《威脅獵人：2022年黑灰產業研究報告（52頁）.pdf》由會員分享，可在線閱讀，更多相關《威脅獵人：2022年黑灰產業研究報告（52頁）.pdf（52頁珍藏版）》請在三個皮匠報告上搜索。

1、12目錄Contents前言.3一、2022 年黑灰產發展現狀.5二、2022 年黑灰產攻擊資源分析.12三、2022 年黑灰產攻擊技術分析.26四、2022 年黑灰產攻擊場景分析.35五、風險對抗思路.503前言“從業者超 200 萬，平均年齡 23 歲，市場規模高達 1100 億”這是來自中國互聯網協會關于“黑灰產市場規?！钡囊豁椊y計數據。在巨額利益的驅動下，黑灰產從業者瘋狂游走在監管邊緣地帶，黑產各類攻擊資源高度市場化、模塊化，產業鏈不同層級的團伙分工明確又配合嚴密。網絡黑灰產業鏈在與各方對抗中不斷升級，不少企業被迫卷入黑灰產的漩渦?！爸褐恕辈拍艽蚱乒シ澜┚?，推動有效治理。黑灰產業鏈

2、一直是威脅獵人重點研究的內容，威脅獵人發布2022 年黑灰產業研究報告（以下簡稱報告），客觀呈現 2022年黑灰產發展態勢，深入分析黑灰產攻擊資源、技術、場景并提出針對風險防治思路。4黑灰產發展現狀015一、2022 年黑灰產發展現狀報告統計數據顯示，2022 年國內的黑灰產業仍然非常發達，主要表現為：規模更龐大、產業鏈結構更清晰、攻擊更高效、覆蓋場景更廣泛。1.1 八億余條黑灰產相關情報，2022 年黑灰產規模依然龐大2022 年，威脅獵人情報平臺監測到 8 億余條黑灰產相關情報，黑產規模依舊十分龐大。2022年黑灰產產業鏈整體結構可按照供需關系分為資源、服務、變現三個層級，并以此來區分產業

3、鏈的上中下游：資源層：作為上游，把控黑灰產作惡的底層基礎資源；服務層：作為中游，整合上游資源和自身技術，為下游攻擊提供各種服務支持；變現層：作為下游，也就是實際黑產攻擊群體，對業務進行攻擊并最終實現利益變現。61.2 2022 年黑灰產從業人員規模更廣，較 2021 年增長 10%2022 年黑產從業人員規模更廣，2022 年黑灰產從業人員數量較 2021 年增長了 10%左右。1.3 受“斷卡行動”持續影響，2022 年黑產資源新增數量減少黑手機卡是十分重要的黑灰產資源。無論是營銷作弊還是刷粉刷贊等，黑產都需要囤積大量賬號，而賬號的主要來源就是黑手機卡注冊。2022 年“斷卡行動”持續升溫，

4、黑產獲取國內傳統黑手機號的難度越來越大，2022 年傳統黑手機號增量較 2021 年下降了約 26%。7黑 IP 同樣是重要黑灰產資源之一，黑灰產利用海量黑 IP 繞過企業針對 IP 的風控，并隱藏攻擊者的真實 IP。2022 年黑 IP 資源整體變化不大，日活躍黑 IP 的數量較 2021 年增長了約 12%。8黑銀行卡是網絡賭博、色情、詐騙等違法行為洗錢的重要資源。威脅獵人情報平臺監測發現，2022 年新增的黑銀行卡數量較 2021 年下降了約 20%，經研究推斷，主要由于 2022 年“斷卡行動”持續升溫，各銀行對于黑銀行卡的治理取得一定成效。1.4 黑產攻擊服務劃分為三大模塊：“過身份

5、”、“多身份”、“批量化”威脅獵人針對產業鏈中游服務層進行深入研究及總結，將攻擊服務劃分為“過身份”、“多身份”、“批量化”三大模塊，其中每個模塊涉及到多種攻擊技術。9過身份：利用偽造身份、人臉等方式繞過平臺認證，可以注冊虛假賬號并正常參與平臺業務和活動；多身份：利用多開、改機、改定位等技術偽造多個“正?！痹O備，從而繞過平臺對于單身份的限制；自動化：利用自動化腳本或群控工具，批量完成注冊、登錄、點擊等業務操作。注：針對 2022 年黑灰產攻擊資源、技術的具體分析，將在第二、三章詳細講解。1.5 黑灰產作惡形勢依舊嚴峻，涉及營銷作弊、虛假刷量等6 大重點攻擊場景102022 年黑灰產規模不減，作

6、惡情況依舊嚴重。威脅獵人圍繞營銷作弊、虛假刷量、數據泄漏等 2022 年黑灰產重點攻擊場景進行了深入研究，其中營銷作弊仍然是黑灰產最主要的攻擊場景，此外，刷量產業鏈不斷進化，新型“高級賬號”刷量悄然出現。注：更多黑灰產攻擊場景分析將在第四章詳細講解。11黑灰產攻擊資源分析0212二、2022 年黑灰產攻擊資源分析2.1 2022 年黑手機卡資源增量波動較大據威脅獵人觀察，黑灰產通過傳統黑手機卡、攔截卡、海外卡等方式為各風險場景作惡提供了充足的“彈藥”，體現出黑灰產極強的對抗力和生命力。2.2.1 傳統黑手機卡傳統黑手機卡指非正常實名的手機 SIM 卡，渠道多樣，有企業匿名卡、歷史物聯網卡、通信

7、虛擬卡等等，主要特征是“在生命周期內被黑產固定持有”，即在這個期限內無論注冊哪個平臺，進行何種行為均可判斷為惡意。2022 年傳統黑手機卡資源供給并不穩定，每月傳統黑手機卡新增數量如下圖所示：13經威脅獵人情報專家分析，增量波動較大的原因主要有兩點：1、受“斷卡行動”的持續影響，卡商難以通過營業廳內鬼等渠道批量開新卡，不少卡商只能利用舊卡開展一些新業務；2、傳統黑手機號卡的最主要對接渠道接碼平臺，在 2022 年受公安打擊、平臺跑路等現實因素影響，加劇了黑卡增量的波動。面對監管平臺的重拳出擊，黑產團伙也出現了各種應對招數：1、部分卡商發掘出新渠道進行批量開卡（如：利用云平臺號碼隱私保護服務），

8、因此部分時間段供卡量出現增長；2、接碼平臺受多種現實因素影響，卡商逐步聚集到極少數頭部接碼平臺，這些平臺的服務器通常架設在海外，打擊難度較大；3、為了避免被輕易發現，越來越多的卡商采用私密對接的方式，2022 年私密對接的接碼方式逐漸由“群接碼”轉變為“網頁接碼”。群接碼：賣家在 QQ、微信等社交軟件中組建的群組容易遭到檢測并封禁，因此需頻繁組建或更換接碼群，群接碼較不穩定；網頁接碼：有特定黑產團伙負責開發轉碼軟件及網站，賣家可以通過軟件生成專屬鏈接，提供給買家用于接收短信內容（俗稱接碼房間），網頁接碼更加便捷和隱蔽，其原理如下：14以下是 2022 年兩種接碼方式的走勢對比，可以看出，網頁接

9、碼的規模持續增長，而群接碼持續下降。2022 年底，網頁接碼每月接收驗證碼的數量已達到數千萬規模，而群接碼幾乎消失殆盡。152.2.2 攔截卡攔截卡主要特征是“手機號為自然人持有”，也就是“實名卡”，指在具備通信功能的移動設備上留下后門或植入木馬，攔截正常用戶手機設備收到的短信內容，利用其開展惡意行為，我們簡稱其為“攔截卡”。威脅獵人調查發現，2022 年上半年攔截卡數量極少，主要因 2022 年初攔截卡平臺集體跑路，從 2022 年 7 月份開始，陸續出現多個新的攔截卡平臺并持續活躍，因此 2022 年下半年攔截卡數量明顯增長。2.2.3 海外黑卡16海外黑卡無論是接碼平臺還是卡源都在海外，

10、因此海外黑卡并未受到專項打擊的影響，2022全年海外黑卡數量較為穩定，從海外黑卡的地域分布來看，主要集中在美國、加拿大、香港、東南亞等區域。2.2 2022 年黑 IP 日活量穩定在 300 萬左右，家庭寬帶黑 IP 占比位居第一172022 年黑 IP 資源數量較為平穩，日活躍的黑 IP 數量穩定在 300 萬左右。威脅獵人研究員針對黑 IP 主要類型進行分析（排除掉 IP 類型未知的數據），發現家庭寬帶類型的黑 IP 占比最高，超過 85%；其次是企業專線和數據中心，占比在 6%-8%左右；而移動網絡和校園網絡等其他類型的黑 IP，占比僅 0.35%。家庭寬帶：黑產所使用的秒撥及動態代理

11、IP 基本屬于家庭寬帶類型，主要利用“家庭寬帶撥號每次斷線重連，會重新獲取一個新 IP”的原理，秒撥及動態代理 IP 價格便宜、數量大、切換方便，因此成為了黑產大規模攻擊的首選黑 IP 資源。企業專線：企業專線類型的黑 IP 數量在近一兩年有所上升，部分黑 IP 資源供給方通過企業身份申請企業專線 IP，并以優質池、獨享池等方式進行出售。由于這些黑 IP 價格昂貴，往往會被某些定向攻擊的黑產團伙固定使用，其識別難度更大。18數據中心：數據中心類型的黑 IP 資源主要用于秒殺、搶購等營銷作弊場景，該類場景往往需要網速更快的 IP 資源，因此資源供給方會選擇租用機房，來滿足部分黑產快網速 IP 資

12、源的需求。2022 年代理 IP 需求激增，黑 IP 的資源供給方以代理 IP 平臺為主2022 年，黑 IP 的資源供給方主要是不合規的代理 IP 平臺以及秒撥平臺，其中以代理 IP 平臺為主，隨著各大應用開始展示用戶 IP 歸屬地，代理 IP 的需求激增，無形中促進了代理 IP 平臺的數量增長。同時，代理 IP 平臺和秒撥平臺聯系緊密，很多動態代理 IP 都由秒撥平臺撥出。IPv6 日漸普及，支持 IPv6 的秒撥平臺數量逐年增加19IPv6 在國內日漸普及，對黑 IP 資源供給方持續產生影響。目前，雖然代理 IP 平臺尚未提供 IPv6 的代理 IP，但自 20219 年起秒撥平臺已經提

13、供支持 IPv6 的秒撥機，同時支持 IPv6的秒撥平臺數量逐年增加。針對部分支持 IPv6 的秒撥機，經威脅獵人情報專家測試和分析發現：1、得益于 IPv6 遠大過 IPv4 的地址空間，IPv6 秒撥機撥出的 IPv6 地址重復率非常低，攻擊者完全可以做到每次攻擊使用不同 IP 地址，這給黑 IP 的識別帶來了新的挑戰；2、雖然 IPv6 秒撥機每次撥出來的 IPv6 地址不一樣，但在地址分配上仍然遵循著一定的規律。威脅獵人通過觀察到秒撥平臺對 IPv6 地址分配的規律，結合捕獲黑產使用的 IPv6 數據進行分析，形成識別規則，構成一套 IPv6 風險識別算法，能為企業檢測出業務流量中 I

14、Pv6流量在活躍時間內的風險值。隨著互聯網的快速發展和普及，全球 IPv4 地址已瀕臨枯竭。而 IPv6 作為替代 IPv4 的下一代 IP 協議，在 IP 地址數量、安全性、移動性、服務質量等方面有著巨大優勢，企業需要時刻關注黑產在 IP 資源供給側的變化，并及時采取應對策略。202.3 銀行卡、第三方支付、虛擬貨幣成主要網絡洗錢資源據有關部門統計，目前我國非法賭博人數超過千萬，每年境內流出涉賭資金超一萬億元，嚴重威脅國家經濟安全。針對全網賭博、跑分等違法平臺，威脅獵人情報研究員經過長期調查與數據分析發現，2022 年網絡洗錢的主要渠道如下：2.3.1 銀行卡銀行卡仍然是最主要的網絡洗錢渠道

15、，尤其是針對網絡賭博洗錢渠道。從 2022 年下半年起，黑銀行卡呈現快速上升趨勢，在世界杯期間月新增量超過 5 萬。21通過對比近兩年銀行涉賭卡數量占比的排名變化發現，排名上升最快的前 10 家銀行中有 8家是農村信用社，由此可見，隨著大行打壓，賭資洗錢風險有所轉移，農村信用社銀行卡逐漸被賭博平臺規?；?。222.3.2 虛擬貨幣由于匿名性、難以追蹤等特點，虛擬貨幣長期被黑產用于洗錢等地下交易支付渠道。2022年，用于洗錢的虛擬貨幣活躍數量較為穩定，并于 2022 年 11 月世界杯小組賽期間達到峰值，月活躍量超過 5 萬。2.3.3 充值繳費 APP黑產惡意利用某些 APP 的話費、電費等

16、充值繳費功能，通過低價代他人充值繳費完成洗錢，2022 年，充值繳費的洗錢方式被更多黑產所利用。以代繳電費為例，2022 年下半年通過代繳電費進行洗錢的虛假賬號數量呈快速上升的趨勢。232.2.4 數字人民幣數字人民幣錢包作為一種新興的支付方式，從 2022 年 7 月起，普遍被網絡賭博平臺用于收款洗錢，呈現出明顯上升趨勢。24數字人民幣錢包主要分為四類，最低權限的“第四類錢包”屬于匿名錢包，用戶僅憑手機號便可開通，匿名賬戶之間可以任意轉賬，成為賭博平臺繞過支付監管的新型充值方式。威脅獵人調查發現，由于數字人民幣“第四類錢包”無需綁定用戶身份信息，有手機號即可注冊，洗錢團伙會利用專門提供手機小

17、號并接收驗證碼的平臺，批量注冊數字人民幣錢包賬戶，或直接租用、購買普通民眾的數字人民幣賬戶，用于收取賭資。在將賭資進行轉移后注銷數字人民幣賬號，從而規避監管。25黑灰產攻擊技術分析0326三、2022 年黑灰產攻擊技術分析黑灰產在進行作惡時，會采用各類攻擊技術進行批量、自動化攻擊，以達到短時間內獲得更多收益的目的，2022 年黑灰產主要攻擊技術包括改機技術、改定位技術、人臉認證繞過技術等。3.1 三大類改機技術依然活躍，定制 ROM 改機技術成為主流改機是黑產大規模作惡所依賴的重要技術手段，主要指通過特定的技術，修改手機的品牌、型號、串碼、IMEI、MAC 地址等設備信息，從而“偽裝”成一臺新

18、的設備，黑產可以通過改機批量偽造新設備來繞過風控。目前，改機工具類型主要包括：軟件改機、ROM 改機、硬件改機。3.3.1 軟件改機中，LSPosed 框架因隱蔽性高成為主要改機框架軟件改機：軟件改機已經出現多年，其核心技術是通過抓取與設備信息相關的函數并修改函數返回值來達到改機效果。軟件改機一般都會用到 Hook 框架，Hook 框架包括 XPosed 框架、LSPosed 框架，其中LSPosed 框架在近幾年興起并不斷成熟，2022 年 LSPosed 框架已經成為了軟件改機使用的主流框架，相比 XPosed 框架，LSPosed 框架更難以被檢測。27以特征文件等檢測點為例，LSPos

19、ed 框架相對不容易被檢測出的原因如下：此外 LSPosed 框架還有以下一些優勢：1、LSPosed 在設計之初就考慮到了對 XPosed 的原生兼容，所以已有的 XPosed 模塊無需改動即可在 LSPosed 框架上運行。2、對于開發者而言，LSPosed 依舊采用 Xposed 開發包開發模塊，沒有額外的學習成本，可輕易在 LSPosed 框架上開發想要的模塊。3、目前 LSPosed 框架維護和更新比較穩定，不用擔心可用性問題。3.3.2 定制 ROM 改機成為目前最主流的改機方式定制 ROM 改機：從威脅獵人的攻防實踐及客戶實際測試效果來看，軟件改機的成功率并不高，為了提高成功率，

20、黑產也在不斷開發更底層的改機技術，其中就包括定制 ROM 改機。定位 ROM 也不是新技術，其核心原理是通過修改 Android 源代碼進行改機。2022 年定制ROM 改機技術更加成熟：一方面，有專業團伙負責維護各種品牌手機的 ROM 包（包括驅28動）；另一方面，有專業團伙負責解各種品牌手機的設備鎖。在多方配合與成熟運作之下，無需從零打造“作案工具”。目前，定制 ROM 改機已經成為了最主流的改機方式。與軟件改機相比，定制 ROM 改機的優點如下：1、ROM 改機所修改的源代碼并未運行在目標應用進程中，因此防守方無法在檢測上與之正面對抗；2、ROM 改機無需 Root 手機，因此防守方無法

21、通過檢測 Root 環境來標記設備風險；3、ROM 改機可以輕易修改設備的任意信息，且穩定性高。定制 ROM 改機為何難以檢測？如果將一臺電器比作改機目標，將控制其電源比擬為改機過程，軟件改機則是“入室控制電源”，極易被檢測發現，而 ROM 改機則是”直接控制發電廠”，從根源進行遠程破壞，防守者很難與之正面對抗。具體的技術原理如下：我們以修改設備的 IMEI 值為例，解釋定制 ROM 改機的技術原理。在 Android 系統上，獲取 IMEI 值調用的 getDeviceID 函數，這其實是一個 IPC 調用。響應方是系統的 Phone 服務（對應的進程包名是 com.android.phon

22、e），并最終會調用到 Phone.getDeviceID 函數。通過改寫該函數，根據 IPC 調用方的 uid 來判斷是否是改機目標應用；如果是，則調用 getHookValue 返回偽造的 IMEI 值；如果不是，則返回真實的 IMEI 值。整個過程如下所示：293.2 改定位技術中，“劫持系統位置服務”被黑產普遍使用改定位，指修改設備可用于定位的信息，包括 GPS、wifi、基站等，從而將設備“偽裝”到指定的地址。改定位技術被廣泛運用于各種業務欺詐行為，如：1.偽造虛假的司機出行記錄騙取平臺補貼；2.將定位改到特定地點并通過社交軟件的“附近人”功能進行色情引流；3.限定地區參與的營銷活動，

23、通過修改定位突破限制獲得活動資格等。改 GPS 定位主要有以下幾種方式：1、比較初級的方式是將定位信息注入到目標 App，通過 Hook GetLastLocation 或GetLastKnownLocation 函數，偽造返回的經緯度信息。這種方式比較容易被檢測，黑產已經很少使用；302、通過定制 ROM 技術也可以偽造 GPS 信息，原理和與改機類似，這種方式目前尚未被黑產普遍使用；3、目前，劫持系統位置服務被黑產普遍使用，劫持系統位置服務通過 Hook 關鍵函數并偽造函數返回值，因不在目標應用進程空間而難以檢測。劫持系統位置服務被黑產普遍使用，其技術原理及具體步驟如下：原理：在 Andr

24、oid 系統中，獲取 GPS 信息會調用系統的位置服務；而該服務運行在system_server 進程中，對應的 Java 類是：com.android.server.LocationManagerService，因此通過劫持 LocationManagerService 中的相關函數，可以達到偽造定位的效果。步驟：1、向 system_server 進程注入惡意模塊；2、惡意模塊的入口代碼，通過 Class.forName 反射調用，找到 LocationManagerService對象；3、Hook LocationManagerService 對象的多個函數，其中就包括 getLastL

25、ocation 函數：4、在劫持的 getLastLocation 函數中，判斷是否需要改定位。如果是，構造一個 Location對象，填充偽造的經緯度信息并返回；如果不是，則調用原本的 getLastLocation 函數并返回。313.3 人臉認證繞過技術中，定制 ROM 劫持攝像頭成常用攻擊方式人臉認證繞過，黑產俗稱“過臉”或者“過人臉”，隨著越來越多的應用進行實名認證同時使用人臉識別技術，黑產對于人臉認證繞過技術的使用更加普遍，具體包括定制 ROM 劫持攝像頭、云手機虛擬相機等。定制 ROM 劫持攝像頭同樣通過修改 Android 源代碼來實現，由于這種技術改寫了比較底層的 Andro

26、id 源代碼，因此難以被檢測，成為了 2022 年黑產常用的劫持攝像頭的攻擊方式。32定制 ROM 劫持攝像頭過程如下：1、當應用使用攝像功能時，會調用 Camera.open 函數去打開前置或者后置攝像頭，并最終進入 Native 層的 libandroid_runtime.so 調用android_hardware_camera.native_setup 函數；2、native_setup 函數中會并構造一個 JNICameraContext 對象（相機上下文），通過操作這個對象使用攝像功能；3、劫持攝像頭的定制 ROM 改寫了 JNICameraContext 對象的源代碼，再其構造函數

27、中主動加載了一個惡意模塊；4、這個惡意模塊集成了 ffmpeg 庫（一款優秀的視頻編解碼庫）。通過調用 ffmpeg 庫，打開想要替換的視頻文件，并對文件進行解碼，將其轉換成攝像頭錄制的視頻流格式，并進行替換，最終達到劫持效果。33此外，威脅獵人通過藍軍攻防實踐發現，云手機虛擬相機也可以繞過人臉認證。目前市面上出現了眾多的云手機平臺，其中大部分是基于瑞芯微(rockchip)的 RK 系列芯片開發，部分云手機平臺開發并提供了“遠程虛擬相機”的功能。從實際測試效果來看，云手機虛擬相機繞過人臉認證的成功率較高。面對改機、改定位、人臉認證繞過等日漸猖獗的黑產技術，企業很難從單一技術角度與之正面對抗，

28、可以從情報維度及時監測并分析使用該技術的各類黑產資源，及時進行針對性防御。34黑灰產攻擊場景分析0435四、2022 年黑灰產攻擊場景分析4.1 2022 年營銷作弊仍然是黑灰產最主要攻擊場景企業開展營銷活動時，往往會投入現金、實物或虛擬商品等各種獎勵來吸引用戶，但同時也吸引了大量的黑產參與活動并薅取獎勵。2022 年營銷作弊仍然是黑灰產最主要的攻擊場景，攻擊目標覆蓋全行業，以下是 2022 年較為常見的活動類型：2022 年各行業為刺激消費，立減金成重要營銷活動類型排名靠前的活動類型中，除立減金外，其他往年也都排名前列。立減金是一種發放給用戶的現金券，在客戶消費時可以進行抵扣。362022

29、年各行業為了刺激消費，立減金成為了重要的營銷活動類型，多家銀行都曾推出各種形式的立減金活動。由于缺乏營銷作弊的防控經驗和手段，當活動參與資格及變現方式較為寬松簡單，便極易遭到黑灰產的攻擊。以某銀行立減金活動遭受到的作弊攻擊為例參與該活動的用戶沒，每人可領取 5 元立減金，黑產找到了該活動的變現路徑，發起了大規模持續攻擊，預估造成的營銷費用損失將近 100 萬，攻擊全過程如下：37專業黑產團伙發起的規?；魧ζ髽I造成的損失極大，這種攻擊往往需要具備以下兩個要素：1、大量虛假賬號：單個賬號營銷作弊的收益往往不會太高，因此黑產團伙一般通過大量虛假賬號來積累收益，虛假賬號的主要來源就是黑手機卡，如何

30、有效識別黑手機卡成為對抗營銷作弊的關鍵；2、自動化攻擊：針對營銷活動開發的自動化攻擊工具，可以高效完成注冊、拉新、助力等活動任務并薅取活動獎勵，自動化攻擊的主要方式有兩種：改機+群控：通過改機技術偽造出多臺設備，通過群控技術批量操控多臺設備，對于這種攻擊方式，如何有效識別風險設備環境成為關鍵。協議攻擊：破解注冊、登錄以及跟活動相關的 API 接口，批量偽造接口請求。對于這種攻擊方式，對 API 接口進行安全加固以及如何識別風險流量成為關鍵。384.2 刷量產業鏈不斷進化，新型“高級賬號”刷量悄然出現在如今“流量為王”的時代，刷量已成為互聯網行業心照不宣的“潛規則”。由于各大內容平臺以閱讀量、粉

31、絲數、點贊數等數據作為影響力的評判標準，內容發布者為了提高排名獲得更高的曝光度，不惜制造虛假的流量數據。在流量思維的主導下，數據造假風氣盛行。2022 年，內容平臺虛假刷量熱度依舊，刷量方式除了協議刷量和真人眾包刷量之外，還衍生出了新型的高級賬號刷量方式。協議刷量：協議刷量是“流量造假”的原始手段，即直接采用“代理 IP+用戶登錄態”來模擬協議并編寫代碼，實現自動化刷量，簡單、直接、技術含量低。39真人眾包刷量：真人眾包刷量指刷量者在“真人眾包任務平臺”或“刷量任務群聊”發布刷量任務，以任務賞金的形式吸引真人用戶，并讓其按照特定流程進行刷量。協議刷量和真人眾包刷量在 2021 年 8 月至 2

32、022 年 12 月的熱度走勢如下，可以清晰看到協議刷量整體呈現明顯下降趨勢；而真人眾包刷量在 2022 年初有明顯下降，經研究分析主要是受到網信辦“清朗”系列專項打擊活動的影響，而在 2022 年 2 月以后呈現出逐步恢復并上升的趨勢。2022 年“協議刷量”明顯下降，“真人眾包刷量”穩中有升，經研究分析主要原因如下：1、協議刷量的難度增加。隨著各內容平臺安全建設水位的不斷提升，無論是協議的破解難度，還是繞過機器流量識別的難度，相比以前都大大增加，而且一旦被發現，會面臨平臺的嚴懲；402、真人眾包刷量效果遠超協議刷量。真人眾包刷量都是真人操作，難以從技術上進行識別。威脅獵人與國內某頭部內容平

33、臺合作，進行真人眾包刷量測試，實測成功率很高且平均速度很快，完成任務平均用時僅需 4 分鐘；3、真人眾包刷量任務價格適中。目前真人眾包刷量的任務類型主要為：下載、評論、點贊、瀏覽、收藏、關注、喜歡、投幣等。這些任務的價格不算高，單價在 0.2 元/條左右，買家完全可以接受這個價格；4、專項打擊對刷量產業鏈影響較大。在監管部門專項打擊活動期間對刷量產業鏈震懾效果明顯，但由于刷量市場需求很強，專項打擊過去一段時間后，不少真人眾包平臺很快恢復了刷量任務的發布，且任務數量持續上升。2022 年，真人眾包刷量成為了黑產刷量的最主要方式。此外，針對頭部內容平臺，黑產刷量衍生出了一種新型刷量手段：高級賬號刷

34、量。其刷量賬號具有等級高、內容多、粉絲數量多等特征，如“千粉號”、“萬粉號”、“千粉千贊”等，由于這類賬號在平臺上的可信度和影響力大于一般賬號，因此在評分、排名等方面擁有更高的權重，從而可以達到更好的刷量效果。414.3 機器作弊效果日益變差，真人作弊成電商作弊主要手段2022 年電商場景因于平臺風控日益完善，機器作弊效果日益變差，真人作弊成為黑灰產的主要作弊手段，而風險主要集中在店鋪刷單、黃牛代下、湊滿減和惡意賠付四個細分場景。1、店鋪刷單：店鋪刷單指平臺賣家付費委托刷單黑灰產，通過刷單工具、真人刷手等方式向指定的平臺賣家購買商品、填寫虛假好評來提升店鋪銷量、信用度和評分、獲取平臺流量。店鋪

35、刷單不僅誤導消費者的購物決策，引發店鋪不公平競爭，還會嚴重影響平臺的正常運營。2022 年度，威脅獵人監控到與電商平臺相關的刷單線報超過 15 萬，較 2021 年增長了26.15%。2022 年店鋪刷單作弊的主要方式如下：刷單手法手法介紹真人刷單真人刷手接受任務后向指定的平臺賣家購買商品、填寫虛假好評來提升店鋪銷量、信用度和評分直播引流刷單主播在其直播間的商品櫥窗掛低價值福利品而非商家主營商品，購買鏈接指向作弊商家，通過吸引真人用戶購買+好評，來提高店鋪整體排名，全程僅需店鋪配合掃碼即可。422、黃牛代下：黃牛代下指黑灰產雇傭真人遠程下單，來批量薅取活動限購的優惠商品，目前也形成了一個成熟的

36、產業鏈。黑灰產實時監控各個商家的優惠商品，并通過 QQ 群、微信群等私域群組、報單網站發布代下方案，真人用戶按照黑灰產提供的商品鏈接和地址下單，并賺取黑灰產提供的傭金，而黑灰產收到商品后進行轉賣以獲利。黃牛代下導致大量優惠商品被專門的黑產團伙薅取，而正常用戶基本享受不到優惠，企業白白耗損大量營銷費用，久而久之正常用戶甚至會流失到黑產的轉賣渠道。代下產業鏈的的核心是：“下單發貨到特定地址”。黃牛中介在不同渠道發布的代下商品方案中，包含下單商品及統一的下單地址，而統一地址背后往往的大型的收貨團伙/大貨主，收攏來自全國大量分散的代下團伙的代下商品。因此，平臺方可以收集分析此類下單地址，針對該類訂單/

37、賬號實施對應風控策略。3、湊滿減：湊滿減指羊毛黨通過研究電商平臺的滿減要求，為以最優惠價格購買目標商品選擇另外一款商品湊單達成滿減條件，付款后再對湊單商品進行退貨操作?？赡芤l湊單商品短時間內被大量退貨的風險，以及商家數據異常和庫存壓力。432022 年，威脅獵人檢測到“湊滿減”相關線報總量超過 68 萬條，涉及到的黑產群組超過1000 個，且整體呈上升趨勢。值得注意的是，在電商平臺大促活動期間，“湊滿減”風險尤其普遍且后果更為嚴重。以大促期間平臺跨店“湊滿減”為例：大促期間，平臺往往支持跨店湊滿減，湊單商品大多可通過口令形式便捷傳播、快速下單，同時平臺及店鋪支持無條件退款。同一個“湊滿減”商

38、品線報，往往會被不同的羊毛黨生成不同的口令在社交群聊中大肆傳播，因此湊單商品將會在短時間內面臨大量退貨風險。4、惡意賠付：惡意賠付指黑灰產或職業打假人利用法律法規、電商相關禁止規則，通過向商家套話或向有關部門舉報等方式，下單商品并惡意發起售后申請，向商家及平臺施壓要求索賠的行為。部分賠付教程通過引流、付費等方式被廣泛傳播及實操，極大影響了商家和平臺的正常運營。2022 年，威脅獵人通過監測相關黑灰產論壇及社群，挖掘黑灰產惡意賠付方案超 30 例，主要集中在頭部電商平臺。通過對方案進一步分析發現，當前的賠付方案主要圍繞不發貨、商品宣傳違禁詞、售假、三無、違禁品、食品安全等問題，尋找存在這些漏洞的

39、店鋪并發起惡意售后申請。44以某電商平臺“三無產品賠付”方案為例：該方案展現了賠付思路及操作流程，包括如何篩選賠付商品鏈接、下單、收貨注意要點、賠付話術等，具體內容如下：4.4 金融信貸欺詐給金融機構帶來大額經濟損失隨著金融+互聯網的發展，金融行業通過數字化轉型為用戶提供靈活與便捷服務的同時，也面臨著黑產不斷迭代演變的各類欺詐威脅。其中以金融信貸欺詐最為嚴峻，給金融機構帶來了壞賬和大額經濟損失。金融信貸欺詐：黑產中介利用貸款審批漏洞為貸款者申請貸款，或通過特定話術等方式，為貸款者成功申請延期、減免利息，而中介從中賺取高額提成，這類作惡行為會造成信用機構資金損失、大額壞賬。45當前信貸欺詐場景黑

40、產產業鏈結構如下：上游主要是掌握作弊渠道或技術的人員，負責提供擼貸渠道和技術；中游主要是信貸中介群體，負責作弊方案的傳播，并進行實際的代理操作下游主要是騙貸群體，作為實際的貸款者，騙貸群體主要分為幾類：因沒有資質而被銀行拒絕的用戶；想進行退息、退費等操作的用戶；被中介教唆或者惡意隱瞞而進行貸款的用戶。在信貸欺詐中，黑產的攻擊場景可以細分為：騙貸、反催收、背債招募、信通卡提額、退息退費等，其最終目的多為通過偽造資質證明，達到過身份的目的。主要的欺詐思路包括但不限于偽造資質及銀行流水、利用特定話術反催收等。46信貸欺詐的具體作惡思路如下：-偽造貸款用戶資質：黑產通過偽造資料幫助違約用戶貸款，其本質

41、是對申請人信息進行造假，常見造假項包括：工作單位、房產信息、公積金、工資流水等。仿冒銀行 APP 制作銀行流水：黑產通過仿冒假銀行 APP 偽造虛假流水，難以發現異常。該方法主要利用了不同銀行間的信息差：假設黑產想去 A 銀行申請貸款，并制作偽造 B 銀行的虛假 APP 及虛假流水，申請過程中黑產會向 A 銀行工作人員展示 B 銀行的虛假 APP及流水，因此 A 銀行不仔細分辨的情況下很難發現異常。提供反催收特定話術：2022 年，大量的信貸客戶由于疫情原因發生信貸逾期。很多黑產向這些客戶提供反催收的服務，最主要的手法就是提供反催收的特定話術和具體方法，服務包括停息掛賬、罰息減免、投訴賠償、征

42、信修復等。黑中介攻擊的主要貸款類型中，企業貸占比近 50%2022 年威脅獵人監測到黑中介攻擊的主要貸款類型包括企業貸、車抵貸、房抵貸、信用貸、公積金貸、社保貸、保單貸、創業貸、裝修貸、稅貸、流水貸、煙草貸、消費貸、學歷貸等，其中企業貸成為金融信貸欺詐者首要的攻擊目標，占比將近 50%。474.5 2022 年捕獲多個洗錢事件，預估涉案金額過億通過充值繳費 APP 進行洗錢的方式被眾多黑產所利用，2022 年威脅獵人風險情報平臺捕獲到多個相關案例，涉及 App 超過 10 個，預估涉案金額過億。以捕獲到的某充話費洗錢事件為例，黑產作案過程如下：1、賭客在網絡賭博、色情等違法網站上進行充值，選擇

43、支付方式為充話費；2、賭客點擊充值，則會跳轉到某違規聚合支付平臺；3、與此同時，普通用戶通過部分渠道購買打折/低價話費，進行話費充值；4、聚合支付平臺根據充值金額在某些 App 上發起等額的話費充值請求，生成訂單并獲取支付鏈接；5、聚合支付平臺將獲取的支付鏈接返回到賭博平臺；486、賭客根據支付鏈接完成話費充值，成功“上分”。于是普通用戶的話費，就這樣搖身一變成為了賭客的賭資。威脅獵人情報人員發現，非法第四方平臺通過聚合第三方支付平臺、合作銀行及其他服務商接口，對賭博平臺提供綜合支付結算業務。在此基礎上，四方支付平臺需生成大量充值訂單，極易被充值服務平臺識別為異常行為，為了規避充值服務平臺的檢

44、測與監管，非法四方支付平臺常采用“代理 IP”的形式隱藏身份，使網絡賭博平臺支付的違法行為更加隱蔽。49風險對抗思路0550五、風險對抗思路黑灰產日漸猖獗，讓互聯網、金融、電商、游戲等各行業深受其害。對于防守方而言，不能只是被動的防御，更需要持續的監測與響應，主動掌握黑灰產的動向。因此，情報能力就變得尤為重要。無論是傳統的黑灰產攻擊場景，還是最近愈發嚴重的因 API 管控不當引發的數據安全問題，都可以以情報為依托，建立風險管理的安全基線。利用豐富的黑灰產情報數據，企業可以：在外部黑灰產治理中，通過全網多渠道監測及時監測、感知攻擊風險，分析提煉出黑灰產具體動向、使用工具/物料等攻擊信息，從而及時

45、進行針對性防御。黑灰產在發起攻擊時必然會用到一些資源，比如 IP、黑產作惡工具等，利用威脅獵人豐富的黑灰產情報數據，提取黑產攻擊模式及資源特征，與企業業務中的異常流量進行匹配，快速識別風險：1、利用威脅獵人風險情報平臺監測到的風險 IP 標簽，對客戶業務流量進行標記，一方面持續監測各業務 API 的風險 IP 訪問趨勢變化，另一方面通過對比數據，分析出正常用戶與風險 IP 在該 API 下的請求行為序列的區別，判定該 API 是否有被攻擊的風險；512、針對攻擊 IP，提供風險 IP 畫像訪問次數、地域、風險等標簽信息，以 API 接口的方式實時輸出攻擊特征 IOC，之后再聯動企業其他安全系統及時阻斷攻擊流量，提高阻斷的效率，實現多點防御。借助“情報”能力，企業可以從全局視角出發，全面、及時感知內部 API 資產風險與黑灰產團伙的軌跡與動向，精準預警并輸出攻擊者的 IOC 情報等，然后聯動風控系統或 WAF等快速處置攻擊風險，面對日益嚴峻的黑灰產風險與挑戰，做到從容應對，有力反擊。52