whatsapp联系人导出excel
2024年,互联网黑灰产攻击依旧严峻。不管是在黑灰产团伙规模,还是攻击资源、攻击技术的应用以及攻击场景的演变,均出现了较大的变化。
在攻击资源方面,2024年威胁猎人捕获全球新增作恶手机号1600多万例,日活跃作恶IP1170万例,较2023年大幅提升。为躲避风控监测,黑灰产不断升级技术寻找更加隐蔽的攻击资源,如通过在正常用户设备植入木马将其IP作为攻击资源、“商户洗钱”产业链快速发展等。
在攻击技术方面,2024年黑产团伙对通用技术的应用也有新的发展,如滥用“子母机”绕过身份认证、利用“NFC远程传输软件”进行境外洗钱、定制化云手机系统提升攻击效率等等。
在攻击场景方面,线上业务欺诈、金融贷款欺诈、品牌广告欺诈、API攻击、钓鱼仿冒、数据泄露、电信网络诈骗等场景热度持续高涨。线上业务欺诈已进入深水区,全行业、全业务环节无差别攻击;“王星事件”更是进一步提升了公众对电信网络诈骗的关注度。
威胁猎人发布《2024年互联网黑灰产趋势年度总结》,基于对2024年互联网黑色产业链的深入研究,从2024年黑灰产攻击资源、攻击技术、攻击场景等维度进行分析,客观呈现2024年互联网黑灰产的整体发展态势,旨在从情报维度帮助各行各业企业提升对黑灰产的认知,从而进一步完善风控策略。
据威胁猎人情报数据显示,近年来国内作恶手机号数量持续上涨,2024年新增量级超800万,较2023年增长30%。
2、6-9月期间,由于监管机构加强打击,多个发卡平台被关停,部分卡商被捕,造成供应减少,导致新增猫池卡数量下降。
4、支持多种接码形式:香港卡支持多种接码形式,目前威胁猎人在接码平台、发卡网站、私域接码均发现了香港相关手机卡的作恶记录。
威胁猎人情报数据显示,今年国内新增猫池卡的归属运营商主要为基础运营商,占比高达76.42%,相比去年提升了14.51%。
威胁猎人情报人员通过调研发现,今年三大运营商占比提升,主要是很多企业进一步提升对虚拟运营商手机卡的风险控制,导致黑产对国内三大运营商的手机卡资源需求增加。
据威胁猎人情报数据显示,2024年国内新增拦截卡大幅增加,共有196.64万例,较2023年增长405.50%。
目前,通过“群接码”渠道日均捕获作恶短信记录1269例,作恶记录最高峰为11月,捕获作恶短信记录近6万例:
威胁猎人研究发现,2024年国内作恶IP的大幅增长主要是劫持共用代理IP数量急剧增长导致。2024年,国内劫持共用代理平台发展迅速,威胁猎人捕获劫持共用代理IP数量超4000万,占比从去年14.91%提升至今年的51.47%,且超过普通代理IP的占比。
劫持共用代理IP:指被黑产恶意劫持的正常用户IP资源。黑产通过在正常用户设备中植入木马,通过木马在正常用户网络上建立代理通道,且每次使用时间很短,因此普通用户难以感知到自己的IP被盗用。
这类劫持共用代理IP在2023年底出现,2024年快速发展、数量急剧增加,2024年威胁猎人捕获劫持共用代理IP超4000万,同比增长341.81%,且超过了普通代理IP的数量。
不管是云服务IP还是云手机IP,都是广泛服务众多正常用户,因此平台风控一般会直接将其视为正常用户,忽视了它们的作恶行为。
2024年,威胁猎人加强对海外作恶IP进行的监测,2024年共捕获海外作恶IP4479万个,相比2023年提升了102.14%。
国外作恶IP虽然家庭宽带占比也是最大,但移动网络占比也比较高,超过40%,进一步分析发现,这些IP主要来自流量卡,通过频繁切换飞行模式来实现IP变化。
涉赌卡:活跃在赌博平台中,为赌博平台内收款使用的银行卡,常被用于赌博平台内进行充值收款行为,关联的资产涉及到赌博洗钱行为。威胁猎人通过人工和自动化结合的方式,从各类赌博平台中采集用于收款行为的银行卡账号信息。
跑分卡:活跃在跑分平台,为跑分份子使用的银行卡,常被用于各种非法来源资金的流通交易。威胁猎人通过自动化的方式,从跑分平台APP中获取到跑分订单中的银行卡账号信息。
涉诈卡:在各类匿名社交黑产群聊中,被诈骗团伙购买用于洗钱的银行卡,常用于诈骗类黑资金转移。威胁猎人通过自动化的方式,从各大匿名社交黑产群聊中发送的记录中,提取出诈骗团伙所使用的银行卡账号信息。
1、三种类型的洗钱银行卡归属省份TOP10(排名有先后)都是广东、广西、江苏、湖北、山西、河南、重庆、四川、山东、云南,且TOP1都是广东省;
2、三种类型的洗钱银行卡归属城市TOP10(排名有先后)都是深圳、广州、重庆、东莞、上海、武汉、晋城、郑州、成都;且TOP3(排名有先后)都是深圳、广州、重庆。
2024年,威胁猎人持续监测黑产在洗钱过程中所使用的银行对公账户资源,根据威胁猎人情报监测洗钱对公账户数据显示,2024年,新增洗钱对公账户数量大幅上涨,同比2023年增长了58.05%。
威胁猎人在2024年针对“商户洗钱”产业链进行重点研究,发现目前已出现了“商户代收”(商家码)、“扫街码”、“商户反扫”、“商户代付”(核销码)等多种商户洗钱方式。
威胁猎人研究发现,由于各企业拥有不同的业务环境和风险控制措施,黑产组织针对这些企业所采用的恶意工具、攻击服务也呈现出多样性,但通过深入分析这些工具的底层技术特征,我们可以将攻击服务划分为“过身份”、“多身份”、“批量化”三大模块,其中每个模块涉及到多种底层攻击技术,这些技术是实现各类具体攻击行为的关键所在。
目前,出行、外卖等行业已出现此类工具的售卖,可能导致未经培训或资质不符的司机/外卖员违规上岗,不仅影响平台的服务质量,还可能危及平台用户的人身安全,给平台带来更大的损失和名誉受损。
④ 每次人脸认证时,只需要在A手机上进行认证,即可在两台手机上都生效,A、B师傅都可继续使用账号进行业务操作。
黑灰产正是利用这一技术,实现IC卡信息的远程读取与复原。即使手机设备B与IC卡物理上分离,也能执行如POS机支付等操作。
最典型的攻击案例便是洗钱:黑产将国内信用卡信息远程传输至国外设备,利用这些信息进行POS机消费,购买奢侈品、珠宝等,从而绕过信用卡交易的地理限制,完成洗钱行为。
① 该软件介绍“不受时间及国界限制,无论何时何地都能完成交易”、“可实体,可虚拟,支持所有钱包”;
2024年,威胁猎人共捕获业务欺诈攻击相关情报2.72亿条,监测业务欺诈作恶群组12万个,涉及作恶账号223万个。
2024年12月业务欺诈相关情报出现暴涨现象,威胁猎人情报人员进一步分析发现,12月增长量中超过一半源自匿名群聊上的情报信息,这一现象主要是因为一些大型赌博黑产团伙线上赌博活动频繁,以及跑分洗钱团伙通过多账号进行广告“招商”和暴力引流所导致。
2024年,威胁猎人捕获业务欺诈活跃作恶网站/论坛(暗网除外)月均163个,全年作恶帖子总量926万例:
(1)传统的任务型众包平台,即以“发布任务”和“领取任务”为主的模式,无论是平台数量还是任务数量,都在持续增长。
2024年以来,威胁猎人共捕获到889万个众包任务,月均超过63万个,高峰时期甚至达到100万个。
(3)欺诈角色边界逐渐模糊,越来越多的真人用户通过研究和利用平台业务的“正当”规则进行恶意牟利。
羊毛党发现某平台某类商品可领取满减优惠券和支付券(合作银行或平台品类),但二者只能选择其一使用;羊毛党通过支付券购买了这款商品,然后利用商家的保价政策规则申请店铺满减优惠券保价金额(商家看不到用户使用了支付券,因为是不同平台),最终达到0撸或低价购入。
威胁猎人情报人员针对这类型漏洞攻击进行分析,发现羊毛党主要利用了两个方面的漏洞:首先,他们利用了保价政策中对店铺优惠券的补偿机制,该机制原本是为了在短时间内对用户发放补偿;其次,他们利用了保价政策无法识别已使用支付券优惠的漏洞。这使得黑产分子能够同时“享受”两种优惠券的优惠。这种行为在短时间内对平台和开通价保的商家造成了大额的损失和退款。
各商品大类下存在多个细分丰富商品,如会员权益类包含合作平台联合权益的会员转卖、等级vip权益;优惠券类包含平台红包、优惠券、折扣券转卖;教程工具类则是包含了一体机、绕过人脸验证、改定位、抢购、抢单等自动化、批量化作弊工具、搬砖项目教程等;代下单服务类型包含了收取使用费,使用业务方折扣账号、会员权益、补贴名额进行代下单和抢单等;代理服务类型与代注册、资质绕过相关,其中有大量商品触及违规。
代下单服务商品:各类低价卡券代下和自助下单商品,通过代下服务和上游搭建的自助对接下单系统,黑产将回收的券出售套利,羊毛党低于原价获取商品。
威胁猎人研究发现,金融贷款欺诈已经形成了一条分工明确、利益瓜分的成熟产业链。以“职业背债”为例,其上游操作方、中间黑产、下游中介以及背债人等角色各司其职,通过严密的协作机制组织骗贷活动。这种黑产的存在不仅破坏了金融市场的正常运行,给金融机构造成巨大的损失,还会对社会的稳定和经济的健康发展构成严重威胁。
2024年,威胁猎人共捕获贷款欺诈攻击情报414万条,监控活跃的作恶社交群组34697个,作恶黑产11.5万名;不管是欺诈情报热度,还是作恶群组数、作恶黑产数(包括恶意贷款中介),均呈逐渐上升趋势。
2024年,威胁猎人捕获“背债”相关攻击情报呈上升趋势,背债热度上升,并在9月达到峰值,下半年比上半年增长56%。
视频广告包括开始播放、播放中、完成播放等阶段,不同阶段都会进行广告追踪,并将流量上报至广告监测平台,实际上这些广告并未播放,仅仅是通过设备暗刷伪造了虚假的广告播放情况,并将虚假追踪情况上报
在广告欺诈刷量的作弊链路中,上报的作弊广告流量往往会包含动态变化的伪造设备参数信息,模拟真实的设备信息及其展现广告的数据情况,以欺骗广告主。
威胁猎人针对伪造的广告播放数据进行分析发现,伪造并上报的虚假广告数据里,覆盖了三大类终端:移动端、OTT端、PC端。
广告伪造的OTT终端中,包含了智能电视、电视盒子、智慧屏、智能音箱(带屏)、唱歌机、投影仪等,覆盖多个OTT终端品牌。
从2024年API攻击的行业分布数据来看,音视频行业受攻击热度最高。黑产利用音视频平台有安全缺陷的API非法爬取内容、用户信息等数据,通过贩卖音视频内容或用户信息获取高额利益,如非法分发、转售、侵犯版权,以及利用用户信息进行钓鱼攻击、诈骗等。
2024年9月,威胁猎人风险情报平台监测到攻击者对国内某互联网平台发起批量登陆攻击,使用历史版本的登录API接口获取用户凭证,再访问“当前版本应用”利用积分免费兑换商品业务,给企业带来损失。
从威胁猎人蜜罐捕获的攻击流量发现,从2024年9月至11月,攻击者使用代理IP,对该历史版本的登录API发起攻击超13万次,超10W左右的账号使用积分兑换商品。
如下图所示,该登录API接口中账号密码参数并未进行加密,均为明文传输,且缺失简单的人机验证方式,导致成为了黑产发起批量登录攻击的主要对象。
如下图所示,黑产对请求体进行构造,使用不同的手机号,而其他鉴权参数信息特征保持不变,如验证码id、操作记录变量等,如果手机号码为无效账号,回显“账号不存在,请注册后登陆”,如果手机号码为有效账号,平台回显“没有找到对应短信验证码信息”,黑产可通过回显来判断手机号是否为有效账号。
如下图所示,由于挂号接口没有限制访问频率,攻击者可以不断的获取医生挂号信息并在第一时间进行抢号。
相较去年,威胁猎人今年进一步加强对仿冒社媒的监控力度,新增了多个主流平台,从渠道多样性、监测深度和覆盖面等角度全面提升监控能力,为企业提供更广泛的风险防护支持。
3.6.1 2024年监测数据泄露事件37575起,涉及金融、电商、快递等行业2598家企业
威胁猎人数据泄露风险监测平台数据显示,2024年1月至12月全网监测了3.03亿条关于数据泄露的情报,基于威胁猎人真实性验证引擎以及DRRC专业人工分析验证出有效的数据泄露事件共计37575起,涉及金融、电商、快递等行业2598家企业。
威胁猎人在2024年发现了一种新的查档类型——“强登”,泄露信息主要涉及用户的网购订单、外卖配送订单、出行打车订单、快递订单信息等,涵盖了电商、快递、本地生活服务(主要是外卖行业)和出行服务等多个行业的头部平台。
自2024年6月起,通过“强登”获取数据的方式开始出现,到12月底已累计超过6600起。最初主要集中在电商头部平台,随后逐渐蔓延至外卖和快递等多个平台。
强登:指黑灰产通过多种复杂手法强行登录用户的平台账号,获取账号下的具体订单等敏感信息,再把这些信息提供给下游数据购买者,在中游数据售卖时售卖广告会标注【强登】。
强行登录:最后,通过平台的忘记密码或找回密码等接口,绕过平台的校验机制,强行登录用户的账号,从而获取账号中的订单内容等敏感信息。
近年来,“隐私面单”技术不断发展,通过隐藏用户真实手机号来保护个人信息安全。过去一年,在物流行业监管加强和企业的共同努力下,隐私面单的推广有效减少了快递面单泄露事件,整体治理效果明显(见下图)。但道高一尺魔高一丈,2024年黑产推出了新的查档服务——“解密”来破解隐私面单,最近一年,“解密”相关数据泄露事件逐渐增多。
威胁猎人情报人员针对下半年下降现象进一步分析原因,下半年“IOS”相关数据下降主要是因为苹果官方针对Facetime诈骗出台相关打击措施导致的。
推手引流:“推手”指那些为诈骗活动提供帮助或支持的人员或团体,虽然不直接参与诈骗行为,但通过与受害者联系,将受害者引流至微信、QQ等社交渠道供其他诈骗人员进行诈骗,即“推手引流”。
近期闹得沸沸扬扬的“王星事件”前期就是诈骗团伙在微信群发布名为颜十六选角导演的试戏通知,利用泰国著名娱乐公司的名义向王星发出试戏邀请,精心设计了一个为王星“量体裁衣”的诈骗剧本(可见前期诈骗团伙对王星的信息,特别是职业及工作经历掌握非常细致),以泰国拍戏的工作机会为诱饵,诱使王星前往泰国。
除了“王星事件”外,威胁猎人还监控到多种类型的剧本,分别利用不同人群的特定心理活动,精心制作匹配人物特性和心理的诈骗剧本whatsapp联系人导出excel,具体案例如下:
对企业而言,应该认识到与外部黑产的对抗是动态、持续的,及时依托基于全网多渠道监测的黑灰产情报数据,从黑产攻击准备阶段就开始溯源追踪,知道攻击者正准备利用什么资源或工具,这些资源或工具有什么特征、攻击者会采用什么手段来攻击企业……先于攻击方达到被攻击方的防御前沿,让攻防对抗达到“敌方未攻我先控”的局面。这就是情报的价值所在,也是威胁猎人的价值所在。
说明:本报告所提供的数据信息系威胁猎人依据大样本数据抽样采集、小样本调研、外部情报数据采集、数据模型预测及其他研究方法估算、分析得出,由于统计分析领域中的任何数据来源和技术方法均存在局限性,依据上述方法所估算、分析得出的数据信息仅供参考。
