《【研报】威胁猎人《2024年上半年互联网黑灰产研究报告》.docx》由会员分享,可在线阅读,更多相关《【研报】威胁猎人《2024年上半年互联网黑灰产研究报告》.docx(28页珍藏版)》请在课桌文档上搜索。
1、以情报构筑数字化安全黑产大数据2024年上半年互联网黑灰产研究报告前言相关名词定义:一、2024年上半年互联网黑灰产:展现状二、2024年上半年黑产攻击资源分析2.12024年上半年风险手机卡资源分析11192.2 2024年上半年风险IP资源分析2.3 2024年上半年网络洗钱资源分析222.4 2024年上半年风险邮箱资源分析29三、2024年上半年黑产通用型攻击技术分析323.1 黑产利用1.SPatch技术实现快速抢单作恶,被高频利用于金融社交等平台APP323.2 黑产利用HID设备进行自动化攻击,作恶更加阳I蔽、监测难度大幅提升33四、2024年上半年黑产攻击场景分析364.1 诈
2、场景分析364.2 金融欺诈场景分析434.3 电信网络诈骗场景分析484.4 钓鱼仿冒场景分析514.5 品牌广告欺诈场景分析554.6 数据泄能场景分析58五、总结66刖百2024年上半年,黑灰产从业人员人数超过427万,威胁猎人监测到国内作恶手机号数景高达323万,日活跃风险IP数解1136万,涉及洗钱银行卡数It19.5万.近年来,数字化与实体经济的融合日渐深入,大规模业务线上场景下,黑灰产对企业业务安全的扰乱更加突出,恶意刷量、面羊毛、金融欺诈等黑产事件层出不穷,逐渐智能化和链条化的网络黑产运作,给企业带来口金白银的经济损失,影响了企业正常运营及长期发展,打击网络黑灰产,加强有效防御
3、成为各行业企业的目标与共识.威胁猎人发布2024年上半年互联网黑灰产研究报告,从2024年上半年互联网黑灰产发展现状、黑灰产攻击资源、黑灰产攻击技术及场景等维度进行全面统理分析,力求通过客观呈现黑灰产情报数据,帮助更多企业深入百观了解黑灰产业,有效防控各类攻击风险.相关名词定义:1.风贬IP:业内也称黑IP,指存在攻击风睑(包括代理、秒战等恶意行为)的IP;2.风后手机号:存在被滥用盗用等风睑的手机号,如被黑产用于接收短信,实施批量恶意攻击的手机号,通常从接码平台或发卡平台捕获;3、风哙邮箱:指破黑产用于恶意注册生成的临时由嘛,用以骗取用户更要信息、传播恶意程序等;4、黑手机卡:指未进行实名登
4、记或以假身份进行实名登记的,并被不法分子利用实施违法犯罪活动的电话卡;5、磁池卡:指通过“猫池”这一网络通信硬件,实现同时支持多个号码通话、群发短信等功能的黑手机卡;6、拦截卡:指通过捐毒木马控制亘实用户手机短信/皓证码收发权限的手机卡,通常捕获自拦截卡平台;7、洗钱银行卡:指被黑产用于非法资金清洗(将违法所得收入告去化)的银行卡,例如赌博及诈骗团伙通过银行卡消费、转账等方式转移洗钱资金;8、涉赌卡:指常被用于赌博平台内进行充值收款的银行卡,关联资产涉及到赌博洗钱行为。威胁人通过人工和自动化结合的方式,从各类赌博平台中监测用于收款行为的断汴账号信息;9、跑分卡:指活跃在跑分平台,常被用于各种非
5、法来源资金的流通交易的银行卡.或胁猎人通过自动化的方式,从跑分平台APP中获取到跑分订单中的银行卡账号信息;10、涉诈卡:指常被用于社交黑产群聊中进行诈骗资金转移的银行卡,关联资产涉及到诈麴洗钱行为.威胁猎人通过自动化的方式,从各大匿名社交黑产群聊中发送记录中,提取诈骗团伙使用银行卡账号信息;11、洗钱对公账户:指被黑产用于非法资金清洗的银行对公账户,因对公账户具有收店度大、转账次数多等特点,使得“对公账户常常作为黑钱转账的集中点及发散点;12、数据泄露事件:威胁猎人安全研究专家针对雌泄露情报的样例等进行分析及验证,确认为真实、有效的数据泄露事件;13.赌网:指陷菽的网络,普通网民无法通过常规
6、手段搜索访问,需要使用一些特定的软件、配置或者授权才能登录;一、2024年上半年互联网黑灰产业发展现状1.1 2024年上半年互联网黑灰产从业人员达427万,较2023年下半年下降6.03%威胁猎人调研统计发现,2024年上半年互联网黑灰产从业人员数量达到427万,较2023年下半年略有下降6.03%.2024年上半年及2023年下半年黑产从业人员数WOOCOJOOOOCCXjoaooa1.2 2024年上半年黑灰产资源概况1.2.1 2024年上半年新熠国内风险手机号总量较2023年下半年增长8.8%据威胁猎人风险情报平台数据显示,2024年上半年国内风险手机号数量磔U323万,较2022年
7、增长8.8%,2024年上半年及2023年下半年侬风险手机号级对比MOCOOO100CDOO000002O0COD015000001000000SOcOoo2Q2WT1.2.2 2024年上半年风险IP总量较2023年下半年增长44.8%2024年上好,砌猎人监澳愎现日活飒险IP皿h升,风险IP三三J1136万,较2023年下半年增长44.8%.2024年上半年及2023年下半年日活跃风险IP总量对比12000000IqooooooBOOOO(Meococoo40COOOO2000CoO24it1.2.3 2024年上半年涉及洗钱银行卡较2023年下半年下降28%,主要由跑分卡大幅减少所致20
8、24年上半年涉及洗钱银行卡数量19.5万,较2023年下半年下降28%.涉及洗钱银行卡主要包括跑分卡、涉赌卡、涉诈卡,其中,跑分卡新增数量的降幅最大,较2023年下半年下降50.3%,威姗自人针对黑产团伙的跑分方式深入挖泥发现,2024年上半年跑分团伙逐渐由跑分平台转向通过Te1.egram进行跑分,使得监测难度大帽提升.涉赌卡:指常被用于赌博平台内进行充值收款的银行卡,关联资产涉及到赌博洗钱行为.威胁猎人通过人工和自动1侬合的方式,从各频博平台中采集用于收款行为的银行卡账号信包跑分卡:指活跃在跑分平台,常被用于各种非法来源资金的流通交易的银行卡.威胁猎人通过自动化的方式,从跑分平台APP中获
9、取到跑分订单中的银行卡账号信息.涉诈卡:指常被用于社交黑产群聊中进行诈嘀资金转移的银行卡,关联资产涉及到诈照洗钱行为。威胁猎人通过自动化的方式,从各大匿名社交黑产群聊中发送记录中,提取诈9团伙使用银行卡账号信息.2024年上半年及2023年下半年新堵洗钱卡数统计(二、2024年上半年黑产攻击资源分析2.1 2024年上半年风险手机卡资源分析2.1.1 2024年上半年猫池卡资源变化趋势(1)2024年上半年国内猫池卡较2023年下半年增加7.71%据威胁猎人情报平台数据显示,2024年上半年蝌新博指池卡309万个,较2023年下半年上升7.71%.猫池卡:指通过“猫池”这一网络通信硬件,实现同
10、时支持多个号码通话、群发短信等功能的黑手机卡.2024年上半年至2023年下半年国内猫池卡新增数量趋势n1.1.1.1.Z/ZZZ/ZZ经威胁猎人情报专家分析,出现这T3势的主要原因厘:1、2月因春节期间黑产交易放缓,下游作恶者活跃度降低强供应量显著下降,节后恢且稳步上涨趋玲;2、6月猫池卡数量下降主要受到高考期间风控加强的影响,高考期间各大平台账号批量注册、恶意引流等监测力度大大加强(如不可修改账号名称、头像、介绍等),多个渠道卡商主动反馈受该原因干扰,黑卡供给存在问题.(2)2024年上半年新增猫池卡归属品多的三个省份为:上海、山东、辽宁威胁猎人对2024年上半年新将国内猫池卡进行统计分析
11、,发现上海、山东、辽宁三省(含直辖市)为猫池卡归属地最多的三个省份;针对归属城市分析发现,猫池卡归属地最多的三个城市为上海、里庆、武汉,由下图可见,2024年上半年上海的猫池卡新增数最远超其他省市,深入分析发现,其主要原因在于2024年3月及5月,国内两大头部发卡平台持有并出售大量归碘在上辎飒睑手机卡,只数贵在新增总量的40%以上.2024年上半年猫池卡归属省份TOP1.OSOCOOO山掌irAi1.Of1.euJXI1.RE归属地为上海的风险手机卡首次捕获渠道分布二二军”9Wttmraj(3)2024年上半年捕获的猫池卡中,归属国内三大运营商的占76.1%2024年上半年监测到通池卡364万
12、张,其中归属国内三大运营商的蓝也卡占比76.1%,归属其他运营商的占比23.9%.2024年猫池卡归属运营商占比2.1.2 2024年上半年拦截卡资源变化趋势(D2024年上半年国内拦靛卡较2023年下半年增加42.57%,从新增渠道首次捕获的拦哉卡占比高达94%2024年上半年,威胁猎人J三新增拦截卡达13.18万,较2023年下半年增加42.57%.针对捕获的拦截卡进一步分析发现,2024年上半年新增6个拦戟卡来源渠道,同的拦威卡多为系统首次艇,首次捕获占比高达94%,拦截卡供应渠道的增加与快速更新,无疑增加了业务方风控难度.2023年下半年至2024年上半年拦截卡资源新增趋势(2)202
13、4年上半年拦截卡归属最多的三个省份为:福建、广东.四川针对2024年上半年捕获到的国内拦截卡统计分析发现,福建、广东、四川三省为拦截卡归属地最多的三个省份;从归属城市来看,重庆市、三明市(翱)、上海市三城市为拦戟卡归属地最多的城市,与猫池卡归属城市存在较大的更合.m(3)2024年上半年捕院的拦截卡中,归属国内三大运营商的占98.29%2024年上半年威胁猎人情报运营平台捕获拦截卡39.8万张,归尻国内三大运营商的拦截卡占比达98.31%.2024年拦截卡归属运营商占比2.1.3 归属地为香港的风险手机卡大幅增加,2024年6月捕获香港相关风险手机卡近10万针对黑卡主要来源渠道进一步研究发现,
14、2024年上半年,归碘为香港的风险手机卡交易数量呈现大幅增长趋势,2024年3月香港卡交易JS级仅为数千张,2024年6月香港卡交易量级达到近10万.香港相关风险手机卡数S1.的大幅增长,从需求冽来看,2024年5月至6月,香港发生多起线上诈骗事件,事件过程中.下游诈骗黑产利用香港手机卡注册Whatsapp等境外聊天软件,对受害者展开线上诈策,一踊度上导致了香港卡数*的大幅增长,也反映了风险手机IAa倩描构筑我安化安安.石卡在地域上的风险趋势及供需变化。香港相关风险手机卡的交易情报数量趋势100OOOW:/0000/Couni对比其他境内手机卡,香港手机卡具备如下特点:1、注册范围广:香港手机
15、卡注册范围广,可注册Te1.egram、WhatSAPP等海内外应用;2、在线使用时间长:香港手机卡接码服名的在线使用时间相对境内卡更长,一般可保证一个月重复使用,而境内手机卡一般为数日;3、价格较低:香港手机卡的价格相对境内卡接码价格更低;4、支持多种接码形式:香港卡支持多种接码形式,目前威胁猎人在接码平台、发卡网站、私域接码均发现了香港相关手机卡的作恶记录.2.1.4 黑卡物料资源标签更加丰富,提升下游黑产筛卡效率、实现精准作恶威胁猎人研究发现,2024年上半年,黑产国M去交易中对黑卡树蜘做及使用更为精细,相较于2023年照卡商品描述字段,除了会提供的黑卡类别,注册情况等信息外,卡商还会标
16、识号码“已筛选”,即卡商在购买后的订单页面中展示号码的历史账户信息,并将信息提供给下游匏买方,使其确定是否为目标卡类,减少筛卡成本,大幅提升下游黑产作恶效率.与此同时,威胁猎人研究发现,黑灰产之所以能提供精油的账号及相关信息,主要借助了黑灰产新老号检测工具实现,该工具通过恶意调用业务相关的应用接口API,来检测号码是否注册或存在历史绑定记录.,w*ji2.2 2024年上半年风险IP资源分析2.2.1 2024年上半年风险IP资源变化趋势威胁猎人持续提升国内外风险IP监测能力,为互联财平台优化国内外风控观贝岷供了有力支持,2024年上半年威胁猎人持续监测国内风险1P5503万个,国外风险IP1
17、0273万个,较2023年下半年分利限升18.62%Q22.44%.我们对国内及国外两种类型的风睑IP分析发现:(1)2024年上半年国内风险IP归属最多的三个省份:江苏、广东、河南(2)2024年上半年国内风险IP归属最多的三个域市:重庆、上海、d晾(3)2024年上半年国外风险IP归属最多的三个国家:巴西、印度、美国2024年上ttW4*mxzwnmhvi从贩卖数据(中间商)的黑产团伙数量来看,2024年2月非法数据交易黑产团伙数量出现列第一从行业分布来看,2024年上半年:泄露事件涉及85个行业,1524冢企业,数据泄露事件数量Top5行业分别为银行、电商、消斐金融保睑、快递.其中,银行
18、行业而泄露事件数量高达2961起,成为数据泄露事件数最多的行也2024年1月至6月数据泄露ToP1.。行业事件数2024年上半年TOP1.O行物E名变化情况如下:20Tae上年棒6It名安化21f1.电S2f1三ff1.1.I3a保冷44侦I1.7i,T1.Ii暂87f1.9Y1.69a拿地生名1510塔徘名党前的数抠泄露行业中以金融、电商行业为主,金融行业的数据泄露事件主要体现在银行、消费金融、保险等企业的客户信息倒卖,通常被下游黑产团伙用于精准管梢及诈遍,因涉及大摩高价值用户数据,且靠近交易环节,成为了个人信息泄露的重灾区.近年来线上购物发展更加火热,据2024年3月发布的中国互联网络发展
19、状况统计报告显示,截至2023年12月,我国网络购物用户规摸达9.15亿人,占网民整体的83.8%,线上购物的持续稳定增长下,电商平台产生了海量购物订单及物流信息,这些购物订单及物流信息由于显露面蛟大,成为了黑产团伙的更点目标,同样被用于管销或诈骗.同时,在公安部近期公布的“十大高发电信网络诈案类型”中,刷单返虚假网络投资理财、虚蛔物服务、冒充电商物流客服、虚暇征信等10种常见的电信网络诈编类型发案占比近88.4%.其中刷单返利类诈骗是发案量最大和造成损失金多的诈呜类型,虚假网络投资理财类诈骗的个案损失金额最大,虚假购物服务类诈骗发案量明显上升,已位居第三位,而金融、电商类用户群体正是此类诈骗
20、案件的受害群体.(3)2024年上半年出现多超W用Facetime做虱,IOS”字段相关风险事件共1237起,较2023年下半年增长8倍威胁猎人安全研究员发现2024年上半年泄露的数据中,“设备信息字段信息出现频率逐渐增多,尤其是IOS类数据字段,从数贩卖黑产团伙与下游数据胸买者的明天记录来看.下数抿购买者对于数据的复购要求中多次提及“IOS设备数据的筛选要求.UMNK*”,Omi1.*:taS1.ntia/,t2:41二。:ox:4niN3IMt4:1$口Q1124:41?31:2222J(fN=mO.mmi:u1434:4U9fBIZx:eAn(120Edn(“i.yr.2n。1:A=UT
21、13I1.24:I119(威胁猎人捕获的泄露数据中包含设省信息)rABios山束河南束寅州江福江西湖南(下游作恶团伙以及数据售卖方反馁需过IOS、FT等要求)威胡昔人统计发现,2024年上除I三三中包含IOSu字段的相关风险事件高达1237起,较2023年下半年增加8倍.随若国家公安机关对传统电话诈骗的打击加大、运营商监管加强,而Facetime日渐普及,不法分子开始盯上Facetime通话功能,试图通过这一功能实施诈策活动.IOS类数据字段的大幅增加,以及黑产沟通验证,进一步佐证了利用FaCetime进行诈案的现状使得上游数据清洗产业链发展更加猖獗.2024年上半年及2023年下半年,IOS
22、*字段相关数据泄露事件数对比情况自2024年起,威胁猎人发现不少诈骗分子冒充金融平台客服“、”国家征信中心工作人员”等身份,使用FaceTime功能向苹果手机用户发起通话,以“开通百万医疗保险需要关期、有未结清的贷款需要处理”等为由进行诈骗,告知手机用户如不取消会被强制扣款,或个人征信受损,从而潮!手机用户将相关款项转移至指定J1.妒,给受害者带来巨礴失.(4)2024年上半年宣档信息事件共657起,事件数呈现快速上升趋势黑产在Te1.egram粽道社工直档的事件屡见不鲜,例如通过一个手机号,就可以杳询这个手机号相关的所有身份信息,如地址、银行卡号、名下资产等等.直档:指提供对指定人员信息的资
23、料档案进行调查或相关数顺取服务.常见的查档眼务有:轨迹类(人物轨迹、车辆轨迹)、名下财产(名下卡、名下车、名下房快递业务(快递地址、物流信息)、个人信息(婚姻、户籍、社保等.*正BiaH三wtm*vwut4is290樽Awv三三w三.-三cir三i.三eHAMird1.AiM三羯r国80分鼻4RJ白沙白E*7M台“百了岳ttV,:tH%;下WZMTtfrTWsT卜旧tnI*,3f*WWMUM1.9WMwo.个AJ但MtfEAAzttfUPWIHSsStf*m4三tekj1.a*三a,城考?.在2024年上半年发现的数抠泄露事件中,威胁猎人累计发现657起“亘档”信息泄露事件,占整体数据泄露事件
24、的4.10%,从每月变化趋势来看,直档类的相关风险事件数呈上升趋势,相关黑产团伙数第也不断增加.一定程度上反映出通过直档进行非法收益的形式更加普遍,背后收益更加可观.2024年上半年壹档信息液S1.事件数以及团伙数变化趋势11eeBS五、总结2024年上半年,网络黑产运作逐渐智能化和链条化,企业需要重点关注以下问题:1、在攻击资源方面,2024年上半年黑灰产资源除洗钱银彳亍卡外,其余资源量级均割上升趋势2024年上半年风险IP数量较2023年下半年增长44.8%,国内作恶手机号较2023年增长8.8%,涉及洗钱银行卡新蝴血有所下降,较2023年下半年下降28%.在攻击资源应用方面,黑卡锄斗资源
25、标签更口丰富,如提供黑卡类别,业务信度下机时间、标识号码已筛选”等提升下游黑产筛卡效率、实现精准作恶;2024年上半年黑产通过植入木马恶意使用正用用户IP的行为更加猖掇,”劫持共用代理IP攻击占总量67%以上.成为攻击者主要使用IP类型.2、在攻击技术方面,不少黑产利用1.SPatch技术快速抢单作恶,基于HID设笛的自动化攻击更加隐蔽2024年上半年,不少黑产利用*1.SPatch”技术工具实现快速抢单”作恶,在金融、社交、房产等多个行业的APP发现了利用1.SPatch技术快速抢单的恶意行为.此外,部分黑产开始利用HID设籍进行自动化操作攻击,通过HID设循+蓝牙协议的方式”实现简单的滑动
26、点击操作,其中短视频刷IIr场景受到黑产团伙的变点关注.3、在攻击场景方面,黑产作恶手法快速更新,作恶流程上出现精细化分工的趋势营销欺诈场景上,利用平台规则进行愁都8付的黑灰产群体不断壮大,威胁猎人情报平台监测到大量号称“超级维权”的黑产攻击行为,2024年上半年恶意赔付相关话题物雕上涨。金融欺诈场就上.背债家贷相关的风险事件频发.伪造手法更加丰富通直,黑产中介利用背债人进行房贷、信用贷、企业贷、车Ir一条龙大额融资,一个背债人骗贷总额高达500-2000万元不等。品牌广告欺诈场景上,威胁猎人基于设法躇刷流量持续监测,发蜩牌广告暗品购情况十分普遍,其中食品饮料类成为遭受广告欺诈占比最大的广告主。数据泄露场景上,2024年上半年出现多起利用Facetime诈狼活动,设备信息字段信息出现频率逐渐增多,尤其是,1OS类数据字段,vIOS字段相关风险事件共1237起,较2023年下半年增长8倍.针对层出不穷的作恶事件,企业应及时了解其作忍流程及细节,并结合自身业务场景建立具体的风控规则,与外部黑产的对抗是动态的、持续性的,企业可以依托基于全网多渠道监测的黑灰产侑报数据,快速识SU风睑并进行针对性防御.
