2024年上半年互联网黑灰产研究报告

1 目录Contents 前言2 相关名词定义：4 一、2024年上半年互联网黑灰产业发展现状7 二、2024年上半年黑产攻击资源分析11 2.12024年上半年风险手机卡资源分析11 2.22024年上半年风险IP资源分析19 2.32024年上半年网络洗钱资源分析22 2.42024年上半年风险邮箱资源分析29 三、2024年上半年黑产通用型攻击技术分析32 3.1黑产利用LSPatch技术实现快速抢单作恶，被高频利用于金融社交等平台APP32 3.2黑产利用HID设备进行自动化攻击，作恶更加隐蔽、监测难度大幅提升33 四、2024年上半年黑产攻击场景分析36 4.1营销欺诈场景分析36 4.2金融欺诈场景分析43 4.3电信网络诈骗场景分析48 4.4钓鱼仿冒场景分析51 4.5品牌广告欺诈场景分析55 4.6数据泄露场景分析58 五、总结66 前言 2024年上半年，黑灰产从业人员人数超过427万，威胁猎人监测到国内作恶手机号数量高 达323万，日活跃风险IP数量1136万，涉及洗钱银行卡数量19.5万。 近年来，数字化与实体经济的融合日渐深入，大规模业务线上场景下，黑灰产对企业业务安全的扰乱更加突出，恶意刷量、薅羊毛、金融欺诈等黑产事件层出不穷，逐渐智能化和链条化的网络黑产运作，给企业带来真金白银的经济损失，影响了企业正常运营及长期发展，打击网络黑灰产，加强有效防御成为各行业企业的目标与共识。 威胁猎人发布《2024年上半年互联网黑灰产研究报告》，从2024年上半年互联网黑灰产发展现状、黑灰产攻击资源、黑灰产攻击技术及场景等维度进行全面梳理分析，力求通过客观呈现黑灰产情报数据，帮助更多企业深入直观了解黑灰产业，有效防控各类攻击风险。 相关名词定义： 1、风险IP：业内也称黑IP，指存在攻击风险（包括代理、秒拨等恶意行为）的IP； 2、风险手机号：存在被滥用盗用等风险的手机号，如被黑产用于接收短信，实施批量恶意攻击的手机号，通常从接码平台或发卡平台捕获； 3、风险邮箱：指被黑产用于恶意注册生成的临时邮箱，用以骗取用户重要信息、传播恶意程序等； 4、黑手机卡：指未进行实名登记或以假身份进行实名登记的，并被不法分子利用实施违法犯罪活动的电话卡； 5、猫池卡：指通过“猫池”这一网络通信硬件，实现同时支持多个号码通话、群发短信等功能的黑手机卡； 6、拦截卡：指通过病毒木马控制真实用户手机短信/验证码收发权限的手机卡，通常捕获自拦截卡平台； 7、洗钱银行卡：指被黑产用于非法资金清洗（将违法所得收入合法化）的银行卡，例如赌博及诈骗团伙通过银行卡消费、转账等方式转移洗钱资金； 8、涉赌卡：指常被用于赌博平台内进行充值收款的银行卡，关联资产涉及到赌博洗钱行为。威胁猎人通过人工和自动化结合的方式，从各类赌博平台中监测用于收款行为的银行卡账号信息； 9、跑分卡：指活跃在跑分平台，常被用于各种非法来源资金的流通交易的银行卡。威胁猎人通过自动化的方式，从跑分平台APP中获取到跑分订单中的银行卡账号信息； 10、涉诈卡：指常被用于社交黑产群聊中进行诈骗资金转移的银行卡，关联资产涉及到诈骗洗钱行为。威胁猎人通过自动化的方式，从各大匿名社交黑产群聊中发送记录中，提取诈骗团伙使用银行卡账号信息； 11、洗钱对公账户：指被黑产用于非法资金清洗的银行对公账户，因对公账户具有收款额度大、转账次数多等特点，使得“对公账户”常常作为黑钱转账的集中点及发散点； 12、数据泄露事件：威胁猎人安全研究专家针对数据泄露情报的样例等进行分析及验证，确认为真实、有效的数据泄露事件； 13、暗网：指隐藏的网络，普通网民无法通过常规手段搜索访问，需要使用一些特定的软件、配置或者授权才能登录； 6 01 2024年上半年 互联网黑灰产业发展现状 2024年上半年 互联网黑灰产业发展现状 一、2024年上半年互联网黑灰产业发展现状 1.12024年上半年互联网黑灰产从业人员达427万，较2023年下半年下降6.03% 威胁猎人调研统计发现，2024年上半年互联网黑灰产从业人员数量达到427万，较2023年下半年略有下降6.03%。 1.22024年上半年黑灰产资源概况 1.2.12024年上半年新增国内风险手机号总量较2023年下半年增长8.8% 据威胁猎人风险情报平台数据显示，2024年上半年国内风险手机号数量达到323万，较2022年增长8.8%。 1.2.22024年上半年风险IP总量较2023年下半年增长44.8% 2024年上半年，威胁猎人监测发现日活跃风险IP数量持续上升，风险IP数量达到1136万，较2023年下半年增长44.8%。 1.2.32024年上半年涉及洗钱银行卡较2023年下半年下降28%，主要由跑分卡大幅减少所致 2024年上半年涉及洗钱银行卡数量19.5万，较2023年下半年下降28%。涉及洗钱银行 卡主要包括跑分卡、涉赌卡、涉诈卡，其中，跑分卡新增数量的降幅最大，较2023年下半年下降50.3%，威胁猎人针对黑产团伙的跑分方式深入挖掘发现，2024年上半年跑分团伙逐渐由跑分平台转向通过Telegram进行跑分，使得监测难度大幅提升。 涉赌卡：指常被用于赌博平台内进行充值收款的银行卡，关联资产涉及到赌博洗钱行为。威胁猎人通过人工和自动化结合的方式，从各类赌博平台中采集用于收款行为的银行卡账号信息。 跑分卡：指活跃在跑分平台，常被用于各种非法来源资金的流通交易的银行卡。威胁猎人通过自动化的方式，从跑分平台APP中获取到跑分订单中的银行卡账号信息。 涉诈卡：指常被用于社交黑产群聊中进行诈骗资金转移的银行卡，关联资产涉及到诈骗洗钱行为。威胁猎人通过自动化的方式，从各大匿名社交黑产群聊中发送记录中，提取诈骗团伙使用银行卡账号信息。 10 02 2024年上半年 黑产攻击资源分析 二、2024年上半年黑产攻击资源分析 2.12024年上半年风险手机卡资源分析 2.1.12024年上半年猫池卡资源变化趋势 （1）2024年上半年国内猫池卡较2023年下半年增加7.71% 据威胁猎人情报平台数据显示，2024年上半年捕获新增猫池卡309万个，较2023年下半年上升7.71%。 猫池卡：指通过“猫池”这一网络通信硬件，实现同时支持多个号码通话、群发短信等功能的黑手机卡。 经威胁猎人情报专家分析，出现这一趋势的主要原因是： 1、2月因春节期间黑产交易放缓，下游作恶者活跃度降低导致供应量显著下降，节后恢复稳步上涨趋势； 2、6月猫池卡数量下降主要受到高考期间风控加强的影响，高考期间各大平台账号批量注 册、恶意引流等监测力度大大加强（如不可修改账号名称、头像、介绍等），多个渠道卡商主动反馈受该原因干扰，黑卡供给存在问题。 （2）2024年上半年新增猫池卡归属最多的三个省份为：上海、山东、辽宁 威胁猎人对2024年上半年新增国内猫池卡进行统计分析，发现上海、山东、辽宁三省（含直辖市）为猫池卡归属地最多的三个省份；针对归属城市分析发现，猫池卡归属地最多的三个城市为上海、重庆、武汉。 由下图可见，2024年上半年上海的猫池卡新增数量远超其他省市，深入分析发现，其主要原因在于2024年3月及5月，国内两大头部发卡平台持有并出售大量归属地在上海的风险手机卡，其数量在新增总量的40%以上。 （3）2024年上半年捕获的猫池卡中，归属国内三大运营商的占76.1% 2024年上半年监测到猫池卡364万张，其中归属国内三大运营商的猫池卡占比76.1%，归属其他运营商的占比23.9%。 2.1.22024年上半年拦截卡资源变化趋势 （1）2024年上半年国内拦截卡较2023年下半年增加42.57%，从新增渠道首次捕获的拦截卡占比高达94% 2024年上半年，威胁猎人捕获新增拦截卡达13.18万，较2023年下半年增加42.57%。针对捕获的拦截卡进一步分析发现，2024年上半年新增6个拦截卡来源渠道，同时捕获的拦截卡多为系统首次捕获，首次捕获占比高达94%，拦截卡供应渠道的增加与快速更新，无疑增加了业务方风控难度。 （2）2024年上半年拦截卡归属最多的三个省份为：福建、广东、四川 针对2024年上半年捕获到的国内拦截卡统计分析发现，福建、广东、四川三省为拦截卡归属地最多的三个省份；从归属城市来看，重庆市、三明市（福建）、上海市三城市为拦截卡归属地最多的城市，与猫池卡归属城市存在较大的重合。 （3）2024年上半年捕获的拦截卡中，归属国内三大运营商的占98.29% 2024年上半年威胁猎人情报运营平台捕获拦截卡39.8万张，归属国内三大运营商的拦截卡占比达98.31%。 2.1.3归属地为香港的风险手机卡大幅增加，2024年6月捕获香港相关风险手机卡近10万 针对黑卡主要来源渠道进一步研究发现，2024年上半年，归属地为香港的风险手机卡交易数量呈现大幅增长趋势，2024年3月香港卡交易量级仅为数千张，2024年6月香港卡交易量级达到近10万。 香港相关风险手机卡数量的大幅增长，从需求侧来看，2024年5月至6月，香港发生多起线上诈骗事件，事件过程中，下游诈骗黑产利用香港手机卡注册whatsapp等境外聊天软件，对受害者展开线上诈骗，一定程度上导致了香港卡数量的大幅增长，也反映了风险手机 卡在地域上的风险趋势及供需变化。 对比其他境内手机卡，香港手机卡具备如下特点： 1、注册范围广：香港手机卡注册范围广，可注册Telegram、WhatsApp等海内外应用； 2、在线使用时间长：香港手机卡接码服务的在线使用时间相对境内卡更长，一般可保证一个月重复使用，而境内手机卡一般为数日； 3、价格较低：香港手机卡的价格相对境内卡接码价格更低； 4、支持多种接码形式：香港卡支持多种接码形式，目前威胁猎人在接码平台、发卡网站、私域接码均发现了香港相关手机卡的作恶记录。 2.1.4黑卡物料资源标签更加丰富，提升下游黑产筛卡效率、实现精准作恶 威胁猎人研究发现，2024年上半年，黑产在非法交易中对黑卡物料的筛选及使用更为精细，相较于2023年黑卡商品描述字段，除了会提供的黑卡类别，注册情况等信息外，卡商还会标识号码“已筛选”，即卡商在购买后的订单页面中展示号码的历史账户信息，并将信息提 供给下游购买方，使其确定是否为目标卡类，减少筛卡成本，大幅提升下游黑产作恶效率。 与此同时，威胁猎人研究发现，黑灰产之所以能提供精确的账号及相关信息，主要借助了黑灰产新老号检测工具实现，该工具通过恶意调用业务相关的应用接口API，来检测号码是否注册或存在历史绑定记录。 2.22024年上半年风险IP资源分析 2.2.12024年上半年风险IP资源变化趋势 威胁猎人持续提升国内外风险IP监测能力，为互联网平台优化国内外风控规则提供了有力支持，2024年上半年威胁猎人持续监测国内风险IP5503万个，国外风险IP10273万个，较2023年下半年分别提升18.62%和22.44%。我们对国内及国外两种类型的风险IP分析发现： （1）2024年上半年国内风险IP归属最多的三个省份：江苏、广东、河南 （2）2024年上半年国内风险IP归属最多的三个城市：重庆、上海、北京 （3）2024年上半年国外风险IP归属最多的三个国家：巴西、印度、美国 （4）2024年上半年国内风险IP类型中，家庭宽带类型占比近90% （5）2024年上半年海外风险IP类型以家庭宽带、移动网络为主 2.2.22024年上半年“劫持共用代理”IP攻击占总量67%，成为攻击者主要使用IP类型 威胁猎人对代理IP平台持续监测，发现2024年上半年黑产通过植入木马恶意使用正常用户IP的行为更加猖獗，从2024上半年捕获数据来看，“劫持共用代理”IP日均捕获数量达80万，这一标签的IP攻击占比从43.88%（2024年1月）上升至67.41%（2024年6月）。 由于这类IP大部分时间是正常用户使用，如进行点击、充值、浏览等行为，少量时间会被黑产劫持