)益，縮減、損害了業(yè)務(wù)方的預(yù)期收益?；?月份以來捕獲的黑灰產(chǎn)交易商品數(shù)據(jù)，交易熱度TOP的商品類別分別為：會(huì)員權(quán)益類、教程工具類和代下單服務(wù)類型，分別占交易商品總量的22.16%、17.63%和13.94%。各商品大類下存在多個(gè)細(xì)分豐富商品，如會(huì)員權(quán)益類包含合作平臺(tái)聯(lián)合權(quán)益的會(huì)員轉(zhuǎn)賣、等級(jí)vip權(quán)益；優(yōu)惠券類包含平臺(tái)紅包、優(yōu)惠券、折扣券轉(zhuǎn)賣；教程工具類則是包含了一體機(jī)、繞過人臉驗(yàn)證、改定位、搶購、搶單等自動(dòng)化、批量化作弊工具、搬磚項(xiàng)目教程等；代下單服務(wù)類型包含了收取使用費(fèi)，使用業(yè)務(wù)方折扣賬號(hào)、會(huì)員權(quán)益、補(bǔ)貼名額進(jìn)行代下單和搶單等；代理服務(wù)類型與代注冊(cè)、資質(zhì)繞過相關(guān)，其中有大量商品觸及違規(guī)。教程工具類商品：網(wǎng)約車子母機(jī)，受眾為資質(zhì)未通過審核、欲多賬號(hào)接單擴(kuò)大收益的作弊司機(jī)群體。代理服務(wù)商品：違規(guī)繞過服務(wù)，如利用信息差和內(nèi)部渠道等手段，為申請(qǐng)資質(zhì)不合規(guī)的商家店鋪、司機(jī)等，直接入駐平臺(tái)運(yùn)營。代下單服務(wù)商品：各類低價(jià)卡券代下和自助下單商品，通過代下服務(wù)和上游搭建的自助對(duì)接下單系統(tǒng)，黑產(chǎn)將回收的券出售套利，羊毛黨低于原價(jià)獲取商品。威脅獵人關(guān)注到，相比過去主要在普通社交平臺(tái)發(fā)布，現(xiàn)在更多業(yè)務(wù)欺詐黑產(chǎn)逐漸轉(zhuǎn)向更隱秘的渠道，如在Telegram等匿名群聊渠道上建立大量與業(yè)務(wù)欺詐相關(guān)的討論頻道。2024年，威脅獵人監(jiān)測到圍繞業(yè)務(wù)欺詐風(fēng)險(xiǎn)的討論量在匿名渠道上達(dá)到了46萬起，且每月呈現(xiàn)增長趨勢。對(duì)匿名渠道內(nèi)中活躍的頻道發(fā)布信息進(jìn)一步了解，信息涉及攻擊業(yè)務(wù)方活動(dòng)的活動(dòng)腳本、羊毛討論、惡意賠付教程、搶單工具等相關(guān)，下半年比上半年增加91.43%。涉及案例包含但不限于打假項(xiàng)目、活動(dòng)自動(dòng)薅取、出行行業(yè)搶單工具交易頻道：3.2金融貸款欺詐場景威脅獵人研究發(fā)現(xiàn)，金融貸款欺詐已經(jīng)形成了一條分工明確、利益瓜分的成熟產(chǎn)業(yè)鏈。以“職業(yè)背債”為例，其上游操作方、中間黑產(chǎn)、下游中介以及背債人等角色各司其職，通過嚴(yán)密的協(xié)作機(jī)制組織騙貸活動(dòng)。這種黑產(chǎn)的存在不僅破壞了金融市場的正常運(yùn)行，給金融機(jī)構(gòu)造成巨大的損失，還會(huì)對(duì)社會(huì)的穩(wěn)定和經(jīng)濟(jì)的健康發(fā)展構(gòu)成嚴(yán)重威脅。2024年，威脅獵人共捕獲貸款欺詐攻擊情報(bào)414萬條，監(jiān)控活躍的作惡社交群組34697個(gè)，作惡黑產(chǎn)11.5萬名；不管是欺詐情報(bào)熱度，還是作惡群組數(shù)、作惡黑產(chǎn)數(shù)（包括惡意貸款中介均呈逐漸上升趨勢。（1）2024年捕獲惡意貸款欺詐情報(bào)414萬條，每月持續(xù)上漲（2）2024年監(jiān)控活躍的作惡社交群組34697個(gè)，下半年比上半年增長30%。（3）2024年捕獲貸款欺詐作惡黑產(chǎn)11.5萬名，下半年作惡黑產(chǎn)數(shù)比上半年增長51%。（4）2024年貸款欺詐惡意中介4.3萬名，下半年惡意貸款中介數(shù)比上半年增長50%從貸款產(chǎn)品類型來看，2024年信貸欺詐熱度TOP5的貸款產(chǎn)品類型分別是：企業(yè)貸、信用貸、房抵貸、車抵貸、和公積金貸。從地域分布情況來看，2024年信貸欺詐地區(qū)熱度排在TOP5的地區(qū)是：廣東、重慶、山東、浙江、3.2.4職業(yè)背債：“賣征信換錢”現(xiàn)象加劇，黑產(chǎn)瞄準(zhǔn)高信用、高資質(zhì)隨著社會(huì)經(jīng)濟(jì)大環(huán)境的不斷變化、金融消費(fèi)文化的轉(zhuǎn)變，越來越多消費(fèi)者開始崇尚“賣征信換錢”，“背債”熱度持續(xù)上漲。（1）2024年“背債”熱度持續(xù)上升，下半年相關(guān)情報(bào)數(shù)量比上半年增長56%2024年，威脅獵人捕獲“背債”相關(guān)攻擊情報(bào)呈上升趨勢，背債熱度上升，并在9月達(dá)到峰值，下半年比上半年增長56%。（2）2024年背債地區(qū)熱度TOP3省份：廣東、四川、重慶威脅獵人情報(bào)數(shù)據(jù)顯示，2024年“背債”相關(guān)的貸款欺詐，活躍熱度TOP3的省份（含直轄市）是廣東、四川、重慶。（3）2024年背債地區(qū)熱度TOP3城市：重慶、深圳、長沙威脅獵人情報(bào)數(shù)據(jù)顯示，2024年“背債”相關(guān)的貸款欺詐，活躍熱度TOP3的城市（含直轄市）是重慶、深圳、長沙。（4）黑產(chǎn)更傾向于選擇征信條件好、資質(zhì)好、外貌條件好的客戶威脅獵人研究發(fā)現(xiàn)，黑產(chǎn)在選擇背債人選的時(shí)候，逐漸更偏向于選擇征信條件好、資質(zhì)好、外貌條件好的客戶。很多金融機(jī)構(gòu)現(xiàn)有的反欺詐模型、評(píng)分卡等很難識(shí)別這類優(yōu)質(zhì)的高風(fēng)險(xiǎn)客戶，自動(dòng)化審批通過的背債人占比也越來越高。2024年黑產(chǎn)對(duì)背債人屬性的選擇性變化主要體現(xiàn)為以下情況：以下是背債黑產(chǎn)招募的一些廣告信息：3.2.5融車欺詐：車貸欺詐熱度持續(xù)上漲，“買車套現(xiàn)”日益猖狂近年來，汽車金融市場持續(xù)擴(kuò)大，汽車貸款欺詐也日益猖狂。威脅獵人調(diào)研發(fā)現(xiàn)，不法黑產(chǎn)打著“融車”、“0首付購車”、“買車套現(xiàn)”的旗號(hào)，召集一些無法通過正常貸款融資但有資金需求的人群，如征信為白戶、花戶、黑戶等，通過身份包裝后進(jìn)行“假購車、真套現(xiàn)”的合同詐騙、貸款詐騙。（1）2024年融車相關(guān)攻擊情報(bào)呈上升趨勢，下半年融車風(fēng)險(xiǎn)輿情比上半年增長62%。（2）2024年融車欺詐情報(bào)熱度TOP3城市：深圳、重慶、保定（3）融車欺詐手法和表現(xiàn)方式威脅獵人研究發(fā)現(xiàn)，黑產(chǎn)通過召集一些自身無貸款資質(zhì)但有資金需求的人群，在黑產(chǎn)鏈的組織、墊資、包裝及客戶配合下，一人可以辦理多筆車貸、一輛汽車也可以辦理多家金融機(jī)構(gòu)貸款。汽車貸款欺詐更多詳情可查看：【黑產(chǎn)大數(shù)據(jù)】汽車貸款欺詐產(chǎn)業(yè)威脅獵人研究發(fā)現(xiàn)，有些人因資質(zhì)不符、缺乏條件等問題無法正常申請(qǐng)貸款，會(huì)通過虛假工作信息、虛假流水等“假數(shù)據(jù)”來達(dá)到借貸目的。（1）2024年材料包裝欺詐熱度呈上升趨勢，下半年熱度比上半年增加148%（2）材料包裝欺詐類型和方式3.3品牌廣告欺詐場景威脅獵人基于廣告暗刷流量監(jiān)測捕獲到大量廣告欺詐數(shù)據(jù)，涉及到多個(gè)行業(yè)，涉及到食品飲料、電子消費(fèi)品等多個(gè)行業(yè)，食品飲料行業(yè)依舊是遭受欺詐占比最大的廣告主。遭到廣告欺詐的廣告主品牌排名如下：從捕獲數(shù)據(jù)中的欺詐廣告形式來看，欺詐廣告中以15秒的視頻廣告為主，這類廣告占捕獲欺詐廣告總量的99%以上。從欺詐廣告的播放情況來看，設(shè)備暗刷偽造并上報(bào)的廣告中，大部分都是完整播放完畢的，100%播完的占比達(dá)到70.02%，這一數(shù)據(jù)明顯不符合正常用戶的行為，現(xiàn)實(shí)情況下有耐心將廣告看完的用戶并不多。視頻廣告包括開始播放、播放中、完成播放等階段，不同階段都會(huì)進(jìn)行廣告追蹤，并將流量上報(bào)至廣告監(jiān)測平臺(tái)，實(shí)際上這些廣告并未播放，僅僅是通過設(shè)備暗刷偽造了虛假的廣告播放情況，并將虛假追蹤情況上報(bào)。在廣告欺詐刷量的作弊鏈路中，上報(bào)的作弊廣告流量往往會(huì)包含動(dòng)態(tài)變化的偽造設(shè)備參數(shù)信息，模擬真實(shí)的設(shè)備信息及其展現(xiàn)廣告的數(shù)據(jù)情況，以欺騙廣告主。威脅獵人針對(duì)偽造的廣告播放數(shù)據(jù)進(jìn)行分析發(fā)現(xiàn)，偽造并上報(bào)的虛假廣告數(shù)據(jù)里，覆蓋了三大類終端：移動(dòng)端、OTT端、PC端。進(jìn)一步分析發(fā)現(xiàn)，廣告?zhèn)卧斓囊苿?dòng)端中包含了手機(jī)及平板，其中以手機(jī)為主，覆蓋多個(gè)手機(jī)品牌。廣告?zhèn)卧斓腛TT終端中，包含了智能電視、電視盒子、智慧屏、智能音箱（帶屏）、唱歌機(jī)、投影儀等，覆蓋多個(gè)OTT終端品牌。3.4API攻擊場景數(shù)字化與線上化趨勢下，API接口作為應(yīng)用連接、數(shù)據(jù)傳輸?shù)闹匾ǖ溃陙泶笠?guī)模增長。API應(yīng)用的增速與其安全發(fā)展的不平衡，使其成為惡意攻擊的首選目標(biāo)，圍繞API安全的攻防較量愈演愈烈。威脅獵人情報(bào)數(shù)據(jù)顯示，2024年遭受攻擊的API數(shù)量超過了250萬，涉及音視頻、軟件應(yīng)用、汽車、電商、政務(wù)等多個(gè)行業(yè)。威脅獵人情報(bào)數(shù)據(jù)顯示，2024年全年平均每月遭受攻擊的API數(shù)量超過21萬。3.4.22024年API攻擊行業(yè)分布主要分布在音視頻、政務(wù)機(jī)構(gòu)、互聯(lián)網(wǎng)軟件應(yīng)用從2024年API攻擊的行業(yè)分布數(shù)據(jù)來看，音視頻行業(yè)受攻擊熱度最高。黑產(chǎn)利用音視頻平臺(tái)有安全缺陷的API非法爬取內(nèi)容、用戶信息等數(shù)據(jù)，通過販賣音視頻內(nèi)容或用戶信息獲取高額利益，如非法分發(fā)、轉(zhuǎn)售、侵犯版權(quán)，以及利用用戶信息進(jìn)行釣魚攻擊、詐騙等。（1）營銷欺詐：某互聯(lián)網(wǎng)平臺(tái)登錄API存在安全隱患，企業(yè)營銷產(chǎn)品被薅羊毛2024年9月，威脅獵人風(fēng)險(xiǎn)情報(bào)平臺(tái)監(jiān)測到攻擊者對(duì)國內(nèi)某互聯(lián)網(wǎng)平臺(tái)發(fā)起批量登陸攻擊，使用歷史版本的登錄API接口獲取用戶憑證，再訪問“當(dāng)前版本應(yīng)用”利用積分免費(fèi)兌換商品業(yè)務(wù)，給企業(yè)帶來損失。從威脅獵人蜜罐捕獲的攻擊流量發(fā)現(xiàn)，從2024年9月至11月，攻擊者使用代理IP，對(duì)該歷史版本的登錄API發(fā)起攻擊超13萬次，超10W左右的賬號(hào)使用積分兌換商品。如下圖所示，該登錄API接口中賬號(hào)密碼參數(shù)并未進(jìn)行加密，均為明文傳輸，且缺失簡單的人機(jī)驗(yàn)證方式，導(dǎo)致成為了黑產(chǎn)發(fā)起批量登錄攻擊的主要對(duì)象。（2）數(shù)據(jù)爬?。耗炽y行線上業(yè)務(wù)遭受黑灰產(chǎn)掃號(hào)攻擊，大量用戶信息被泄露2024年6月，威脅獵人風(fēng)險(xiǎn)情報(bào)平臺(tái)監(jiān)測到攻擊者對(duì)國內(nèi)某銀行發(fā)起掃號(hào)攻擊。經(jīng)過流量分析與復(fù)現(xiàn)，發(fā)現(xiàn)該銀行資產(chǎn)接口存在“錯(cuò)誤提示不合理漏洞”，黑產(chǎn)可大量驗(yàn)證手機(jī)號(hào)信息是否為平臺(tái)注冊(cè)用戶，導(dǎo)致有效賬號(hào)暴露，用戶隱私泄露，威脅系統(tǒng)安全。從威脅獵人蜜罐捕獲的攻擊流量發(fā)現(xiàn)，在2024年6月，攻擊者在一周內(nèi)，對(duì)該銀行資產(chǎn)接口發(fā)起攻擊超24萬次，導(dǎo)致大量有效賬號(hào)暴露。如下圖所示，黑產(chǎn)對(duì)請(qǐng)求體進(jìn)行構(gòu)造，使用不同的手機(jī)號(hào)，而其他鑒權(quán)參數(shù)信息特征保持不變，如驗(yàn)證碼id、操作記錄變量等，如果手機(jī)號(hào)碼為無效賬號(hào)，回顯“賬號(hào)不存在，請(qǐng)注冊(cè)后登陸”，如果手機(jī)號(hào)碼為有效賬號(hào)，平臺(tái)回顯“沒有找到對(duì)應(yīng)短信驗(yàn)證碼信息”，黑產(chǎn)可通過回顯來判斷手機(jī)號(hào)是否為有效賬號(hào)。（3）黃牛搶號(hào)：醫(yī)院線上掛號(hào)業(yè)務(wù)被黃牛搶號(hào)，醫(yī)療資源被搶占2024年10月，威脅獵人風(fēng)險(xiǎn)情報(bào)平臺(tái)監(jiān)測到攻擊者對(duì)某大型醫(yī)院進(jìn)行批量注冊(cè)，注冊(cè)后訪問醫(yī)生掛號(hào)信息并進(jìn)行搶號(hào)，搶占醫(yī)療資源。通過對(duì)威脅獵人蜜罐捕獲的流量進(jìn)行分析，發(fā)現(xiàn)攻擊者使用大量的黑卡進(jìn)行批量注冊(cè)，并偽裝為正常病人，后續(xù)使用注冊(cè)的賬號(hào)進(jìn)行登錄，登錄后開始不斷訪問醫(yī)生掛號(hào)信息并進(jìn)行預(yù)約搶號(hào)。如下圖所示，由于掛號(hào)接口沒有限制訪問頻率，攻擊者可以不斷的獲取醫(yī)生掛號(hào)信息并在第一時(shí)間進(jìn)行搶號(hào)。3.5釣魚仿冒場景2024年，威脅獵人共監(jiān)測到釣魚仿冒風(fēng)險(xiǎn)事件44640例，涉及671家企業(yè)，較2023年監(jiān)測總量增長150%，整體呈現(xiàn)持續(xù)增長趨勢。相較去年，威脅獵人今年進(jìn)一步加強(qiáng)對(duì)仿冒社媒的監(jiān)控力度，新增了多個(gè)主流平臺(tái)，從渠道多樣性、監(jiān)測深度和覆蓋面等角度全面提升監(jiān)控能力，為企業(yè)提供更廣泛的風(fēng)險(xiǎn)防護(hù)支持。從2024年釣魚仿冒事件的行業(yè)分布數(shù)據(jù)來看，釣魚仿冒行業(yè)占比TOP3的行業(yè)為電商、證券行業(yè)和消費(fèi)金融行業(yè)，其中電商行業(yè)成為釣魚仿冒最為嚴(yán)重的行業(yè)，電商行業(yè)仿冒相關(guān)的風(fēng)險(xiǎn)案例占總量的46.41%。隨著跨境貿(mào)易的火熱，海外電商平臺(tái)為吸引新手賣家推出低門檻政策，導(dǎo)致大量缺乏經(jīng)驗(yàn)的賣家涌入，成為騙子的目標(biāo)。“海外商城盤”就是其中一種以“開網(wǎng)店創(chuàng)業(yè)”為幌子的騙局，詐騙者冒用知名海外電商平臺(tái)身份，以“零成本開店”和“高收益分銷”吸引受害者注冊(cè)仿冒電商平臺(tái)進(jìn)行詐騙，這種行為不僅給商家?guī)碇苯咏?jīng)濟(jì)損失，還嚴(yán)重?fù)p害電商平臺(tái)品牌資產(chǎn)；破壞了平臺(tái)的商家準(zhǔn)入機(jī)制，影響品牌公信力。“海外商城盤”主要流程及角色分工如下：打粉獲客階段：騙子通過交友軟件等途徑接觸目標(biāo)人群，與受害者建立信任。仿冒平臺(tái)引流階段：騙子通過分享網(wǎng)店創(chuàng)業(yè)經(jīng)驗(yàn)、用“零成本開店”和“高收益分銷”為誘餌，讓受害者注冊(cè)仿冒電商平臺(tái)。誘導(dǎo)開店運(yùn)營階段：在受害者注冊(cè)后，詐騙者引導(dǎo)開設(shè)店鋪并通過虛擬訂單和偽造盈利截圖，營造生意興隆的假象，誘導(dǎo)受害者不斷充值墊資發(fā)貨，逐步加大資金投入。殺魚詐騙階段：當(dāng)受害者投入大量資金后，詐騙者以延遲物流、凍結(jié)賬戶等為借口，進(jìn)一步要求繳納違約金或保證金，直到受害者資金被完全掏空。整個(gè)騙局偽裝成合法創(chuàng)業(yè)，利用受害者對(duì)快速賺錢的渴望逐步完成詐騙閉環(huán)。3.6數(shù)據(jù)泄露場景威脅獵人數(shù)據(jù)泄露風(fēng)險(xiǎn)監(jiān)測平臺(tái)數(shù)據(jù)顯示，2024年1月至12月全網(wǎng)監(jiān)測了3.03億條關(guān)于數(shù)據(jù)泄露的情報(bào)，基于威脅獵人真實(shí)性驗(yàn)證引擎以及DRRC專業(yè)人工分析驗(yàn)證出有效的數(shù)據(jù)泄露事件共計(jì)37575起，涉及金融、電商、快遞等行業(yè)2598家企業(yè)。從行業(yè)分布來看，2024年1月至12月數(shù)據(jù)泄露事件中涉及88個(gè)行業(yè)，前五行業(yè)分別是銀行、電商、消費(fèi)金融、保險(xiǎn)以及快遞。其中銀行行業(yè)數(shù)據(jù)泄露事件數(shù)量高達(dá)6333起，連續(xù)兩年為數(shù)據(jù)泄露事件數(shù)最多的行業(yè)。此外，今年本地生活行業(yè)數(shù)據(jù)泄露事件行業(yè)排名相比2023年有所上升，從之前的Top14上升至Top10。數(shù)據(jù)顯示，2024年本地生活行業(yè)共發(fā)現(xiàn)700多起數(shù)據(jù)泄露事件，較2023年大幅上漲7.22倍。進(jìn)一步分析發(fā)現(xiàn)，本地生活數(shù)據(jù)泄露大幅上漲的原因是新型泄露類型“強(qiáng)登”導(dǎo)致。強(qiáng)登：指通過技術(shù)手段強(qiáng)制登錄用戶賬號(hào)，獲取用戶賬號(hào)中的隱私信息。本地生活：主要指提供外賣、餐飲、電影票、買菜等與生活息息相關(guān)的服務(wù)平臺(tái)。威脅獵人在2024年發(fā)現(xiàn)了一種新的查檔類型——“強(qiáng)登”，泄露信息主要涉及用戶的網(wǎng)購訂單、外賣配送訂單、出行打車訂單、快遞訂單信息等，涵蓋了電商、快遞、本地生活服務(wù)（主要是外賣行業(yè)）和出行服務(wù)等多個(gè)行業(yè)的頭部平臺(tái)。自2024年6月起，通過“強(qiáng)登”獲取數(shù)據(jù)的方式開始出現(xiàn)，到12月底已累計(jì)超過6600起。最初主要集中在電商頭部平臺(tái)，隨后逐漸蔓延至外賣和快遞等多個(gè)平臺(tái)。強(qiáng)登：指黑灰產(chǎn)通過