2024年上半年，黑灰产从业人员人数超过427万，威胁猎人监测到国内作恶手机号数量高达323万，日活跃风险IP数量1136万，涉及洗钱银行卡数量19.5万。

　　近年来，数字化与实体经济的融合日渐深入，大规模业务线上场景下，黑灰产对企业业务安全的扰乱更加突出，恶意刷量、薅羊毛、金融欺诈等攻击事件层出不穷。

　　逐渐智能化和链条化的网络黑产运作，给企业带来真金白银的经济损失，影响了企业正常运营及长期发展，打击网络黑灰产，加强有效防御成为各行业企业的目标与共识。

　　威胁猎人发布《2024年上半年互联网黑灰产研究报告》，从2024年上半年互联网黑灰产发展现状、黑灰产攻击资源、黑灰产攻击技术及场景等维度进行全面梳理分析，力求通过客观呈现黑灰产情报数据，帮助更多企业深入直观了解黑灰产业，有效防控各类攻击风险。

　　2、风险手机号：存在被滥用盗用等风险的手机号，如被黑产用于接收短信，实施批量恶意攻击的手机号，通常从接码平台或发卡平台捕获；

　　4、黑手机卡：指未进行实名登记或以假身份进行实名登记的，并被不法分子利用实施违法犯罪活动的电线、猫池卡：指通过“猫池”这一网络通信硬件，实现同时支持多个号码通话、群发短信等功能的黑手机卡；

　　6、拦截卡：指通过病毒木马控制真实用户手机短信/验证码收发权限的手机卡，通常捕获自拦截卡平台；

　　7、洗钱银行卡：指被黑产用于非法资金清洗（将违法所得收入合法化）的银行卡，例如赌博及诈骗团伙通过银行卡消费、转账等方式转移洗钱资金；

　　8、涉赌卡：指常被用于赌博平台内进行充值收款的银行卡，关联资产涉及到赌博洗钱行为。威胁猎人通过人工和自动化结合的方式，从各类赌博平台中监测用于收款行为的银行卡账号信息；

　　9、跑分卡：指活跃在跑分平台，常被用于各种非法来源资金的流通交易的银行卡。威胁猎人通过自动化的方式，从跑分平台APP中获取到跑分订单中的银行卡账号信息；

　　10、涉诈卡：指常被用于社交黑产群聊中进行诈骗资金转移的银行卡，关联资产涉及到诈骗洗钱行为。威胁猎人通过自动化的方式，从各大匿名社交黑产群聊中发送记录中，提取诈骗团伙使用银行卡账号信息；

　　11、洗钱对公账户：指被黑产用于非法资金清洗的银行对公账户，因对公账户具有收款额度大、转账次数多等特点，使得“对公账户”常常作为黑钱转账的集中点及发散点；

　　12、数据泄露事件：威胁猎人安全研究专家针对数据泄露情报的样例等进行分析及验证，确认为真实、有效的数据泄露事件；

　　13、暗网：指隐藏的网络，普通网民无法通过常规手段搜索访问，需要使用一些特定的软件、配置或者授权才能登录。

　　威胁猎人调研统计发现，2024年上半年互联网黑灰产从业人员数量达到427万，较2023年下半年略有下降6.03%。

　　据威胁猎人风险情报平台数据显示，2024年上半年国内风险手机号数量达到323万，较2022年增长8.8%。

　　2024年上半年，威胁猎人监测发现日活跃风险IP数量持续上升，风险IP数量达到1136万，较2023年下半年增长44.8%。

　　2024年上半年涉及洗钱银行卡数量19.5万，较2023年下半年下降28%。涉及洗钱银行卡主要包括跑分卡、涉赌卡、涉诈卡。

　　其中，跑分卡新增数量的降幅最大，较2023年下半年下降50.3%，威胁猎人针对黑产团伙的跑分方式深入挖掘发现，2024年上半年跑分团伙逐渐由跑分平台转向通过Telegram进行跑分，使得监测难度大幅提升。

　　涉赌卡：指常被用于赌博平台内进行充值收款的银行卡，关联资产涉及到赌博洗钱行为。威胁猎人通过人工和自动化结合的方式，从各类赌博平台中采集用于收款行为的银行卡账号信息。

　　跑分卡：指活跃在跑分平台，常被用于各种非法来源资金的流通交易的银行卡。威胁猎人通过自动化的方式，从跑分平台APP中获取到跑分订单中的银行卡账号信息。

　　涉诈卡：指常被用于社交黑产群聊中进行诈骗资金转移的银行卡，关联资产涉及到诈骗洗钱行为。威胁猎人通过自动化的方式，从各大匿名社交黑产群聊中发送记录中，提取诈骗团伙使用银行卡账号信息。

　　据威胁猎人情报平台数据显示，2024年上半年捕获新增猫池卡309万个，较2023年下半年上升7.71%。

　　猫池卡：指通过“猫池”这一网络通信硬件，实现同时支持多个号码通话、群发短信等功能的黑手机卡。

　　1、2月因春节期间黑产交易放缓，下游作恶者活跃度降低导致供应量显著下降，节后恢复稳步上涨趋势；

　　2、6月猫池卡数量下降主要受到高考期间风控加强的影响，高考期间各大平台账号批量注册、恶意引流等监测力度大大加强（如不可修改账号名称、头像、介绍等），多个渠道卡商主动反馈受该原因干扰，黑卡供给存在问题。

　　威胁猎人对2024年上半年新增国内猫池卡进行统计分析，发现上海、山东、辽宁三省（含直辖市）为猫池卡归属地最多的三个省份；针对归属城市分析发现，猫池卡归属地最多的三个城市为上海、重庆、武汉。

　　由下图可见，2024年上半年上海的猫池卡新增数量远超其他省市，深入分析发现，其主要原因在于2024年3月及5月，国内两大头部发卡平台持有并出售大量归属地在上海的风险手机卡，其数量在新增总量的40%以上。

　　2024年上半年监测到猫池卡364万张，其中归属国内三大运营商的猫池卡占比76.1%，归属其他运营商的占比23.9%。

　　（1）2024年上半年国内拦截卡较2023年下半年增加42.57%，从新增渠道首次捕获的拦截卡占比高达94%

　　2024年上半年，威胁猎人捕获新增拦截卡达13.18万，较2023年下半年增加42.57%。

　　针对捕获的拦截卡进一步分析发现，2024年上半年新增6个拦截卡来源渠道，同时捕获的拦截卡多为系统首次捕获，首次捕获占比高达94%，拦截卡供应渠道的增加与快速更新，无疑增加了业务方风控难度。

　　针对2024年上半年捕获到的国内拦截卡统计分析发现，福建、广东、四川三省为拦截卡归属地最多的三个省份；从归属城市来看，重庆市、三明市（福建）、上海市三城市为拦截卡归属地最多的城市，与猫池卡归属城市存在较大的重合。

　　2024年上半年威胁猎人情报运营平台捕获拦截卡39.8万张，归属国内三大运营商的拦截卡占比达98.31%。

　　针对黑卡主要来源渠道进一步研究发现，2024年上半年，归属地为香港的风险手机卡交易数量呈现大幅增长趋势，2024年3月香港卡交易量级仅为数千张，2024年6月香港卡交易量级达到近10万。

　　香港相关风险手机卡数量的大幅增长，从需求侧来看，2024年5月至6月，香港发生多起线上诈骗事件，事件过程中，下游诈骗黑产利用香港手机卡注册whatsapp等境外聊天软件，对受害者展开线上诈骗，一定程度上导致了香港卡数量的大幅增长，也反映了风险手机卡在地域上的风险趋势及供需变化。

　　1、注册范围广：香港手机卡注册范围广，可注册Telegram、WhatsApp等海内外应用；

　　2、在线使用时间长：香港手机卡接码服务的在线使用时间相对境内卡更长，一般可保证一个月重复使用，而境内手机卡一般为数日；

　　4、支持多种接码形式：香港卡支持多种接码形式，目前威胁猎人在接码平台、发卡网站、私域接码均发现了香港相关手机卡的作恶记录。

　　威胁猎人研究发现，2024年上半年，黑产在非法交易中对黑卡物料的筛选及使用更为精细，相较于2023年黑卡商品描述字段，除了会提供黑卡类别，注册情况等信息外，卡商还会标识号码“已筛选”，即卡商在购买后的订单页面中展示号码的历史账户信息，并将信息提供给下游购买方，使其确定是否为目标卡类，减少筛卡成本，大幅提升下游黑产作恶效率。

　　威胁猎人持续提升国内外风险IP监测能力，为互联网平台优化国内外风控规则提供了有力支持，2024年上半年威胁猎人持续监测国内风险IP5503万个，国外风险IP10273万个，较2023年下半年分别提升18.62%和22.44%。我们对国内及国外两种类型的风险IP分析发现：

　　威胁猎人对代理IP平台持续监测，发现2024年上半年黑产通过植入木马恶意使用正常用户IP的行为更加猖獗，从2024上半年捕获数据来看，“劫持共用代理”IP日均捕获数量达80万，这一标签的IP攻击占比从43.88%（2024年1月）上升至67.41%（2024年6月）。

　　由于这类IP大部分时间是正常用户使用，如进行点击、充值、浏览等行为，少量时间会被黑产劫持共用，出现短暂的作恶行为，因此平台可能会认定该用户为正常用户，进而忽视其短暂的作恶行为，给黑产可乘之机。

　　2024年上半年涉及洗钱银行卡数量为19.5万，较2023年下半年下降28%。涉及洗钱银行卡主要包括跑分卡、涉赌卡、涉诈卡，其中跑分卡新增数量降幅最大，较2023年下半年下降50.3%，威胁猎人针对黑产团伙的跑分方式深入挖掘发现，2024年上半年跑分团伙逐渐由跑分平台转向Telegaram跑分，使得监测难度大幅提升。

　　威胁猎人对近半年捕获洗钱银行卡的“首次发现时间”和“最新发现时间”进行分析，发现统计期间内，65.8%的洗钱银行卡仅在捕获当天活跃，可见，为了避免风控监测，频繁用于洗钱的银行卡较少。

　　洗钱对公账户：对公账户指以公司名义在银行开立的账户，洗钱对公账户指被黑产用于非法资金清洗的银行对公账户，因对公账户具有收款额度大、转账次数多等特点，使得“对公账户”常常作为黑钱转账的集中点及发散点。

　　2024年上半年威胁猎人持续监测黑产在洗钱过程中所使用的银行对公账户资源，发现涉及洗钱的对公账户数量持续上升，由3378个上升到4386个，较2023年下半年上升16%。

　　2024年上半年威胁猎人共捕获到涉及洗钱的对公账户4865个，涉及银行机构732家。洗钱对公账户所属银行中，国有银行占比31.19%。

　　此外，监测到的地方性银行对公账户数量较2023年下半年上升5.51%，而国有占比下降6.06%，黑产利用对公账户洗钱的过程中，在开户行的选择上，部分开始转向地方性银行进行作恶。

　　涉及洗钱对公账户归属省份TOP5省份较2023年下半年基本不变，而安徽、江西、陕西省份排名首次上升至TOP10行列。

　　进一步分析发现，这类省份地方性银行对公账户的增长趋势明显，该排名变动背后，一定程度也体现了洗钱团伙逐渐使用农村信用合作社及地方性银行对公账户的趋势。

　　基于黑产诈骗金额和风险程度，目前监测到的黑产诈骗手法大致可以分为6种类型，其中色情刷单诈骗类型最多，占比超70%。

　　据研究调查发现，冒充机关诈骗、冒充亲友诈骗、退款网贷诈骗这几类诈骗形式风险较高，诈骗金额较大，色情刷单诈骗相对风险较低，诈骗金额较小，金额一般在5000元以下。

　　色情刷单诈骗：主要指通过通过色情网站、短信、交友软件等发布虚假信息，诱导受害者完成指定刷单任务的诈骗。

　　卡号资源买卖诈骗：主要指通过出售或者租借卡号协助黑产洗钱的诈骗，风险大小主要取决于黑产用途。

　　在风险邮箱方面，2024年上半年我们监测发现了8804个临时邮箱域名，而提供免费临时邮箱服务Top10的网站，贡献了超过98.15%的邮箱域名数量。

　　3.1 黑产利用LSPatch技术实现快速抢单作恶，被高频利用于金融、社交、房产等平台APP

　　威胁猎人研究发现，2024年上半年，不少黑产利用一款名为“LSPatch”的技术工具实现“快速抢单”作恶，同时在金融、社交、房产、本地生活等多个行业的APP发现了利用LSPatch技术快速抢单的恶意行为。

　　LSPatch本质上是一款免Root使用Hook框架模块的技术，借助该技术，使用者能在非Root手机上使用Hook框架模块，实现hook手机系统函数，并对函数整体执行逻辑进行修改。

　　通过该工具，黑产将具体的作恶环境及作恶工具打包到被攻击的app，让使用者直接安装注入了恶意工具的虚假app，即可进行快速抢单，极大降低了使用者的工具使用门槛。

　　在传统的Xposed或Lsposed框架中，用户通常需要获取root权限才能安装和使用各种模块，以实现对手机应用的个性化定制和系统优化，这一过程对于不熟悉技术的用户来说，不仅操作门槛高，还存在“手机变砖”的风险。

　　Lspatch的出现，无疑为这类用户打开了一扇新的大门，无需root权限，用户便能轻松体验到Xposed模块带来的强大功能。

　　威胁猎人研究发现，除了按键精灵、auto.js pro等自动化脚本工具外，2024年上半年黑产利用HID设备进行自动化操作攻击的行为更加频繁。

　　随着技术的发展，大部分HID设备开始支持蓝牙协议的方式进行传输，使黑产可以通过“HID设备+蓝牙协议”的方式实现简单的滑动点击操作，其中最受黑产关注的则是“短视频刷量”这一场景。

　　HID（Human Interface Device，人机接口设备）是USB设备中常用的设备类型，是直接与人交互的USB设备。键盘、鼠标等设备都是日常生活中最常见的HID设备。由于HID设备在软件层面并无明显的特征，使得使用该类设备进行攻击的行为更加隐秘。

　　短视频刷量的第一步是养号，而养号需要帐号进行不断的观看某一类型的视频，让平台的推荐算法完成对帐号的标签标记。

　　为实现短视频刷量中自动化点击，同时尽量绕过平台风控，黑产团伙除了基于基于手机开发者权限、手机root权限实现自动化点击外，也有不少黑产“基于HID备进行自动化点击”。

　　“基于HID设备实现自动化点击”的方法通过代码控制硬件，硬件发送HID指令，实现具体的点击活动操作，与目前主流的基于代码、ADB操作设备点击的自动化点击实现方法不同；且该方法无需配置特定环境（如开发者权限、root环境），这使得大部分平台已有的自动化点击风控规则在识别该方法上，可能存在失效的情况，进一步增加了平台方的检测成本。

　　2024年上半年威胁猎人共捕获营销活动攻击情报408万条，监测到活跃的作恶社交群组8000个，涉及作恶黑产人数达6.5万名，整体较2023年下半年均有所下降。2月份情报量下降，主要受春节期间黑产交易放缓的影响，节后攻击情报量逐渐回升。

　　电商平台快速发展之下，不少电商平台通过客户无理由退货等宽松的退货规则，有效提升平台流量及竞争力，这一规则在无形中被黑产发掘并利用，利用平台规则进行恶意赔付的黑灰产群体不断壮大。

　　2024年4月，威胁猎人情报平台监测到大量号称“超级维权”的黑产攻击行为，1月份仅有零星黑产广告，4月份讨论量增长至近200条。深入挖掘发现，不少黑产以“赔付一单够吃半年”的高额赔付，吸引更多黑产团伙对电商平台及相关商家发起攻击，假借“维权打假”名义进行恶意赔付及攻击的事件不断涌现。

　　与过去常规的“三无”、“打假”、“不发货”等赔付思路不同，“超级维权”指的是黑灰产锁定平台上售卖“有毒有害”的商品，进行药品检测和出具报告，提起行政复议、行政诉讼、信访，威胁商家进入协商调解赔付，甚至最终获得法院执行款，赔付流程涉及国家的公权机构，整体审核周期较长，小中高额赔付所需要的时间不等。

　　为了成功获取赔偿，赔付黑产表示有货源团队、接货检测团队、法务团队等全程陪跑，来招揽愿意付出本金和“上车费”的用户进行教学赔付，这也是“超级维权”赔付玩法升级之处。

　　他达拉非（性功能障碍药品）、西布曲明（减肥类）、麻黄碱（减肥类），基本都是需要医生开处方类型药品或为国家食品药品监督管理局禁止添加成分，如产品包含即构成违反法律。

　　近年来，平台用户与黑灰产针对平台优惠活动联合套现的事件频繁发生，用户正常领取权益，领取权益后黑灰产团伙进行套现，并按比例与用户分配变现利润，减少黑产团伙寻找变现买家或“被迫消费”的额外成本。

　　不少银行机构每月或每周会推出支付立减金活动，这类活动一直是黑灰产和羊毛党高度关注的掘金项目。指定银行的大额立减活动中，黑灰产团伙和银行用户的高度协作套现分利润的行为更加猖獗，利用支付后锁单套取优惠的手法逐渐在电商平台广泛使用。

　　2024年上半年，威胁猎人监测到大量黑产利用银行支付规则漏洞，通过“锁优惠”、“锁单”等与用户联合套现，具体流程及手法如下：

　　3、套现阶段，用户向黑产提供付款码，由黑产套取银行立减金，黑产再返回支付金额和部分立减金，与用户瓜分利润，与用户联合锁单的手法，让黑产攻击具备了充分的套现操作时间。

　　举个例子：某用户锁单“满100减20券”后，向黑产出示付款码，黑产利用相关资质进行扫码并扣除100元“订单”，用户最终支付80元，黑产获得100元，并私下返回用户90元，通过该套现手法，黑产与用户各获得10元立减优惠，银行则损失了20元立减权益。

　　在2024年上半年，刷量作弊的情况依然严峻，威胁猎人安全团队在此期间监测到涉及直播平台、内容平台、电商平台以及应用下载平台的刷量作弊情报共计51万条。此外，监测到涉及刷量的活跃社交群组3977个，参与这些黑产活动的人数达到9014人。

　　威胁猎人针对各平台发布的刷量作恶情报进行持续监测，发现2024年上半年，内容平台及直播平台遭受刷量攻击最为严重，刷量相关作恶信息占比超总量的75%，主要体现在内容平台浏览量、评论及分享刷量，直播平台人气互动、上榜和礼物代刷等。

　　从刷量手段来看，真人作弊刷量仍为主流刷量方式，威胁猎人监测到，真人作弊相关情报占刷量情报总量的74%。随着各大平台对恶意刷量行为的识别技术不断更新，许多刷量工作室已从使用协议刷量和基于真实设备的群控刷量转向采用真人刷量的方式，进一步满足平台对真实有效流量的要求，这种转变反映了平台对技术手段刷量的有效打击。

　　数字媒体快速发展之下，直播带货已成为商业销售的一种重要模式，效果难预测、流量不稳定等问题给许多直播商家带来困扰，由于平台付费推流价格高昂，黑产团伙开始盯上自然流量刷量的商机。

　　直播平台自然流量的推荐机制意味着，只有特定标签用户进入直播间进行点赞评论等刷量行为才会成为高质流量，于是更精细化的真人刷量方式随之产生。

　　自然流量也称“推荐feed流”，指持续更新并呈现给用户的内容信息流，直播间自然流量的种类包括但不限于：

　　搜索流量：通过个人主页、搜索、订单中心等来源的流量，虽然占比不大，但也是自然推荐流量的一种。

　　2024年上半年，威胁猎人观察到“直播广场刷量”等新型自然流刷量手法的应用更加普遍。以“直播广场刷量”为例，为了有效提升直播间热度，使其成为直播广场推荐流量，黑产利用大量手机账号及云控软件进行直播间刷量，具体行为包括：

　　1、提前“养号”：提前对刷量账号进行养号，刷同类型内容模拟目标用户群体，使后续直播间流量推荐更加精准；

　　2、推流至直播广场：通过操控大量账号，关注主账号并观看短视频20分钟以上手机如何装whatsapp，后续使直播间被推流至直播广场，获得更大的流量；

　　3、进入指定直播间进一步刷量：再次利用云控软件批量控制手机账号，进入指定直播间进行关注、点赞、评论、亮灯牌等一系列操作，进一步增强直播流量的真实性及活跃度。

　　在云控软件的操作下，几百甚至上千账号瞬时涌入指定直播间，原本无人问津的直播间忽然人气暴涨，顺势吸引更多“野生”流量，整个流程“预判”了系统对用户喜好的推送，实际上大部分是虚假流量。

　　这类刷量方式流程繁琐、成本较高，威胁猎人深入调研了解到，这类模拟自然流量的刷量方式，其单个账号可在5元以上，是普通真人刷量账号价格至少两倍以上，这也反映了直播行业对“真实流量”的需求日益增长，与此同时平台对各类刷量手法的风控日益增强。

　　2024年上半年，威胁猎人共捕获信贷欺诈攻击情报46万条，监测活跃的作恶社交群组2700个，涉及作恶黑产1.4万名。

　　背债人往往是那些征信记录清白、急需大量资金却没有还款能力的人，通过对这些人进行个人资产情况等虚假包装，从银行套取高额贷款，获取几十甚至上百万的利润，所付出的代价是抛弃自己的征信，面临法律的制裁。

　　由于背债风险事件频发，引起了银行等金融机构的高度重视，针对背债骗贷行为的风控政策更加严格。为了最大限度获取利益，同时避免受到相关机构打击与法律制，相关黑产对于背债人的身份包装及材料伪造更加逼真，用接近“真实”的手段提升骗贷成功率。

　　为避免银行风控，确保利益最大化，黑产中介会给背债人包装“工作者、户主、企业主”等各种虚假身份，作为申请贷款的增信条件，具体手段包括给背债人真实缴纳社保、公积金、过户房产/企业、真实开票纳税、真实租赁经营场景等等。

　　通过一系列包装准备，黑产中介将利用背债人的各项资质，进行“房贷、信用贷、企业贷、车贷”一条龙大额融资，据了解，一个背债人骗贷总额高达500-2000万元不等，实际到手金额为背债总额的40%-60%。

　　贷款成功后，为避免被发现并被定性为诈骗，不少黑产中介不惜提高骗贷成本，帮助/叮嘱背债人还款半年甚至两年。

　　非标贷款：指客户达不到常规贷款的标准条件，黑产中介通过包装材料、美化数据、关系进行骗贷的行为。

　　在近几年经济下行的影响下，企业、经营者、个人普遍存在收入降低、高负债等困境，使得一些企业、经营者、个人现有的资质条件不满足金融机构的放款要求。

　　黑产、中介通过虚假流水（个人、企业）、科技提额、融车套现、虚假装修贷套现、以租代购套现等，以虚假材料、虚假需求通过审批、提额系统，实施欺诈，使得非标业务持续活跃。

　　2024年上半年，威胁猎人风险情报平台监测到电信网络诈骗相关情报29万条，活跃作恶社交群组10187个，涉及作恶黑产1.7万名。

　　诈骗分子通过一些非法渠道获取乘客个人及相关业务信息，冒充航空公司、保险机构等工作人员，通过一些特定话术（如“退费”“理赔”“改签”等为由），诱导受害人安装远程会议软件，并打开“屏幕共享”功能，以此获取到受害人的短信验证码，甚至是支付密码等，最后成功盗刷受害人的银行卡，或者成功诱导受害人把钱转到指定账户，具体流程如下：

　　李某接到陌生来电，冒充某航空公司的“客服”告知其航班需要改签同时会进行相关赔偿，要求李某点击某线上会议链接开启屏幕共享，由于对方能准确说出自己的航班信息，李某信以为真，按照其要求进行了屏幕共享的操作。

　　此时诈骗者利用该功能趁机获取李某个人信息，并以进行身份认证、解绑银行卡为由，要求李某提供自己的银行卡号、密码、手机验证码等信息，并进行人脸识别，最终李某银行卡里的30000元被对方全部转走。

　　在杀鱼诈骗的过程中，诈骗团伙会通过诱导受害人安装远控软件（如ready.apk），黑产通过将这类软件伪装成正常的APP（如反诈中心APP等），套取受害人的信任，使其放心开启无障碍服务授权，从而控制受害人手机并采集手机信息，远程操控手机进行转账，成功盗刷受害人的银行卡，或者成功诱导受害人把钱转到指定账户。

　　仿冒成各类日常应用的“远程控制”APP，黑产在后台操控受害者手机，使不少受害者完全无法察觉、难以防备，极大提升了黑产团伙的诈骗成功率。

　　2024年3月，连云港的张某在家中玩手机游戏和平精英时认识一陌生人以送皮肤的方式，被通过“ToDesk”APP控制手机，通过手机银行充值未知游戏账号7次648元和平精英套餐，损失人民币4536元。

　　为了诱导受害人下载安装远程控制软件，黑产团伙会针对不同人群及心理特点设计不同的手法和话术，受害者往往在毫无戒备心、获取“回报”的情境下完成下载，堕入骗局。部分推广线 钓鱼仿冒场景分析

　　从上半年的行业分布数据来看，钓鱼网站仿冒行业占比TOP3为电商、证券行业和消费金融行业，其中电商行业超过金融行业，成为遭受钓鱼仿冒攻击最为严峻的行业，电商行业仿冒案例占总量的50%以上。

　　2、仿冒电商平台一般会有1-4种仿冒模版，模版完整地仿冒了现购物商城必备的网页端、APP端下载界面、客服系统和商城管理后台，仿冒效果十分逼线、黑灰产团伙倾向于批量注册同一仿冒网站作恶，广撒网的同时，最大限度绕过风控。主要体现在，一般黑产团伙设置的仿冒网站二级域名和URL路径一致之外，域名注册时间基本一致。

　　威胁猎人基于广告暗刷流量监测捕获到大量广告欺诈数据，涉及到多个行业，食品饮料类成为遭受欺诈占比最大的广告主。

　　从欺诈广告的播放情况来看，设备暗刷伪造并上报的广告中，大部分都是完整播放完毕的，100%播完的占比达到78%，这一数据明显不符合正常用户的行为，现实情况下有耐心将广告看完的用户并不多。

　　在广告欺诈刷量的作弊链路中，上报的作弊广告流量往往会包含动态变化的伪造设备参数信息，模拟真实的设备信息及其展现广告的数据情况，以欺骗广告主。

　　据威胁猎人数据泄露风险监测平台数据显示，2024年上半年（1-6月）全网监测到的1.1亿条情报中，基于真实性验证引擎及DRRC人工分析验证有效的数据泄露事件共计16011起，较2023年下半年增长59.58%，9539起。

　　威胁猎人发现，在2024年2月数据泄露事件量出现大幅下降，较2024年1月下降36%（898起），进一步分析了解到，主要有以下两个方面所致：

　　从数据泄露源头来看，第三方泄露、短信通道泄露等不同原因所引发的数据泄露事件量均在2024年2月出现下降的情况，可以看出主要是受到春节期间黑产放假带来的交易行为放缓的影响。

　　线上购物的持续稳定增长下，电商平台产生了海量购物订单及物流信息，这些购物订单及物流信息由于暴露面较大，成为了黑产团伙的重点目标，同样被用于营销或诈骗。

　　威胁猎人统计发现，2024年上半年泄露的数据中包含“IOS”字段的相关风险事件高达1237起，较2023年下半年增加8倍。

　　随着国家公安机关对传统电话诈骗的打击加大、运营商监管加强，而Facetime日渐普及，不法分子开始盯上Facetime通话功能，试图通过这一功能实施诈骗活动。“IOS”类数据字段的大幅增加，以及黑产沟通验证，进一步佐证了利用Facetime进行诈骗的现状使得上游数据清洗产业链发展更加猖獗。

　　自2024年起，威胁猎人发现不少诈骗分子冒充“金融平台客服”、“国家征信中心工作人员”等身份，使用FaceTime功能向苹果手机用户发起通话，以“开通百万医疗保险需要关闭”、“有未结清的贷款需要处理”等为由进行诈骗，告知手机用户如不取消会被强制扣款，或个人征信受损，从而诱骗手机用户将相关款项转移至指定账户，给受害者带来巨额损失。

　　黑产在Telegram等渠道社工查档的事件屡见不鲜，例如通过一个手机号，就可以查询这个手机号相关的所有身份信息，如地址、银行卡号、名下资产等等。

　　在2024年上半年发现的数据泄露事件中，威胁猎人累计发现657起“查档”信息泄露事件，占整体数据泄露事件的4.10%。从每月变化趋势来看，查档类的相关风险事件数呈上升趋势，相关黑产团伙数量也不断增加。一定程度上反映出通过查档进行非法收益的形式更加普遍，背后收益更加可观。

　　2024年上半年风险IP数量较2023年下半年增长44.8%，国内作恶手机号较2023年增长8.8%，涉及洗钱银行卡新增数量有所下降，较2023年下半年下降28%。