【黑产大数据】威胁猎人2023年互联网黑灰产研究年度报告

1 目录 Contents 前言3 一、2023年互联网黑灰产业发展现状6 1.12023年互联网黑灰产从业人员达587万，较2022年上升141%7 1.22023年黑灰产资源整体情况7 二、2023年黑产攻击资源分析10 2.12023年黑手机卡资源分析11 2.22023年风险IP资源分析17 2.32023年网络洗钱资源分析21 2.42023年风险邮箱资源分析29 三、2023年黑产通用型攻击技术31 3.1黑产应用AI技术大幅提升攻击效率，突破企业防御体系32 3.2提供云手机服务的平台持续增加，配套攻击工具更加完善35 四、2023年黑产攻击场景分析37 4.12023年业务欺诈场景分析38 4.22023年数据泄露场景分析47 4.32023年钓鱼仿冒场景分析51 五、总结55 前言 2023年，黑灰产从业人员人数超过580万，威胁猎人捕获到的国内作恶手机号数量高达 625万，日活跃风险IP数量602万，洗钱银行卡数量87万。 从百万级黑灰产业链规模、大幅提升的攻击资源量级可见，2023年是黑产攻防对抗空前激烈的一年，推陈出新的攻击资源和技术成为黑产攻击的“保护色”，因难以监测黑产攻击行为和溯源潜在风险，不少企业遭受严重损失，成为业务安全建设中亟需攻破的难点。 威胁猎人发布《2023年互联网黑灰产研究年度报告》，针对2023年黑灰产业链进行了深入研究，从2023年互联网黑灰产发展现状、黑灰产攻击资源、黑灰产攻击场景等维度进行全面梳理分析，力求通过客观呈现黑灰产情报数据，帮助更多企业深入直观了解黑灰产业，有效防控各类攻击风险。 相关名词定义： 1、风险IP：业内也称黑IP，指存在攻击风险（包括代理、秒拨等恶意行为）的IP； 2、风险手机号：存在被滥用盗用等风险的手机号，如被黑产用于接收短信，实施批量恶意攻击的手机号，通常从接码平台或发卡平台捕获； 3、风险邮箱：指被黑产用于恶意注册生成的临时邮箱，用以骗取用户重要信息、传播恶意程序等； 4、黑手机卡：指未进行实名登记或以假身份进行实名登记的，并被不法分子利用实施违法犯罪活动的电话卡； 5、猫池卡：指通过“猫池”这一网络通信硬件，实现同时支持多个号码通话、群发短信等功能的黑手机卡； 6、拦截卡：指通过病毒木马控制真实用户手机短信/验证码收发权限的手机卡，通常捕获自拦截卡平台； 7、洗钱银行卡：指被黑产用于非法资金清洗（将违法所得收入合法化）的银行卡，例如赌博及诈骗团伙通过银行卡消费、转账等方式转移洗钱资金； 8、洗钱数字钱包：指被黑产用于非法资金清洗的加密数字货币，例如通过数字人民币消费、转账等方式转移资金，利用数字货币的隐蔽性来逃避监管审查； 9、洗钱对公账户：指被黑产用于非法资金清洗的银行对公账户，因对公账户具有收款额度大、转账次数多等特点，使得“对公账户”常常作为黑钱转账的集中点及发散点； 10、改机：指的是通过修改手机设备信息，如手机型号、串码、IMEI、GPS定位等，达成绕过厂商设备检测的目的； 11、改定位：指利用相关工具修改手机定位信息，例如通过修改地理位置信息参加地域性活动并进行营销作弊； 12、数据泄露情报：威胁猎人通过TG群、暗网等渠道捕获到的“未授权个人/组织敏感信息被公开交易或使用”的情报信息，可能包含历史数据、重复数据等，往往量级巨大；13、数据泄露事件：威胁猎人安全研究专家针对数据泄露情报的样例等进行分析及验证，确认为真实、有效的数据泄露事件； 14、暗网：指隐藏的网络，普通网民无法通过常规手段搜索访问，需要使用一些特定的软件、配置或者授权才能登录； 15、公民个人信息：指公民个人身份信息，包括但不限于姓名、身份证号码、出生日期、手机号码、家庭住址、银行账户信息等。 6 01 2023年互联网黑灰产业 发展现状 一、2023年互联网黑灰产业发展现状 1.12023年互联网黑灰产从业人员达587万，较2022年上升141% 威胁猎人安全研究员调研统计发现，2023年互联网黑灰产从业人数持续上升，从业人员数量达到587.1万，较2022年上升141%。 1.22023年黑灰产资源整体情况 1.2.12023年国内作恶手机号较2022年增长15.44% 2023年国内作恶手机号数量达到625.5万，较2022年上升15.44%。 1.2.22023年风险IP数量较2022年增长88.47% 2023年风险IP数量持续上升，风险IP数量达到602.2万，较2022年上升88.47%。 1.2.32023年洗钱银行卡数量较2022年增长133.74% 2023年洗钱银行卡数量持续上升，洗钱银行卡数量达到87.4万，较2022年上升133.74%。 10 02 2023年黑产攻击 资源分析 二、2023年黑产攻击资源分析 2.12023年黑手机卡资源分析 2.1.12023年猫池卡资源变化趋势 （1）2023年国内猫池卡数量较2022年增长8.25% 据威胁猎人威胁情报运营平台数据显示，2023年新捕获猫池卡586.6万个，较2022年上升8.25%。从2023年国内猫池卡数量的变化趋势来看，1-3月出现明显上升趋势，4-6月逐渐降低。 经威胁猎人情报专家分析，出现这一趋势的主要原因是： 1-3月某头部接码平台对接的黑产持续上传大量新的接码手机号，使得该时间段内的新增作恶手机号数量持续上升；4-6月该头部接码平台遭遇持续性DDos攻击而无法正常运营，导致该时间段内的作恶手机号数量持续下降。 （2）2023年猫池卡归属最多的三个省份为：江苏、山东、河南 威胁猎人情报专家对2023年捕获到的国内猫池卡进行统计分析，发现江苏、山东、河南三省为猫池卡归属地最多的三个省份；针对归属城市分析发现，南京、上海、北京三城市为猫池卡归属地最多的城市。 （3）2023年捕获的猫池卡中，归属国内三大运营商的占41.78% 2023年威胁猎人威胁情报运营平台捕获猫池卡618万张，其中归属国内三大运营商的猫池卡占比41.78%，归属其他运营商的占比58.2%。 2.1.22023年拦截卡资源变化趋势 （1）2023年国内拦截卡数量达38.9万，并于3月出现大幅上升 2023年，威胁猎人最新捕获拦截卡达38.9万，并于3月捕获到大量新增拦截卡，经过持 续监测分析发现，其主要原因是：2023年3月出现一个新的拦截卡接码平台，导致3月新增拦截卡数量大幅上升。 （2）2023年拦截卡归属最多的三个省份为：广西、山东、江苏 威胁猎人安全研究员对2023年捕获到的国内拦截卡进行统计分析，发现广西、山东、江苏三省为拦截卡归属地最多的三个省份，与猫池卡归属省份存在一定的重合；针对归属城市分析发现，南京、贵港、南宁三城市为拦截卡归属地最多的城市。 （3）2023年捕获的拦截卡中，归属国内三大运营商的占98.48% 2023年威胁猎人威胁情报运营平台捕获拦截卡87万张，归属国内三大运营商的拦截卡占比达98.48%，归属其他运营商占比1.52%。 值得注意的是，2023年威胁情报运营平台捕获到的192号段黑手机卡数量达到87.8万， 黑产大量使用192号段的黑手机卡进行作恶。从192号段黑手机卡数量的变化趋势来看， 7月、8月及10月出现大幅增长。 经威胁猎人情报专家分析，7月、8月及10月新增量较大的主要原因是： 自第三季度开始，有4个供应渠道进一步增大192号段手机卡的投入规模，使得第三季度新增量进一步增加。10月，部分黑产开始将目光投向非头部互联网平台并展开攻击，直到11月这些平台开始察觉到攻击情况并对其进行风控，192号段的新增量开始逐渐下降。 2.1.3发卡平台成为黑产投放高价值接码手机卡的主流渠道之一 从威胁猎人威胁情报运营平台捕获的数据来看，提供接码服务的发卡平台及发卡店铺数量呈明显上升趋势，同时通过发卡平台捕获到的接码手机号也呈现出明显上升趋势，由此可见，“发卡平台”成为黑产投放高价值接码手机卡的主流渠道之一。 高质量接码手机号：手机号入网时间短，在网状态正常，绝大多数都是黑产卡商通过特定渠道及技术新开的实体手机卡。黑产多利用此类手机号对热门APP业务进行攻击并实现获利，如热门的视频APP、互联网社交APP或电商APP的注册和换绑业务。 （1）2023年每月捕获的涉及接码的发卡平台及发卡店铺数量持续上升 自2023年1月起，每月捕获的涉及接码的发卡平台数量持续上升，截至2023年12月， 活跃发卡平台达到28个。在这些发卡平台中，直接向黑产提供手机号接码服务的发卡店铺 数量亦也出现大幅度上升，2023年12月，威胁猎人共捕获该类店铺322家。 （2）2023年通过发卡店铺每月捕获的高价值接码手机号数量持续走高 自2023年1月起，威胁猎人通过发卡店铺捕获到用于作恶的接码手机号数量出现大幅上升。 2023年12月，威胁猎人共捕获作恶手机号12.9万个。 威胁猎人安全研究员发现：“黑灰产手机号接码服务愈发成熟，已呈现出明显分工趋势”。例如手机卡商提供黑卡物料，代理商汇集多个卡商渠道，通过在发卡平台开设店铺的形式为黑产提供隐蔽的接码服务。 2.22023年风险IP资源分析 2.2.12023年风险IP资源变化 近年来国内互联网平台业务不断开拓海外市场，如何识别海外风险IP已成为各大企业亟需重视的问题。威胁猎人海外风险IP监测能力的提升，也为互联网平台优化海外风控规则提供了有力支持。 2023年威胁猎人持续监测国内风险IP5906万个，国外风险IP7172万个。我们对国内及国外两种类型的风险IP分析发现： （1）2023年国内风险IP归属最多的三个省份：江苏、浙江、广东 （2）2023年国内风险IP归属最多的三个城市：上海、重庆、苏州 （3）2023年国外风险IP归属最多的三个国家：巴西、印度、美国 （4）2023年国内风险IP类型中，家庭宽带类型占比超90% （5）2023年海外风险IP类型以家庭宽带、移动网络为主 2.2.2黑产通过植入木马恶意使用正常用户IP的行为更加猖獗 威胁猎人发现，黑产通过在正常用户设备中植入木马，实现在其网络上建立代理通道，且每次使用时间很短，因此普通用户难以感知到自己的IP被盗用。从甲方风控视角来看，正常用户的IP被黑产恶意使用，这类IP属于“好坏共用-代理”IP。 这类IP由于大部分时间是正常用户进行操作，如点击、充值、浏览等行为均正常，少量时间会出现短暂的作恶行为。因此平台可能会认定该用户为正常用户，进而忽视其短暂的作恶行为，给黑产可乘之机。 通过对代理IP平台的持续监测，我们发现黑产通过植入木马恶意使用正常用户IP的行为更加猖獗，以威胁猎人2023年11月及12月捕获到的数据为例：11月捕获被劫持IP数量达508万，12月捕获被劫持IP数量达934万，较11月增加83.85%。 2.32023年网络洗钱资源分析 2.3.12023年银行卡资源变化 2023年威胁猎人共捕获洗钱银行卡87.4万张，对捕获到的洗钱银行卡进一步分析发现： （1）涉及洗钱银行卡归属国有银行的占比远高于非国有银行 （2）银行卡洗钱金额的主要区间为1000-5000元 （3）洗钱银行卡使用时间间隔极短，过半银行卡再次使用时间不超过一天 2.3.22023年数字人民币资源变化 随着社会公众对零售支付便捷性、安全性等需求日益提高，数字人民币支付正在成为消费新趋势。 由于数字人民币“第四类钱包”无需绑定用户身份信息，有手机号即可注册，洗钱团伙会利用专门提供手机小号并接收验证码的平台，批量注册数字人民币钱包账户，或直接租用、购买普通民众的数字人民币账户，用于收取赌资。 （1）2023年捕获涉及洗钱的数字人民币钱包数量达23万，月增幅超270% 2023年威胁猎人共捕获涉及洗钱的数字人民币钱包23.2万个，同时发现黑产利用数字人民币进行洗钱的情况整体呈上升趋势，尤其是9月，月增幅超过了270%。 经调查发现，9月出现较大增幅的主要原因是：9月出现