2023年，黑灰产从业人员人数超过580万，威胁猎人捕获到的国内作恶手机号数量高达625万，日活跃风险IP数量602万，洗钱银行卡数量87万。

　　从百万级黑灰产业链规模、大幅提升的攻击资源量级可见，2023年是黑产攻防对抗空前激烈的一年。推陈出新的攻击资源和技术成为黑产攻击的“保护色”。

　　因难以监测黑产攻击行为和溯源潜在风险，不少企业遭受严重损失，成为业务安全建设中亟需攻破的难点。

　　威胁猎人发布《2023年互联网黑灰产研究年度报告》，针对2023年黑灰产业链进行了深入研究，从2023年互联网黑灰产发展现状、黑灰产攻击资源、黑灰产攻击场景等维度进行全面梳理分析，力求通过客观呈现黑灰产情报数据，帮助更多企业深入直观了解黑灰产业，有效防控各类攻击风险。

　　2、风险手机号：存在被滥用盗用等风险的手机号，如被黑产用于接收短信，实施批量恶意攻击的手机号，通常从接码平台或发卡平台捕获；

　　4、黑手机卡：指未进行实名登记或以假身份进行实名登记的，并被不法分子利用实施违法犯罪活动的电线、猫池卡：

　　2023年互联网黑灰产从业人员达587万，较2022年上升141%威胁猎人安全研究员调研统计发现，2023年互联网黑灰产从业人数持续上升，从业人员数量达到587.1万，较2022年上升141%。

　　2023年洗钱银行卡数量较2022年增长133.74%2023年洗钱银行卡数量持续上升，洗钱银行卡数量达到87.4万，较2022年上升133.74%。

　　2023年国内猫池卡数量较2022年增长8.25%据威胁猎人威胁情报运营平台数据显示，2023年新捕获猫池卡586.6万个，较2022年上升8.25%。从2023年国内猫池卡数量的变化趋势来看，1-3月出现明显上升趋势，4-6月逐渐降低。

　　1-3月某头部接码平台对接的黑产持续上传大量新的接码手机号，使得该时间段内的新增作恶手机号数量持续上升；4-6月该头部接码平台遭遇持续性DDos攻击而无法正常运营，导致该时间段内的作恶手机号数量持续下降。

　　2023年猫池卡归属最多的三个省份为：江苏、山东、河南威胁猎人情报专家对2023年捕获到的国内猫池卡进行统计分析，发现江苏、山东、河南三省为猫池卡归属地最多的三个省份；针对归属城市分析发现，南京、上海、北京三城市为猫池卡归属地最多的城市。

　　2023年捕获的猫池卡中，归属国内三大运营商的占41.78%2023年威胁猎人威胁情报运营平台捕获猫池卡618万张，其中归属国内三大运营商的拦截卡占比41.78%，归属其他运营商的占比58.2%。

　　2023年国内拦截卡数量达38.9万，并于3月出现大幅上升2023年，威胁猎人最新捕获拦截卡达38.9万，并于3月捕获到大量新增拦截卡，经过持续监测分析发现，其主要原因是：2023年3月出现一个新的拦截卡接码平台，导致3月新增拦截卡数量大幅上升。

　　2023年拦截卡归属最多的三个省份为：广西、山东、江苏威胁猎人安全研究员对2023年捕获到的国内拦截卡进行统计分析，发现广西、山东、江苏三省为拦截卡归属地最多的三个省份，与猫池卡归属省份存在一定的重合；针对归属城市分析发现，南京、贵港、南宁三城市为拦截卡归属地最多的城市。

　　2023年捕获的拦截卡中，归属国内三大运营商的占98.48%2023年威胁猎人威胁情报运营平台捕获拦截卡87万张，归属国内三大运营商的拦截卡占比达98.48%，归属其他运营商占比1.52%。

　　值得注意的是，2023年威胁情报运营平台捕获到的192号段黑手机卡数量达到87.8万，黑产大量使用192号段的黑手机卡进行作恶。从192号段黑手机卡数量的变化趋势来看，7月、8月及10月出现大幅增长。

　　自第三季度开始，有4个供应渠道进一步增大192号段手机卡的投入规模，使得第三季度新增量进一步增加。

　　发卡平台成为黑产投放高价值接码手机卡的主流渠道之一从威胁猎人威胁情报运营平台捕获的数据来看，提供接码服务的发卡平台及发卡店铺数量呈明显上升趋势，同时通过发卡平台捕获到的接码手机号也呈现出明显上升趋势。

　　黑产多利用此类手机号对热门APP业务进行攻击并实现获利，如热门的视频APP、互联网社交APP或电商APP的注册和换绑业务。

　　2023年每月捕获的涉及接码的发卡平台及发卡店铺数量持续上升自2023年1月起，每月捕获的涉及接码的发卡平台数量持续上升，截至2023年12月，活跃发卡平台达到28个。

　　2023年通过发卡店铺每月捕获的高价值接码手机号数量持续走高自2023年1月起，威胁猎人通过发卡店铺捕获到用于作恶的接码手机号数量出现大幅上升。2023年12月，威胁猎人共捕获作恶手机号12.9万个。

　　例如手机卡商提供黑卡物料，代理商汇集多个卡商渠道，通过在发卡平台开设店铺的形式为黑产提供隐蔽的接码服务。

　　2023年风险IP资源变化近年来国内互联网平台业务不断开拓海外市场，如何识别海外风险IP已成为各大企业亟需重视的问题。威胁猎人海外风险IP监测能力的提升，也为互联网平台优化海外风控规则提供了有力支持。

　　黑产通过植入木马恶意使用正常用户IP的行为更加猖獗威胁猎人发现，黑产通过在正常用户设备中植入木马，实现在其网络上建立代理通道，且每次使用时间很短，因此普通用户难以感知到自己的IP被盗用。

　　这类IP由于大部分时间是正常用户进行操作，如点击、充值、浏览等行为均正常，少量时间会出现短暂的作恶行为。因此平台可能会认定该用户为正常用户，进而忽视其短暂的作恶行为，给黑产可乘之机。

　　2023年银行卡资源变化2023年威胁猎人共捕获洗钱银行卡87.4万张，对捕获到的洗钱银行卡进一步分析发现：

　　2023年数字人民币资源变化随着社会公众对零售支付便捷性、安全性等需求日益提高，数字人民币支付正在成为消费新趋势。

　　2023年捕获涉及洗钱的数字人民币钱包数量达23万，月增幅超270%2023年威胁猎人共捕获涉及洗钱的数字人民币钱包23.2万个，同时发现黑产利用数字人民币进行洗钱的情况整体呈上升趋势，尤其是9月，月增幅超过了270%。

　　涉及洗钱的数字人民币支付中，归属国有银行的占比超80%目前，威胁猎人监测到数字人民币洗钱涉及银行数十家，其中国有银行占比超80%。就支持开通数字人民币的银行用户数量而言，国有六大行的银行用户总数远大于其余银行之和，因此其潜在的数字人民币用户也相对较多。

　　2023年对公账户资源变化银行对公账户具有收款额度大、转账次数多等特点，这使得“对公账户”常常作为黑钱转账的集中点及发散点，在黑产洗钱链条中担任极其重要的位置。

　　因为一个对公账户的收款额度往往在几百万到几千万不等，及时发现涉嫌洗钱的对公账户并进行针对性风控，往往能中断某个黑产团伙的某一洗钱链条。

　　2023年捕获涉及洗钱对公账户的所属银行中，非国有银行占比超60%2023年威胁猎人共捕获到涉及洗钱的对公账户4782个，涉及银行695家，涉及洗钱对公账户的所属银行中，非国有银行占比超60%。

　　2023年黑产洗钱手法多达19种，影响平台众多2023年，威胁猎人安全研究员捕获到的洗钱手法多达19种，作恶手法不断迭代，受害平台众多。

　　为了加强渠道的可信度，确保数据交易顺利进行，交易双方往往会通过第三方平台保障交易过程的可信度及可行性，最常见的方式就是“担保公群”。

　　2023年9月捕获大量风险企业邮箱从2023年每月不同类型风险邮箱捕获数量来看，9月出现大幅上涨。2023年9月，威胁猎人安全研究员通过已知的风险邮箱进行MX解析，关联出了大量的风险企业邮箱。

　　黑产应用AI技术大幅提升攻击效率，突破企业防御体系2023年，AI技术应用于网络安全的多个场景，AI技术的深度应用也引起了大量黑产团伙的觊觎。

　　黑产在社交场景接入AI机器人，自动生成聊天话术威胁猎人安全研究员在2023年第三季度发现，黑灰产在社交引流场景已经接入AI机器人，使聊天更智能。

　　研究发现，黑产通过购买AI服务平台的服务，并在此基础上进行整合、开发及售卖，最终被更多作恶团伙用于社交平台自动引流及诈骗。

　　值得注意的是，AI机器人的接入成本也极为低廉，最低只需19.9元/月即可；同时使用方法极为简单，只需填入相关账号并启动软件即可自动聊天引流，目前被大量应用于电商平台及社交群聊，一定程度上增加了对应平台的检测难度。

　　黑产利用AI进行视频伪造，人脸验证需警惕2023年，黑产大规模利用AI换脸工具制作换脸视频提供代认证服务，以社交APP为例，黑产通常会购买大量的实名账号进行发言引流，当账号触发平台风控而需要进行人脸认证时，则需要借助AI换脸技术绕过人脸验证。

　　提供云手机服务的平台持续增加，配套攻击工具更加完善据威胁猎人研究发现，2023年提供云手机服务的平台持续增加，且头部云手机平台已呈现出产业化趋势。

　　以上云手机的优势使黑产的攻击作恶成本大大降低，同时节省了黑产安装、配置作恶环境所需的时间，提高了黑产的攻击效率，为企业风控带来了一定的挑战。

　　营销活动攻击情报928万条，涉及作恶黑产人数达15.9万今年各企业平台营销活动遭受黑产攻击的现状依旧严峻，2023年威胁猎人共捕获营销活动攻击情报928万条，监测到活跃的作恶社交群组1.2万个，涉及作恶黑产人数达15.9万名。

　　大量黑产利用业务规则漏洞薅取用户优惠2023年12月，威胁猎人发现大量黑灰产和羊毛党通过“第三方渠道购买后在官方渠道退款”

　　众包平台“私域化”，作恶行为更加隐蔽2023年，威胁猎人研究人员发现，黑灰产为了避免众包平台被监测和风控，推出了更为复杂、安全的众包发布渠道。

　　除了私域众包平台外，威胁猎人还观察到部分公开的众包平台也开始推出新的策略，防止平台被监测及风控，例如：

　　电商代下现状严峻，日化快消和美妆护肤品成为电商代下重灾区2023年代理ip国外软件手机版，威胁猎人捕获的代下方案中，代下品类Top3为日化快消、美妆护肤和医药器械类，分别占总数的55.35%、20.09%和8%，余下16.56%的品类与保健品、家电、手机数码、时尚服饰、酒类等相关。

　　信贷欺诈攻击情报196万条，监测到活跃群组4486个2023年，威胁猎人共捕获信贷欺诈攻击情报196万条，监测活跃的作恶社交群组4486个，作恶黑产2.8万名。

　　反催收手法及案例反催收通常指的是一些组织或个人通过非正常手段帮助债务人恶意躲避债务的行为，帮助债务人延长还款期限、减免利息费用，或者通过其他方式减少债务人的还款责任。

　　内容刷量2023年，整体刷量作弊情况依旧严峻，威胁猎人共捕获直播平台、内容平台、电商平台及应用下载平台刷量作弊攻击情报42.5万条，监测活跃的刷量作恶社交群组4364个，作恶黑产人数达5759。

　　随着各大平台对恶意刷量行为的识别能力提升，同一批次的刷量往往无法达到既定的目标数量。此时，黑产通常会进行补量操作，即“在规定的一段时间内，通过持续刷量，让文章或视频的浏览数、点击数保持在既定的目标数量上”。

　　据威胁猎人数据泄露风险监测平台数据显示，2023年全网监测到的近1.5亿条情报中，分析验证有效的的数据泄露事件超过19500起。从行业分布来看，2023年数据泄露事件涉及二十余个行业，数据泄露事件数量Top5行业分别为金融、物流、航旅、电商、汽车。

　　2023年，金融行业依旧是个人信息泄露重灾区，数据泄露事件数量8758起，涉及银行、保险、证券等行业高净值人群信息，主要源于下游黑产用于营销推广以及诈骗的收益价值更高。从金融细分行业来看，数据泄露事件数量发生最多的是银行业，全年共发生4293起，其次为网络借贷、保险、证券及支付行业。

　　从数据泄露的类型来看，2023年泄露数据类型主要有3种：公民个人信息共计18347起（93.68%）、敏感代码共计727起（3.71%）、敏感文件资料共计510起（2.6%）。

　　威胁猎人研究统计发现，2023年公民个人信息泄露事件中的数据交易时间中，非工作日（周末、节假日）发生的事件数量高达31.21%，夜间发生的事件占比高达51.88%，超过一半。（夜间：18:30至次日09:30）

　　在防守最薄弱的时候，企业难以在数据泄露事件爆发时快速感知、及时响应，以至于错过最佳应对时机，给企业资金、品牌声誉及商业竞争带来重大影响。

　　从数据泄露的具体原因来看，2023年数据泄露原因包括运营商通道泄露、内鬼泄露、黑客攻击、安全意识问题等。其中，因运营商通道泄露引发的数据泄露事件数量最多。

　　2023年威胁猎人监测到的数据泄露事件中，发生在Telegram及暗网的达92%以上，其中82.26%集中在Telegram，10.01%发生在暗网。主要原因是 Telegram及暗网渠道的隐蔽性较高，难以追溯到黑产本人，是黑产沟通和交易的首选渠道。此外，威胁猎人在代码仓库（如 GitHub、GitLab 、Postman等）、网盘文库等渠道也监测到了数据泄露事件。

　　截至2023年12月，威胁猎人数据泄露监测情报覆盖了Telegram近2万个频道/群聊，在超过1700个频道/群聊中发现公民个人信息泄露风险事件。

　　2023年，威胁猎人共捕获到钓鱼网站28794例，涉及234家企业；捕获到仿冒APP1295例，涉及67家企业。此类网站及APP都是通过仿冒正常网站及APP，获取用户信任并骗取用户的个人信息及钱财。威胁猎人研究人员针对捕获到的案例进行分析发现：

　　无论是钓鱼网站，还是仿冒APP，金融行业成为黑产攻击的主要目标。由于金融行业的业务场景多涉及资金流转，且交易金额较大，故黑产往往在不引起受害者怀疑的同时，还能最大程度的获利。同时，大多数情况下，黑产为了尽可能取信于受害者，往往会选择行业头部企业进行仿冒。

　　此类型诈骗套路相对隐蔽，用户在注册时，需要相关介绍人提供注册码才能注册成功。作恶的大致流程如下：

　　介绍人（黑产口中的“理财/投资/分析师”）通过夸大理财收益诱导客户下载指定APP进行理财或投资；

　　该仿冒类型表面上是仿冒电商平台的APP，用户安装APP后会发现该APP实际上是仿冒社交平台的APP，再嵌入一个刷单诈骗的H5界面（也就是刷单系统）。

　　刷单系统需要用户充值一定的金额才能进行接单，充值的金额越多，用户的等级越高，每日接单的数量和刷单返回的金额就越高。这种模式会诱导用户不断充值，充值到一定程度，账号就会出现冻结状态。

　　2023年黑灰产作恶情况愈发严峻，黑灰产从业人员数量、作恶资源量级连续两年呈现上升趋势，黑灰产获取作恶资源的途径更为隐蔽。

　　无论是攻击资源、作恶手法还是作恶场景，都发生了巨大的变化，黑产攻防对抗也成为了各企业平台面临的极大挑战。从2023年互联网黑灰产趋势来看，企业需要重点关注以下问题：

　　2023年国内作恶手机号较2022年增长15.44%，风险IP数量较2022年上升88.47%，洗钱银行卡数量较2022年增长133.74%。在应用方面也有了新的趋势，如发卡平台成为黑产投放高价值接码手机卡的主流渠道之一；黑产通过植入木马恶意使用正常用户IP的行为更加猖獗，这种“好坏共用”的IP更容易逃脱企业风控。

　　2023年，AI技术应用于网络安全的多个场景，AI技术的深度应用也引起了大量黑产团伙的觊觎。

　　不少黑产团伙利用如文本生成、照片活化、人脸替换等AI技术进行攻击，进一步实施诈骗行为，包括在社交场景接入AI机器人自动生成聊天话术、利用AI进行视频伪造绕过人脸验证等。2023年提供云手机服务的平台持续增加，且头部云手机平台已呈现出产业化趋势，这类平台除了提供云手机服务外，还会提供配套的攻击工具，如代理IP服务、改机工具、改定位工具、Hook框架等，极大提高黑产攻击效率。

　　2023年威胁猎人研究人员发现，黑灰产为了避免众包平台被监测和风控，推出了更为复杂、安全的众包发布渠道。这种众包平台“私域化”虽增加了执行时间和操作成本，但其隐蔽性使得平台的监测及风控难度大大提升。

　　数据泄露场景上，威胁猎人研究员发现，公民个人信息泄露事件中的数据交易时间中，非工作日（周末、节假日）发生的事件数量高达31.21%，夜间（18:30至次日09:30）发生的事件占比高达51.88%。

　　夜间和非工作日时间是企业防守最薄弱的时候，大部分企业很难在数据泄露事件发生时快速感知、及时响应，以至于错过最佳应对时机，给企业资金、品牌声誉及商业竞争带来重大影响。

　　近年来，黑灰产不断优化攻击资源、迭代攻击技术，以确保持续、高效的获利，日益严峻的黑灰产攻防局势也意味着，各企业平台在感知黑灰产的攻击行为上存在一定的滞后性。针对层出不穷的作恶事件，企业应及时了解其作恶流程及细节，并结合自身业务场景建立具体的风控规则。

　　对抗黑灰产的道路任重道远，企业在外部“威胁情报”的助力下，能够全面、及时感知黑灰产团伙的轨迹及动向，在日益严峻的黑灰产风险局势中精准打击黑灰产，更好地守护自身业务安全。获取报告PDF版本