1、1黑產大數據2024 年互聯網黑灰產趨勢年度總結2關于威脅獵人威脅獵人 Threat Hunter（深圳永安在線科技有限公司）成立于 2017 年，以黑灰產情報能力和反欺詐技術為核心，專注于及時、精準、有效的業務欺詐風險的發現和響應。公司圍繞不同行業在數字化發展過程中面臨的業務欺詐、數據泄露、釣魚仿冒、API 攻擊等風險場景，提供成熟多樣的產品與服務，并多次入選 Gartner 技術成熟度曲線報告、IDC 威脅情報領域代表廠商。公司總部在深圳，在北京、上海、重慶、新加坡等地設有分公司，并在深圳和重慶兩地建立數字風險應急響應中心（DRRC），為客戶提供 7*24 小時全天候數字風險應急響應和及時

2、、優質的服務支持。截至目前，公司已為金融、政務、物流、互聯網、科技、零售等行業的 300 多家客戶提供安全服務，覆蓋 85%頭部互聯網企業，每年幫助客戶減少數十億資金損失。3前言2024 年，互聯網黑灰產攻擊依舊嚴峻。不管是在黑灰產團伙規模，還是攻擊資源、攻擊技術的應用以及攻擊場景的演變，均出現了較大的變化。在攻擊資源方面，2024 年威脅獵人捕獲全球新增作惡手機號 1600 多萬例，日活躍作惡 IP1170萬例，較 2023 年大幅提升。為躲避風控監測，黑灰產不斷升級技術尋找更加隱蔽的攻擊資源，如通過在正常用戶設備植入木馬將其 IP 作為攻擊資源、“商戶洗錢”產業鏈快速發展等。在攻擊技術方面

3、，2024 年黑產團伙對通用技術的應用也有新的發展，如濫用“子母機”繞過身份認證、利用“NFC 遠程傳輸軟件”進行境外洗錢、定制化云手機系統提升攻擊效率等等。在攻擊場景方面，線上業務欺詐、金融貸款欺詐、品牌廣告欺詐、API 攻擊、釣魚仿冒、數據泄露、電信網絡詐騙等場景熱度持續高漲。線上業務欺詐已進入深水區，全行業、全業務環節無差別攻擊；“王星事件”更是進一步提升了公眾對電信網絡詐騙的關注度。威脅獵人發布2024 年互聯網黑色產業鏈研究報告，基于對 2024 年互聯網黑色產業鏈的深入研究，從 2024 年黑灰產攻擊資源、攻擊技術、攻擊場景等維度進行分析，客觀呈現 2024 年互聯網黑灰產的整體發

4、展態勢，旨在從情報維度幫助各行各業企業提升對黑灰產的認知，從而進一步完善風控策略。4目 錄關于威脅獵人.2前言.3一、2024 年互聯網黑灰產攻擊資源分析.61.1 2024 年作惡手機號資源分析.61.2 2024 年作惡 IP 資源分析.161.3 2024 年網絡洗錢資源分析.221.4 2024 年風險郵箱資源分析.32二、2024 年互聯網黑灰產通用型攻擊技術分析.342.1 身份繞過技術演化：黑產利用“子母機”繞過認證，無資質人員也可平臺接單.342.2 黑產利用“NFC”遠程傳輸軟件進行境外洗錢，達到轉移違法資金的目的.362.3 定制化云手機系統，進一步提升黑產攻擊效率.38三

5、、2024 年互聯網黑灰產攻擊場景分析.413.1 線上業務欺詐場景.413.2 金融貸款欺詐場景.513.3品牌廣告欺詐場景.603.4 API 攻擊場景.633.5 釣魚仿冒場景.663.6 數據泄露場景.693.7 電信網絡詐騙場景.76寫在最后.805012024 年互聯網黑灰產攻擊資源分析6一、2024 年互聯網黑灰產攻擊資源分析1.1 2024 年作惡手機號資源分析1.1.1 2024 國內作惡手機號新增數量超 800 萬，較 2023 年提升 30%據威脅獵人情報數據顯示，近年來國內作惡手機號數量持續上漲，2024 年新增量級超 800 萬，較 2023 年增長 30%。作惡手機

6、號資源中，“貓池卡”和“攔截卡”占比最高，下文 1.1.2 和 1.1.3 將重點分析 2024 年“貓池卡”和“攔截卡”資源的變化情況。1.1.2 2024 年貓池卡資源分析（1）2024 年國內新增貓池卡 615 萬，較 2023 年增加 4.86%7據威脅獵人情報數據顯示，2024 年國內新增貓池卡 615 萬個，較 2023 年上升 4.86%。貓池卡：指通過“貓池”網絡通信硬件實現同時多個號碼通話、群發短信等功能的作惡手機卡。從 2024 年國內貓池卡數量的變化趨勢來看，2 月、6 月到 9 月期間，新增國內貓池手機卡數量呈現下滑趨勢。經威脅獵人情報專家分析，出現這一趨勢的主要原因是

7、：1、2 月因春節期間黑產交易放緩，攻擊者活躍度降低導致數量顯著下降，節后恢復穩步上漲趨勢；2、6-9 月期間，由于監管機構加強打擊，多個發卡平臺被關停，部分卡商被捕，造成供應減少，導致新增貓池卡數量下降。（2）2024 年國內新增貓池卡歸屬省份 TOP3：上海、北京、遼寧8威脅獵人情報數據統計顯示，2024 年國內新增貓池卡歸屬地省份（含直轄市）主要集中在上海、北京、和遼寧省。其中，歸屬地在上海的貓池卡數量同比 2023 年增長了 87.86%。威脅獵人關注到，今年上海的貓池卡在全年各月均保持較高數量，活躍在發卡平臺的頭部卡商今年也持續提供上海貓池卡。通過對上海今年新增的貓池卡來源渠道分析，

8、發現來自發卡平臺的貓池卡數量占比超過一半：92024 年國內新增貓池卡歸屬地 TOP10 對比 2023 年變化情況如下：【關注】2024 年歸屬地為中國香港的作惡手機號持續增長，全年捕獲 78.25 萬例值得關注的是，威脅獵人情報數據顯示，自 2024 年 3 月起，歸屬地為中國香港的風險手機卡交易數量大幅增長，9 月份達到峰值。由于下游詐騙黑產需求旺盛，中國香港手機號因可注冊國內外應用、成本低、可用時間長等特點，仍被黑產大量需求。10對比其他境內手機卡，中國香港手機卡具備如下特點：1、注冊范圍廣：香港手機卡注冊范圍廣，可注冊 Telegram、WhatsApp 等海內外應用；2、在線使用時

9、間長：香港手機卡接碼服務的在線使用時間相對其他境內卡更長，一般可保證一個月重復使用，而其他境內手機卡一般為數日；3、價格較低：香港手機卡的價格相對其他境內卡接碼價格更低；4、支持多種接碼形式：香港卡支持多種接碼形式，目前威脅獵人在接碼平臺、發卡網站、私域接碼均發現了香港相關手機卡的作惡記錄。（3）2024 年國內新增貓池卡歸屬為三大運營商的占比為 76.42%，比去年提升 14.51%威脅獵人情報數據顯示，今年國內新增貓池卡的歸屬運營商主要為基礎運營商，占比高達 76.42%，相比去年提升了 14.51%。威脅獵人情報人員通過調研發現，今年三大運營商占比提升，主要是很多企業進一步提升對虛擬運營

10、商手機卡的風險控制，導致黑產對國內三大運營商的手機卡資源需求增加。11（4）【關注】2024 年貓池卡發卡平臺數量增加了 39.37%，但平臺生存周期縮短威脅獵人持續監控黑灰產作惡資源來源渠道變化趨勢，發現作為貓池卡主要貢獻渠道的發卡平臺在 2024 年數量大幅增加，但生存周期縮短：2024 年新出現了 171 個貓池卡發卡平臺，同步 2023 年增長 39.37%，但其中有 24%的貓池卡發卡平臺運營時間不足一周。威脅獵人進一步調研發現，今年發卡平臺遭受了較強的監管壓力，多個發卡平臺以及活躍的貓池卡卡商因遭受監管打擊而停止運營或活躍。此外，威脅獵人對目前還存活的貓池卡相關發卡平臺進行測試發現

11、，一些黑灰產為了防止被監管打擊，會采取一些較高的安全措施，包括但不限于周期性訂單刪除、使用加密貨幣支付、頻繁修改接碼地址、限制異常訪問和支付等。121.1.3 2024 年攔截卡資源分析（1）2024 年國內新增攔截卡 196 萬例，較 2023 年增長 405.50%據威脅獵人情報數據顯示，2024 年國內新增攔截卡大幅增加，共有 196.64 萬例，較 2023 年增長 405.50%。威脅獵人研究發現，一月份攔截卡數量大幅提升是因為去年年底新出現的一個攔截卡渠道，投放了大量攔截卡資源，2024 年該渠道貢獻攔截卡數量近百萬余例，占今年整體數量的 48.82%。但該渠道在 2024 年 6

12、 月到 7 月期間暫?；钴S，最終在 2024 年 12 月停止運營。（2）2024 年國內新增攔截卡歸屬省份 TOP3：廣東、山東、四川威脅獵人情報數據統計顯示，2024 年國內新增攔截卡歸屬地省份（含直轄市）主要集中在廣東、山東和四川。132024 年國內新增攔截卡歸屬地 TOP10 對比 2023 年變化情況：（3）2024 年國內新增攔截卡歸屬為三大運營商的占比為 98.99%威脅獵人情報數據顯示，今年國內新增攔截卡的歸屬運營商 98.99%為基礎運營商，歸屬其他運營商的占比 1.01%。14（4）【關注】“群接碼”模式簡化黑產使用攔截卡的流程，并使攔截卡真實平臺更隱蔽威脅獵人研究發現，

13、攔截卡的接碼方式也逐漸從傳統的攔截卡平臺接碼模式轉變為“群接碼”模式。這種模式下，攔截卡卡商隱藏真實號碼，僅展示打碼號碼，只有黑卡購買者可獲取完整號碼完成接碼作惡。傳統的攔截卡平臺接碼樣例：“攔截卡”的群接碼模式接碼樣例15相比傳統攔截卡平臺使用專屬接碼工具接碼，這種模式的優勢在于：1、使用更便利，卡商只需提供號碼和接碼鏈接，無需為下游代理或黑卡使用者開設賬戶或配置權限；2、更高隱蔽性，卡商可通過“群接碼”模式隱蔽真實的平臺信息，不將平臺的敏感信息暴露于使用者。目前，通過“群接碼”渠道日均捕獲作惡短信記錄 1269 例，作惡記錄最高峰為 11 月，捕獲作惡短信記錄近 6 萬例：161.2 20

14、24 年作惡 IP 資源分析1.2.1 2024 年日活躍作惡 IP 有 1178 萬，較 2023 年提升 95.68%據威脅獵人情報數據顯示，近年來日活躍作惡 IP 數量持續上升，2024 年日活躍作惡 IP 數量達到1178 萬，較 2023 年增長 95.68%1.2.2 2024 年國內作惡 IP 資源分析（1）2024 年國內作惡 IP 有 7794 萬個，同比 2023 年增長 31.96%2024 年，威脅獵人共捕獲國內作惡 IP7794 萬個，同比 2023 年增長 31.96%。威脅獵人研究發現，2024 年國內作惡 IP 的大幅增長主要是劫持共用代理 IP 數量急劇增長導

15、致。2024 年，國內劫持共用代理平臺發展迅速，威脅獵人捕獲劫持共用代理 IP 數量超 4000 萬，占比從去年 14.91%提升至今年的 51.47%，且超過普通代理 IP 的占比。17劫持共用代理 IP：指被黑產惡意劫持的正常用戶 IP 資源。黑產通過在正常用戶設備中植入木馬，通過木馬在正常用戶網絡上建立代理通道，且每次使用時間很短，因此普通用戶難以感知到自己的 IP 被盜用。威脅獵人在 2024 年 1 月已把這類 IP 標記為“劫持共用代理 IP”風險標簽（2）2024 年國內作惡 IP 歸屬省份 TOP3：江蘇、廣東、河南威脅獵人情報數據統計顯示，2024 年國內活躍的作惡 IP 歸

16、屬省份（含直轄市）主要集中在江蘇省、廣東省和河南省。其中，河南省量級提升最大，提升了 54.45%，排名也從 23 年的第六到了第三。18（3）【關注】黑產 IP 資源獲取技術升級，利用正常用戶的 IP 資源規避風控檢測隨著網絡安全監管及企業風控策略的增強，為規避風控檢測和追蹤，黑產也在升級技術嘗試挖掘更加隱蔽的 IP 攻擊資源。近年來，威脅獵人陸續發現正常用戶與不法分子混合使用的作惡 IP 類型，并對其進行深入研究，于 2024 年推出劫持共用代理 IP、云服務 IP、云手機 IP等風險標簽。1.2024 年劫持共用代理 IP 占比過半，成為攻擊者主要使用的攻擊資源劫持共用代理 IP 是指被

17、黑產惡意劫持的正常用戶 IP 資源。威脅獵人發現，黑產通過在正常用戶設備中植入木馬，通過木馬在正常用戶網絡上建立代理通道，且每次使用時間很短，因此普通用戶難以感知到自己的 IP 被盜用。劫持共用 IP 大部分時間是正常用戶的常規行為，僅少數時間被黑產劫持用于短暫惡意行為，因此平臺風控會直接將其視為正常用戶，忽視其短暫作惡行為，這就使得黑產使用劫持共用 IP 的成功率往往高于普通代理 IP，導致越來越多的平臺轉向劫持共用代理 IP 資源。這類劫持共用代理 IP 在 2023 年底出現，2024 年快速發展、數量急劇增加，2024 年威脅獵人捕獲劫持共用代理 IP 超 4000 萬，同比增長 34

18、1.81%，且超過了普通代理 IP 的數量。192.黑產濫用云技術：云函數與云手機群控技術成黑產 IP 作惡新手段云服務技術為各行業帶來便利的同時，也在被黑產濫用。一些黑產將云技術成果轉為作惡工具，如借助云服務搭建代理 IP 資源池、利用云手機的群控設置向企業發起攻擊等。威脅獵人發現，一些攻擊者為了掩蓋真實源 IP，會利用云計算平臺的云函數 IP 搭建代理 IP 池執行攻擊，或者利用云手機的群控配置執行批量攻擊，威脅獵人將這兩種方式產生的 IP 定義為云服務 IP、云手機 IP。不管是云服務 IP 還是云手機 IP，都是廣泛服務眾多正常用戶，因此平臺風控一般會直接將其視為正常用戶，忽視了它們的

19、作惡行為。201.2.3 2024 年國外作惡 IP 資源分析（1）2024 年捕獲國外作惡 IP 4479 萬個，同比 2023 年增長 102.14%2024 年，威脅獵人加強對海外作惡 IP 進行的監測，2024 年共捕獲海外作惡 IP4479 萬個，相比2023 年提升了 102.14%。21（2）2024 年國外作惡 IP 歸屬國家 TOP3：巴西、美國、印度（3）國內外作惡 IP 類型占比存在差異，國外移動網絡占比遠超國內威脅獵人情報人員對國內和國外作惡 IP 類型進行分析，發現二者存在差異：國內作惡 IP 主要以家庭寬帶 IP 為主，占比將近 90%，國內作惡代理 IP、秒撥 I

20、P 和劫持共用代理IP 都與家庭寬帶密切相關；國外作惡 IP 雖然家庭寬帶占比也是最大，但移動網絡占比也比較高，超過 40%，進一步分析發現，這些 IP 主要來自流量卡，通過頻繁切換飛行模式來實現 IP 變化。221.3 2024 年網絡洗錢資源分析1.3.1 2024 年涉及洗錢的銀行卡資源分析（1）2024 年參與洗錢的銀行卡中涉詐卡占比最多，占比 42.03%威脅獵人對捕獲到的 33.6 萬張參與洗錢的銀行卡進行分析，主要分為涉賭卡、跑分卡和涉詐卡三種類型，其中涉詐卡占比最大，達到 42.03%。涉賭卡：活躍在賭博平臺中，為賭博平臺內收款使用的銀行卡，常被用于賭博平臺內進行充值收款行為，

21、關聯的資產涉及到賭博洗錢行為。威脅獵人通過人工和自動化結合的方式，從各類賭博平臺中采集用于收款行為的銀行卡賬號信息。跑分卡：活躍在跑分平臺，為跑分份子使用的銀行卡，常被用于各種非法來源資金的流通交易。威脅獵人通過自動化的方式，從跑分平臺 APP 中獲取到跑分訂單中的銀行卡賬號信息。涉詐卡：在各類匿名社交黑產群聊中，被詐騙團伙購買用于洗錢的銀行卡，常用于詐騙類黑資金轉移。威脅獵人通過自動化的方式，從各大匿名社交黑產群聊中發送的記錄中，提取出詐騙團伙所使用的銀行卡賬號信息。23（2）2024 年參與洗錢的銀行卡歸屬銀行分布：六大國有銀行占比最高威脅獵人通過對三類洗錢卡的監測數據發現，歸屬為六大國有

22、銀行的洗錢卡占比最大。這主要是因為其覆蓋范圍廣、客戶基數大，因此也更容易被黑產利用作為洗錢工具。這主要是因為其覆蓋范圍廣、客戶基數大，因此也更容易被黑產利用作為洗錢工具。*其他銀行包括：民營銀行、開發性金融機構及其他金融機構（3）2024 年參與洗錢的銀行卡歸屬地區分布：廣東省數量最多威脅獵人研究發現，三種類型的洗錢銀行卡歸屬地區分布上有相似也有差異：相同點：三種類型的洗錢銀行卡歸屬省份 TOP10（排名有先后）都是廣東、廣西、江蘇、湖北、山西、河南、重慶、四川、山東、云南，且 TOP1 都是廣東??；三種類型的洗錢銀行卡歸屬城市 TOP10（排名有先后）都是深圳、廣州、重慶、東莞、上海、武漢、

23、晉城、鄭州、成都；且 TOP3（排名有先后）都是深圳、廣州、重慶。24差異點：河南、山西、四川、云南和山東等地的涉詐卡數量均高于跑分卡和涉賭卡；重慶的涉詐卡和涉賭卡最多，深圳和廣州的跑分卡最多。（4）參與洗錢的銀行卡超過 50%活躍周期不到 1 天25威脅獵人研究發現，2024 年參與洗錢的銀行卡，超過 50%的卡只在 1 天內活躍，其中涉詐卡在1 天內活躍的占比達到 84.03%，高于跑分卡的 66.33%，和涉賭卡的 52.58%。這也說明，洗錢場景下，黑產更傾向于快速完成交易，具有明顯的短期、高頻操作特點，尤其是在詐騙洗錢場景下更明顯。1.3.2 2024 年對公洗錢賬戶資源變化分析洗錢

24、對公賬戶：對公賬戶指以公司名義在銀行開立的賬戶，洗錢對公賬戶指被黑產用于非法資金清洗的銀行對公賬戶，因對公賬戶具有收款額度大、轉賬次數多等特點，使得“對公賬戶”常常作為黑錢轉賬的集中點及發散點。（1）2024 年新增參與洗錢的對公賬戶 8059 個，較 2023 年上漲 58.05%2024 年，威脅獵人持續監測黑產在洗錢過程中所使用的銀行對公賬戶資源，根據威脅獵人情報監測洗錢對公賬戶數據顯示，2024年，新增洗錢對公賬戶數量大幅上漲，同比2023年增長了58.05%。26（2）2024 年涉及洗錢的對公賬戶所屬銀行中，城市商業銀行排行第一威脅獵人情報數據顯示，參與洗錢的對公賬戶歸屬銀行類型分

25、布中，城市商業銀行排行第一，占比 30.63%。進一步分析發現，今年城商行對公賬戶數量較 2023 年上升 8.13%，農信社和農商行的對公數量較比 2023 年分別上升 5.48%和 3.48%，而六大國有占比下降 11.21%。按照此趨勢，黑產利用對公賬戶洗錢的過程中可能開始轉向地方性銀行，威脅獵人將保持關注。（3）2024 年涉及洗錢的對公賬戶歸屬省份 TOP3：廣東省、山東省、河南省27（4）2024 年監測到涉及洗錢對公賬戶歸屬地區最多的三個城市：北京市、深圳市、上海市1.3.3 2024 年參與洗錢的商戶資源變化分析威脅獵人研究發現，洗錢團伙除了使用個人銀行卡、對公賬號等進行洗錢外

26、，也會利用“商戶賬號”進行洗錢?！吧虘簟蓖ǔＶ妇哂泻戏I業資格的商戶商家及商戶賬號。近年來，詐騙或洗錢團伙開始利用商戶賬戶收取“黑錢”來洗錢，使用商家資質開通的收款賬戶基本沒有收款額度限制，可支持花唄、信用卡等多種付款方式，相比傳統洗錢方式會更隱蔽和高效。28威脅獵人在 2024 年針對“商戶洗錢”產業鏈進行重點研究，發現目前已出現了“商戶代收”（商家碼）、“掃街碼”、“商戶反掃”、“商戶代付”（核銷碼）等多種商戶洗錢方式。（1）“商戶洗錢”成上升趨勢，2024 年參與洗錢的商戶及黑產團伙持續增多威脅獵人情報數據顯示，2024 年參與洗錢的商戶數量持續增多，下半年相比上半年增長了141.42%

27、。2024 年下半年，活躍的洗錢黑產團伙數量顯著增加，同比上半年增長 81.91%。29（2）2024 年參與洗錢的商戶歸屬地 TOP3 省份：廣東省、浙江省、四川?。?）2024 年參與洗錢的商戶歸屬地 TOP3 城市：深圳市、成都市、廣州市30（4）2024 年參與洗錢的商戶所屬行業分布 TOP3：零售業、批發業、餐飲業威脅獵人情報人員對參與洗錢的商戶進一步分析發現，這些商戶涉及 80 多個行業，其中零售業商戶占比最多，超過了 40%，其次是批發業、餐飲業。這類行業具備資金流動頻率高、交易對象多、資金結算快等特征，這些特征正符合黑產洗錢的要求，黑產利用此類商戶洗錢更不容易觸發風控。（5）【

28、關注】2024 年金融行業收單機構洗錢風險排名威脅獵人研究發現，在“商戶洗錢”產業鏈中，有一個核心的角色收單機構。收單機構既有企業性質的第三方收單機構，也有銀行自身作為收單機構角色。在威脅獵人監控的 300 多家涉及商戶洗錢風險的收單機構中，銀行自身作為收單機構的占比最多，達到 84.17%。31威脅獵人按照洗錢交易次數排名，將 2024 年涉及洗錢的收單機構整理輸出 TOP50 排名：321.4 2024 年風險郵箱資源分析2024 年捕獲高風險郵箱（臨時郵箱）域名數量 9334 個，占總量 4.57%。從 2024 年不同類型郵箱數量來看，2024 年捕獲郵箱 20.41 萬個，其中低風險

29、企業郵箱占總量76.58%，高風險郵箱（臨時郵箱）占比 4.57%，今年新增郵箱主要集中在企業郵箱。33022024 年互聯網黑灰產通用型攻擊技術分析34二、2024 年互聯網黑灰產通用型攻擊技術分析威脅獵人研究發現，由于各企業擁有不同的業務環境和風險控制措施，黑產組織針對這些企業所采用的惡意工具、攻擊服務也呈現出多樣性，但通過深入分析這些工具的底層技術特征，我們可以將攻擊服務劃分為“過身份”、“多身份”、“批量化”三大模塊，其中每個模塊涉及到多種底層攻擊技術，這些技術是實現各類具體攻擊行為的關鍵所在。2.1 身份繞過技術演化：黑產利用“子母機”繞過認證，無資質人員也可平臺接單威脅獵人研究發現

30、，2024 年黑灰產利用“子母機”技術，可使兩臺手機同時登錄同一平臺賬號，利用這一技術，黑產可實現兩個人同時共用一個平臺賬戶完成平臺相關操作。35“子母機”的應用邏輯是：黑產先用母手機登錄賬號完成身份認證，在通過代碼劫持獲取賬號的Cookie、設備環境等信息，再將這些信息復制到子設備上，替換其原始文件，并讓子設備讀取新信息。目前，出行、外賣等行業已出現此類工具的售賣，可能導致未經培訓或資質不符的司機/外賣員違規上崗，不僅影響平臺的服務質量，還可能危及平臺用戶的人身安全，給平臺帶來更大的損失和名譽受損?！境鲂衅脚_“子母機”示例】以出行行業某 APP 為例：首先，在 A 手機上登錄并認證完成了 A

31、 師傅的平臺賬號；然后，通過劫持等方式把 A 手機上的 cookie 和設備環境信息等，復制到 B 手機上；B 手機此時掌握在 B 師傅上，但 B 手機上的信息，是 A 師傅的賬號信息；36 每次人臉認證時，只需要在 A 手機上進行認證，即可在兩臺手機上都生效，A、B 師傅都可繼續使用賬號進行業務操作。具體流程如下：2.2 黑產利用“NFC”遠程傳輸軟件進行境外洗錢，達到轉移違法資金的目的威脅獵人研究發現，2024 年有黑灰產利用“NFC 技術”實現遠程洗錢活動。NFC（近場通信）是一種短距離無線通信技術，有效距離通常在 10cm 以內，廣泛應用于移動支付（如 Apple Pay、Google

32、 Pay）、門禁卡、數據交換等領域。37所謂 NFC 遠程傳輸，指的是先通過 NFC 技術讀取設備信息，再借由網絡遠程傳輸這些信息。例如，設備 A 讀取 IC 卡信息后，通過特定應用將信息發送至服務器或設備 B，設備 B 即可模擬該 IC卡使用。黑灰產正是利用這一技術，實現 IC 卡信息的遠程讀取與復原。即使手機設備 B 與 IC 卡物理上分離，也能執行如 POS 機支付等操作。最典型的攻擊案例便是洗錢：黑產將國內信用卡信息遠程傳輸至國外設備，利用這些信息進行 POS機消費，購買奢侈品、珠寶等，從而繞過信用卡交易的地理限制，完成洗錢行為。以威脅獵人發現的某款傳輸 APP 為例：該軟件介紹“不受

33、時間及國界限制，無論何時何地都能完成交易”、“可實體，可虛擬，支持所有錢包”：國內（傳卡方）、國外（接收方）兩部手機都下載這個軟件；使用國內的手機，去碰實體銀行卡，此時會將銀行卡的信息傳到了國內的手機上；國內手機接收到到銀行卡信息后，會通過手機上安裝的軟件把銀行卡信息傳輸到國外的手機上；國外手機通過軟件接收到銀行卡信息后，即可正常刷卡使用。38圖 A：國內手機(傳卡方)去碰銀行卡圖 B：國內/國外手機都收到了銀行卡信息圖 C：國外手機進行支付了操作具體流程如下：2.3定制化云手機系統，進一步提升黑產攻擊效率威脅獵人在 2023 年發布的互聯網黑灰產研究年度報告中指出，云手機平臺的配套服務日益豐

34、富，黑產技術呈現出集成化、服務化的特點。2024 年，我們繼續跟蹤觀察發現，云手機平臺不僅集成化、服務化趨勢愈發明顯，定制化趨勢也愈發成熟。39服務化主要提供完善的基礎攻擊工具，讓用戶基于這些工具實施攻擊。而定制化則是云手機平臺針對特定 app 進行風控繞過、開發對應的作惡腳本，并集成到云手機系統中，供用戶直接使用。以某社交 app 為例：黑產為其定制開發的云手機系統涵蓋了注冊、養號、引流變現等完整攻擊流程的自動化實現。這不僅降低了攻擊者的準入門檻，使新手也能進行傻瓜式操作，還讓攻擊者無需關注風控層面的對抗，從而極大提升了攻擊效率。40032024 年互聯網黑灰產攻擊場景分析41三、2024

35、年互聯網黑灰產攻擊場景分析3.1 線上業務欺詐場景本報告中的線上業務欺詐場景不局限于傳統營銷活動欺詐攻擊，只要是所有干擾業務正常運營，從正常的業務開展中牟利的惡意行為，都被稱之為“業務欺詐攻擊”，如營銷欺詐、惡意引流、刷量欺詐、認證繞過等。3.1.1 2024 年線上業務欺詐風險熱度不減，相關攻擊情報量近 3 億2024 年，威脅獵人共捕獲業務欺詐攻擊相關情報 2.72 億條，監測業務欺詐作惡群組 12 萬個，涉及作惡賬號 223 萬個。2024 年 12 月業務欺詐相關情報出現暴漲現象，威脅獵人情報人員進一步分析發現，12 月增長量中超過一半源自匿名群聊上的情報信息，這一現象主要是因為一些大

36、型賭博黑產團伙線上賭博活動頻繁，以及跑分洗錢團伙通過多賬號進行廣告“招商”和暴力引流所導致。422024 年，威脅獵人捕獲業務欺詐活躍作惡群組數月均 3.2 萬：2024 年，威脅獵人捕獲業務欺詐活躍作惡網站/論壇（暗網除外）月均 163 個，全年作惡帖子總量 926 萬例：2024 年，威脅獵人捕獲業務欺詐活躍作惡賬號數月均 32 萬：433.1.2 2024 年預警業務欺詐事件達 4158 起，涉及全行業、全業務威脅獵人風險情報平臺為客戶提供風險情報挖掘和事件預警服務，支持將黑灰產原始線索深入分析并結構化為有效的攻擊事件。在 2024 年，該平臺已為合作客戶預警了 4158 起明確的攻擊事

37、件，平均每月約 346 起。通過對這些攻擊事件進一步分析，我們發現業務欺詐攻擊已經滲透到多個行業、多個業務。也就是說，線上業務欺詐針對不同行業、不同業務環節呈現“無差別攻擊”，任何有利可圖的地方都是黑灰產的攻擊目標。通過對攻擊事件進行熱詞提取，我們發現當前業務欺詐攻擊不局限于過去專攻注冊登錄、領券搶單等業務，內容發布、商品管理、訂單交易、支付交易、售后支付、企業數據傳輸等各個環節均可能被黑產攻擊獲利。443.1.3 業務欺詐已進入深水區，真人作弊愈發定制化、角色邊界更加模糊隨著業務風控能力的不斷提升，大多數典型的機器作弊行為已被有效識別。盡管一些高端黑產仍在使用定制化技術進行對抗，但越來越多的

38、黑灰產開始轉向真人眾包作弊方式進行攻擊。從威脅獵人捕獲到的情報信息來看，2024 年，真人作弊行為變得更加定制化，角色多樣化，且界限模糊。主要體現在以下幾方面：（1）傳統的任務型眾包平臺，即以“發布任務”和“領取任務”為主的模式，無論是平臺數量還是任務數量，都在持續增長。2024 年以來，威脅獵人共捕獲到 889 萬個眾包任務，月均超過 63 萬個，高峰時期甚至達到 100萬個。45（2）黑灰產采取了更加隱蔽的眾包組織形式，如通過眾包私域群聊、開發專項 APP 來招募真人執行特定任務，這種模式類似于刷單真人群，很難被風控系統識別。這些專項任務可能包括變相刷單、瀏覽酒店頁面以增加瀏覽量、或使用真

39、人賬號掛機爬取平臺商品數據等。案例 1：以“酒店截圖”眾包項目為例，黑產開發了一款名為“指尖 xx”的 APP，通過該 APP組織兼職人員完成酒店截圖任務。參與者按照 APP 提供的教程，針對指定的入住平臺、日期、地區和酒店名稱，截取酒店頁面的價格信息并上傳。APP 會自動通過 OCR 技術識別并提取價格信息，參與者隨后可以領取相應的傭金。46案例 2：黑灰產以兼職名義創建群組，組織、招募真人使用其賬號對指定電商平臺商品鏈接進行訪問，按要求獲取商品對應件數、對應活動條件的到手價格上傳表格。這就是一種“真人爬蟲”行為。（3）欺詐角色邊界逐漸模糊，越來越多的真人用戶通過研究和利用平臺業務的“正當”

40、規則進行惡意牟利。近幾年，各平臺層出不窮的多倍賠付、僅退款教程、價保退款攻略，更多反映了在黑灰產“引導”下，以平臺真人用戶為主的欺詐趨勢。47案例：威脅獵人捕獲了一起羊毛用戶利用平臺保價政策結合支付券識別漏洞，“0 擼”或低價購買平臺商品，該類攻擊短時間內對平臺和開通價保的商家造成了大額的損失和退款。羊毛黨發現某平臺某類商品可領取滿減優惠券和支付券（合作銀行或平臺品類），但二者只能選擇其一使用；羊毛黨通過支付券購買了這款商品，然后利用商家的保價政策規則申請店鋪滿減優惠券保價金額（商家看不到用戶使用了支付券，因為是不同平臺），最終達到 0 擼或低價購入。威脅獵人情報人員針對這類型漏洞攻擊進行分析

41、，發現羊毛黨主要利用了兩個方面的漏洞：首先，他們利用了保價政策中對店鋪優惠券的補償機制，該機制原本是為了在短時間內對用戶發放補償；其次，他們利用了保價政策無法識別已使用支付券優惠的漏洞。這使得黑產分子能夠同時“享受”兩種優惠券的優惠。這種行為在短時間內對平臺和開通價保的商家造成了大額的損失和退款。483.1.4 黑產交易市場更加活躍，月均售賣商品 101 萬，涉及會員權益、教程工具、代下類服務黑灰產業鏈能夠持續不斷地高效運作離不開上游資源交易和下游套利變現，上游黑產通過特定渠道采購賬號、工具、手機號等攻擊資源，下游黑產通過各種渠道（發卡網站和二手閑置交易平臺等），將持有的上游攻擊資源以及攻擊所

42、得的優惠券、現金券、會員權益、實體商品等進行變現。自 2024 年 7 月正式上線黑灰產交易市場以來，累積捕獲到黑灰產交易商品 610 萬起，月均 101萬，大量活躍交易商品和豐富品類表明黑灰產攻擊活動仍處上升期、持續運轉。商品交易市場的流動，實則破壞了平臺用戶和玩家的平等權益，縮減、損害了業務方的預期收益?；?7 月份以來捕獲的黑灰產交易商品數據，交易熱度 TOP 的商品類別分別為：會員權益類、教程工具類和代下單服務類型，分別占交易商品總量的 22.16%、17.63%和 13.94%。49各商品大類下存在多個細分豐富商品，如會員權益類包含合作平臺聯合權益的會員轉賣、等級 vip權益；優惠

43、券類包含平臺紅包、優惠券、折扣券轉賣；教程工具類則是包含了一體機、繞過人臉驗證、改定位、搶購、搶單等自動化、批量化作弊工具、搬磚項目教程等；代下單服務類型包含了收取使用費，使用業務方折扣賬號、會員權益、補貼名額進行代下單和搶單等；代理服務類型與代注冊、資質繞過相關，其中有大量商品觸及違規。教程工具類商品：網約車子母機，受眾為資質未通過審核、欲多賬號接單擴大收益的作弊司機群體。代理服務商品：違規繞過服務，如利用信息差和內部渠道等手段，為申請資質不合規的商家店鋪、司機等，直接入駐平臺運營。代下單服務商品：各類低價卡券代下和自助下單商品，通過代下服務和上游搭建的自助對接下單系統，黑產將回收的券出售套

44、利，羊毛黨低于原價獲取商品。503.1.5 業務欺詐攻擊黑產逐漸向更隱秘的渠道轉移，監控難度進一步加大威脅獵人關注到，相比過去主要在普通社交平臺發布，現在更多業務欺詐黑產逐漸轉向更隱秘的渠道，如在 Telegram 等匿名群聊渠道上建立大量與業務欺詐相關的討論頻道。2024 年，威脅獵人監測到圍繞業務欺詐風險的討論量在匿名渠道上達到了 46 萬起，且每月呈現增長趨勢。對匿名渠道內中活躍的頻道發布信息進一步了解，信息涉及攻擊業務方活動的活動腳本、羊毛討論、惡意賠付教程、搶單工具等相關，下半年比上半年增加 91.43%。51涉及案例包含但不限于打假項目、活動自動薅取、出行行業搶單工具交易頻道：3.

45、2 金融貸款欺詐場景威脅獵人研究發現，金融貸款欺詐已經形成了一條分工明確、利益瓜分的成熟產業鏈。以“職業背債”為例，其上游操作方、中間黑產、下游中介以及背債人等角色各司其職，通過嚴密的協作機制組織騙貸活動。這種黑產的存在不僅破壞了金融市場的正常運行，給金融機構造成巨大的損失，還會對社會的穩定和經濟的健康發展構成嚴重威脅。523.2.1 2024 年貸款欺詐風險依舊嚴峻，欺詐熱度持續上漲2024 年，威脅獵人共捕獲貸款欺詐攻擊情報 414 萬條，監控活躍的作惡社交群組 34697 個，作惡黑產 11.5 萬名；不管是欺詐情報熱度，還是作惡群組數、作惡黑產數（包括惡意貸款中介），均呈逐漸上升趨勢。

46、（1）2024 年捕獲惡意貸款欺詐情報 414 萬條，每月持續上漲（2）2024 年監控活躍的作惡社交群組 34697 個，下半年比上半年增長 30%。（3）2024 年捕獲貸款欺詐作惡黑產 11.5 萬名，下半年作惡黑產數比上半年增長 51%。53（4）2024 年貸款欺詐惡意中介 4.3 萬名，下半年惡意貸款中介數比上半年增長 50%3.2.2 2024 年貸款欺詐產品類型熱度 TOP3：企業貸、信用貸、房抵貸從貸款產品類型來看，2024 年信貸欺詐熱度 TOP5 的貸款產品類型分別是：企業貸、信用貸、房抵貸、車抵貸、和公積金貸。543.2.3 2024 年貸款欺詐地區熱度 TOP3：廣東

47、、重慶、山東從地域分布情況來看，2024 年信貸欺詐地區熱度排在 TOP5 的地區是：廣東、重慶、山東、浙江、四川。3.2.4職業背債：“賣征信換錢”現象加劇，黑產瞄準高信用、高資質客戶55隨著社會經濟大環境的不斷變化、金融消費文化的轉變，越來越多消費者開始崇尚“賣征信換錢”，“背債”熱度持續上漲。（1）2024 年“背債”熱度持續上升，下半年相關情報數量比上半年增長 56%2024 年，威脅獵人捕獲“背債”相關攻擊情報呈上升趨勢，背債熱度上升，并在 9 月達到峰值，下半年比上半年增長 56%。（2）2024 年背債地區熱度 TOP3 省份：廣東、四川、重慶威脅獵人情報數據顯示，2024 年“

48、背債”相關的貸款欺詐，活躍熱度 TOP3 的省份（含直轄市）是廣東、四川、重慶。56（3）2024 年背債地區熱度 TOP3 城市：重慶、深圳、長沙威脅獵人情報數據顯示，2024 年“背債”相關的貸款欺詐，活躍熱度 TOP3 的城市（含直轄市）是重慶、深圳、長沙。（4）黑產更傾向于選擇征信條件好、資質好、外貌條件好的客戶威脅獵人研究發現，黑產在選擇背債人選的時候，逐漸更偏向于選擇征信條件好、資質好、外貌條件好的客戶。很多金融機構現有的反欺詐模型、評分卡等很難識別這類優質的高風險客戶，自動化審批通過的背債人占比也越來越高。2024 年黑產對背債人屬性的選擇性變化主要體現為以下情況：57以下是背債

49、黑產招募的一些廣告信息：3.2.5 融車欺詐：車貸欺詐熱度持續上漲，“買車套現”日益猖狂近年來，汽車金融市場持續擴大，汽車貸款欺詐也日益猖狂。威脅獵人調研發現，不法黑產打著“融車”、“0 首付購車”、“買車套現”的旗號，召集一些無法通過正常貸款融資但有資金需求的人群，如征信為白戶、花戶、黑戶等，通過身份包裝后進行“假購車、真套現”的合同詐騙、貸款詐騙。（1）2024 年融車相關攻擊情報呈上升趨勢，下半年融車風險輿情比上半年增長 62%。58（2）2024 年融車欺詐情報熱度 TOP3 城市：深圳、重慶、保定（3）融車欺詐手法和表現方式威脅獵人研究發現，黑產通過召集一些自身無貸款資質但有資金需求

50、的人群，在黑產鏈的組織、墊資、包裝及客戶配合下，一人可以辦理多筆車貸、一輛汽車也可以辦理多家金融機構貸款。汽車貸款欺詐更多詳情可查看：【黑產大數據】汽車貸款欺詐產業鏈解構593.2.6 非標貸款：材料包裝借貸欺詐盛行威脅獵人研究發現，有些人因資質不符、缺乏條件等問題無法正常申請貸款，會通過虛假工作信息、虛假流水等“假數據”來達到借貸目的。（1）2024 年材料包裝欺詐熱度呈上升趨勢，下半年熱度比上半年增加 148%（2）材料包裝欺詐類型和方式603.3品牌廣告欺詐場景3.3.1 遭受欺詐的品牌廣告主中，食品飲料類成為遭受廣告欺詐占比最大的廣告主威脅獵人基于廣告暗刷流量監測捕獲到大量廣告欺詐數據

51、，涉及到多個行業，涉及到食品飲料、電子消費品等多個行業，食品飲料行業依舊是遭受欺詐占比最大的廣告主。遭到廣告欺詐的廣告主品牌排名如下：613.3.2 從欺詐廣告形式來看，100%播完欺詐廣告占比達到 70.02%從捕獲數據中的欺詐廣告形式來看，欺詐廣告中以 15 秒的視頻廣告為主，這類廣告占捕獲欺詐廣告總量的 99%以上。從欺詐廣告的播放情況來看，設備暗刷偽造并上報的廣告中，大部分都是完整播放完畢的，100%播完的占比達到 70.02%，這一數據明顯不符合正常用戶的行為，現實情況下有耐心將廣告看完的用戶并不多。視頻廣告包括開始播放、播放中、完成播放等階段，不同階段都會進行廣告追蹤，并將流量上報

52、至廣告監測平臺，實際上這些廣告并未播放，僅僅是通過設備暗刷偽造了虛假的廣告播放情況，并將虛假追蹤情況上報。3.3.3 品牌廣告偽造的終端以移動端為主在廣告欺詐刷量的作弊鏈路中，上報的作弊廣告流量往往會包含動態變化的偽造設備參數信息，模擬真實的設備信息及其展現廣告的數據情況，以欺騙廣告主。威脅獵人針對偽造的廣告播放數據進行分析發現，偽造并上報的虛假廣告數據里，覆蓋了三大類終端：移動端、OTT 端、PC 端。62進一步分析發現，廣告偽造的移動端中包含了手機及平板，其中以手機為主，覆蓋多個手機品牌。廣告偽造的 OTT 終端中，包含了智能電視、電視盒子、智慧屏、智能音箱（帶屏）、唱歌機、投影儀等，覆蓋

53、多個 OTT 終端品牌。633.4 API 攻擊場景數字化與線上化趨勢下，API 接口作為應用連接、數據傳輸的重要通道，近年來大規模增長。API應用的增速與其安全發展的不平衡，使其成為惡意攻擊的首選目標，圍繞 API 安全的攻防較量愈演愈烈。威脅獵人情報數據顯示，2024 年遭受攻擊的 API 數量超過了 250 萬，涉及音視頻、軟件應用、汽車、電商、政務等多個行業。3.4.1 2024 年平均每月遭受攻擊的 API 數量超 21 萬威脅獵人情報數據顯示，2024 年全年平均每月遭受攻擊的 API 數量超過 21 萬。3.4.2 2024 年 API 攻擊行業分布主要分布在音視頻、政務機構、互

54、聯網軟件應用64從 2024 年 API 攻擊的行業分布數據來看，音視頻行業受攻擊熱度最高。黑產利用音視頻平臺有安全缺陷的 API 非法爬取內容、用戶信息等數據，通過販賣音視頻內容或用戶信息獲取高額利益，如非法分發、轉售、侵犯版權，以及利用用戶信息進行釣魚攻擊、詐騙等。3.4.3 2024 年值得關注典型 API 攻擊典型事件（1）營銷欺詐：某互聯網平臺登錄 API 存在安全隱患，企業營銷產品被薅羊毛2024 年 9 月，威脅獵人風險情報平臺監測到攻擊者對國內某互聯網平臺發起批量登陸攻擊，使用歷史版本的登錄 API 接口獲取用戶憑證，再訪問“當前版本應用”利用積分免費兌換商品業務，給企業帶來損

55、失。從威脅獵人蜜罐捕獲的攻擊流量發現，從 2024 年 9 月至 11 月，攻擊者使用代理 IP，對該歷史版本的登錄 API 發起攻擊超 13 萬次，超 10W 左右的賬號使用積分兌換商品。如下圖所示，該登錄 API 接口中賬號密碼參數并未進行加密，均為明文傳輸，且缺失簡單的人機驗證方式，導致成為了黑產發起批量登錄攻擊的主要對象。（2）數據爬?。耗炽y行線上業務遭受黑灰產掃號攻擊，大量用戶信息被泄露652024 年 6 月，威脅獵人風險情報平臺監測到攻擊者對國內某銀行發起掃號攻擊。經過流量分析與復現，發現該銀行資產接口存在“錯誤提示不合理漏洞”，黑產可大量驗證手機號信息是否為平臺注冊用戶，導致有

56、效賬號暴露，用戶隱私泄露，威脅系統安全。從威脅獵人蜜罐捕獲的攻擊流量發現，在 2024 年 6 月，攻擊者在一周內，對該銀行資產接口發起攻擊超 24 萬次，導致大量有效賬號暴露。如下圖所示，黑產對請求體進行構造，使用不同的手機號，而其他鑒權參數信息特征保持不變，如驗證碼 id、操作記錄變量等，如果手機號碼為無效賬號，回顯“賬號不存在，請注冊后登陸”，如果手機號碼為有效賬號，平臺回顯“沒有找到對應短信驗證碼信息”，黑產可通過回顯來判斷手機號是否為有效賬號。（3）黃牛搶號：醫院線上掛號業務被黃牛搶號，醫療資源被搶占2024 年 10 月，威脅獵人風險情報平臺監測到攻擊者對某大型醫院進行批量注冊，注

57、冊后訪問醫生掛號信息并進行搶號，搶占醫療資源。66通過對威脅獵人蜜罐捕獲的流量進行分析，發現攻擊者使用大量的黑卡進行批量注冊，并偽裝為正常病人，后續使用注冊的賬號進行登錄，登錄后開始不斷訪問醫生掛號信息并進行預約搶號。如下圖所示，由于掛號接口沒有限制訪問頻率，攻擊者可以不斷的獲取醫生掛號信息并在第一時間進行搶號。3.5 釣魚仿冒場景3.5.1 2024 年全年年監測釣魚仿冒風險事件超 4 萬，波及數百家企業2024 年，威脅獵人共監測到釣魚仿冒風險事件 44640 例，涉及 671 家企業，較 2023 年監測總量增長 150%，整體呈現持續增長趨勢。相較去年，威脅獵人今年進一步加強對仿冒社媒

58、的監控力度，新增了多個主流平臺，從渠道多樣性、監測深度和覆蓋面等角度全面提升監控能力，為企業提供更廣泛的風險防護支持。673.5.2 電商平臺淪為釣魚仿冒重災區，事件量占比 46.41%從 2024 年釣魚仿冒事件的行業分布數據來看，釣魚仿冒行業占比 TOP3 的行業為電商、證券行業和消費金融行業，其中電商行業成為釣魚仿冒最為嚴重的行業，電商行業仿冒相關的風險案例占總量的 46.41%。3.5.3“海外商城盤”詐騙頻發，“仿冒電商平臺”是主要推手68隨著跨境貿易的火熱，海外電商平臺為吸引新手賣家推出低門檻政策，導致大量缺乏經驗的賣家涌入，成為騙子的目標?！昂Ｍ馍坛潜P”就是其中一種以“開網店創業

59、”為幌子的騙局，詐騙者冒用知名海外電商平臺身份，以“零成本開店”和“高收益分銷”吸引受害者注冊仿冒電商平臺進行詐騙，這種行為不僅給商家帶來直接經濟損失，還嚴重損害電商平臺品牌資產；破壞了平臺的商家準入機制，影響品牌公信力?！昂Ｍ馍坛潜P”主要流程及角色分工如下：打粉獲客階段：騙子通過交友軟件等途徑接觸目標人群，與受害者建立信任。仿冒平臺引流階段：騙子通過分享網店創業經驗、用“零成本開店”和“高收益分銷”為誘餌，讓受害者注冊仿冒電商平臺。誘導開店運營階段：在受害者注冊后，詐騙者引導開設店鋪并通過虛擬訂單和偽造盈利截圖，營造生意興隆的假象，誘導受害者不斷充值墊資發貨，逐步加大資金投入。殺魚詐騙階段：

60、當受害者投入大量資金后，詐騙者以延遲物流、凍結賬戶等為借口，進一步要求繳納違約金或保證金，直到受害者資金被完全掏空。整個騙局偽裝成合法創業，利用受害者對快速賺錢的渴望逐步完成詐騙閉環。693.6 數據泄露場景3.6.1 2024 年監測數據泄露事件 37575 起，涉及金融、電商、快遞等行業 2598 家企業威脅獵人數據泄露風險監測平臺數據顯示，2024 年 1 月至 12 月全網監測了 3.03 億條關于數據泄露的情報，基于威脅獵人真實性驗證引擎以及 DRRC 專業人工分析驗證出有效的數據泄露事件共計 37575 起，涉及金融、電商、快遞等行業 2598 家企業。703.6.2 銀行業數據泄

61、露風險連續兩年排行第一，本地生活首次進入前十從行業分布來看，2024 年 1 月至 12 月數據泄露事件中涉及 88 個行業，前五行業分別是銀行、電商、消費金融、保險以及快遞。其中銀行行業數據泄露事件數量高達 6333 起，連續兩年為數據泄露事件數最多的行業。此外，今年本地生活行業數據泄露事件行業排名相比 2023 年有所上升，從之前的 Top14 上升至Top10。數據顯示，2024 年本地生活行業共發現 700 多起數據泄露事件，較 2023 年大幅上漲7.22 倍。71進一步分析發現，本地生活數據泄露大幅上漲的原因是新型泄露類型“強登”導致。強登：指通過技術手段強制登錄用戶賬號，獲取用戶

62、賬號中的隱私信息。本地生活：主要指提供外賣、餐飲、電影票、買菜等與生活息息相關的服務平臺。3.6.3 新型數據泄露類型“強登”出現，涉及電商、外賣、快遞等行業頭部平臺威脅獵人在 2024 年發現了一種新的查檔類型“強登”，泄露信息主要涉及用戶的網購訂單、外賣配送訂單、出行打車訂單、快遞訂單信息等，涵蓋了電商、快遞、本地生活服務（主要是外賣行業）和出行服務等多個行業的頭部平臺。自 2024 年 6 月起，通過“強登”獲取數據的方式開始出現，到 12 月底已累計超過 6600 起。最初主要集中在電商頭部平臺，隨后逐漸蔓延至外賣和快遞等多個平臺。強登：指黑灰產通過多種復雜手法強行登錄用戶的平臺賬號，

63、獲取賬號下的具體訂單等敏感信息，再把這些信息提供給下游數據購買者，在中游數據售賣時售賣廣告會標注【強登】。72那么，“強登”數據是怎么來的呢？威脅獵人情報人員對“強登”進一步挖掘和分析，發現上游團伙針對“強登”的主要作案手法如下：信息獲?。菏紫?，攻擊者通過手機號在其他渠道（如查檔或社工庫等）獲取用戶的身份證號和證件照等信息。繞過驗證：接著，利用獲取到的證件照生成 AI 視頻或模擬人臉，以此繞過平臺的視頻驗證環節。強行登錄：最后，通過平臺的忘記密碼或找回密碼等接口，繞過平臺的校驗機制，強行登錄用戶的賬號，從而獲取賬號中的訂單內容等敏感信息。上游團伙通過“強登”方式獲取到電商、外賣、快遞、出行服務

64、等行業訂單信息后，再由中游團伙在各種匿名群聊、社交媒體等發布售賣廣告，吸引更多下游需求人群。733.6.4 物流行業“解密”服務興起，近一年相關數據泄露事件逐漸增多近年來，“隱私面單”技術不斷發展，通過隱藏用戶真實手機號來保護個人信息安全。過去一年，在物流行業監管加強和企業的共同努力下，隱私面單的推廣有效減少了快遞面單泄露事件，整體治理效果明顯（見下圖）。但道高一尺魔高一丈，2024 年黑產推出了新的查檔服務“解密”來破解隱私面單，最近一年，“解密”相關數據泄露事件逐漸增多。74訂單解密主要是通過“快遞單號+虛擬號碼（或前三后四打碼的手機號）”進行解密，獲取完整手機號。3.6.5“IOS”字段

65、相關風險事件下半年共發現 496 起，較上半年下降59.90%威脅獵人研究發現，從 2023 年下半年開始至 2024 年第一季度，泄露的數據字段中，“IOS”字段增多。從數販賣黑產團伙與下游數據購買者的聊天記錄來看，下游數據購買者對于數據的復購75要求中多次提及“IOS”設備數據的篩選要求。但從 4 月份開始，“IOS”字段相關的風險事件呈下降趨勢，2024 年下半年相比上半年下降了59.90%威脅獵人情報人員針對下半年下降現象進一步分析原因，下半年“IOS”相關數據下降主要是因為蘋果官方針對 Facetime 詐騙出臺相關打擊措施導致的。2024 年 3 月，蘋果官方升級 iOS 系統至

66、iOS17.4.1 版，推出對陌生 Facetime 號碼來電拒接的功能，并在 5 月推送 IOS 17.5 版本，增強了 Facetime 通話功能。威脅獵人情報人員測試后確認，該功能已實現對陌生來電的拒接。76（黑產在匿名群聊中發布蘋果官方關于 Facetime 陌生號碼拒絕來電的通知）3.7 電信網絡詐騙場景3.7.12024 年詐騙形勢依舊嚴峻，活躍作惡群組超 10000 個2024 年，威脅獵人風險情報平臺共監測到電信網絡詐騙相關情報 77 萬條，活躍作惡社交群組10032 個。773.7.2 電詐團伙緊密協作，依托精密劇本布局多樣詐騙陷阱（1）電詐團伙的高效運作離不開團伙內部緊密分

67、工合作電信網絡詐騙已形成了成熟的產業鏈條，電詐團伙內部有不同的角色和分工，成員之間緊密配合，共同開展詐騙活動：信息獲?。涸p騙團伙通過各種非法渠道獲取到各種人員資料，資料越詳細，詐騙成功率越高。技術搭建：詐騙團隊偽造仿冒網站、開發仿冒軟件、偽造交易記錄等，用于后續詐騙使用。78目標篩選：篩選容易受騙的目標客群，如老年人、投資者、求職者等，并制定相應的詐騙策略（劇本）。推手引流：“推手”指那些為詐騙活動提供幫助或支持的人員或團體，雖然不直接參與詐騙行為，但通過與受害者聯系，將受害者引流至微信、QQ 等社交渠道供其他詐騙人員進行詐騙，即“推手引流”。高薪引誘：發布高薪職位，承諾豐厚的報酬或表示能賺到

68、巨額資金，誘使受害人對職位產生興趣。人口綁架：將受害人誘騙至目的地，并綁至電詐園區，強迫受害人從事詐騙工作。（2）形形色色的騙局均離不開黑產進行設計的“劇本”近期鬧得沸沸揚揚的“王星事件”前期就是詐騙團伙在微信群發布名為顏十六選角導演的試戲通知，利用泰國著名娛樂公司的名義向王星發出試戲邀請，精心設計了一個為王星“量體裁衣”的詐騙劇本（可見前期詐騙團伙對王星的信息，特別是職業及工作經歷掌握非常細致），以泰國拍戲的工作機會為誘餌，誘使王星前往泰國。除了“王星事件”外，威脅獵人還監控到多種類型的劇本，分別利用不同人群的特定心理活動，精心制作匹配人物特性和心理的詐騙劇本，具體案例如下：7980寫在最后

69、近年來，互聯網黑灰產通過不斷提升攻擊技術、挖掘隱蔽性更強的攻擊資源等確保攻擊的成功率，這使得企業在感知和防御上面臨更大壓力和滯后性。對企業而言，應該認識到與外部黑產的對抗是動態、持續的，及時依托基于全網多渠道監測的黑灰產情報數據，從黑產攻擊準備階段就開始溯源追蹤，知道攻擊者正準備利用什么資源或工具，這些資源或工具有什么特征、攻擊者會采用什么手段來攻擊企業先于攻擊方達到被攻擊方的防御前沿，讓攻防對抗達到“敵方未攻我先控”的局面。這就是情報的價值所在，也是威脅獵人的價值所在。說明：本報告所提供的數據信息系威脅獵人依據大樣本數據抽樣采集、小樣本調研、外部情報數據采集、數據模型預測及其他研究方法估算、分析得出，由于統計分析領域中的任何數據來源和技術方法均存在局限性，依據上述方法所估算、分析得出的數據信息僅供參考。81公司官網：合作郵箱：M