原創(chuàng) 獵人君 威脅獵人Threat Hunter

2023年，黑灰產(chǎn)從業(yè)人員人數(shù)超過(guò)580萬(wàn)，威脅獵人捕獲到的國(guó)內(nèi)作惡手機(jī)號(hào)數(shù)量高達(dá)625萬(wàn)，日活躍風(fēng)險(xiǎn)IP數(shù)量602萬(wàn)，洗錢銀行卡數(shù)量87萬(wàn)。

從百萬(wàn)級(jí)黑灰產(chǎn)業(yè)鏈規(guī)模、大幅提升的攻擊資源量級(jí)可見，2023年是黑產(chǎn)攻防對(duì)抗空前激烈的一年。推陳出新的攻擊資源和技術(shù)成為黑產(chǎn)攻擊的“保護(hù)色”。

因難以監(jiān)測(cè)黑產(chǎn)攻擊行為和溯源潛在風(fēng)險(xiǎn)，不少企業(yè)遭受嚴(yán)重?fù)p失，成為業(yè)務(wù)安全建設(shè)中亟需攻破的難點(diǎn)。

威脅獵人發(fā)布《2023年互聯(lián)網(wǎng)黑灰產(chǎn)研究年度報(bào)告》，針對(duì)2023年黑灰產(chǎn)業(yè)鏈進(jìn)行了深入研究，從2023年互聯(lián)網(wǎng)黑灰產(chǎn)發(fā)展現(xiàn)狀、黑灰產(chǎn)攻擊資源、黑灰產(chǎn)攻擊場(chǎng)景等維度進(jìn)行全面梳理分析，力求通過(guò)客觀呈現(xiàn)黑灰產(chǎn)情報(bào)數(shù)據(jù)，幫助更多企業(yè)深入直觀了解黑灰產(chǎn)業(yè)，有效防控各類攻擊風(fēng)險(xiǎn)。

相關(guān)名詞定義

1、風(fēng)險(xiǎn)IP：業(yè)內(nèi)也稱黑IP，指存在攻擊風(fēng)險(xiǎn)（包括代理、秒撥等惡意行為）的IP；

2、風(fēng)險(xiǎn)手機(jī)號(hào)：存在被濫用盜用等風(fēng)險(xiǎn)的手機(jī)號(hào)，如被黑產(chǎn)用于接收短信，實(shí)施批量惡意攻擊的手機(jī)號(hào)，通常從接碼平臺(tái)或發(fā)卡平臺(tái)捕獲；

3、風(fēng)險(xiǎn)郵箱：指被黑產(chǎn)用于惡意注冊(cè)生成的臨時(shí)郵箱，用以騙取用戶重要信息、傳播惡意程序等；

4、黑手機(jī)卡：指未進(jìn)行實(shí)名登記或以假身份進(jìn)行實(shí)名登記的，并被不法分子利用實(shí)施違法犯罪活動(dòng)的電話卡；

5、貓池卡：指通過(guò)“貓池”這一網(wǎng)絡(luò)通信硬件，實(shí)現(xiàn)同時(shí)支持多個(gè)號(hào)碼通話、群發(fā)短信等功能的黑手機(jī)卡；

6、攔截卡：指通過(guò)病毒木馬控制真實(shí)用戶手機(jī)短信/驗(yàn)證碼收發(fā)權(quán)限的手機(jī)卡，通常捕獲自攔截卡平臺(tái)；

7、洗錢銀行卡：指被黑產(chǎn)用于非法資金清洗（將違法所得收入合法化）的銀行卡，例如賭博及詐騙團(tuán)伙通過(guò)銀行卡消費(fèi)、轉(zhuǎn)賬等方式轉(zhuǎn)移洗錢資金；

8、洗錢數(shù)字錢包：指被黑產(chǎn)用于非法資金清洗的加密數(shù)字貨幣，例如通過(guò)數(shù)字人民幣消費(fèi)、轉(zhuǎn)賬等方式轉(zhuǎn)移資金，利用數(shù)字貨幣的隱蔽性來(lái)逃避監(jiān)管審查；

9、洗錢對(duì)公賬戶：指被黑產(chǎn)用于非法資金清洗的銀行對(duì)公賬戶，因?qū)~戶具有收款額度大、轉(zhuǎn)賬次數(shù)多等特點(diǎn)，使得“對(duì)公賬戶”常常作為黑錢轉(zhuǎn)賬的集中點(diǎn)及發(fā)散點(diǎn)；

10、改機(jī)：指的是通過(guò)修改手機(jī)設(shè)備信息，如手機(jī)型號(hào)、串碼、IMEI、GPS定位等，達(dá)成繞過(guò)廠商設(shè)備檢測(cè)的目的；

11、改定位：指利用相關(guān)工具修改手機(jī)定位信息，例如通過(guò)修改地理位置信息參加地域性活動(dòng)并進(jìn)行營(yíng)銷作弊；

12、數(shù)據(jù)泄露情報(bào)：威脅獵人通過(guò)TG群、暗網(wǎng)等渠道捕獲到的“未授權(quán)個(gè)人/組織敏感信息被公開交易或使用” 的情報(bào)信息，可能包含歷史數(shù)據(jù)、重復(fù)數(shù)據(jù)等，往往量級(jí)巨大；

13、數(shù)據(jù)泄露事件：威脅獵人安全研究專家針對(duì)數(shù)據(jù)泄露情報(bào)的樣例等進(jìn)行分析及驗(yàn)證，確認(rèn)為真實(shí)、有效的數(shù)據(jù)泄露事件；

14、暗網(wǎng)：指隱藏的網(wǎng)絡(luò)，普通網(wǎng)民無(wú)法通過(guò)常規(guī)手段搜索訪問(wèn)，需要使用一些特定的軟件、配置或者授權(quán)才能登錄；

15、公民個(gè)人信息：指公民個(gè)人身份信息，包括但不限于姓名、身份證號(hào)碼、出生日期、手機(jī)號(hào)碼、家庭住址、銀行賬戶信息等。

一、2023年互聯(lián)網(wǎng)黑灰產(chǎn)業(yè)發(fā)展現(xiàn)狀

1.1 2023年互聯(lián)網(wǎng)黑灰產(chǎn)從業(yè)人員達(dá)587萬(wàn)，較2022年上升141%

威脅獵人安全研究員調(diào)研統(tǒng)計(jì)發(fā)現(xiàn)，2023年互聯(lián)網(wǎng)黑灰產(chǎn)從業(yè)人數(shù)持續(xù)上升，從業(yè)人員數(shù)量達(dá)到587.1萬(wàn)，較2022年上升141%。

1.2 2023年黑灰產(chǎn)資源整體情況

1.2.1 2023年國(guó)內(nèi)作惡手機(jī)號(hào)較2022年增長(zhǎng)15.44%

2023年國(guó)內(nèi)作惡手機(jī)號(hào)數(shù)量達(dá)到625.5萬(wàn)，較2022年上升15.44%。

1.2.2 2023年風(fēng)險(xiǎn)IP數(shù)量較2022年增長(zhǎng)88.47%

2023年風(fēng)險(xiǎn)IP數(shù)量持續(xù)上升，風(fēng)險(xiǎn)IP數(shù)量達(dá)到602.2萬(wàn)，較2022年上升88.47%。

1.2.3 2023年洗錢銀行卡數(shù)量較2022年增長(zhǎng)133.74%

2023年洗錢銀行卡數(shù)量持續(xù)上升，洗錢銀行卡數(shù)量達(dá)到87.4萬(wàn)，較2022年上升133.74%。

二、2023年黑產(chǎn)攻擊資源分析

2.1 2023年黑手機(jī)卡資源分析

2.1.1 2023年貓池卡資源變化趨勢(shì)

（1）2023年國(guó)內(nèi)貓池卡數(shù)量較2022年增長(zhǎng)8.25%

據(jù)威脅獵人威脅情報(bào)運(yùn)營(yíng)平臺(tái)數(shù)據(jù)顯示，2023年新捕獲貓池卡586.6萬(wàn)個(gè)，較2022年上升8.25%。從2023年國(guó)內(nèi)貓池卡數(shù)量的變化趨勢(shì)來(lái)看，1-3月出現(xiàn)明顯上升趨勢(shì)，4-6月逐漸降低。

經(jīng)威脅獵人情報(bào)專家分析，出現(xiàn)這一趨勢(shì)的主要原因是：

1-3月某頭部接碼平臺(tái)對(duì)接的黑產(chǎn)持續(xù)上傳大量新的接碼手機(jī)號(hào)，使得該時(shí)間段內(nèi)的新增作惡手機(jī)號(hào)數(shù)量持續(xù)上升；4-6月該頭部接碼平臺(tái)遭遇持續(xù)性DDos攻擊而無(wú)法正常運(yùn)營(yíng)，導(dǎo)致該時(shí)間段內(nèi)的作惡手機(jī)號(hào)數(shù)量持續(xù)下降。

（2）2023年貓池卡歸屬最多的三個(gè)省份為：江蘇、山東、河南

威脅獵人情報(bào)專家對(duì)2023年捕獲到的國(guó)內(nèi)貓池卡進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)江蘇、山東、河南三省為貓池卡歸屬地最多的三個(gè)省份；針對(duì)歸屬城市分析發(fā)現(xiàn)，南京、上海、北京三城市為貓池卡歸屬地最多的城市。

（3）2023年捕獲的貓池卡中，歸屬國(guó)內(nèi)三大運(yùn)營(yíng)商的占41.78%

2023年威脅獵人威脅情報(bào)運(yùn)營(yíng)平臺(tái)捕獲貓池卡618萬(wàn)張，其中歸屬國(guó)內(nèi)三大運(yùn)營(yíng)商的攔截卡占比41.78%，歸屬其他運(yùn)營(yíng)商的占比58.2%。

2.1.2 2023年攔截卡資源變化趨勢(shì)

（1）2023年國(guó)內(nèi)攔截卡數(shù)量達(dá)38.9萬(wàn)，并于3月出現(xiàn)大幅上升

2023年，威脅獵人最新捕獲攔截卡達(dá)38.9萬(wàn)，并于3月捕獲到大量新增攔截卡，經(jīng)過(guò)持續(xù)監(jiān)測(cè)分析發(fā)現(xiàn)，其主要原因是：2023年3月出現(xiàn)一個(gè)新的攔截卡接碼平臺(tái)，導(dǎo)致3月新增攔截卡數(shù)量大幅上升。

（2）2023年攔截卡歸屬最多的三個(gè)省份為：廣西、山東、江蘇

威脅獵人安全研究員對(duì)2023年捕獲到的國(guó)內(nèi)攔截卡進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)廣西、山東、江蘇三省為攔截卡歸屬地最多的三個(gè)省份，與貓池卡歸屬省份存在一定的重合；針對(duì)歸屬城市分析發(fā)現(xiàn)，南京、貴港、南寧三城市為攔截卡歸屬地最多的城市。

（3）2023年捕獲的攔截卡中，歸屬國(guó)內(nèi)三大運(yùn)營(yíng)商的占98.48%

2023年威脅獵人威脅情報(bào)運(yùn)營(yíng)平臺(tái)捕獲攔截卡87萬(wàn)張，歸屬國(guó)內(nèi)三大運(yùn)營(yíng)商的攔截卡占比達(dá)98.48%，歸屬其他運(yùn)營(yíng)商占比1.52%。

值得注意的是，2023年威脅情報(bào)運(yùn)營(yíng)平臺(tái)捕獲到的192號(hào)段黑手機(jī)卡數(shù)量達(dá)到87.8萬(wàn)，黑產(chǎn)大量使用192號(hào)段的黑手機(jī)卡進(jìn)行作惡。從192號(hào)段黑手機(jī)卡數(shù)量的變化趨勢(shì)來(lái)看，7月、8月及10月出現(xiàn)大幅增長(zhǎng)。

經(jīng)威脅獵人情報(bào)專家分析，7月、8月及10月新增量較大的主要原因是：

自第三季度開始，有4個(gè)供應(yīng)渠道進(jìn)一步增大192號(hào)段手機(jī)卡的投入規(guī)模，使得第三季度新增量進(jìn)一步增加。

10月，部分黑產(chǎn)開始將目光投向非頭部互聯(lián)網(wǎng)平臺(tái)并展開攻擊，直到11月這些平臺(tái)開始察覺(jué)到攻擊情況并對(duì)其進(jìn)行風(fēng)控，192號(hào)段的新增量開始逐漸下降。

2.1.3 發(fā)卡平臺(tái)成為黑產(chǎn)投放高價(jià)值接碼手機(jī)卡的主流渠道之一

從威脅獵人威脅情報(bào)運(yùn)營(yíng)平臺(tái)捕獲的數(shù)據(jù)來(lái)看，提供接碼服務(wù)的發(fā)卡平臺(tái)及發(fā)卡店鋪數(shù)量呈明顯上升趨勢(shì)，同時(shí)通過(guò)發(fā)卡平臺(tái)捕獲到的接碼手機(jī)號(hào)也呈現(xiàn)出明顯上升趨勢(shì)。

由此可見，“發(fā)卡平臺(tái)”成為黑產(chǎn)投放高價(jià)值接碼手機(jī)卡的主流渠道之一。

高質(zhì)量接碼手機(jī)號(hào)：手機(jī)號(hào)入網(wǎng)時(shí)間短，在網(wǎng)狀態(tài)正常，絕大多數(shù)都是黑產(chǎn)卡商通過(guò)特定渠道及技術(shù)新開的實(shí)體手機(jī)卡。

黑產(chǎn)多利用此類手機(jī)號(hào)對(duì)熱門APP業(yè)務(wù)進(jìn)行攻擊并實(shí)現(xiàn)獲利，如熱門的視頻APP、互聯(lián)網(wǎng)社交APP或電商APP的注冊(cè)和換綁業(yè)務(wù)。

（1）2023年每月捕獲的涉及接碼的發(fā)卡平臺(tái)及發(fā)卡店鋪數(shù)量持續(xù)上升

自2023年1月起，每月捕獲的涉及接碼的發(fā)卡平臺(tái)數(shù)量持續(xù)上升，截至2023年12月，活躍發(fā)卡平臺(tái)達(dá)到28個(gè)。

在這些發(fā)卡平臺(tái)中，直接向黑產(chǎn)提供手機(jī)號(hào)接碼服務(wù)的發(fā)卡店鋪數(shù)量亦也出現(xiàn)大幅度上升，2023年12月，威脅獵人共捕獲該類店鋪322家。

（2）2023年通過(guò)發(fā)卡店鋪每月捕獲的高價(jià)值接碼手機(jī)號(hào)數(shù)量持續(xù)走高

自2023年1月起，威脅獵人通過(guò)發(fā)卡店鋪捕獲到用于作惡的接碼手機(jī)號(hào)數(shù)量出現(xiàn)大幅上升。2023年12月，威脅獵人共捕獲作惡手機(jī)號(hào)12.9萬(wàn)個(gè)。

威脅獵人安全研究員發(fā)現(xiàn)：“黑灰產(chǎn)手機(jī)號(hào)接碼服務(wù)愈發(fā)成熟，已呈現(xiàn)出明顯分工趨勢(shì)”。

例如手機(jī)卡商提供黑卡物料，代理商匯集多個(gè)卡商渠道，通過(guò)在發(fā)卡平臺(tái)開設(shè)店鋪的形式為黑產(chǎn)提供隱蔽的接碼服務(wù)。

2.2 2023年風(fēng)險(xiǎn)IP資源分析

2.2.1 2023年風(fēng)險(xiǎn)IP資源變化

近年來(lái)國(guó)內(nèi)互聯(lián)網(wǎng)平臺(tái)業(yè)務(wù)不斷開拓海外市場(chǎng)，如何識(shí)別海外風(fēng)險(xiǎn)IP已成為各大企業(yè)亟需重視的問(wèn)題。威脅獵人海外風(fēng)險(xiǎn)IP監(jiān)測(cè)能力的提升，也為互聯(lián)網(wǎng)平臺(tái)優(yōu)化海外風(fēng)控規(guī)則提供了有力支持。

2023年威脅獵人持續(xù)監(jiān)測(cè)國(guó)內(nèi)風(fēng)險(xiǎn)IP5906萬(wàn)個(gè)，國(guó)外風(fēng)險(xiǎn)IP7172萬(wàn)個(gè)。我們對(duì)國(guó)內(nèi)及國(guó)外兩種類型的風(fēng)險(xiǎn)IP分析發(fā)現(xiàn)：

（1）2023年國(guó)內(nèi)風(fēng)險(xiǎn)IP歸屬最多的三個(gè)省份：江蘇、浙江、廣東

（2）2023年國(guó)內(nèi)風(fēng)險(xiǎn)IP歸屬最多的三個(gè)城市：上海、重慶、蘇州

（3）2023年國(guó)外風(fēng)險(xiǎn)IP歸屬最多的三個(gè)國(guó)家：巴西、印度、美國(guó)

（4）2023年國(guó)內(nèi)風(fēng)險(xiǎn)IP類型中，家庭寬帶類型占比超90%

（5）2023年海外風(fēng)險(xiǎn)IP類型以家庭寬帶、移動(dòng)網(wǎng)絡(luò)為主

2.2.2 黑產(chǎn)通過(guò)植入木馬惡意使用正常用戶IP的行為更加猖獗

威脅獵人發(fā)現(xiàn)，黑產(chǎn)通過(guò)在正常用戶設(shè)備中植入木馬，實(shí)現(xiàn)在其網(wǎng)絡(luò)上建立代理通道，且每次使用時(shí)間很短，因此普通用戶難以感知到自己的IP被盜用。

從甲方風(fēng)控視角來(lái)看，正常用戶的IP被黑產(chǎn)惡意使用，這類IP屬于“好壞共用-代理”IP。

這類IP由于大部分時(shí)間是正常用戶進(jìn)行操作，如點(diǎn)擊、充值、瀏覽等行為均正常，少量時(shí)間會(huì)出現(xiàn)短暫的作惡行為。因此平臺(tái)可能會(huì)認(rèn)定該用戶為正常用戶，進(jìn)而忽視其短暫的作惡行為，給黑產(chǎn)可乘之機(jī)。

通過(guò)對(duì)代理IP平臺(tái)的持續(xù)監(jiān)測(cè)，我們發(fā)現(xiàn)黑產(chǎn)通過(guò)植入木馬惡意使用正常用戶IP的行為更加猖獗。

以威脅獵人2023年11月及12月捕獲到的數(shù)據(jù)為例：11月捕獲被劫持IP數(shù)量達(dá)508萬(wàn)，12月捕獲被劫持IP數(shù)量達(dá)934萬(wàn)，較11月增加83.85%。

2.3 2023年網(wǎng)絡(luò)洗錢資源分析

2.3.1 2023年銀行卡資源變化

2023年威脅獵人共捕獲洗錢銀行卡87.4萬(wàn)張，對(duì)捕獲到的洗錢銀行卡進(jìn)一步分析發(fā)現(xiàn)：

（1）涉及洗錢銀行卡歸屬國(guó)有銀行的占比遠(yuǎn)高于非國(guó)有銀行

（2）銀行卡洗錢金額的主要區(qū)間為1000-5000元

（3）洗錢銀行卡使用時(shí)間間隔極短，過(guò)半銀行卡再次使用時(shí)間不超過(guò)一天

2.3.2 2023年數(shù)字人民幣資源變化

隨著社會(huì)公眾對(duì)零售支付便捷性、安全性等需求日益提高，數(shù)字人民幣支付正在成為消費(fèi)新趨勢(shì)。

由于數(shù)字人民幣“第四類錢包”無(wú)需綁定用戶身份信息，有手機(jī)號(hào)即可注冊(cè)，洗錢團(tuán)伙會(huì)利用專門提供手機(jī)小號(hào)并接收驗(yàn)證碼的平臺(tái)，批量注冊(cè)數(shù)字人民幣錢包賬戶，或直接租用、購(gòu)買普通民眾的數(shù)字人民幣賬戶，用于收取賭資。

（1）2023年捕獲涉及洗錢的數(shù)字人民幣錢包數(shù)量達(dá)23萬(wàn)，月增幅超270%

2023年威脅獵人共捕獲涉及洗錢的數(shù)字人民幣錢包23.2萬(wàn)個(gè)，同時(shí)發(fā)現(xiàn)黑產(chǎn)利用數(shù)字人民幣進(jìn)行洗錢的情況整體呈上升趨勢(shì)，尤其是9月，月增幅超過(guò)了270%。

經(jīng)調(diào)查發(fā)現(xiàn)，9月出現(xiàn)較大增幅的主要原因是：9月出現(xiàn)大量支持?jǐn)?shù)字人民幣洗錢的第四方支付平臺(tái)，使得利用數(shù)字人民幣進(jìn)行洗錢的情況變得更加高頻。

（2）涉及洗錢的數(shù)字人民幣支付中，歸屬國(guó)有銀行的占比超80%

目前，威脅獵人監(jiān)測(cè)到數(shù)字人民幣洗錢涉及銀行數(shù)十家，其中國(guó)有銀行占比超80%。就支持開通數(shù)字人民幣的銀行用戶數(shù)量而言，國(guó)有六大行的銀行用戶總數(shù)遠(yuǎn)大于其余銀行之和，因此其潛在的數(shù)字人民幣用戶也相對(duì)較多。

2.3.3 2023年對(duì)公賬戶資源變化

銀行對(duì)公賬戶具有收款額度大、轉(zhuǎn)賬次數(shù)多等特點(diǎn)，這使得“對(duì)公賬戶”常常作為黑錢轉(zhuǎn)賬的集中點(diǎn)及發(fā)散點(diǎn)，在黑產(chǎn)洗錢鏈條中擔(dān)任極其重要的位置。

在打擊洗錢犯罪過(guò)程中，銀行對(duì)涉及洗錢的對(duì)公賬戶進(jìn)行風(fēng)控也是十分重要的一環(huán)。

因?yàn)橐粋€(gè)對(duì)公賬戶的收款額度往往在幾百萬(wàn)到幾千萬(wàn)不等，及時(shí)發(fā)現(xiàn)涉嫌洗錢的對(duì)公賬戶并進(jìn)行針對(duì)性風(fēng)控，往往能中斷某個(gè)黑產(chǎn)團(tuán)伙的某一洗錢鏈條。

2023年威脅獵人持續(xù)覆蓋及監(jiān)測(cè)黑產(chǎn)在洗錢過(guò)程中所使用的銀行對(duì)公賬戶資源，發(fā)現(xiàn)涉及洗錢的對(duì)公賬戶數(shù)量持續(xù)上升。

（1）2023年捕獲涉及洗錢的對(duì)公賬戶數(shù)量逐月上升

（2）2023年捕獲涉及洗錢對(duì)公賬戶的所屬銀行中，非國(guó)有銀行占比超60%

2023年威脅獵人共捕獲到涉及洗錢的對(duì)公賬戶4782個(gè)，涉及銀行695家，涉及洗錢對(duì)公賬戶的所屬銀行中，非國(guó)有銀行占比超60%。

（3）2023年捕獲涉及洗錢對(duì)公賬戶歸屬最多的三個(gè)省份：廣東、山東、河南

（4）黑產(chǎn)洗錢利用最多的轉(zhuǎn)賬額度為500萬(wàn)

2.3.4 2023年黑產(chǎn)洗錢手法多達(dá)19種，影響平臺(tái)眾多

2023年，威脅獵人安全研究員捕獲到的洗錢手法多達(dá)19種，作惡手法不斷迭代，受害平臺(tái)眾多。

（1）對(duì)公賬戶洗錢流程介紹

① 擔(dān)保公群是什么？

為了加強(qiáng)渠道的可信度，確保數(shù)據(jù)交易順利進(jìn)行，交易雙方往往會(huì)通過(guò)第三方平臺(tái)保障交易過(guò)程的可信度及可行性，最常見的方式就是“擔(dān)保公群”。

在交易時(shí)，買賣雙方在交易前會(huì)在擔(dān)保公群提供的虛擬貨幣賬戶中轉(zhuǎn)入等價(jià)于交易金額的虛擬貨幣作為押金；通過(guò)第三方擔(dān)保公群收取押金的方式，避免受騙帶來(lái)的損失。

② 黑產(chǎn)如何通過(guò)擔(dān)保公群用對(duì)公賬戶進(jìn)行洗錢？

2.4 2023年風(fēng)險(xiǎn)郵箱資源分析

2.4.1 2023年風(fēng)險(xiǎn)郵箱資源變化

（1）2023年9月捕獲大量風(fēng)險(xiǎn)企業(yè)郵箱

從2023年每月不同類型風(fēng)險(xiǎn)郵箱捕獲數(shù)量來(lái)看，9月出現(xiàn)大幅上漲。2023年9月，威脅獵人安全研究員通過(guò)已知的風(fēng)險(xiǎn)郵箱進(jìn)行MX解析，關(guān)聯(lián)出了大量的風(fēng)險(xiǎn)企業(yè)郵箱。

MX，即Mail Exchanger（郵件交換記錄），它指向一個(gè)郵件服務(wù)器，主要用于電子郵件系統(tǒng)發(fā)郵件時(shí)根據(jù)收信人的地址后綴來(lái)定位郵件服務(wù)器。通常情況下，一個(gè)MX可以綁定多個(gè)郵箱域名。

（2）2023年捕獲風(fēng)險(xiǎn)郵箱中，企業(yè)郵箱占68%以上

三、2023年黑產(chǎn)通用型攻擊技術(shù)

3.1 黑產(chǎn)應(yīng)用AI技術(shù)大幅提升攻擊效率，突破企業(yè)防御體系

2023年，AI技術(shù)應(yīng)用于網(wǎng)絡(luò)安全的多個(gè)場(chǎng)景，AI技術(shù)的深度應(yīng)用也引起了大量黑產(chǎn)團(tuán)伙的覬覦。

威脅獵人研究人員觀察到，不少黑產(chǎn)團(tuán)伙利用文本生成、照片活化、人臉替換、驗(yàn)證碼識(shí)別、語(yǔ)音生成等AI技術(shù)進(jìn)行攻擊并實(shí)施詐騙行為。

由于AI的智能、自動(dòng)化能力，攻擊者運(yùn)用AI技術(shù)繞過(guò)企業(yè)現(xiàn)有防御，發(fā)起高度隱蔽、復(fù)雜、自動(dòng)化的攻擊，在同等時(shí)間內(nèi)攻擊盡可能多的目標(biāo)用戶，因此近年來(lái)利用AI技術(shù)實(shí)施網(wǎng)絡(luò)攻擊的事件快速增長(zhǎng)。

（1）黑產(chǎn)在社交場(chǎng)景接入AI機(jī)器人，自動(dòng)生成聊天話術(shù)

威脅獵人安全研究員在2023年第三季度發(fā)現(xiàn)，黑灰產(chǎn)在社交引流場(chǎng)景已經(jīng)接入AI機(jī)器人，使聊天更智能。

以捕獲的一款自動(dòng)聊天工具“AiTuLing”為例，該工具除了常規(guī)的“基于預(yù)設(shè)話術(shù)進(jìn)行引流”外，還支持接入AI機(jī)器人，同時(shí)該工具支持市面上近百個(gè)社交平臺(tái)的自動(dòng)引流。

研究發(fā)現(xiàn)，黑產(chǎn)通過(guò)購(gòu)買AI服務(wù)平臺(tái)的服務(wù)，并在此基礎(chǔ)上進(jìn)行整合、開發(fā)及售賣，最終被更多作惡團(tuán)伙用于社交平臺(tái)自動(dòng)引流及詐騙。

值得注意的是，AI機(jī)器人的接入成本也極為低廉，最低只需19.9元/月即可；同時(shí)使用方法極為簡(jiǎn)單，只需填入相關(guān)賬號(hào)并啟動(dòng)軟件即可自動(dòng)聊天引流，目前被大量應(yīng)用于電商平臺(tái)及社交群聊，一定程度上增加了對(duì)應(yīng)平臺(tái)的檢測(cè)難度。

（2）黑產(chǎn)利用AI進(jìn)行視頻偽造，人臉驗(yàn)證需警惕

2023年，黑產(chǎn)大規(guī)模利用AI換臉工具制作換臉視頻提供代認(rèn)證服務(wù)，以社交APP為例，黑產(chǎn)通常會(huì)購(gòu)買大量的實(shí)名賬號(hào)進(jìn)行發(fā)言引流，當(dāng)賬號(hào)觸發(fā)平臺(tái)風(fēng)控而需要進(jìn)行人臉認(rèn)證時(shí)，則需要借助AI換臉技術(shù)繞過(guò)人臉驗(yàn)證。

此外，利用會(huì)議軟件+AI換臉工具偽裝成受害者熟人對(duì)受害者實(shí)施詐騙轉(zhuǎn)賬的案件頻繁發(fā)生。

案件中，詐騙者往往讓受害者在手機(jī)上安裝會(huì)議軟件，并通過(guò)會(huì)議軟件+實(shí)時(shí)直播換臉工具，偽裝成熟人從而騙取受害者信任，進(jìn)而實(shí)施詐騙。

威脅獵人對(duì)“視頻會(huì)議軟件模擬熟人進(jìn)行詐騙”的案例復(fù)現(xiàn)如下：

3.2 提供云手機(jī)服務(wù)的平臺(tái)持續(xù)增加，配套攻擊工具更加完善

據(jù)威脅獵人研究發(fā)現(xiàn)，2023年提供云手機(jī)服務(wù)的平臺(tái)持續(xù)增加，且頭部云手機(jī)平臺(tái)已呈現(xiàn)出產(chǎn)業(yè)化趨勢(shì)。

這類平臺(tái)除了提供云手機(jī)服務(wù)外，還提供配套的攻擊工具，如代理IP服務(wù)、改機(jī)工具、改定位工具、Hook框架等，極大提高黑產(chǎn)攻擊效率。下表為某云手機(jī)平臺(tái)提供的配套服務(wù)：

相較于真實(shí)手機(jī)設(shè)備，云手機(jī)具備以下優(yōu)勢(shì)：

（1）購(gòu)買成本低：購(gòu)買真實(shí)手機(jī)需要幾百到上千元不等，租用云手機(jī)只需花費(fèi)幾十元/月即可；

（2）使用方便且配套服務(wù)完善：云手機(jī)自帶改機(jī)工具且具備虛擬定位、自動(dòng)化腳本工具等配套服務(wù)。

以上云手機(jī)的優(yōu)勢(shì)使黑產(chǎn)的攻擊作惡成本大大降低，同時(shí)節(jié)省了黑產(chǎn)安裝、配置作惡環(huán)境所需的時(shí)間，提高了黑產(chǎn)的攻擊效率，為企業(yè)風(fēng)控帶來(lái)了一定的挑戰(zhàn)。

除安卓端云手機(jī)外，黑產(chǎn)使用iOS云手機(jī)進(jìn)行作惡的情況并不少見，由于iOS系統(tǒng)對(duì)應(yīng)用權(quán)限申請(qǐng)的嚴(yán)格限制，使得大部分互聯(lián)網(wǎng)公司在iOS設(shè)備上獲取設(shè)備信息的難度遠(yuǎn)大于安卓端設(shè)備，這在一定程度上可能會(huì)使得平臺(tái)在iOS設(shè)備上進(jìn)行風(fēng)控識(shí)別的難度更高。

針對(duì)此類情況，威脅獵人建議企業(yè)應(yīng)及時(shí)獲取此類平臺(tái)樣本，進(jìn)行相關(guān)樣本分析和防御。

四、2023年黑產(chǎn)攻擊場(chǎng)景分析

4.1 2023年業(yè)務(wù)欺詐場(chǎng)景分析

4.1.1 營(yíng)銷活動(dòng)

（1）營(yíng)銷活動(dòng)攻擊情報(bào)928萬(wàn)條，涉及作惡黑產(chǎn)人數(shù)達(dá)15.9萬(wàn)

今年各企業(yè)平臺(tái)營(yíng)銷活動(dòng)遭受黑產(chǎn)攻擊的現(xiàn)狀依舊嚴(yán)峻，2023年威脅獵人共捕獲營(yíng)銷活動(dòng)攻擊情報(bào)928萬(wàn)條，監(jiān)測(cè)到活躍的作惡社交群組1.2萬(wàn)個(gè)，涉及作惡黑產(chǎn)人數(shù)達(dá)15.9萬(wàn)名。

（2）大量黑產(chǎn)利用業(yè)務(wù)規(guī)則漏洞薅取用戶優(yōu)惠

2023年12月，威脅獵人發(fā)現(xiàn)大量黑灰產(chǎn)和羊毛黨通過(guò)“第三方渠道購(gòu)買后在官方渠道退款”的方式來(lái)薅取銀行、平臺(tái)立減優(yōu)惠，導(dǎo)致合作平臺(tái)出現(xiàn)大量異常退款單的同時(shí)，活動(dòng)立減金也被白白薅走。

主要由于黑產(chǎn)利用了提供購(gòu)買服務(wù)的第三方平臺(tái)與官方平臺(tái)之間信息不互通這一特點(diǎn)。

（3）眾包平臺(tái)“私域化”，作惡行為更加隱蔽

2023年，威脅獵人研究人員發(fā)現(xiàn)，黑灰產(chǎn)為了避免眾包平臺(tái)被監(jiān)測(cè)和風(fēng)控，推出了更為復(fù)雜、安全的眾包發(fā)布渠道。

其復(fù)雜性主要體現(xiàn)在：

1、首先眾包人員需要先進(jìn)入特定的社交群聊才能獲取到眾包平臺(tái)的網(wǎng)站鏈接；

2、而后眾包人員需要訪問(wèn)鏈接并注冊(cè)登錄后，才能執(zhí)行接單任務(wù)。

這種方式做單雖增加了執(zhí)行時(shí)間和操作成本，但其隱蔽性使得平臺(tái)的監(jiān)測(cè)及風(fēng)控難度大大提升。

除了私域眾包平臺(tái)外，威脅獵人還觀察到部分公開的眾包平臺(tái)也開始推出新的策略，防止平臺(tái)被監(jiān)測(cè)及風(fēng)控，例如：

1、刷量任務(wù)中，刷量鏈接使用短鏈接代替真實(shí)的刷量鏈接；

2、拉新任務(wù)中，需注冊(cè)、實(shí)名眾包APP，并領(lǐng)取任務(wù)后才能獲取詳細(xì)的任務(wù)步驟及教程。

（4）電商代下現(xiàn)狀嚴(yán)峻，日化快消和美妝護(hù)膚品成為電商代下重災(zāi)區(qū)

2023年，威脅獵人捕獲的代下方案中，代下品類Top3為日化快消、美妝護(hù)膚和醫(yī)藥器械類，分別占總數(shù)的55.35%、20.09%和8%，余下16.56%的品類與保健品、家電、手機(jī)數(shù)碼、時(shí)尚服飾、酒類等相關(guān)。

4.1.2 信貸作弊

（1）信貸欺詐攻擊情報(bào)196萬(wàn)條，監(jiān)測(cè)到活躍群組4486個(gè)

2023年，威脅獵人共捕獲信貸欺詐攻擊情報(bào)196萬(wàn)條，監(jiān)測(cè)活躍的作惡社交群組4486個(gè)，作惡黑產(chǎn)2.8萬(wàn)名。

雖然2023年活躍的作惡群組數(shù)及作惡黑產(chǎn)數(shù)量變化相對(duì)平穩(wěn)，平臺(tái)仍需警惕信貸欺詐黑灰產(chǎn)的作惡情況。

（2）反催收手法及案例

反催收通常指的是一些組織或個(gè)人通過(guò)非正常手段幫助債務(wù)人惡意躲避債務(wù)的行為，幫助債務(wù)人延長(zhǎng)還款期限、減免利息費(fèi)用，或者通過(guò)其他方式減少債務(wù)人的還款責(zé)任。

例如反催收中介讓債務(wù)人寄個(gè)人電話卡或者設(shè)置呼叫轉(zhuǎn)移，由反催收?qǐng)F(tuán)伙這邊所謂的法務(wù)人員代替?zhèn)鶆?wù)人進(jìn)行協(xié)商溝通，達(dá)成減免利息和延期/分期還款等目的，最終基于反催收結(jié)果向債務(wù)人收取一定比例手續(xù)費(fèi)，由此來(lái)獲利。

經(jīng)調(diào)研發(fā)現(xiàn)，在反催收作惡場(chǎng)景中主要存在四個(gè)主要角色：

① 貸款者：反饋延期停息需求，尋求反催收中介的幫助；

② 反催收中介：在各類社交平臺(tái)/渠道發(fā)布反催收業(yè)務(wù)廣告，招攬已逾期的貸款者

③ 法務(wù)：代替貸款者向網(wǎng)貸平臺(tái)申請(qǐng)協(xié)商延期以及協(xié)商談判

④ 借貸平臺(tái)：在法務(wù)的話術(shù)威脅下同意協(xié)商延期

以下是貸款逾期的延期停息操作的運(yùn)作流程：

4.1.3 內(nèi)容刷量

2023年，整體刷量作弊情況依舊嚴(yán)峻，威脅獵人共捕獲直播平臺(tái)、內(nèi)容平臺(tái)、電商平臺(tái)及應(yīng)用下載平臺(tái)刷量作弊攻擊情報(bào)42.5萬(wàn)條，監(jiān)測(cè)活躍的刷量作惡社交群組4364個(gè)，作惡黑產(chǎn)人數(shù)達(dá)5759。

就刷量方式而言，隨著各大平臺(tái)對(duì)惡意刷量行為的識(shí)別能力提升，眾多刷量工作室逐漸減少協(xié)議刷量及基于真實(shí)設(shè)備的群控刷量，轉(zhuǎn)而使用真人刷量。

（1）直播平臺(tái)及內(nèi)容平臺(tái)遭受刷量攻擊最為嚴(yán)重

（2）真人作弊刷量仍為主流刷量方式

（3）刷量服務(wù)售后完善，黑產(chǎn)提供“補(bǔ)量”服務(wù)

隨著各大平臺(tái)對(duì)惡意刷量行為的識(shí)別能力提升，同一批次的刷量往往無(wú)法達(dá)到既定的目標(biāo)數(shù)量。

此時(shí)，黑產(chǎn)通常會(huì)進(jìn)行補(bǔ)量操作，即“在規(guī)定的一段時(shí)間內(nèi)，通過(guò)持續(xù)刷量，讓文章或視頻的瀏覽數(shù)、點(diǎn)擊數(shù)保持在既定的目標(biāo)數(shù)量上”。

4.2 2023年數(shù)據(jù)泄露場(chǎng)景分析

（1）2023年監(jiān)測(cè)數(shù)據(jù)泄露事件超19500起， 金融、物流、航旅等行業(yè)是數(shù)據(jù)泄露重災(zāi)區(qū)

據(jù)威脅獵人數(shù)據(jù)泄露風(fēng)險(xiǎn)監(jiān)測(cè)平臺(tái)數(shù)據(jù)顯示，2023年全網(wǎng)監(jiān)測(cè)到的近1.5億條情報(bào)中，分析驗(yàn)證有效的的數(shù)據(jù)泄露事件超過(guò)19500起。

從行業(yè)分布來(lái)看，2023年數(shù)據(jù)泄露事件涉及二十余個(gè)行業(yè)，數(shù)據(jù)泄露事件數(shù)量Top5行業(yè)分別為金融、物流、航旅、電商、汽車。

（2）金融行業(yè)數(shù)據(jù)泄露事件8758起位列第一，航旅行業(yè)躍居第三

2023年，金融行業(yè)依舊是個(gè)人信息泄露重災(zāi)區(qū)，數(shù)據(jù)泄露事件數(shù)量8758起，涉及銀行、保險(xiǎn)、證券等行業(yè)高凈值人群信息，主要源于下游黑產(chǎn)用于營(yíng)銷推廣以及詐騙的收益價(jià)值更高。

從金融細(xì)分行業(yè)來(lái)看，數(shù)據(jù)泄露事件數(shù)量發(fā)生最多的是銀行業(yè)，全年共發(fā)生4293起，其次為網(wǎng)絡(luò)借貸、保險(xiǎn)、證券及支付行業(yè)。

（3）2023年“公民個(gè)人信息”依舊是數(shù)據(jù)泄露的主要類型，占比超90%

從數(shù)據(jù)泄露的類型來(lái)看，2023年泄露數(shù)據(jù)類型主要有3種：公民個(gè)人信息共計(jì)18347起（93.68%）、敏感代碼共計(jì)727起（3.71%）、敏感文件資料共計(jì)510起（2.6%）。

（4）公民個(gè)人信息在夜間交易的超過(guò)50%，在非工作日交易的超過(guò)30%

威脅獵人研究統(tǒng)計(jì)發(fā)現(xiàn)，2023年公民個(gè)人信息泄露事件中的數(shù)據(jù)交易時(shí)間中，非工作日（周末、節(jié)假日）發(fā)生的事件數(shù)量高達(dá)31.21%，夜間發(fā)生的事件占比高達(dá)51.88%，超過(guò)一半。（夜間：18:30至次日09:30）

在防守最薄弱的時(shí)候，企業(yè)難以在數(shù)據(jù)泄露事件爆發(fā)時(shí)快速感知、及時(shí)響應(yīng)，以至于錯(cuò)過(guò)最佳應(yīng)對(duì)時(shí)機(jī)，給企業(yè)資金、品牌聲譽(yù)及商業(yè)競(jìng)爭(zhēng)帶來(lái)重大影響。

（5）數(shù)據(jù)泄露原因包括運(yùn)營(yíng)商通道泄露、內(nèi)鬼泄露、黑客攻擊等

從數(shù)據(jù)泄露的具體原因來(lái)看，2023年數(shù)據(jù)泄露原因包括運(yùn)營(yíng)商通道泄露、內(nèi)鬼泄露、黑客攻擊、安全意識(shí)問(wèn)題等。其中，因運(yùn)營(yíng)商通道泄露引發(fā)的數(shù)據(jù)泄露事件數(shù)量最多。

（6）Telegram、暗網(wǎng)是數(shù)據(jù)泄露的主要渠道，占比高達(dá)92%

2023年威脅獵人監(jiān)測(cè)到的數(shù)據(jù)泄露事件中，發(fā)生在Telegram及暗網(wǎng)的達(dá)92%以上，其中82.26%集中在Telegram，10.01%發(fā)生在暗網(wǎng)。

主要原因是 Telegram及暗網(wǎng)渠道的隱蔽性較高，難以追溯到黑產(chǎn)本人，是黑產(chǎn)溝通和交易的首選渠道。

此外，威脅獵人在代碼倉(cāng)庫(kù)（如 GitHub、GitLab 、Postman等）、網(wǎng)盤文庫(kù)等渠道也監(jiān)測(cè)到了數(shù)據(jù)泄露事件。

截至2023年12月，威脅獵人數(shù)據(jù)泄露監(jiān)測(cè)情報(bào)覆蓋了Telegram近2萬(wàn)個(gè)頻道/群聊，在超過(guò)1700個(gè)頻道/群聊中發(fā)現(xiàn)公民個(gè)人信息泄露風(fēng)險(xiǎn)事件。

4.3 2023年釣魚仿冒場(chǎng)景分析

2023年，威脅獵人共捕獲到釣魚網(wǎng)站28794例，涉及234家企業(yè)；捕獲到仿冒APP1295例，涉及67家企業(yè)。此類網(wǎng)站及APP都是通過(guò)仿冒正常網(wǎng)站及APP，獲取用戶信任并騙取用戶的個(gè)人信息及錢財(cái)。

威脅獵人研究人員針對(duì)捕獲到的案例進(jìn)行分析發(fā)現(xiàn)：

（1）金融行業(yè)遭受的釣魚仿冒情況最為嚴(yán)重

無(wú)論是釣魚網(wǎng)站，還是仿冒APP，金融行業(yè)成為黑產(chǎn)攻擊的主要目標(biāo)。

由于金融行業(yè)的業(yè)務(wù)場(chǎng)景多涉及資金流轉(zhuǎn)，且交易金額較大，故黑產(chǎn)往往在不引起受害者懷疑的同時(shí)，還能最大程度的獲利。同時(shí)，大多數(shù)情況下，黑產(chǎn)為了盡可能取信于受害者，往往會(huì)選擇行業(yè)頭部企業(yè)進(jìn)行仿冒。

（2）作惡手法以誘導(dǎo)下載仿冒理財(cái)及刷單APP進(jìn)行轉(zhuǎn)賬為主

① 誘導(dǎo)下載仿冒投資APP

此類型詐騙套路相對(duì)隱蔽，用戶在注冊(cè)時(shí)，需要相關(guān)介紹人提供注冊(cè)碼才能注冊(cè)成功。

作惡的大致流程如下：

1、黑產(chǎn)通過(guò)技術(shù)手段實(shí)現(xiàn)精準(zhǔn)獲客，目標(biāo)客群一般是擁有一定數(shù)額存款的高收入人群；

2、介紹人（黑產(chǎn)口中的“理財(cái)/投資/分析師”）通過(guò)夸大理財(cái)收益誘導(dǎo)客戶下載指定APP進(jìn)行理財(cái)或投資；

3、用戶進(jìn)行短期、多次理財(cái)投入，且每次都能獲取到一定數(shù)額的收益；

4、分析師再次誘導(dǎo)用戶加大理財(cái)（投資）投入，累計(jì)一定數(shù)額鎖定用戶賬號(hào)；

5、客服再引導(dǎo)用戶充值解凍用戶賬號(hào)，直到用戶停止充值，平臺(tái)直接“跑路”。

② 誘導(dǎo)下載仿冒電商刷單APP

該仿冒類型表面上是仿冒電商平臺(tái)的APP，用戶安裝APP后會(huì)發(fā)現(xiàn)該APP實(shí)際上是仿冒社交平臺(tái)的APP，再嵌入一個(gè)刷單詐騙的H5界面（也就是刷單系統(tǒng)）。

用戶需要通過(guò)上游提供的邀請(qǐng)碼才能注冊(cè)賬號(hào)，并進(jìn)入相關(guān)的刷單系統(tǒng)。

作惡套路大致為：

1、刷單系統(tǒng)需要用戶充值一定的金額才能進(jìn)行接單，充值的金額越多，用戶的等級(jí)越高，每日接單的數(shù)量和刷單返回的金額就越高。

這種模式會(huì)誘導(dǎo)用戶不斷充值，充值到一定程度，賬號(hào)就會(huì)出現(xiàn)凍結(jié)狀態(tài)。

2、當(dāng)用戶尋找客服解除賬號(hào)凍結(jié)狀態(tài)，客服會(huì)引導(dǎo)用戶多充錢解除賬號(hào)異常后才能提現(xiàn)。

3、用戶不進(jìn)行充值或者發(fā)現(xiàn)平臺(tái)異常后，用戶的大量資金已經(jīng)被黑產(chǎn)轉(zhuǎn)移，平臺(tái)也會(huì)“跑路”。

2023年黑灰產(chǎn)作惡情況愈發(fā)嚴(yán)峻，黑灰產(chǎn)從業(yè)人員數(shù)量、作惡資源量級(jí)連續(xù)兩年呈現(xiàn)上升趨勢(shì)，黑灰產(chǎn)獲取作惡資源的途徑更為隱蔽。

無(wú)論是攻擊資源、作惡手法還是作惡場(chǎng)景，都發(fā)生了巨大的變化，黑產(chǎn)攻防對(duì)抗也成為了各企業(yè)平臺(tái)面臨的極大挑戰(zhàn)。

從2023年互聯(lián)網(wǎng)黑灰產(chǎn)趨勢(shì)來(lái)看，企業(yè)需要重點(diǎn)關(guān)注以下問(wèn)題：

1、在攻擊資源方面，2023年黑灰產(chǎn)整體資源量級(jí)大幅上升，應(yīng)用方式更加高效隱蔽

2023年國(guó)內(nèi)作惡手機(jī)號(hào)較2022年增長(zhǎng)15.44%，風(fēng)險(xiǎn)IP數(shù)量較2022年上升88.47%，洗錢銀行卡數(shù)量較2022年增長(zhǎng)133.74%。

在應(yīng)用方面也有了新的趨勢(shì)，如發(fā)卡平臺(tái)成為黑產(chǎn)投放高價(jià)值接碼手機(jī)卡的主流渠道之一；黑產(chǎn)通過(guò)植入木馬惡意使用正常用戶IP的行為更加猖獗，這種“好壞共用”的IP更容易逃脫企業(yè)風(fēng)控。

2、在攻擊技術(shù)方面，AI技術(shù)的應(yīng)用大幅提升攻擊效率，頭部云手機(jī)平臺(tái)呈現(xiàn)產(chǎn)業(yè)化趨勢(shì)

2023年，AI技術(shù)應(yīng)用于網(wǎng)絡(luò)安全的多個(gè)場(chǎng)景，AI技術(shù)的深度應(yīng)用也引起了大量黑產(chǎn)團(tuán)伙的覬覦。

不少黑產(chǎn)團(tuán)伙利用如文本生成、照片活化、人臉替換等AI技術(shù)進(jìn)行攻擊，進(jìn)一步實(shí)施詐騙行為，包括在社交場(chǎng)景接入AI機(jī)器人自動(dòng)生成聊天話術(shù)、利用AI進(jìn)行視頻偽造繞過(guò)人臉驗(yàn)證等。

2023年提供云手機(jī)服務(wù)的平臺(tái)持續(xù)增加，且頭部云手機(jī)平臺(tái)已呈現(xiàn)出產(chǎn)業(yè)化趨勢(shì)，這類平臺(tái)除了提供云手機(jī)服務(wù)外，還會(huì)提供配套的攻擊工具，如代理IP服務(wù)、改機(jī)工具、改定位工具、Hook框架等，極大提高黑產(chǎn)攻擊效率。

3、在攻擊場(chǎng)景方面，為逃避企業(yè)風(fēng)控系統(tǒng)，出現(xiàn)了更多隱蔽的攻擊方式

在營(yíng)銷欺詐場(chǎng)景上，2023年威脅獵人研究人員發(fā)現(xiàn)，黑灰產(chǎn)為了避免眾包平臺(tái)被監(jiān)測(cè)和風(fēng)控，推出了更為復(fù)雜、安全的眾包發(fā)布渠道。

這種眾包平臺(tái)“私域化”雖增加了執(zhí)行時(shí)間和操作成本，但其隱蔽性使得平臺(tái)的監(jiān)測(cè)及風(fēng)控難度大大提升。

數(shù)據(jù)泄露場(chǎng)景上，威脅獵人研究員發(fā)現(xiàn)，公民個(gè)人信息泄露事件中的數(shù)據(jù)交易時(shí)間中，非工作日（周末、節(jié)假日）發(fā)生的事件數(shù)量高達(dá)31.21%，夜間（18:30至次日09:30）發(fā)生的事件占比高達(dá)51.88%。

夜間和非工作日時(shí)間是企業(yè)防守最薄弱的時(shí)候，大部分企業(yè)很難在數(shù)據(jù)泄露事件發(fā)生時(shí)快速感知、及時(shí)響應(yīng)，以至于錯(cuò)過(guò)最佳應(yīng)對(duì)時(shí)機(jī)，給企業(yè)資金、品牌聲譽(yù)及商業(yè)競(jìng)爭(zhēng)帶來(lái)重大影響。

近年來(lái)，黑灰產(chǎn)不斷優(yōu)化攻擊資源、迭代攻擊技術(shù)，以確保持續(xù)、高效的獲利，日益嚴(yán)峻的黑灰產(chǎn)攻防局勢(shì)也意味著，各企業(yè)平臺(tái)在感知黑灰產(chǎn)的攻擊行為上存在一定的滯后性。

針對(duì)層出不窮的作惡事件，企業(yè)應(yīng)及時(shí)了解其作惡流程及細(xì)節(jié)，并結(jié)合自身業(yè)務(wù)場(chǎng)景建立具體的風(fēng)控規(guī)則。

此外，企業(yè)也需要意識(shí)到與外部黑產(chǎn)的對(duì)抗是動(dòng)態(tài)的、持續(xù)性的，可以依托基于全網(wǎng)多渠道監(jiān)測(cè)的黑灰產(chǎn)情報(bào)數(shù)據(jù)，提取黑灰產(chǎn)攻擊模式及資源特征，與企業(yè)業(yè)務(wù)中的異常流量進(jìn)行匹配，快速識(shí)別風(fēng)險(xiǎn)并進(jìn)行針對(duì)性防御。

對(duì)抗黑灰產(chǎn)的道路任重道遠(yuǎn)，企業(yè)在外部“威脅情報(bào)”的助力下，能夠全面、及時(shí)感知黑灰產(chǎn)團(tuán)伙的軌跡及動(dòng)向，在日益嚴(yán)峻的黑灰產(chǎn)風(fēng)險(xiǎn)局勢(shì)中精準(zhǔn)打擊黑灰產(chǎn)，更好地守護(hù)自身業(yè)務(wù)安全。

原標(biāo)題：《【黑產(chǎn)大數(shù)據(jù)】2023年互聯(lián)網(wǎng)黑灰產(chǎn)研究年度報(bào)告》

閱讀原文