中国版本的whatsapp
近年来,数字化与实体经济的融合日渐深入,大规模业务线上场景下,黑灰产对企业业务安全的扰乱更加突出,
逐渐智能化和链条化的网络黑产运作,给企业带来真金白银的经济损失,影响了企业正常运营及长期发展,打击网络黑灰产,加强有效防御成为各行业企业的目标与共识。
威胁猎人发布《2024年上半年互联网黑灰产研究报告》,从2024年上半年互联网黑灰产发展现状、黑灰产攻击资源、黑灰产攻击技术及场景等维度进行全面梳理分析,力求通过客观呈现黑灰产情报数据,帮助更多企业深入直观了解黑灰产业,有效防控各类攻击风险。
2、风险手机号:存在被滥用盗用等风险的手机号,如被黑产用于接收短信,实施批量恶意攻击的手机号,通常从接码平台或发卡平台捕获;
4、黑手机卡:指未进行实名登记或以假身份进行实名登记的,并被不法分子利用实施违法犯罪活动的电线、猫池卡:
2024年上半年互联网黑灰产从业人员达427万,较2023年下半年下降6.03%威胁猎人调研统计发现,2024年上半年互联网黑灰产从业人员数量达到427万,较2023年下半年略有下降6.03%。
2024年上半年新增国内风险手机号总量较2023年下半年增长8.8%据威胁猎人风险情报平台数据显示,2024年上半年国内风险手机号数量达到323万,较2022年增长8.8%。
2024年上半年风险IP总量较2023年下半年增长44.8%2024年上半年,威胁猎人监测发现日活跃风险IP数量持续上升,风险IP数量达到1136万,较2023年下半年增长44.8%。
2024年上半年涉及洗钱银行卡较2023年下半年下降28%,主要由跑分卡大幅减少所致2024年上半年涉及洗钱银行卡数量19.5万,较2023年下半年下降28%。涉及洗钱银行卡主要包括跑分卡、涉赌卡、涉诈卡。
2024年上半年国内猫池卡较2023年下半年增加7.71%据威胁猎人情报平台数据显示,2024年上半年捕获新增猫池卡309万个,较2023年下半年上升7.71%。
1、2月因春节期间黑产交易放缓,下游作恶者活跃度降低导致供应量显著下降,节后恢复稳步上涨趋势;
2、6月猫池卡数量下降主要受到高考期间风控加强的影响,高考期间各大平台账号批量注册、恶意引流等监测力度大大加强(如不可修改账号名称、头像、介绍等),多个渠道卡商主动反馈受该原因干扰,黑卡供给存在问题。
2024年上半年新增猫池卡归属最多的三个省份为:上海、山东、辽宁威胁猎人对2024年上半年新增国内猫池卡进行统计分析,发现上海、山东、辽宁三省(含直辖市)为猫池卡归属地最多的三个省份;针对归属城市分析发现,猫池卡归属地最多的三个城市为上海、重庆、武汉。
2024年上半年捕获的猫池卡中,归属国内三大运营商的占76.1%2024年上半年监测到猫池卡364万张,其中归属国内三大运营商的猫池卡占比76.1%,归属其他运营商的占比23.9%。
2024年上半年国内拦截卡较2023年下半年增加42.57%,从新增渠道首次捕获的拦截卡占比高达94%2024年上半年,威胁猎人捕获新增拦截卡达13.18万,较2023年下半年增加42.57%。
2024年上半年拦截卡归属最多的三个省份为:福建、广东、四川针对2024年上半年捕获到的国内拦截卡统计分析发现,福建、广东、四川三省为拦截卡归属地最多的三个省份;从归属城市来看,重庆市、三明市(福建)、上海市三城市为拦截卡归属地最多的城市,与猫池卡归属城市存在较大的重合。
2024年上半年捕获的拦截卡中,归属国内三大运营商的占98.29%2024年上半年威胁猎人情报运营平台捕获拦截卡39.8万张,归属国内三大运营商的拦截卡占比达98.31%。
归属地为香港的风险手机卡大幅增加,2024年6月捕获香港相关风险手机卡近10万针对黑卡主要来源渠道进一步研究发现,2024年上半年,归属地为香港的风险手机卡交易数量呈现大幅增长趋势,2024年3月香港卡交易量级仅为数千张,2024年6月香港卡交易量级达到近10万。
黑卡物料资源标签更加丰富,提升下游黑产筛卡效率、实现精准作恶威胁猎人研究发现,2024年上半年,黑产在非法交易中对黑卡物料的筛选及使用更为精细,相较于2023年黑卡商品描述字段,除了会提供黑卡类别,注册情况等信息外,卡商还会标识号码“已筛选”
2024年上半年风险IP资源变化趋势威胁猎人持续提升国内外风险IP监测能力,为互联网平台优化国内外风控规则提供了有力支持,2024年上半年威胁猎人持续监测国内风险IP5503万个,国外风险IP10273万个,较2023年下半年分别提升18.62%和22.44%。我们对国内及国外两种类型的风险IP分析发现:
2024年上半年“劫持共用代理”IP攻击占总量67%,成为攻击者主要使用IP类型威胁猎人对代理IP平台持续监测,发现2024年上半年黑产通过植入木马恶意使用正常用户IP的行为更加猖獗,从2024上半年捕获数据来看,“劫持共用代理”IP日均捕获数量达80万,这一标签的IP攻击占比从43.88%(2024年1月)上升至67.41%(2024年6月)
由于这类IP大部分时间是正常用户使用,如进行点击、充值、浏览等行为,少量时间会被黑产劫持共用,出现短暂的作恶行为,因此平台可能会认定该用户为正常用户,进而忽视其短暂的作恶行为,给黑产可乘之机。
涉及洗钱的银行卡数量较2023年下半年下降28%,其中跑分卡数量下降50.3%2024年上半年涉及洗钱银行卡数量为19.5万,较2023年下半年下降28%。涉及洗钱银行卡主要包括跑分卡、涉赌卡、涉诈卡,其中跑分卡新增数量降幅最大,较2023年下半年下降50.3%,威胁猎人针对黑产团伙的跑分方式深入挖掘发现,2024年上半年跑分团伙逐渐由跑分平台转向Telegaram跑分,使得监测难度大幅提升。
超过65%的洗钱银行卡仅在监测到的当天活跃威胁猎人对近半年捕获洗钱银行卡的“首次发现时间”和“最新发现时间”进行分析,发现统计期间内,65.8%的洗钱银行卡仅在捕获当天活跃,可见,为了避免风控监测,频繁用于洗钱的银行卡较少。
2024年上半年监测涉及洗钱的对公账户数量较2023年下半年上升16%2024年上半年威胁猎人持续监测黑产在洗钱过程中所使用的银行对公账户资源,发现涉及洗钱的对公账户数量持续上升,由3378个上升到4386个,较2023年下半年上升16%。
2024年上半年监测涉及洗钱对公账户的所属银行732家,国有银行占比31%2024年上半年威胁猎人共捕获到涉及洗钱的对公账户4865个,涉及银行机构732家中国版本的whatsapp。洗钱对公账户所属银行中,国有银行占比31.19%。
2024年上半年监测涉及洗钱对公账户归属省份中,安徽、江西、陕西首次进入TOP10涉及洗钱对公账户归属省份TOP5省份较2023年下半年基本不变,而安徽、江西、陕西省份排名首次上升至TOP10行列。
2024年上半年色情刷单类型的诈骗洗钱资金占总量70%以上基于黑产诈骗金额和风险程度,目前监测到的黑产诈骗手法大致可以分为6种类型,其中色情刷单诈骗类型最多,占比超70%。
从2024年上半年每月不同类型风险邮箱的监测识别数量来看,2024年上半年识别风险邮箱35666个,其中识别为低风险企业邮箱占总量84%以上,高风险邮箱(临时邮箱)占比7.69%,新增邮箱主要集中在企业邮箱。
2024年上半年,98.15%以上的邮箱域名数量来自Top10提供免费临时邮箱服务的网站在风险邮箱方面,2024年上半年我们监测发现了8804个临时邮箱域名,而提供免费临时邮箱服务Top10的网站,贡献了超过98.15%的邮箱域名数量。
黑产利用LSPatch技术实现快速抢单作恶,被高频利用于金融、社交、房产等平台APP威胁猎人研究发现,2024年上半年,不少黑产利用一款名为“LSPatch”的技术工具实现“快速抢单”作恶,同时在金融、社交、房产、本地生活等多个行业的APP发现了利用LSPatch技术快速抢单的恶意行为。
通过该工具,黑产将具体的作恶环境及作恶工具打包到被攻击的app,让使用者直接安装注入了恶意工具的虚假app,即可进行快速抢单,极大降低了使用者的工具使用门槛。
黑产利用HID设备进行自动化攻击,作恶更加隐蔽、监测难度大幅提升威胁猎人研究发现,除了按键精灵、auto.js pro等自动化脚本工具外,2024年上半年黑产利用HID设备进行自动化操作攻击的行为更加频繁。
HID(Human Interface Device,人机接口设备)是USB设备中常用的设备类型,是直接与人交互的USB设备。键盘、鼠标等设备都是日常生活中最常见的HID设备。由于HID设备在软件层面并无明显的特征,使得使用该类设备进行攻击的行为更加隐秘
短视频刷量的第一步是养号,而养号需要帐号进行不断的观看某一类型的视频,让平台的推荐算法完成对帐号的标签标记。
为实现短视频刷量中自动化点击,同时尽量绕过平台风控,黑产团伙除了基于基于手机开发者权限、手机root权限实现自动化点击外,也有不少黑产“基于HID备进行自动化点击”。
“基于HID设备实现自动化点击”的方法通过代码控制硬件,硬件发送HID指令,实现具体的点击活动操作,与目前主流的基于代码、ADB操作设备点击的自动化点击实现方法不同;且该方法无需配置特定环境(如开发者权限、root环境),这使得大部分平台已有的自动化点击风控规则在识别该方法上,可能存在失效的情况,
营销活动攻击情报408万条,涉及作恶黑产群组8000个2024年上半年威胁猎人共捕获营销活动攻击情报408万条,监测到活跃的作恶社交群组8000个,涉及作恶黑产人数达6.5万名,整体较2023年下半年均有所下降。2月份情报量下降,主要受春节期间黑产交易放缓的影响,节后攻击情报量逐渐回升。
大量黑产针对电商平台特殊商品进行恶意赔付,有黑产表示“赔付一单够吃半年”电商平台快速发展之下,不少电商平台通过客户无理由退货等宽松的退货规则,有效提升平台流量及竞争力,这一规则在无形中被黑产发掘并利用,利用平台规则进行恶意赔付的黑灰产群体不断壮大。
,假借“维权打假”名义进行恶意赔付及攻击的事件不断涌现。与过去常规的“三无”、“打假”、“不发货”等赔付思路不同,“超级维权”指的是黑灰产锁定平台上售卖“有毒有害”的商品,进行药品检测和出具报告,提起行政复议、行政诉讼、信访,威胁商家进入协商调解赔付,甚至最终获得法院执行款,赔付流程涉及国家的公权机构,整体审核周期较长,小中高额赔付所需要的时间不等。
他达拉非(性功能障碍药品)、西布曲明(减肥类)、麻黄碱(减肥类),基本都是需要医生开处方类型药品或为国家食品药品监督管理局禁止添加成分,如产品包含即构成违反法律。
黑产利用“锁单”方式联合用户套现银行立减金,作恶行为分工更加精细化近年来,平台用户与黑灰产针对平台优惠活动联合套现的事件频繁发生,用户正常领取权益,领取权益后黑灰产团伙进行套现,并按比例与用户分配变现利润,减少黑产团伙寻找变现买家或“被迫消费”的额外成本。
2024年上半年,威胁猎人监测到大量黑产利用银行支付规则漏洞,通过“锁优惠”、“锁单”等与用户联合套现,具体流程及手法如下:
内容刷量作弊情报51万条,涉及刷量的作恶群组3977个在2024年上半年,刷量作弊的情况依然严峻,威胁猎人安全团队在此期间监测到涉及直播平台、内容平台、电商平台以及应用下载平台的刷量作弊情报共计51万条。此外,监测到涉及刷量的活跃社交群组3977个,参与这些黑产活动的人数达到9014人。
内容平台、直播平台遭受刷量攻击占比超75%,真人作弊刷量仍是主流刷量方式威胁猎人针对各平台发布的刷量作恶情报进行持续监测,发现2024年上半年,内容平台及直播平台遭受刷量攻击最为严重,刷量相关作恶信息占比超总量的75%,主要体现在内容平台浏览量、评论及分享刷量,直播平台人气互动、上榜和礼物代刷等。
“自然流刷量”等直播间新型刷量手法的应用更加普遍数字媒体快速发展之下,直播带货已成为商业销售的一种重要模式,效果难预测、流量不稳定等问题给许多直播商家带来困扰,由于平台付费推流价格高昂,黑产团伙开始盯上自然流量刷量的商机。
2024年上半年,威胁猎人观察到“直播广场刷量”等新型自然流刷量手法的应用更加普遍。以“直播广场刷量”为例,为了有效提升直播间热度,使其成为直播广场推荐流量,黑产利用大量手机账号及云控软件进行直播间刷量,具体行为包括:
在云控软件的操作下,几百甚至上千账号瞬时涌入指定直播间,原本无人问津的直播间忽然人气暴涨,顺势吸引更多“野生”流量,整个流程“预判”了系统对用户喜好的推送,实际上大部分是虚假流量
这类刷量方式流程繁琐、成本较高,威胁猎人深入调研了解到,这类模拟自然流量的刷量方式,其单个账号可在5元以上,是普通真人刷量账号价格至少两倍以上,这也反映了直播行业对“真实流量”的需求日益增长
2024年上半年信贷欺诈攻击情报46万条,监测到活跃作恶群组2700个2024年上半年,威胁猎人共捕获信贷欺诈攻击情报46万条,监测活跃的作恶社交群组2700个,涉及作恶黑产1.4万名。
伪造包装“企业主”等虚假身份进行背债骗贷,伪造手法更加丰富逼真背债人往往是那些征信记录清白、急需大量资金却没有还款能力的人,通过对这些人进行个人资产情况等虚假包装,从银行套取高额贷款,获取几十甚至上百万的利润
由于背债风险事件频发,引起了银行等金融机构的高度重视,针对背债骗贷行为的风控政策更加严格。为了最大限度获取利益,同时避免受到相关机构打击与法律制,相关黑产对于背债人的身份包装及材料伪造更加逼真,用接近“真实”的手段提升骗贷成功率
通过一系列包装准备,黑产中介将利用背债人的各项资质,进行“房贷、信用贷、企业贷、车贷”一条龙大额融资,据了解,一个背债人骗贷总额高达500-2000万元不等,实际到手金额为背债总额的40%-60%
贷款成功后,为避免被发现并被定性为诈骗,不少黑产中介不惜提高骗贷成本,帮助/叮嘱背债人还款半年甚至两年。
在近几年经济下行的影响下,企业、经营者、个人普遍存在收入降低、高负债等困境,使得一些企业、经营者、个人现有的资质条件不满足金融机构的放款要求。
2024年上半年电信诈骗攻击情报29万条,监测到活跃作恶群组10187个2024年上半年,威胁猎人风险情报平台监测到电信网络诈骗相关情报29万条,活跃作恶社交群组10187个,涉及作恶黑产1.7万名。
利用各类远程会议软件“共享屏幕”诈骗的事件高发2024年上半年,利用远程会议软件“屏幕共享”功能进行诈骗的事件频繁发生。
诈骗分子通过一些非法渠道获取乘客个人及相关业务信息,冒充航空公司、保险机构等工作人员,通过一些特定话术(如“退费”“理赔”“改签”等为由),诱导受害人安装远程会议软件,并打开“屏幕共享”功能,以此获取到受害人的短信验证码,甚至是支付密码等,最后成功盗刷受害人的银行卡,或者成功诱导受害人把钱转到指定账户,具体流程如下:
李某接到陌生来电,冒充某航空公司的“客服”告知其航班需要改签同时会进行相关赔偿,要求李某点击某线上会议链接开启屏幕共享,由于对方能准确说出自己的航班信息,李某信以为真,按照其要求进行了屏幕共享的操作。
黑产开发各类远控软件并将其伪造成常用APP,大幅提升诈骗成功率在杀鱼诈骗的过程中,诈骗团伙会通过诱导受害人安装远控软件(如ready.apk),黑产通过将这类软件伪装成正常的APP(如反诈中心APP等),套取受害人的信任,使其放心开启无障碍服务授权,从而控制受害人手机并采集手机信息,远程操控手机进行转账
仿冒成各类日常应用的“远程控制”APP,黑产在后台操控受害者手机,使不少受害者完全无法察觉、难以防备,极大提升了黑产团伙的诈骗成功率。
2024年上半年监测钓鱼仿冒相关事件33453起,涉及243家企业2024年上半年,威胁猎人共监测到钓鱼网站及仿冒APP33453例,涉及243家企业,较2023年下半年监测总量下降8.97%,整体保持增长趋势。此类网站及APP都是通过仿冒正常网站及APP,获取用户信任并骗取用户的个人信息及钱财。
遭受钓鱼仿冒情况最为严重的Top3行业:电商、证券、消费金融从上半年的行业分布数据来看,钓鱼网站仿冒行业占比TOP3为电商、证券行业和消费金融行业,其中电商行业超过金融行业,成为遭受钓鱼仿冒攻击最为严峻的行业,电商行业仿冒案例占总量的50%以上。
2、仿冒电商平台一般会有1-4种仿冒模版,模版完整地仿冒了现购物商城必备的网页端、APP端下载界面、客服系统和商城管理后台,仿冒效果十分逼线、黑灰产团伙倾向于批量注册同一仿冒网站作恶,广撒网的同时,最大限度绕过风控。主要体现在,一般黑产团伙设置的仿冒网站二级域名和URL路径一致之外,域名注册时间基本一致。
经济下行时期,不少人想要通过有效投资在短期内快速获益,黑产利用这类人群想要短期获益的心理进行投资盘诈骗,投资盘诈骗类型主要攻击金融行业,其中以仿冒证券行业网站最为普遍。投资盘:
上游黑产搭建仿冒网站:黑产一般会在源码平台购买仿冒网站的源代码,并安排开发人员部署仿冒目标网站的环境;
上游“招商经理”引流获客:通过购买目标人群数据,或者通过主流社交平台及短视频平台进行引流获客;
中游“经理人”联系目标客户:以某公司回馈客户、介绍理财产品、活动邀约等话术联系目标用户。“经理人”一般会在社交软件上打造精英人设,增强可信度来减少受害者的防备心理。
下游“投资平台客服”实施诈骗:即进行诈骗操作的人,证券行业仿冒网站通常涉及资金投入、提现等操作环节。
“投资盘”中,黑产通常会设定具体规则,例如将初始资金投入设定为10万元,封盘资金为50万,在未封盘前用户可以随意在盘口进行操作,如投资、提现等,进一步套取用户信任,待用户投入资金达到50万,黑产将取消用户提现并跑路。
威胁猎人基于广告暗刷流量监测捕获到大量广告欺诈数据,涉及到多个行业,食品饮料类成为遭受欺诈占比最大的广告主。
从捕获数据中的欺诈广告形式来看,欺诈广告中以15秒的视频广告为主,这类广告占捕获欺诈广告总量的99%以上。从欺诈广告的播放情况来看,设备暗刷伪造并上报的广告中,大部分都是完整播放完毕的,100%播完的占比达到78%,这一数据明显不符合正常用户的行为,现实情况下有耐心将广告看完的用户并不多。
在广告欺诈刷量的作弊链路中,上报的作弊广告流量往往会包含动态变化的伪造设备参数信息,模拟真实的设备信息及其展现广告的数据情况,以欺骗广告主。威胁猎人针对伪造的广告播放数据进行分析发现,伪造并上报的虚假广告数据里,覆盖了三大类终端:
据威胁猎人数据泄露风险监测平台数据显示,2024年上半年(1-6月)全网监测到的1.1亿条情报中,基于真实性验证引擎及DRRC人工分析验证有效的数据泄露事件共计16011起,较2023年下半年增长59.58%,9539起。
从行业分布来看,2024年上半年数据泄露事件涉及85个行业,1524家企业,数据泄露事件数量Top5行业分别为银行、电商、消费金融、保险、快递。其中,银行行业数据泄露事件数量高达2961起,成为数据泄露事件数最多的行业。
,通常被下游黑产团伙用于精准营销及诈骗,因涉及大量高价值用户数据,且靠近交易环节,成为了个人信息泄露的重灾区。
同时,在公安部近期公布的“十大高发电信网络诈骗类型”中,刷单返利、虚假网络投资理财、虚假购物服务、冒充电商物流客服、虚假征信等10种常见的电信网络诈骗类型发案占比近88.4%。
(3)2024年上半年出现多起利用Facetime诈骗活动,“IOS”字段相关风险事件共1237起,较2023年下半年增长8倍
威胁猎人安全研究员发现2024年上半年泄露的数据中,“设备信息”字段信息出现频率逐渐增多,尤其是“IOS”类数据字段,从数贩卖黑产团伙与下游数据购买者的聊天记录来看,下数据购买者对于数据的复购要求中多次提及“IOS”设备数据的筛选要求。
“IOS”类数据字段的大幅增加,以及黑产沟通验证,进一步佐证了利用Facetime进行诈骗的现状使得上游数据清洗产业链发展更加猖獗。
进行诈骗,告知手机用户如不取消会被强制扣款,或个人征信受损,从而诱骗手机用户将相关款项转移至指定账户,给受害者带来巨额损失。
黑产在Telegram等渠道社工查档的事件屡见不鲜,例如通过一个手机号,就可以查询这个手机号相关的所有身份信息,如地址、银行卡号、名下资产等等。查档:
常见的查档服务有:轨迹类(人物轨迹、车辆轨迹)、名下财产(名下卡、名下车、名下房)、快递业务(快递地址、物流信息)、个人信息(婚姻、户籍、社保)等。
,占整体数据泄露事件的4.10%。从每月变化趋势来看,查档类的相关风险事件数呈上升趋势,相关黑产团伙数量也不断增加。一定程度上反映出通过查档进行非法收益的形式更加普遍,背后收益更加可观。
2024年上半年风险IP数量较2023年下半年增长44.8%,国内作恶手机号较2023年增长8.8%,涉及洗钱银行卡新增数量有所下降,较2023年下半年下降28%。在攻击资源应用方面
2、在攻击技术方面,不少黑产利用LSPatch技术快速抢单作恶,基于HID设备的自动化攻击更加隐蔽
2024年上半年,不少黑产利用“LSPatch”技术工具实现“快速抢单”作恶,在金融、社交、房产等多个行业的APP发现了利用LSPatch技术快速抢单的恶意行为。此外,部分黑产开始利用HID设备进行自动化操作攻击,通过“HID设备+蓝牙协议的方式”实现简单的滑动点击操作,其中“短视频刷量”场景受到黑产团伙的重点关注。
营销欺诈场景上,利用平台规则进行恶意赔付的黑灰产群体不断壮大,威胁猎人情报平台监测到大量号称“超级维权”的黑产攻击行为,2024年上半年恶意赔付相关话题量持续上涨。
金融欺诈场景上,背债骗贷相关的风险事件频发,伪造手法更加丰富逼真,黑产中介利用背债人进行“房贷、信用贷、企业贷、车贷”一条龙大额融资,一个背债人骗贷总额高达500-2000万元不等。
品牌广告欺诈场景上,威胁猎人基于设备暗刷流量持续监测,发现品牌广告暗刷的情况十分普遍,其中食品饮料类成为遭受广告欺诈占比最大的广告主。
数据泄露场景上,2024年上半年出现多起利用Facetime诈骗活动,“设备信息”字段信息出现频率逐渐增多,尤其是“IOS”类数据字段,“IOS”字段相关风险事件共1237起,较2023年下半年增长8倍。