2023年,黑灰产从业人员人数超过580万,威胁猎人捕获到的国内作恶手机号数量高达625万,日活跃风险IP数量602万,洗钱银行卡数量87万。
从百万级黑灰产业链规模、大幅提升的攻击资源量级可见,2023年是黑产攻防对抗空前激烈的一年。推陈出新的攻击资源和技术成为黑产攻击的“保护色”。
因难以监测黑产攻击行为和溯源潜在风险,不少企业遭受严重损失,成为业务安全建设中亟需攻破的难点。
威胁猎人发布《2023年互联网黑灰产研究年度报告》,针对2023年黑灰产业链进行了深入研究,从2023年互联网黑灰产发展现状、黑灰产攻击资源、黑灰产攻击场景等维度进行全面梳理分析,力求通过客观呈现黑灰产情报数据,帮助更多企业深入直观了解黑灰产业,有效防控各类攻击风险。
1、风险IP:业内也称黑IP,指存在攻击风险(包括代理、秒拨等恶意行为)的IP;
2、风险手机号:存在被滥用盗用等风险的手机号,如被黑产用于接收短信,实施批量恶意攻击的手机号,通常从接码平台或发卡平台捕获;
3、风险邮箱:指被黑产用于恶意注册生成的临时邮箱,用以骗取用户重要信息、传播恶意程序等;
4、黑手机卡:指未进行实名登记或以假身份进行实名登记的,并被不法分子利用实施违法犯罪活动的电线、猫池卡:指通过“猫池”这一网络通信硬件,实现同时支持多个号码通话、群发短信等功能的黑手机卡;
6、拦截卡:指通过病毒木马控制真实用户手机短信/验证码收发权限的手机卡,通常捕获自拦截卡平台;
7、洗钱银行卡:指被黑产用于非法资金清洗(将违法所得收入合法化)的银行卡,例如赌博及诈骗团伙通过银行卡消费、转账等方式转移洗钱资金;
8、洗钱数字钱包:指被黑产用于非法资金清洗的加密数字货币,例如通过数字人民币消费、转账等方式转移资金,利用数字货币的隐蔽性来逃避监管审查;
9、洗钱对公账户:指被黑产用于非法资金清洗的银行对公账户,因对公账户具有收款额度大、转账次数多等特点,使得“对公账户”常常作为黑钱转账的集中点及发散点;
10、改机:指的是通过修改手机设备信息,如手机型号、串码、IMEI、GPS定位等,达成绕过厂商设备检测的目的;
11、改定位:指利用相关工具修改手机定位信息泛亚电竞,例如通过修改地理位置信息参加地域性活动并进行营销作弊;
12、泛亚电竞平台数据泄露情报:威胁猎人通过TG群、暗网等渠道捕获到的“未授权个人/组织敏感信息被公开交易或使用” 的情报信息,可能包含历史数据、重复数据等,往往量级巨大;
13、数据泄露事件:威胁猎人安全研究专家针对数据泄露情报的样例等进行分析及验证,确认为真实、有效的数据泄露事件;
14、暗网:指隐藏的网络,普通网民无法通过常规手段搜索访问,需要使用一些特定的软件、配置或者授权才能登录;
15、公民个人信息:指公民个人身份信息,包括但不限于姓名、身份证号码、出生日期、手机号码、家庭住址、银行账户信息等。
1.1 2023年互联网黑灰产从业人员达587万,较2022年上升141%威胁猎人安全研究员调研统计发现,2023年互联网黑灰产从业人数持续上升,从业人员数量达到587.1万,较2022年上升141%。
2.1 2023年黑手机卡资源分析2.1.1 2023年猫池卡资源变化趋势
据威胁猎人威胁情报运营平台数据显示,2023年新捕获猫池卡586.6万个,较2022年上升8.25%。从2023年国内猫池卡数量的变化趋势来看,1-3月出现明显上升趋势,4-6月逐渐降低。
1-3月某头部接码平台对接的黑产持续上传大量新的接码手机号,使得该时间段内的新增作恶手机号数量持续上升;4-6月该头部接码平台遭遇持续性DDos攻击而无法正常运营,导致该时间段内的作恶手机号数量持续下降。
2023年,威胁猎人最新捕获拦截卡达38.9万,并于3月捕获到大量新增拦截卡,经过持续监测分析发现,其主要原因是:2023年3月出现一个新的拦截卡接码平台,导致3月新增拦截卡数量大幅上升。
自第三季度开始,有4个供应渠道进一步增大192号段手机卡的投入规模,使得第三季度新增量进一步增加。
10月,部分黑产开始将目光投向非头部互联网平台并展开攻击,直到11月这些平台开始察觉到攻击情况并对其进行风控,192号段的新增量开始逐渐下降。
高质量接码手机号:手机号入网时间短,在网状态正常,绝大多数都是黑产卡商通过特定渠道及技术新开的实体手机卡。
黑产多利用此类手机号对热门APP业务进行攻击并实现获利,如热门的视频APP、互联网社交APP或电商APP的注册和换绑业务。
自2023年1月起,每月捕获的涉及接码的发卡平台数量持续上升,截至2023年12月,活跃发卡平台达到28个。
在这些发卡平台中,直接向黑产提供手机号接码服务的发卡店铺数量亦也出现大幅度上升,2023年12月,威胁猎人共捕获该类店铺322家。
近年来国内互联网平台业务不断开拓海外市场,如何识别海外风险IP已成为各大企业亟需重视的问题。威胁猎人海外风险IP监测能力的提升,也为互联网平台优化海外风控规则提供了有力支持。
2023年威胁猎人持续监测国内风险IP5906万个,国外风险IP7172万个。我们对国内及国外两种类型的风险IP分析发现:
从甲方风控视角来看,正常用户的IP被黑产恶意使用,这类IP属于“好坏共用-代理”IP。
这类IP由于大部分时间是正常用户进行操作,如点击、充值、浏览等行为均正常,少量时间会出现短暂的作恶行为。因此平台可能会认定该用户为正常用户,进而忽视其短暂的作恶行为,给黑产可乘之机。
通过对代理IP平台的持续监测,我们发现黑产通过植入木马恶意使用正常用户IP的行为更加猖獗。
以威胁猎人2023年11月及12月捕获到的数据为例:11月捕获被劫持IP数量达508万,12月捕获被劫持IP数量达934万,较11月增加83.85%。
2023年威胁猎人共捕获洗钱银行卡87.4万张,对捕获到的洗钱银行卡进一步分析发现:
由于数字人民币“第四类钱包”无需绑定用户身份信息,有手机号即可注册,洗钱团伙会利用专门提供手机小号并接收验证码的平台,批量注册数字人民币钱包账户,或直接租用、购买普通民众的数字人民币账户,用于收取赌资。
(1)2023年捕获涉及洗钱的数字人民币钱包数量达23万,月增幅超270%
2023年威胁猎人共捕获涉及洗钱的数字人民币钱包23.2万个,同时发现黑产利用数字人民币进行洗钱的情况整体呈上升趋势,尤其是9月,月增幅超过了270%。
经调查发现,9月出现较大增幅的主要原因是:9月出现大量支持数字人民币洗钱的第四方支付平台,使得利用数字人民币进行洗钱的情况变得更加高频。
在打击洗钱犯罪过程中,银行对涉及洗钱的对公账户进行风控也是十分重要的一环。
因为一个对公账户的收款额度往往在几百万到几千万不等,及时发现涉嫌洗钱的对公账户并进行针对性风控,往往能中断某个黑产团伙的某一洗钱链条。
2023年威胁猎人持续覆盖及监测黑产在洗钱过程中所使用的银行对公账户资源,发现涉及洗钱的对公账户数量持续上升。
为了加强渠道的可信度,确保数据交易顺利进行,交易双方往往会通过第三方平台保障交易过程的可信度及可行性,最常见的方式就是“担保公群”。
在交易时,买卖双方在交易前会在担保公群提供的虚拟货币账户中转入等价于交易金额的虚拟货币作为押金;通过第三方担保公群收取押金的方式,避免受骗带来的损失。
从2023年每月不同类型风险邮箱捕获数量来看,9月出现大幅上涨。2023年9月,威胁猎人安全研究员通过已知的风险邮箱进行MX解析,关联出了大量的风险企业邮箱。
MX,即Mail Exchanger(邮件交换记录),它指向一个邮件服务器,主要用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。通常情况下,一个MX可以绑定多个邮箱域名。
3.1 黑产应用AI技术大幅提升攻击效率,突破企业防御体系2023年,AI技术应用于网络安全的多个场景,AI技术的深度应用也引起了大量黑产团伙的觊觎。
威胁猎人研究人员观察到,不少黑产团伙利用文本生成、照片活化、人脸替换、验证码识别、语音生成等AI技术进行攻击并实施诈骗行为。
由于AI的智能、自动化能力,攻击者运用AI技术绕过企业现有防御,发起高度隐蔽、复杂、自动化的攻击,在同等时间内攻击尽可能多的目标用户,因此近年来利用AI技术实施网络攻击的事件快速增长。
威胁猎人安全研究员在2023年第三季度发现,黑灰产在社交引流场景已经接入AI机器人,使聊天更智能。
以捕获的一款自动聊天工具“AiTuLing”为例,该工具除了常规的“基于预设话术进行引流”外,还支持接入AI机器人,同时该工具支持市面上近百个社交平台的自动引流。
研究发现,黑产通过购买AI服务平台的服务,并在此基础上进行整合、开发及售卖,最终被更多作恶团伙用于社交平台自动引流及诈骗。
此外,利用会议软件+AI换脸工具伪装成受害者熟人对受害者实施诈骗转账的案件频繁发生。
案件中,诈骗者往往让受害者在手机上安装会议软件,并通过会议软件+实时直播换脸工具,伪装成熟人从而骗取受害者信任,进而实施诈骗。泛亚电竞平台
这类平台除了提供云手机服务外,还提供配套的攻击工具,如代理IP服务、改机工具、改定位工具、Hook框架等,极大提高黑产攻击效率。下表为某云手机平台提供的配套服务:
(2)使用方便且配套服务完善:云手机自带改机工具且具备虚拟定位、自动化脚本工具等配套服务。
以上云手机的优势使黑产的攻击作恶成本大大降低,同时节省了黑产安装、配置作恶环境所需的时间,提高了黑产的攻击效率,为企业风控带来了一定的挑战。
除安卓端云手机外,黑产使用iOS云手机进行作恶的情况并不少见,由于iOS系统对应用权限申请的严格限制,使得大部分互联网公司在iOS设备上获取设备信息的难度远大于安卓端设备,这在一定程度上可能会使得平台在iOS设备上进行风控识别的难度更高。
针对此类情况,威胁猎人建议企业应及时获取此类平台样本,进行相关样本分析和防御。
今年各企业平台营销活动遭受黑产攻击的现状依旧严峻,2023年威胁猎人共捕获营销活动攻击情报928万条,监测到活跃的作恶社交群组1.2万个,涉及作恶黑产人数达15.9万名。
主要由于黑产利用了提供购买服务的第三方平台与官方平台之间信息不互通这一特点。
这种方式做单虽增加了执行时间和操作成本,但其隐蔽性使得平台的监测及风控难度大大提升。
2023年,威胁猎人捕获的代下方案中,代下品类Top3为日化快消、美妆护肤和医药器械类,分别占总数的55.35%、20.09%和8%,余下16.56%的品类与保健品、家电、手机数码、时尚服饰、酒类等相关。
虽然2023年活跃的作恶群组数及作恶黑产数量变化相对平稳,平台仍需警惕信贷欺诈黑灰产的作恶情况。
② 反催收中介:在各类社交平台/渠道发布反催收业务广告,招揽已逾期的贷款者
随着各大平台对恶意刷量行为的识别能力提升,同一批次的刷量往往无法达到既定的目标数量。
在防守最薄弱的时候,企业难以在数据泄露事件爆发时快速感知、及时响应,以至于错过最佳应对时机,给企业资金、品牌声誉及商业竞争带来重大影响。
由于金融行业的业务场景多涉及资金流转,且交易金额较大,故黑产往往在不引起受害者怀疑的同时,还能最大程度的获利。同时,大多数情况下,黑产为了尽可能取信于受害者,往往会选择行业头部企业进行仿冒。
1、黑产通过技术手段实现精准获客,目标客群一般是拥有一定数额存款的高收入人群;
2、介绍人(黑产口中的“理财/投资/分析师”)通过夸大理财收益诱导客户下载指定APP进行理财或投资;
5、客服再引导用户充值解冻用户账号,直到用户停止充值,平台直接“跑路”。
1、刷单系统需要用户充值一定的金额才能进行接单,充值的金额越多,用户的等级越高,每日接单的数量和刷单返回的金额就越高。
2、当用户寻找客服解除账号冻结状态,客服会引导用户多充钱解除账号异常后才能提现。
3、用户不进行充值或者发现平台异常后,用户的大量资金已经被黑产转移,平台也会“跑路”。
从2023年互联网黑灰产趋势来看,企业需要重点关注以下问题:1、在攻击资源方面,2023年黑灰产整体资源量级大幅上升,应用方式更加高效隐蔽
在应用方面也有了新的趋势,如发卡平台成为黑产投放高价值接码手机卡的主流渠道之一;黑产通过植入木马恶意使用正常用户IP的行为更加猖獗,这种“好坏共用”的IP更容易逃脱企业风控。
2、在攻击技术方面,AI技术的应用大幅提升攻击效率,头部云手机平台呈现产业化趋势
2023年,AI技术应用于网络安全的多个场景,AI技术的深度应用也引起了大量黑产团伙的觊觎。
不少黑产团伙利用如文本生成、照片活化、人脸替换等AI技术进行攻击,进一步实施诈骗行为,包括在社交场景接入AI机器人自动生成聊天话术、利用AI进行视频伪造绕过人脸验证等。
2023年提供云手机服务的平台持续增加,且头部云手机平台已呈现出产业化趋势,这类平台除了提供云手机服务外,还会提供配套的攻击工具,如代理IP服务、改机工具、改定位工具、Hook框架等,极大提高黑产攻击效率。
在营销欺诈场景上,2023年威胁猎人研究人员发现,黑灰产为了避免众包平台被监测和风控,推出了更为复杂、安全的众包发布渠道。
这种众包平台“私域化”虽增加了执行时间和操作成本,但其隐蔽性使得平台的监测及风控难度大大提升。
数据泄露场景上,威胁猎人研究员发现,公民个人信息泄露事件中的数据交易时间中,非工作日(周末、节假日)发生的事件数量高达31.21%,夜间(18:30至次日09:30)发生的事件占比高达51.88%。
夜间和非工作日时间是企业防守最薄弱的时候,大部分企业很难在数据泄露事件发生时快速感知、及时响应,泛亚电竞平台以至于错过最佳应对时机,给企业资金、品牌声誉及商业竞争带来重大影响。
近年来,黑灰产不断优化攻击资源、迭代攻击技术,以确保持续、高效的获利,日益严峻的黑灰产攻防局势也意味着,各企业平台在感知黑灰产的攻击行为上存在一定的滞后性。
针对层出不穷的作恶事件,企业应及时了解其作恶流程及细节,并结合自身业务场景建立具体的风控规则。
此外,企业也需要意识到与外部黑产的对抗是动态的、持续性的,可以依托基于全网多渠道监测的黑灰产情报数据,提取黑灰产攻击模式及资源特征,与企业业务中的异常流量进行匹配,快速识别风险并进行针对性防御。
对抗黑灰产的道路任重道远,企业在外部“威胁情报”的助力下,能够全面、及时感知黑灰产团伙的轨迹及动向,在日益严峻的黑灰产风险局势中精准打击黑灰产,更好地守护自身业务安全。