2025年上半年,互聯網黑灰產攻擊持續演化,呈現出更隱蔽、更智能、更產業化的趨勢。黑灰產從業人員數量繼續增長,攻擊資源、技術與作案場景全面升級。整體來看,2025年上半年黑灰產行業發生的幾大事件,也時刻印證了黑灰產市場的核心規律——黑產永不眠,當主要交易平臺被打擊時,黑產及其作惡需求會迅速遷移至現有或新興替代渠道。
在攻擊資源方面,威脅獵人捕獲日均活躍風險IP達1382萬例,環比上升15.02%,“劫持共用代理”IP攻擊更加猖獗,計費模式更多元;黑卡渠道受監管打擊后收縮明顯,同時新型“鏈接接碼”方式興起,提升攻擊隱蔽性;洗錢銀行卡環比上漲28.60%,其中涉賭卡占比70.25%,環比上漲141%,與賭博平臺新型充值方式“掛單充值”相關;洗錢對公賬戶環比下降40%,黑產目標逐漸從六大行轉向城商行和農信社;商戶洗錢數量上漲,行業集中于終端零售業、批發零售業、餐飲業。
在攻擊技術方面,AI能力被黑產深度濫用,分鐘級AI換臉、語音克隆已廣泛應用于電詐與認證繞過場景,顯著提升攻擊效率與欺騙性。與此同時,“拉碼工具”等洗錢技術工具流入黑產交易鏈,可直接將黑錢轉入正規平臺交易路徑中進行清洗。
在攻擊場景方面,營銷欺詐、金融欺詐、電信詐騙、釣魚仿冒、數據泄露、API攻擊等典型場景依舊高發,攻擊模式由單點操作向鏈式協同演進。整體來看,黑灰產已滲透至各行業業務鏈條,作案模式不斷翻新,威脅持續擴大,防御體系亟需系統性升級。
面對不斷演進的黑灰產威脅,威脅獵人發布《2025年上半年互聯網黑灰產研究報告》,基于平臺捕獲的海量風險數據和典型案例分析,從攻擊資源、技術演化、重點場景等維度全景呈現當前黑產發展態勢,旨在為各行業風控建設提供實戰情報支持,助力提升對新型黑產的洞察力與防御力。
報告目錄
一、2025年上半年互聯網黑灰產攻擊資源分析
二、2025年上半年互聯網黑灰產通用型攻擊技術分析
三、2025年上半年互聯網黑灰產攻擊場景分析
一、2025年上半年互聯網黑灰產攻擊資源分析
1.1?2025年上半年作惡手機號資源分析
1.1.1 2025年上半年新增國內風險手機號總量較2024年下半年環比下降26.16%
2025年上半年,威脅獵人監測發現新增國內風險手機號總量出現下滑趨勢,新增數量為226萬,較2024年下半年環比下降26.16%。
1.1.2 2025年上半年貓池卡資源變化趨勢
(1)2025年上半年國內貓池卡較2024年下半年減少26.16%
據威脅獵人情報平臺數據顯示,2025年上半年捕獲新增貓池卡226萬例,較2024年下半年環比下降26.16%?
貓池卡:指通過“貓池”網絡通信硬件實現同時多個號碼通話、群發短信等功能的作惡手機卡。
經威脅獵人情報專家分析,出現這一趨勢的主要原因是:
1、1月及2月因農歷春節期間黑產交易放緩,下游作惡者活躍度降低導致供應量顯著下降,節后恢復穩步上漲趨勢;這一現象為黑灰產業的年度周期性規律。
2、2025 年上半年貓池卡數量在 5-6 月呈下降趨勢,主要原因為上游黑卡卡商供給收縮,2025年4月底起,供卡源遭受監管打擊,卡商停止供卡,導致2025年上半年整體數據量下降,詳細見2.1.3。
(2)2025年上半年新增貓池卡歸屬最多的三個省份為:上海、重慶、廣東
威脅獵人對2025年上半年新增國內貓池卡進行統計分析,發現上海、重慶、廣東三省(含直轄市)為貓池卡歸屬地最多的三個省份。
(3)2025年上半年新增貓池卡歸屬最多的三個城市為:上海、重慶、長沙
威脅獵人對2025年上半年新增國內貓池卡進行統計分析,發現上海、重慶、長沙三地為貓池卡歸屬地最多的三個城市。
(4)2025年上半年捕獲的新增貓池卡中,歸屬國內三大運營商的占66.51%
2025年上半年監測到新增貓池卡226萬例,其中歸屬國內三大運營商的貓池卡占比66.51%,廣電運營商占比10.4%,歸屬虛擬運營商的占比23.09%。
1.1.3 2025年國內攔截手機卡資源變化趨勢
攔截卡:黑產通過病毒木馬劫持手機短信收發權限,從而控制的手機號碼,號碼主人為正常用戶。
(1)2025年上半年國內攔截卡較2024年下半年減少83.51%
據威脅獵人情報平臺數據顯示,2025年上半年,威脅獵人捕獲新增攔截卡達15.5萬,較2024年下半年減少83.51%。
對黑灰產攔截卡供給情況的進一步分析顯示:
2024 年下半年至 2025 年上半年,主流攔截卡平臺持續受到監管力量打擊,導致供卡側規模大幅下降。
1-4 月期間,原本活躍的 6 個攔截卡平臺(供卡渠道)中,僅剩余 2 個處于半停滯狀態;而 5 月下旬,監測發現新增 4 個供卡渠道,此前處于半停滯狀態的 2 個供卡渠道,黑產更換了域名、接碼工具后恢復活躍。
截止25年上半年,現存6大活躍供卡渠道,但上述平臺的號碼供給量級和質量均呈現不穩定波動狀態。
(2)2025年上半年攔截卡歸屬最多的三個省份為:山東、河南、四川
針對2025年上半年捕獲到的國內攔截卡統計分析發現,山東、河南、四川三省為攔截卡歸屬地最多的三個省份。
(3)2025年上半年新增攔截卡歸屬最多的三個城市為:重慶、菏澤、臨沂
威脅獵人對2025年上半年新增國內攔截卡進行統計分析,發現重慶、菏澤、臨沂三地為攔截卡歸屬地最多的三個城市。
(4)2025年上半年捕獲的新增攔截卡中,歸屬國內三大運營商的占98.86%
2025年上半年威脅獵人情報運營平臺捕獲新增攔截卡達15.5萬張,歸屬國內三大運營商的攔截卡占比達98.86%。
1.1.4 監管打擊供卡源:上游供卡源波動影響黑產作惡全鏈條
(1)頭部供卡源上海卡商監管重創,國內貓池卡上半年銳減
威脅獵人監控數據分析,上海卡商近年躍升為貓池卡供應的頭部卡源。
2024年以來,提供號碼歸屬為上海市的貓池卡卡商持續高度活躍,2024年新增上海貓池卡占全年新增總量的11.77%;
2025年1到4月期間仍保持上升趨勢,于4 月達到峰值,當月新增國內新增貓池卡中 24.93% 來自上海。
2025年5月監管打擊行動中,上海卡商首當其沖受創,該卡源5月份新增占比全國的比重迅速下滑至月均占比8.29%。這也是上半年國內貓池卡出現大幅下降的主要原因。
上海新增黑卡數量監管打擊期間大幅下降,導致全國貓池卡整體數量下滑,在下圖可見,上海新增黑卡數量在5月出現銳減并在本年度首次低于廣東、重慶黑卡,該格局目前仍保持。
2025年上半年黑卡產業鏈監管打擊時間線如下,上游上海、重慶卡商相繼遭受打擊。
(2)上游供卡源的波動傳導至黑產中游環節
作為黑產中游環節的發卡平臺和接碼平臺,2025年5月到6月期間頻繁出現遷址、關停維護或注銷等情況,這進一步阻斷下游黑卡供給鏈路。
以長期監控的黑產主流發卡平臺團伙A為例,短期頻繁更改使用的域名8次以上,域名存活周期縮短到15到21天不等,供卡數量亦呈現下滑趨勢,從115萬降至6月底35萬。
而作為黑灰產主要作惡渠道之一的群接碼渠道,觀察捕獲的接碼短信記錄亦呈現下降趨勢——2025 年 5 月至 6 月捕獲的短信記錄數量,較同年 3 月至 4 月下降了 556 萬例,環比降幅約為 7.26%。
以黑產作惡重點目標 “數字人民幣” 接碼為例,其作惡短信數量變化趨勢,便是這一影響的典型例證。
1.1.5 鏈接接碼:黑灰產新型接碼方式興起
2025年上半年,被稱為“鏈接接碼”的新型接碼方式在發卡渠道興起,黑產當前主要用于北美地區和中國香港地區的接碼服務。
截止6月份,已監控146萬余條交易記錄,涉鏈接接碼相關域名140個,每周新增約8個分銷商獨立域名。
“鏈接接碼”的顯著特征為“一對一”的模式,具體而言,下游黑產用戶購買某個項目后會分配到一個專用接碼手機號,并通過獨占鏈接接收該項目的短信驗證碼。每個惡意手機號僅服務單一項目,每個鏈接僅展示對應項目的驗證碼。鏈接接碼流程如下:
相較于傳統接碼方式,鏈接接碼具備更高的隱私性與反溯源能力,其有效規避了傳統接碼中常見的三類風險:
一是養號成果被竊取——傳統接碼通常共享對接碼或轉碼房間,導致號碼明文或掩碼被其他黑產讀取,已養成的惡意賬戶被劫持;
二是資源沖突問題——同一號碼在多個黑產項目中重復使用,造成數據污染,需額外過濾流程。
三是監管溯源追蹤——卡商通常將鏈接接碼使用的接碼域名設置為不同于黑產平臺的域名,或出售給分銷商使用獨立域名,難以通過域名溯源到黑產平臺。
1.2?2025年上半年作惡IP資源分析
1.2.1 2025年上半年日均活躍風險IP總量較2024年下半年環比增長15.02%
2025年上半年,威脅獵人監測發現日均活躍風險IP數量持續上升,風險IP數量達到1382萬,較2024年下半年增長15.02%。
1.2.2 2025年上半年國內作惡IP資源分析
(1) 2025年上半年國內作惡IP有6096萬個,環比2024年下半年增加4.61%
(2)2025年上半年國內作惡IP歸屬省份TOP3:廣東、河南、浙江
威脅獵人情報數據統計顯示,2025年上半年國內活躍的作惡IP歸屬省份(含直轄市)主要集中在廣東省、河南省和浙江省。
(3)2025年上半年“劫持共用代理”IP攻擊占總量50.37%,IP資源供應更穩定、計費模式更多元
威脅獵人對代理IP平臺持續監測,從2025上半年捕獲數據來看,“劫持共用代理”IP日均捕獲數量達120萬,同時從國內風險IP類型占比來看,黑產使用劫持共用IP攻擊占比從1月的38.80%上升至6月的63.10%,說明黑產通過植入木馬惡意使用正常用戶IP的行為更加猖獗。
由于這類IP大部分時間是正常用戶使用,如進行點擊、充值、瀏覽等行為,少量時間會被黑產劫持共用,出現短暫的作惡行為,因此平臺可能會認定該用戶為正常用戶,進而忽視其短暫的作惡行為,給黑產可乘之機。
劫持共用代理從興起到穩定,為滿足黑產群體多類型的攻擊需求,收費模式從之前單一的按IP計費模式發展成適應于不同攻擊場景使用的計費模式,產品逐漸趨于成熟。
(4)2025年上半年靜態IP仍是重要作惡資源之一
威脅獵人對代理IP持續監測,針對近期黑產使用的資源情況,我們發現部分黑產仍會使用靜態長效代理IP進行作惡。從2025上半年捕獲數據來看,“長效靜態代理”IP捕獲數量達140萬。
與威脅獵人過往監控的短效動態代理IP不同的是,這類長效靜態IP地址長期不變,其特征較為固定和明顯,易被網站和網絡安全系統識別并與惡意活動關聯起來,且一旦被平臺檢測封禁IP,就無法繼續使用,導致黑產的攻擊行為難以持續進行。
然而在一些不需要頻繁更換IP的作惡場景,黑產通常會使用靜態IP,主要用于如下場景:
社交平臺養號:利用長效靜態IP注冊的虛假賬號進行養號,之后發送大量的垃圾私信、評論、群發廣告等,進行惡意營銷推廣,干擾正常用戶的社交體驗,引流到其他非法平臺或網站。
低頻爬蟲:利用長效靜態IP模仿普通用戶進行數據爬取的一種爬蟲,其在 User-agent、頻率、時間軸等特征上與普通用戶較為接近,進而爬取社交媒體、新聞網站、論壇等平臺上的信息。
同時我們發現,這類長效靜態代理IP的來源類型以數據中心為主,占比85.14%,而短效動態代理IP則主要來源于家庭寬帶。
1.2.3 2025年上半年國外作惡IP資源分析
(1)2025年上半年捕獲國外作惡IP 1.1億個,環比2024年下半年增加6.56%
(2)2025年上半年國外作惡IP歸屬國家TOP3:美國、巴西、印度
威脅獵人情報數據統計顯示,2025年上半年國外活躍的作惡IP國家主要集中在美國、巴西和印度。
威脅獵人發現不同國家的黑IP作惡資源也不盡相同,如下是國外TOP3國家的黑IP類型分布:
1.3??2024年網絡洗錢資源分析
1.3.1 2025年上半年涉及洗錢銀行卡較2024年下半年環比上漲28.60%
涉賭卡:活躍在賭博平臺中,為賭博平臺內收款使用的銀行卡,常被用于賭博平臺內進行充值收款行為,關聯的資產涉及到賭博洗錢行為。威脅獵人通過人工和自動化結合的方式,從各類賭博平臺中采集用于收款行為的銀行卡賬號信息。
涉詐卡:在各類匿名社交黑產群聊中,被詐騙團伙購買用于洗錢的銀行卡,常用于詐騙類黑資金轉移。威脅獵人通過自動化的方式,從各大匿名社交黑產群聊中發送的記錄中,提取出詐騙團伙所使用的銀行卡賬號信息。
跑分二級卡:活躍在跑分平臺,用于收取洗過一遍資金的二級銀行卡。威脅獵人通過自動化的方式,從跑分平臺APP中獲取到跑分訂單中的銀行卡賬號信息。
(1)2025年上半年洗錢銀行卡中涉賭卡占比70.25%,環比上漲141%
威脅獵人對2025年上半年捕獲到的22.28萬張參與洗錢的銀行卡進行分析,主要分為涉賭卡、跑分二級卡和涉詐卡三種類型,其中涉賭卡占比最大,達到70.25%。
①「2025年上半年賭博平臺掛單充值漸成規模,涉賭卡環比上漲141%」
威脅獵人觀察發現,出現涉賭銀行卡環比上漲141%這一顯著增長的核心原因是賭博平臺新型充值方式——“掛單充值”的發現和規模監控。
威脅獵人于2024年11月份首次在賭博平臺中發現此類賭資充值方式,該方式利用充值賭客與提現賭客之間的點對點充值方式,進行洗錢活動。
相比早期跑分模式,“掛單充值”無需招募專業跑分人員,直接利用賭客銀行卡即可低成本獲取大量賬號分散轉移詐騙資金。因賭客卡前期無明顯洗錢特征(如小額高頻轉賬),極大提升了資金轉移的隱蔽性。
賭博平臺掛單充值洗錢模式,即是將賭客A的提現需求與賭客B的充值需求實時進行匹配,引導賭博資金在賭客間點對點直接流轉。讓賭客在不知情的情況下成為洗錢通道,幫助完成贓款轉移。
②「2025年上半年最大黑產擔保“好旺”崩盤,洗錢團伙發生轉移,涉詐卡數據5月份出現短暫下降」
威脅獵人觀察發現,涉詐卡新增數量在5月出現明顯的下降,但在6月又迅速回升。
其背后原因,是美國在5月對Huione集團(匯旺)實施制裁,導致其在TG上的黑灰產擔保平臺“好旺”崩盤。這一制裁行動似乎遏制了黑產活動,實則僅造成洗錢團伙的短暫轉移,黑產迅速遷移至“土豆”、“火幣”等新興擔保平臺,洗錢活動并未受到實質性打擊。
這一變化清楚反映出,當前的打擊手段并未從根本上切斷黑產洗錢鏈條。黑產組織具備極強的適應性和轉移能力,一旦某個平臺受限,便迅速轉向其他渠道繼續運作。因此,僅依賴個別平臺的制裁難以形成持續有效的遏制力,黑產洗錢產業鏈仍在不斷演化與擴散,打擊工作面臨巨大挑戰。
(2)2025年上半年涉及洗錢的銀行卡中,六大國有銀行的洗錢卡占比依舊是最多的,達到73%
(3)2025年上半年涉及洗錢的銀行卡中,三種類型洗錢卡排名TOP1省份均為廣東省
威脅獵人研究發現,2025年上半年三種風險類型的洗錢銀行卡歸屬省份TOP10均涵蓋廣東、江蘇、四川,其中TOP1均為廣東。
不過,不同類型的洗錢銀行卡TOP10省份存在差異性:
如跑分二級卡的TOP10省份中,福建和江西是獨有省份;而涉詐卡的TOP10省份中,山東是獨有省份。
(4)2025年上半年涉及洗錢的銀行卡中,三種類型洗錢卡排名TOP1城市均為深圳市
威脅獵人研究發現,2025年上半年三種風險類型洗錢卡的TOP10歸屬城市均涵蓋深圳、廣州、重慶、上海、北京、東莞、成都,其中TOP1均為深圳。
不過,不同類型的洗錢銀行卡TOP10城市存在差異性:
如跑分二級卡的TOP10城市中,晉城和南京是獨有城市;涉賭卡的TOP10城市中,銀川是獨有城市;而涉詐卡的TOP10城市中,鄭州和西安是獨有城市。
(5)2025年上半年涉及洗錢的銀行卡中,活躍周期在“一天以內”的占比,基本維持在70%左右
威脅獵人分析發現,洗錢卡活躍時間依舊呈現短期化特征。2025年上半年單日活躍卡占70%,長期活躍卡(180天以上)占比則低于1%。
1.3.2 2025年上半年對公洗錢賬戶資源變化分析
洗錢對公賬戶:對公賬戶指以公司名義在銀行開立的賬戶,洗錢對公賬戶指被黑產用于非法資金清洗的銀行對公賬戶,因對公賬戶具有收款額度大、轉賬次數多等特點,使得“對公賬戶”常常作為黑錢轉賬的集中點及發散點。
(1)2025上半年新增洗錢對公賬戶環比下降40%
2025年上半年,威脅獵人監測數據顯示,洗錢對公賬戶新增數量環比下降40%,分析發現導致量級下降的因素主要有三個:
1、提供洗錢對公賬戶的洗錢團伙數量在減少,2025年上半年,提供對公賬戶的洗錢團伙數量環比下降了18%。
2、對公洗錢需求在每年年初都會短暫的下降,根據對洗錢黑產團伙研究發現,黑產每年在接近春節前的1-2個月對公洗錢的需求都會減少,對應的提供對公賬戶的黑產提供對公賬戶數量也在減少。
3、5月份美國對Huione集團(匯旺)實施制裁,導致其在TG上的黑灰產擔保平臺“好旺”崩盤,活躍在TG上的對公洗錢黑產團伙在5月份之后又進一步下降26.25%。
(2)2025年上半年涉及洗錢的對公賬戶中,黑產目標逐漸從六大行轉向城商行和農信社
威脅獵人近兩年數據顯示,涉洗錢對公賬戶的歸屬銀行發生了顯著變化。
2023年下半年至2025年上半年,六大國有銀行的洗錢對公賬戶占比從36%下降至20%,與此同時,城市商業銀行和農村信用社的占比則呈現持續上升趨勢,城市商業銀行從23%增至34%,農村信用社也從7%升至18%。
這一現象明確揭示了黑產洗錢活動正在將目標從監管更為嚴格、獲取成本更高的六大國有銀行,逐步轉向城市商業銀行和農村信用社。
這或側面反映出,相比國有大行,城市商業銀行和農村信用社的對公賬戶獲取門檻相對較低,且在洗錢風險管控方面可能存在一定的薄弱環節。
(3)2025年上半年涉及的洗錢的對公賬戶中,TOP3省份是廣東、山東、江蘇
(4)2025年上半年涉及洗錢的對公賬戶中,TOP3城市是北京、廣州、深圳
(5)2025年上半年涉及洗錢的對公賬戶中,TOP3行業是批發零售業、終端零售業、商務服務業
威脅獵人近兩年數據顯示,涉及洗錢的對公賬戶中,TOP10的所屬行業均未發生變化,且渠道批發業長期位于榜首,這表明此類行業的對公賬戶更容易被黑產用來洗錢。
1.3.3 2025上半年參與洗錢的商戶資源變化分析
“商戶”通常指具有合法營業資格的商戶及商戶賬號。近年來,詐騙或洗錢團伙開始利用商戶賬戶收取“黑錢”來洗錢,使用商家資質開通的收款賬戶基本沒有收款額度限制,可支持花唄、信用卡等多種付款方式,相比傳統洗錢方式會更隱蔽和高效
(1)商戶洗錢團伙活躍數量持續上升,被黑產用來洗錢的商戶數量環比上漲43%
2025年上半年,用于洗錢的商戶賬戶數量環比上漲43%,呈現出快速增長態勢。這一顯著增長背后的主要推手是黑產獲取商戶的成本及門檻較低,以及商戶交易特征與洗錢交易特征相似。
一方面,黑產通過偽造材料、資質交易、代辦開戶等非法手段,以極低成本繞過審核。一旦得手,這些賬戶便會大量出售或租賃給到洗錢團伙。
另一方面,商戶本身具備高頻交易、大額資金流動以及支持多種支付方式的特征,為非法資金的流轉和掩護提供了天然通道。這種“易獲取、高適配”的特性,使商戶成為黑產洗錢鏈條中的重要節點。
威脅獵人監測數據顯示,2025年上半年,活躍的商戶洗錢黑產團伙數量環比增長了60%。
這一數據反映出商戶洗錢風險擴張,該模式正在向組織化、規模化方向演變,進一步表明商戶洗錢模式對反洗錢工作的挑戰性。
(2)2025年上半年涉及洗錢的商戶中,TOP3省份是廣東、浙江、湖北
(3)2025年上半年涉及洗錢的商戶中,TOP3城市是廣州、武漢、昆明
(4)2025年上半年涉及洗錢的商戶中,TOP3行業是終端零售業、批發零售業、餐飲業
1.4?2025年上半年風險郵箱資源分析
2025年上半年,威脅獵人識別郵箱域名數量11.68萬個,其中高風險臨時郵箱占比最大,達到79.03%。
2025年上半年,高風險臨時郵箱域名數量環比上漲14倍。威脅獵人通過郵件服務器反查技術,加強了對共用同一個郵件服務器的臨時郵箱域名群組的監控能力,捕獲未被完全覆蓋的、屬于同一批臨時郵箱服務商的衍生域名,極大地拓寬了風險郵箱的監測范圍。
二、2025年上半年黑產通用型攻擊技術分析
2.1?AI技術助力黑產實現分鐘級攻擊
“媽,8000元不夠,給我轉1.5萬元吧。”一位母親正和女兒視頻聊天,聽著在外地上學的女兒在視頻里撒嬌抱怨“生活費不夠用了”,她心疼不已打算立刻給孩子轉賬。就在這時,家門打開了,她的“真女兒”走了進來。而另一頭,視頻里的“假女兒”還在央求媽媽“給生活費”。
這是一則AI反詐視頻。在這條反詐視頻評論區中,不少網友反映自己也有過類似的被騙經歷,“騙子來電,聲音容貌和我家人一模一樣”。
在上述的例子中,詐騙分子使用了實時換臉+語音克隆的技術實施了詐騙。實時換臉技術為詐騙分子假扮受害者親人提供了第一道便利,而語音克隆技術則為詐騙分子取信受害者親人打上了第二道保險,讓詐騙分子能最大限度的取信受害者親人,從而實施詐騙。
得益于AI技術的發展,黑產也逐漸將AI技術應用到其攻擊中。這在一定程度上降低了黑產的攻擊門檻,提升了黑產的攻擊效率,提高了黑產的攻擊質量;這也導致受害者在面對黑產的攻擊時防不勝防。
2.1.1 AI換臉技術進化-借助少量圖片實現分鐘級AI換臉
在2023年,威脅獵人展示了黑灰產基于視頻進行AI換臉的攻擊技術;而經過兩年時間的技術發展,基于圖片進行AI實時換臉的攻擊技術也逐漸成熟,并開始被黑產用于攻擊中。
(1)新舊技術對比
通過對比不同時期的攻擊技術,可以知道:
① 新技術在素材要求更低、訓練時長更短的作惡優勢;
② 換臉效果存在受限條件,需要臉型相近,相近程度直接影響成功率。
(2)新技術演示
通過對比不同時期的過程十分簡單:首先從公開渠道,獲取目標人物2-3張圖片;隨后直接用換臉軟件加載圖片,實現實時換臉。
(3)風險
AI換臉技術的發展,使得攻擊者實施攻擊所需的素材越發簡單、速度越發快速。以app的人臉認證繞過場景、電信詐騙場景為例,這導致攻擊者能在更短的時間內實施攻擊,留給受害者思考的時間也越來越短;往往在受害者還未反應過來的時候,攻擊者便已發動攻擊,讓受害者防不勝防。
2.1.2 語音克隆技術-基于10秒音頻克隆聲音
得益于技術的發展,除了上面提及的AI換臉技術外,基于少量音頻實現的語音克隆技術也變得成熟,并被黑產用于攻擊中。
(1)技術演示
以受害者一段10秒的音頻作為克隆樣本,在短短的10幾秒內即可完成克隆,并能以受害者的語音進行任意內容的輸出。
(2)風險
與AI換臉不同,語音克隆往往被用于電信詐騙場景中。常見的如電話詐騙、視頻會議詐騙等詐騙場景中,都可能會使用到語音克隆技術。語音克隆技術的發展,必然會使得攻擊者的攻擊越發逼真、越發迅速。
2.2?拉碼工具-抓取平臺支付訂單鏈接進行洗錢
(1)工具信息
威脅獵人于2025年4月捕獲到黑產洗錢常用的拉碼工具。該工具功能為抓取電商平臺、支付平臺生成的支付訂單鏈接,并將鏈接轉化為二維碼供其同伙掃碼使用。
該工具的信息如下:
(2)工具流程介紹
該類工具利用抓包技術,抓取支付訂單鏈接,供黑產在洗錢過程中支付使用。具體運行流程如下:
1、手機端設置VPN端口轉發
2、電腦端開啟軟件,監聽手機端轉發的信息
3、手機端在軟件中選擇商品下單,電腦端會彈出收款二維碼
4、利用其他手機掃碼付款即可。
經調研,該類工具常被用于黑產代付、洗錢、刷單詐騙等場景;
以下文電詐團伙A尋找洗錢團伙B進行洗錢為例,在洗錢流程中,洗錢團伙通過拉碼工具,將正規平臺的支付訂單裹挾到洗錢流程中,使得黑錢直接流向的正規平臺中,使得洗錢流程波及的范圍更大,追查難度亦更高。
洗錢團伙B提供的服務及主要流程如下:
1、電詐團伙詐騙得到2萬元,尋找洗錢團伙進行洗錢;
2、洗錢團伙創建社交群聊并持續運營,以優惠購買商品為噱頭,吸引正常用戶;
3、正常用戶A購買電腦設備,原需2萬;現在群聊中購買,只需1.9萬;
4、洗錢團伙將2萬元的洗錢需求與正常用戶的2萬元購買需求相匹配,讓洗錢團伙用詐騙來的2萬元支付正常用戶的購買訂單;這個過程中,電詐團伙正是借助洗錢團伙通過拉碼軟件生成的二維碼或鏈接,完成正常用戶2萬元商品訂單的支付。
5、正常用戶A向洗錢團伙轉賬購買費用1.9萬,洗錢團伙再扣除4千元的洗錢服務費后,把余下1.5萬元以等價的虛擬貨幣轉給電詐團伙;
三、2025年上半年黑產攻擊場景分析
3.1?營銷欺詐場景分析
2025年上半年,威脅獵人系統共捕獲營銷活動攻擊情報5.8億條,環比2024年下半年(4.6億條)增長超26%,呈現持續高壓態勢。
2025年1月起攻擊量明顯攀升,1-3月線報量從6800萬級別上升至9600萬+,5月線報量飆升至1.37億條,為半年峰值,大量黑灰產借助五一促銷節點、品牌618預熱期集中投放營銷詐騙內容。
2025年上半年威脅獵人共計預警同步風險事件1510個,從行業分布來看,電商行業仍是風險最為集中領域,占比高達 27.55%,其次為本地生活(11.99%)、銀行(9.07%)、興趣社交(8.82%)、在線票務(7.88%)等行業,整體呈現以下特征:
平臺屬性強的行業風險更高:如電商、生活服務、票務等行業,由于其依賴用戶活躍、訂單交易和營銷活動,成為黑產重點目標;
資金交互頻繁的行業同樣高發:如銀行、消費金融、支付類行業,風險關注點更偏向于營銷引流下的轉化路徑篡改、薅羊毛行為;
根據威脅獵人平臺監測數據,2025年上半年平均每月捕獲涉及營銷活動的黑產作惡群組約為37.5萬個,其中 5月與6月為半年高點,整體群組數量相比 2024年下半年同期略有上升。
2025年上半年,威脅獵人平臺平均每月捕獲營銷欺詐相關黑灰產從業賬號超過130萬,其中 6月達到143.6萬,為近一年新高,整體對比2024年下半年月均水平(約117萬)上漲11%。
3.1.1 黑產“嫁接”傳統地推手段至盜號欺詐
今年上半年以來,盜號風險逐漸上升,黑灰產團伙手法不斷翻新,逐漸從“技術型劫持”向“社交工程誘導”演進,最終形成“技術劫持+社交工程”的復合攻擊模式。這類被盜取的賬號經盜號黑產交易后,最終會被用于各類非法引流、詐騙等作惡用途。
威脅獵人數據顯示,2025年上半年共計捕獲11798條地推盜號風險線報,2024下半年共計捕獲該類線報6080條,環比上漲94.05%。
其中今年2月起明顯增長,表明春節期間是地推盜號行為的高發階段;后續三個月數據回落,但整體仍處于高位,說明風險尚未解除。
(1)傳統地推方式受黑產團伙關注及利用
所謂“地推”,即“地面推廣”的簡稱,原本是企業通過擺攤、掃街、派發傳單、面對面講解等方式在線下接觸用戶、推廣產品的一種營銷方式。其核心特征是真實接觸+現場轉化,多見于地鐵口、商圈、校園、展會等人流密集區域。
黑灰產團伙正是借助這一形式,將傳統的線下推廣手法“嫁接”到欺詐攻擊中。通過主流社交平臺配合使用,黑產人員以“掃碼登錄”“刷單返利”“中獎領獎”等話術誘導用戶掃碼、下載 App 或交出手機,誘使其主動提交授權信息或執行敏感操作,進而獲取賬號控制權。
(2)威脅獵人識別出兩類高發盜號路徑
一類是單點式作案,由地推人員手持接碼卡,通過話術誘導用戶掃碼并實施賬號換綁,流程簡單,盜號后直接出售變現,組織結構松散。
另一類是鏈條化作案,由上游開發木馬工具,中游地推執行植入,下游專門負責賬號流轉和變現,分工明確、作案規模更大、隱蔽性更強。
①地推引流+賬號換綁:黑產高效盜號路徑:
黑產在與受害者當面接觸時,往往通過線下拉新活動、掃碼抽獎等方式引導受害者掃碼或交出手機,再以“輔助操作”為名,實則快速完成賬號密碼重置和換綁手機號的操作,該類地推盜號簡易、高效。但是賬號極易掉線。
黑產可獲取其賬號短期的使用權(1-2天),因此黑產往往是提前對接好買家,獲取到賬號后便快速出售獲利
1、黑產在街頭通過地推擺攤的方式吸引用戶參與等活動(掃碼注冊領禮品、下載app等等)
2、黑產使用話術取得用戶信任,并借機拿到手機,迅速為該賬號設置登錄密碼(如aa123456),并使用手里的換綁卡資源,將目標app賬號原綁定的手機號進行更換;
3、黑產使用新換綁的手機號登錄該賬號,此時系統可能觸發新設備風控:
若是需要原手機驗證碼驗證:黑產誘導受害者提供短信驗證碼
若是密碼驗證:則使用統一設置的弱密碼完成驗證;
4、確認可以正常登錄后,黑產便快速將賬號出售,并離開擺攤地點,尋找下一個人群密集地繼續行騙
②地推引流+誘導安裝木馬 App 實現提參盜號:
黑產通過線上或線下地推,以“掃碼領獎”“參與活動”等話術誘導受害者安裝木馬 App,從而在后臺靜默提取用戶在目標 App 中的登錄憑證(如 token、cookie、session_id 等),并實時上傳至黑產服務器。該手法在業內被稱為“提參”,即“提取參數”的簡稱,實質上是繞過傳統密碼驗證,直接復用用戶的登錄會話,實現遠程克隆登錄。
獲取憑證后,黑產可借助上號器、模擬器等工具還原賬號使用環境,進行批量登錄、自動化操作與變現。這類賬號通常以“數據號”形式出售,具備可直接登錄、無需驗證的特點,極易被用于刷量、引流、推廣等黑產行為。
下圖為盜號黑產上游提供給中游地推團隊的二維碼,地推人員只需要讓用戶掃描二維碼其賬號登錄憑證便會被盜取。
下圖為地推上游黑產使用的軟件界面,中游地推人員每成功誘騙一個用戶掃碼或者下載app,其登錄數據憑證便會傳回后端顯示在軟件里面,黑產則可以批量導出數據進行售賣。
黑產操作鏈路詳解:
1、黑產在街頭通過“掃碼送禮”“邀請拉新得紅包”等方式,吸引路人參與活動。
2、地推人員在“社交誘導”下,引導用戶完成如下行為之一:
下載帶有提參功能的木馬App(通常偽裝成活動App或優惠工具),App安裝后在后臺靜默運行,抓取目標App的登錄憑證數據;
掃碼登錄釣魚頁:地推人員出示二維碼,誘導用戶用某App掃碼登錄,通過接口監聽或緩存劫持提取其登錄憑證;
誘導提供驗證碼:謊稱需要驗證身份,誘騙用戶提供短信驗證碼,黑產后臺借此登錄賬號并同步提取token等參數。
3、一旦成功獲取,登錄憑證數據會實時上傳至黑產后臺服務器
3.1.2 刷單團伙產業鏈升級
(1)刷單行為的產業化演變路徑
威脅獵人監測和分析,電商刷單正經歷從“零散化”向“平臺化”“工具化”的快速演進早期刷單主要依托 QQ 群、微信群,以“熟人+魚塘”的模式發布任務,個人用戶通過墊付購買商品獲得傭金返現。
這種方式高度依賴人力協調,操作繁瑣、成本高、效率低。而近年來,刷單模式已顯著升級。黑產團伙開發并銷售自助式刷單工具系統,轉至由商家主導刷單全流程的階段。
(2)刷單產業升級:從魚塘模式到商家自運營閉環
商家可通過黑產開發的刷單平臺自行選擇賬號、配置設備,并遠程控制刷單流程,實現從任務發起、下單操作到數據反饋的自主化操控。刷手不再是重要執行角色,只需要執行付款的動作,整個過程不在高度依賴人工對接,極大降低了操作門檻和對接成本,刷單效率和隱蔽性也大幅提升。
當前刷單生態已不是過去的“找幾個群、做幾單任務”那種粗放玩法,而是從組織架構、設備資源到執行方式都完成了產業級躍遷。威脅獵人總結其演變路徑,呈現出兩大核心升級趨勢:
① 商家主導刷單,擬真度提升至“運營級別”
相比以往交由“刷單刷手”隨意操作,現如今越來越多商家開始自建刷單方案并主導執行策略。商家深諳平臺流量邏輯,知道什么樣的用戶行為能帶來真實流量、權重加持,因此他們會:
按照人群畫像精準選設備;
模擬搜索、瀏覽、收藏、停留、下單、評價等全鏈條行為;
并結合自身商品在轉化、加購率、復購等運營指標的需求,做出高度擬真的任務參數配置。
結果:刷單不再是“刷銷量”,而是“刷全指標”,幾可亂真,風控識別難度急劇上升。
下圖為商家端刷單的軟件頁面,可根據自己的實際需求進行相應設備和平臺進行連接:
② 黑產設備體系演進:上萬真實刷手設備形成刷單調度網絡
平臺化刷單系統背后,是一張由黑產精心構建的真實設備網。平臺已對接超4萬個真實刷手的手機,通過遠控或掛機系統統一調度使用。
這些設備:
具備長期使用記錄,權重高、可信度強;
被打上行為標簽(如地域、性別、品類偏好);
被納入刷單任務調度系統,可根據商家需求精準調用。
本質:刷單已由“人力協調”變成“算法+設備調度”,進入自動化生產階段。
下圖為刷手開始掛機前,進行個人信息配置的軟件頁面:
③ 刷手參與模式轉變:從“全流程”到“輕參與”
在傳統刷單體系中,刷手需從接任務、瀏覽、下單、確認、評價全流程參與,時間成本高、協作復雜。而在當前平臺化模式中:
刷手僅需在系統提示時完成“付款動作”,無需理解任務全貌;
平臺系統化分配任務、自動化操作設備,刷手只需出租賬號和設備即可收益;
參與門檻降低、操作壓力減輕,吸引大量普通用戶“兼職變刷手”,為黑產提供海量底層執行資源。
趨勢預測:隨著平臺功能日益完善、回報機制簡化,未來將有越來越多的刷手加入平臺,刷單人力逐步平臺化、泛職業化。
下圖為刷手端的掛機頁面:
3.1.3 水軍產業從輿情干擾到商業競爭打擊?
隨著黑灰產組織的不斷演進,水軍操控行為已不再局限于簡單的刷量操作,而是被用于商業打壓、內容控評、熱點引流等場景。任務通常通過群組或小型眾包平臺集中發布,涵蓋“點贊、評論、轉發、控評”等輿論操控操作,水軍按照預設要求執行任務,并提交截圖等反饋材料。整個流程隱蔽性強、響應速度快,已形成從任務發起到資金結算的完整閉環。
(1)水軍任務的接單模式與對接方式
水軍任務的分發方式已形成多元化結構,主要通過社群渠道+眾包平臺+私密執行群三類路徑完成。為了保障任務的執行率與統一性,水軍組織在任務對接流程上進行了系統化設計。任務發布者不再直接與所有水軍溝通,而是通過特定渠道,將操作要求精準傳遞給穩定的執行人群。任務對接通常具備以下特征:
有明確的評論話術或圖片要求;
有執行時間窗口或互動規則;
有截圖或賬號ID作為任務反饋憑證;
有統一的回收、審核與結算流程
(2)捕獲商業品牌水軍抹黑案例
①「私域渠道招募水軍刷差評引導輿論攻擊」
通過截獲一組聊天記錄截圖,顯示有組織方通過社群方式招募水軍,實施定向評論攻擊國內某知名車企。任務以發布引戰評論、復制粘貼內容刷差評為主,通過大量賬號在特定社交平臺帖子評論區發布統一差評內容,營造產品爭議、制造質量負面輿情,引導公眾對品牌產生質疑。
1、任務說明明確
引導話題、換電爭議、資金斷裂等關鍵詞已預設;
評論/點贊數超過100條即結算,執行門檻低;
明確“截圖回傳”作為核驗機制。
2、差評內容批量提供
招募方提供統一文案,要求水軍直接復制粘貼;
每條評論價格為0.5元,按量計費;
評論中包含捏造事實、夸張指控、仿冒技術人員視角等手法,增強“真實性”。
3、執行群內管控
禁止追問任務來源或貼主身份;
強調“話不要太多”,明顯具備信息隔離意圖;
群內形成“單向發單+截圖結算”閉環。
②「眾包渠道招募水軍刷差評引導輿論攻擊」
根據監測發現,有黑產或營銷團伙通過眾包平臺組織水軍執行定向評論任務,意圖在短視頻平臺操控輿論、引導用戶對目標品牌或產品產生負面認知。這類任務往往以“點贊+評論”+“負面引導”為核心操作,雇傭大量水軍在評論區展開集中發言,呈現出“真實用戶吐槽”的假象,背后卻是精心策劃的情緒操控行為。
任務目標:進入指定視頻,發布帶有貶損語氣的評論,引導輿論關注品牌問題(如續航差、產品虛標、售后差等)。
評論方式:首評+附評模式,即首個水軍發布主評論,后續多個賬號進行點贊、互動和擴散。
示例話術:
“誰買誰后悔,續航虛到離譜”
“上次都快剎不住了,電池是真不行”
“質量真的不敢恭維”
3.2?金融欺詐場景分析
金融欺詐場景下,金融貸款風險輿情和信貸渠道中介動態受到銀行等金融機構廣泛關注,其中潛藏的惡意貸款風險輿情更是用于識別研判信貸欺詐、進而調整風控策略的重要情報來源。
惡意貸款欺詐:指金融從業人員或黑產團伙通過虛假宣傳、偽造材料、誘導欺騙等手段,以非法牟利為目的實施的各類違規貸款活動。其典型行為包括:背債、融車套現、科技提額、美容貸騙貸、債務重組、AB貸、制作假流水、征信修復、債務優化等違規業務以謀取私利。
3.2.1 2025年上半年金融貸款惡意欺詐攻擊有增無減,依舊嚴峻
(1)金融貸款惡意欺詐輿情和黑灰產規模持續擴張
2025年上半年威脅獵人監控捕獲金融貸款風險輿情達479萬條,其中惡意貸款欺詐輿情77萬條,占總量16%,金融貸款風險輿情較2024年下半年下降14%,惡意貸款欺詐輿情較2024年下半年增長12%。
在每月的風險輿情趨勢上,均呈現持續增長態勢。
2025年上半年威脅獵人監控活躍貸款群組3.3萬個,其中惡意欺詐群組1.3萬個,占總量39%,活躍貸款群組較2024年下半年下降4%,惡意欺詐群組較2024年下半年增長5%。
2025年上半年威脅獵人監控捕獲活躍貸款服務賬號11.8萬個,其中提供惡意貸款服務的欺詐賬號(信貸黑中介/黑產)3.5萬個,占總量29.6%,較2024年下半年均增長6%。
(2)2025年上半年惡意貸款主要欺詐類型TOP3:職業背債、債務優化、征信修復
2025年上半年數據顯示,惡意貸款主要涉及職業背債、債務優化、征信修復、違規提額、融車欺詐、材料造假等超過9類欺詐行為,其中職業背債占比高達50%,居首位,成為黑產核心攻擊手段;債務優化、征信修復分別位列第二、第三位,相關代理投訴類業務依然保持較高活躍度。
注意:債務優化包含:反催收、代理維權、代理投訴、退息退費等債務處理場景。
3.2.2 職業背債現狀風險面擴大,防御壓力持續攀升
(1)職業背債熱度上升、已成為黑灰產常規主營業務
2025年上半年捕獲“背債”相關攻擊情報呈上升趨勢,背債熱度上升,2025年上半年較2024年下半年增長65%,職業背債已成為黑灰產常規主營業務,傳播面越來越大。
(2)2025年上半年背債地區熱度TOP3省份:廣東、山東、四川
威脅獵人情報數據顯示,2025年上半年“背債”相關的貸款欺詐,活躍熱度TOP3的省份(含直轄市)是廣東、山東、四川。
(3)2025年上半年背債城市熱度TOP3:重慶、上海、成都
威脅獵人情報數據顯示,2025年上半年“背債”相關的貸款欺詐,活躍熱度TOP3的城市(含直轄市)是重慶、上海、成都。
(4)職業背債多角色產業鏈解析
當前背債黑產鏈條已形成精密的分工體系,從資質包裝、騙貸操作到債務轉移均呈現高度專業化特征。背債類黑產角色主要分為上游資源層、中游黑產、下游中介、假材料制作黑產四個角色,加上內外勾結的“內鬼”和背債人,形成一個多方參與且分工明確、環環相扣的非法利益鏈條。
(5)企業貸成背債最大風險點
威脅獵人針對背債風險場景深入調研發現,房貸、信貸、車貸和企業貸呈現出差異化的風險特征:
車貸因資產易變現、處置鏈條短,風險暴露迅速且欺詐特征明顯;
房貸憑借抵押物增信和處置周期長的特性,風險具有較強隱蔽性;
企業貸則因“先息后本、“無本續貸”等還款方式,風險呈現明顯滯后性,往往積累至集中爆發階段才顯現。
黑產當前的背債搭配模式主要為組合式搭配,如常見的房信企、房企、信企、車企、房信車企等組合模式,不同的騙貸搭配模式取決于背債人的基本情況及黑產的渠道資源好壞。
以下是房貸、信貸、車貸、企業貸四類貸款場景中,職業背債黑產的核心操作環節及風險特征的專項分析,其中企業貸在背債環節中至關重要,成為當前職業背債風險場景下,金融機構面臨最大風險點。
背債環節重要性,是指某一貸款場景在黑灰產背債鏈條中所處的功能與被利用頻率,綜合反映其對整條鏈條成敗的影響程度。重要性越高,說明該環節在鏈條中越關鍵,既可能是黑產套利的主要資金來源,也可能是資產增信關鍵點。對于金融機構來說,重要性高的貸款產品通常面臨更高的欺詐攻擊頻率與更復雜的操控路徑,反映出可被利用的業務漏洞更多,防控難度與風控壓力也更大。
3.2.3車貸欺詐風險:融車套現黑產鏈解析與區域態勢預警
(1)2025年上半年購車欺詐風險有所波動,2025年上半年比較2024年下半年下降10%
(2)2025年上半年購車欺詐風險地區TOP3:廣東、山東、河北
2025年上半年購車欺詐風險地區最高的是廣東省,且遠高于其他省份。
經深度分析,廣東省購車欺詐風險高主要源于新型融車套現模式的區域性泛濫,而這類模式在其他地區較少應用。
該模式具有兩個顯著特征:
一是精準篩選具有真實購車資質(征信良好、收入穩定)且存在資金需求的用戶;
二是以"重真實資質、輕包裝造假"的手法提升隱蔽性。
(3)2025年上半年購車欺詐風險城市TOP3:深圳、重慶、廣州
(4)購車欺詐黑產鏈解析
購車欺詐已形成一套分工明確、流程清晰、環環相扣的黑產運作模式。黑產從篩選目標人群、招募客戶貸款購車、迅速變現車輛,已構建出完整的黑產操作鏈條,呈現出高度組織化與成熟化特征。
(5)車貸黑產模式固化但風險持續高位
車貸業務中存在包括融車套現、傳銷購車、頂名車、買車包活等在內的多類風險。其中,融車套現風險構成最突出的威脅。
以下為車貸場景各欺詐風險模式的風險表現:
3.2.4 2025年上半年房貸欺詐風險持續增長
(1)2025年上半年房貸欺詐風險持續增長,2025年上半年比2024年下半年增長63%
(2)2025年上半年房貸欺詐風險地區TOP3:山東、四川、江蘇
(3)2025年上半年房貸欺詐風險城市TOP3:重慶、上海、成都
(4)房貸欺詐風險類型
在購房欺詐風險場景中,風險集中于兩大核心欺詐類型。
其一為購房按揭貸款欺詐,購房者以非真實居住需求購房,根本目的為融房套現或作為背債增信資產;
其二為房產抵押貸欺詐,如常見的經營性抵押貸款轉貸換貸、背債融資等。在這兩類房貸場景中,實際申請貸款者均面臨較大資金缺口,特別是融房及背債的用戶自身既無償還貸款的能力,也無還款的意愿,風險直接轉嫁給了銀行機構,使得銀行機構直接面臨風險沖擊。
3.3 電信網絡詐騙場景分析
3.3.1 2025年上半年電信詐騙數據趨勢
2025年上半年,威脅獵人風險情報平臺監測到電信網絡詐騙相關情報51萬條,環比2024年下半年下降27.39%。
但并非電詐退潮,而是多重因素疊加導致的階段性“表象”:如各類社交、短視頻平臺打擊涉詐話術、好旺擔保等大型團伙被端、部分傳播渠道切換至加密平臺等。
與此同時,黑灰產活躍群數量和涉詐賬號規模仍在上升,表明電詐生態正加速向更隱蔽、更垂直的方向演化。
2025年上半年,威脅獵人風險情報平臺共監測到活躍作惡社交群組約2.9萬個,環比2024年下半年上升2.46%,月均活躍群數穩定在約5000個。在活躍群聊渠道中,以匿名群聊和社交群聊為主要大量級用戶群的社媒平臺,黑灰產持續依托社交平臺進行組織化作案,涵蓋推廣仿冒鏈接、分發話術包、發布釣魚頁面等非法行為。
2025年上半年,威脅獵人風險情報平臺監測到涉及作惡黑產4萬個賬號,環比2024年下半年上升7.61%,在持續打擊下,黑灰產通過分散化、多賬號操控等手段提升存活率,作惡行為反而更加隱蔽高頻。
3.3.2 “無感盜刷”三重陷阱:技術引導、驗證漏洞與仿冒偽裝正在重構詐騙方式
隨著支付系統和身份驗證機制日趨智能化,黑灰產詐騙手法也在悄然升級。相比過去的“騙你點鏈接、輸密碼”,如今的不法分子更傾向于繞過你的感知與判斷,用技術流程引導你“配合完成”或“被動失控”地完成支付操作。
2025年上半年,威脅獵人風險情報平臺監測到三類典型的新型詐騙手法正在廣泛傳播,它們構成了當下“無感盜刷”的三大模式:
1.利用NFC技術實現遠程傳卡:?本質上是利用通信技術突破物理驗證場景,實現非接觸式盜刷,用戶并不知卡片信息已被“復制”。
2.企業代付騙局:利用驗證漏洞操控支付流程:利用身份驗證流程中的邏輯漏洞,繞過支付意圖確認,讓用戶在“以為別人付款”的場景下,完成真實扣款。
3.仿冒App偽裝詐騙:本質是利用仿冒官方權威形象偽裝可信環境,誘導用戶主動交出資金或信息。
(1)濫用NFC免密,誘導“主動貼卡”,異地盜刷
2025年上半年,威脅獵人監測到多起涉及NFC盜刷的詐騙事件。犯罪分子利用“遠程傳卡”技術,誘導受害人將銀行卡貼近手機,盜取NFC數據后遠程仿真卡片,在境外或其他設備上完成盜刷,整個過程無需用戶輸入密碼,即使卡未脫離本人掌控,仍可能被盜刷。
「 典型詐騙流程:」
1、冒充銀行或金融平臺客服:詐騙者通過電話、短信、社交平臺等方式,冒充銀行風控人員,聲稱“你名下銀行卡存在異常交易”,要求立即進行安全驗證。
2、引導安裝偽裝App:受害人被要求下載一個名為“賬戶安全助手”或“NFC驗證中心”的App。該App仿冒正規銀行界面,實則內嵌了NFC讀卡模塊和數據上傳接口。
3、誘導貼卡讀取信息:騙子指導用戶“將銀行卡貼近手機背面,配合完成芯片驗證”,實則是誘導用戶主動將卡片信息通過NFC方式上傳給詐騙團伙。
4、遠程仿真盜刷:詐騙團伙使用另一部支持NFC卡模擬的手機,在POS機上完成盜刷交易,等同于擁有一張“你本人的銀行卡”。
5、快速資金轉移:成功交易后,資金迅速被轉入多個賬戶或用于虛擬幣交易,受害人往往在數小時后才發現銀行卡被盜刷。
(2)“企業代付”被黑產濫用為支付引流入口,平臺驗證機制成漏洞入口
“企業代付”、“公司福利”、“免費充值”……看似是好事,其實正是騙子設下的“自掏腰包”陷阱。
2025年上半年,威脅獵人監測到一類以“企業代付”為幌子的新型詐騙正加速擴散。騙子偽裝成平臺客服、運營人員,打著企業補貼、員工福利的旗號,引導用戶進入支付流程,并借助平臺支付驗證機制中的漏洞——如刷臉驗證、快捷支付、免密授權等環節默認觸發支付而非確認操作,最終讓用戶在未察覺自身正在執行真實支付操作的情況下完成扣款,等發現資金異常流出時,才意識到所謂“企業代付”根本不存在。
「 典型詐騙流程:」
1、福利引流,放長線釣魚:騙子在QQ群、微信群、短視頻評論區發布“企業贈送會員”、“手機充值補貼”等廣告,吸引用戶添加他們的微信號或私信賬號。
2、偽裝企業代付,引導充值:騙子偽裝成客服、運營,稱“為了匹配企業賬戶,需要你配合測試支付流程”,誘導用戶進入某支付App的“手機充值”、“優惠券領取”、“訂單付款”等頁面。
3、誘導點擊驗證,實為觸發支付:騙子可能以“流程驗證”、“支付測試”為由,引導你反復輸入錯誤密碼、刷臉認證,或讓你在App中點擊“免密開通”“、快捷支付模擬”等按鈕。你以為只是配合操作,但由于平臺驗證流程存在漏洞,這些動作實際上觸發了真實的扣款行為,導致資金在你毫不知情的情況下被轉走。
4、無感盜刷完成轉賬:在某些支付平臺或舊版客戶端中,只要人臉識別成功、點擊動作完成,系統便會默認執行支付操作,而沒有彈窗確認或密碼環節。
5、盜刷完成,資金立刻被轉移:用戶毫無察覺地完成了支付,付款對象是騙子控制的賬戶,隨后資金被迅速轉出或通過虛擬幣平臺洗出,受害者往往在事后查看賬單才發現異常。
(3)仿冒App包裝成正規平臺,騙你一步步走進支付陷阱
在網絡詐騙持續演化的趨勢下,“仿冒”已經成為黑灰產高頻使用的關鍵手段之一。從仿冒銀行、快遞、政務App,到仿冒成人商城、社交平臺、內部商城,詐騙者通過高度擬真的偽裝界面和誘導話術,讓用戶在不知情中主動交出錢財、權限甚至隱私。
仿真平臺 + 情緒誘導:2025年高發仿冒詐騙類型一覽
「 典型案例剖析:仿冒商城引發的“代付詐騙”」
1. 感情養成,引導信任:黑產組織代聊人員在交友平臺)注冊女性賬號,通過長時間聊天與受害人建立“線上戀愛”關系,穩定后引導“男方”履行“情侶義務”,提出買奶茶、水果、飯菜、藥品等小額需求。
2. 下單仿冒商城,生成代付鏈接:代聊人員進入黑產提供的仿冒電商平臺,平臺頁面幾乎完全復刻某知名電商外賣首頁,支持選擇商品分類(如鮮花、水果、奶茶、藥品等),填寫虛假收貨地址后生成“代付鏈接”或代付二維碼。
3. 代付流程掩蓋真實收款人:用戶掃碼后看到的是一個幾乎完全正常的“商品付款頁”,由于使用微信代付功能,付款人無法看到收貨地址或收款人,僅看到商品名稱和金額,極易誤判為真實平臺請求。
4. 風控繞過與多次轉發技巧:黑產操作人員通常先將鏈接發至自己的微信小號測試有無風險提示,若無異常再轉發給受害人,確保詐騙操作不被微信風控攔截。
5. 支付完成即為詐騙成功:一旦代付成功,平臺顯示“已付款”,但商品從未真正配送,收款方為黑產賬戶。用戶常因金額較小、對方態度親密而不疑有他,甚至多次幫對方代付。
3.4 釣魚仿冒場景分析
3.4.1 風險事件總量超3倍,社媒驅動及侵權成新攻擊趨勢
2025年上半年,威脅獵人共捕獲 66855 起釣魚仿冒風險情報,相較于2024年下半年的 20968 起,呈暴增趨勢,總量超3倍。
這一爆炸式增長的背后,是攻擊模式的系統性升級:傳統的釣魚攻擊依然是“基本盤”,但以社交媒體為流量入口、以商品侵權為變現手段的新型攻擊鏈條,正表現出強勁的增長勢頭,成為威脅情報增量的核心因素。
商品侵權:指攻擊者在各大電商平臺中,公開售賣侵犯企業知識產權的商品。在本報告的語境下,它主要涵蓋游戲私服的初始號、盜版軟件激活碼、破解賬號等虛擬商品,是黑灰產將流量轉化為收入的關鍵環節。
仿冒網站:?指攻擊者創建的、在外觀和域名上與官方網站高度相似的虛假網站。其主要目的是誘騙用戶輸入賬號密碼、個人身份信息、銀行卡或支付信息等敏感數據,是網絡釣魚攻擊中最直接、最常見的手段。
仿冒社交媒體:指攻擊者在社交平臺、短視頻平臺等渠道上,注冊并運營與官方品牌或個人形象高度一致的虛假賬號。這些賬號通常通過發布虛假活動、抽獎信息等內容進行引流,或直接與用戶私信互動實施精準詐騙,是當前黑灰產最主要的流量入口和用戶觸達渠道。
仿冒APP:?指攻擊者制作的、在圖標、名稱和界面設計上模仿官方正版應用的惡意移動應用程序。這些應用通常通過第三方下載站、社交群組、短信鏈接等非官方渠道傳播,安裝后可竊取用戶設備中的敏感信息或植入木馬,是一種危害性極高的攻擊形式。
仿冒客服電話:?指攻擊者利用虛假號碼或通過改號軟件偽裝成官方客服熱線,主動聯系用戶。攻擊者通常以“訂單異常”、“賬戶安全問題”等為由,利用社會工程學進行言語欺詐,誘導用戶提供驗證碼、密碼或直接進行轉賬操作,常用于詐騙的“收割”環節。
SEO污染:?指攻擊者利用搜索引擎優化(SEO)技術,將包含惡意代碼或指向釣魚網站的虛假頁面,優化至搜索結果的前列。當用戶搜索特定關鍵詞(如“XX官方客服”、“XX軟件下載”)時,會誤入這些陷阱頁面,這是一種通過劫持用戶正常搜索意圖來實現精準攻擊的手段。
(1)仿冒網站是攻擊的基石、仿冒社媒、商品侵權增長強勁
在整個上半年,仿冒網站攻擊事件累計捕獲30155 起,占風險情報總量的 45.11%,幾乎為每月保持最高占比的單一風險類型 ,構成了網絡釣魚攻擊的“底盤”。這表明通過搭建虛假站點來直接竊取用戶賬號、密碼、支付信息等敏感數據,依然是攻擊者最常用、最核心的手段。其體量之大,決定了它仍是品牌保護工作的首要防御陣地。
另值得注意的是,與商品侵權和仿冒社媒相關的攻擊事件占比分別從3月和4月起有了明顯的占比體現,表現出強勁的增長勢頭。
(2)仿冒社媒與商品侵權呈現“協同增長”,驅動攻擊模式變革
威脅獵人對游戲行業的持續監控發現,大量仿冒官方的社媒賬號,其最終目的并非直接釣魚,而是系統性地將用戶引流至電商平臺,購買私服、外掛等侵權商品。為完整揭示這條“前端引流、后端變現”的攻擊鏈路,威脅獵人從4月起將“商品侵權”正式納入監控。隨后的數據清晰地驗證了我們的判斷:作為流量入口的仿冒社媒風險在5月激增至3581起,而作為變現渠道的商品侵權風險也從4月新納入監控的948起,一路上升至6月的1911起。
這兩條風險曲線的高度同步,標志著一個以游戲行業為起點,通過仿冒社媒引流、再以侵權商品變現的完整產業鏈攻擊模式,已完全浮出水面。
3.4.2 泛金融領域與游戲IP成兩大獨立戰場
2025年上半年的數據顯示,釣魚仿冒風險呈現高度集中的態勢。
其中,泛金融領域是攻擊最集中的重災區,該領域以直接竊取資金為目標,包含消費金融(28.41%)、電商(28.14%)、支付(8.65%)、銀行(5.46%),合計占比高達70.66%,而以系統性瓦解商業模式為核心的游戲行業,占比為17.01%。
綜合來看,泛金融和游戲這兩大領域合計占比已近九成,構成了當前釣魚仿冒攻擊的主要戰場。
(1)泛金融領域:以資金為核心的直接掠奪生態
泛金融領域(消費金融、電商、銀行、支付行業合計占比高達 80.6%)因其直接處理海量資金流、支付信息和用戶個人數據,成為網絡釣魚和詐騙的“天然狩獵場”。攻擊者通過仿冒網站、支付頁面、客服電話等手段,旨在竊取用戶的銀行卡號、密碼、驗證碼等關鍵信息,實現資金的直接盜取。
(2)游戲行業:以釜底抽薪的方式,系統性瓦解商業根基
游戲行業的風險則源于完全不同的邏輯,其核心是如私服、外掛等知識產權侵權攻擊。攻擊者通過搭建私服直接復刻官方游戲,不僅侵蝕品牌價值,更重要的是分流核心付費用戶、直接蠶食官方商業收入。這種攻擊的本質,是對目標企業商業模式的系統性破壞,通過構建一個寄生的灰色產業鏈,掏空正版游戲的收入基礎,縮短其生命周期。
3.4.3 揭秘游戲私服“引流矩陣”:一種系統性竊取品牌核心資產的黑產新范式
(1)產業鏈結構:從技術源頭到矩陣式分發
游戲私服的猖獗,已從過去的“小作坊”演變為一個分工明確、多平臺聯動、自動化運作的黑灰產帝國。其核心不再是單一的推廣鏈接,而是一個精心設計的、層層遞進的“引流矩陣”:
上游-技術源頭:由匿名的技術團隊負責破解官方源碼、搭建私服,并通過Telegram等加密渠道發布。這是整個黑產的“軍火庫”,是傳統打擊方式的難點。
中游-渠道分發:由專業的運營團隊建立大量私服下載網站,并發展金字塔式的下線代理網絡,構建起一個覆蓋全網的、極具韌性的矩陣化分發渠道,封堵單一節點無法動搖其根本。
下游-引流轉化:由數量龐大的代理商執行,負責將公域流量精準地轉化為私域用戶,是整個體系中最為活躍和龐大的一環。
2)核心運作:“引流-篩選-轉化”的精準漏斗
下游的引流轉化遵循一套標準化的三步曲,每一步都經過精心設計:
初步引流 (社媒曝光):代理商注冊大量賬號,發布私服相關的“內部福利”、“高爆率”等誘惑性內容,進行廣泛曝光,吸引潛在玩家的注意。一般有兩種引流方法,一是在圖文社媒平臺發帖引流,二是在視頻平臺直播引流。
深度引流 (電商篩選):這是整個攻擊鏈條中最關鍵的樞紐。 攻擊者不會在社媒直接提供下載鏈接,而是引導用戶去電商平臺,購買價格僅為幾元的“初始號”或“資源包”。此舉一箭雙雕:
篩選高價值目標:付費行為本身就是一次高效的“意向篩選”,能從海量用戶中精準識別出未來可能進行大額充值的“潛在金主”。
規避平臺封禁:相較于直接在社媒發布私服網站或私服APP,這種“電商引流”模式更加隱蔽。因為攻擊者發布的引流內容(如游戲攻略、福利領取等)本身不包含直接的違規信息,而是“既模糊又清晰”地引導用戶至電商平臺完成一個看似正常的交易。這使得游戲官方難以僅憑社媒內容進行有效投訴和封禁,從而極大地延長了整個攻擊鏈路的存活時間。
最終轉化 (私域沉淀):用戶購買后,通過客服引導或自動發貨被拉入QQ群、微信群等私域社群。至此,黑產完成了從公域流量到私域資產的沉淀。在這個封閉的環境中,后續的大額充值、策反核心付費玩家等行為將完全脫離監管,品牌方不僅損失了收入,更永久性地失去了核心用戶。
(3)商業閉環:高額分成與匿名結算驅動的病毒式擴張
這套體系能病毒式擴張,其核心驅動力在于其商業模式;
威脅獵人情報顯示,某私服代理商能獲得高達 46% 的玩家充值返傭,并通過 USDT(泰達幣) 等加密貨幣進行結算。
這套“高傭金+匿名結算”的模式,極大地激勵了下游代理商的擴張,同時也給追溯和打擊帶來了巨大挑戰。
3.5 ?數據泄露場景分析
3.5.1 2025年上半年數據泄露事件共57092起,較2024年下半年上升1.54%
據威脅獵人數據泄露風險監測平臺數據顯示,2025年1月至6月期間,全網共監測到1.8億條情報線索。經真實性驗證引擎與DRRC人工分析,其中確認為有效的數據泄露事件共計57,092起,較2024年下半年上升1.54%。
從上半年的數據泄露事件量的變化趨勢來看,顯示出了明顯的異常波動,1-3月呈上升趨勢,4、5月起數據泄露事件量連續下滑,6月出現明顯回升。
威脅獵人發現,這一波動與Telegram平臺于2025年4月啟動針對非法團伙的“封群行動”或存在強關聯。該行動導致大量非法數據交易群被封禁,黑產交易渠道受阻,或直接導致數據泄露事件量下降。
從威脅獵人捕獲數據分析發現:活躍的非法數據交易團伙數量從3月的1,943個減少至4月的1,477個,降幅達23.98%;進一步分析發現,3月活躍的團伙中有33.71%在4月疑似遭遇封禁。與此對應的是,我方2025年4月監測到的數據泄露事件為9,085起,環比下降29.93%。
然而,由于Telegram平臺的封禁難以徹底,且非法團伙具備極強的“再生能力”,大量新群或替代群在短時間內重新活躍,推動了2025年6月數據泄露事件數量重新回升。
從行業分布來看,2025年上半年全網數據泄露事件共涉及76個行業,TOP3行業是電商、消費金融、銀行。其中,以電商、金融為代表的高敏感度、高變現率行業,仍然是數據泄露的重災區。
3.5.2 頭部擔保團伙遭打擊,新擔保迅速補位
(1)好旺擔保遭遇重創停運、短暫影響黑產數據泄露交易
在非法數據交易市場中,數據供給端和需求端都高度活躍,形成了強烈的供需關系,也催生了完整的黑產交易鏈條。然而,由于交易本身存在高風險與高不確定性,買賣雙方難以建立直接信任關系,擔保群組作為中立“第三方擔保人”機制應運而生。
其中,“好旺擔保”(前身為“匯旺擔保”)曾長期活躍于Telegram等匿名社交平臺,憑借第三方信用中介服務,成為數據交易、詐騙、洗錢等黑產活動的核心擔保平臺,在2025年上半年及以前處于市場主導地位,以近一年事件數據來看,由其進行擔保的數據泄露交易事件量占比高達74.26%。
然而,在2025年5月,好旺擔保遭遇重創
5月1日,美國金融犯罪執法網絡(FinCEN)將其母公司Huione集團列為“首要洗錢關注”機構,切斷其國際金融通道。隨后Telegram官方于5月初集中封禁其交易群組及賬號。
5月9日,好旺官方發布公告稱“交易員賬號被大量注銷”,至此,其運營體系全面崩潰,公群業務中斷率達到100%。
(好旺擔保遷移全過程時間線)
威脅獵人監測發現,自“好旺擔保”停運后,其相關數據泄露事件量從3月的832件直線下降,至6月基本歸零。
(2)新擔保迅速補位,交易快速恢復運轉
但黑產市場的需求并未消失。“好旺擔保”倒下后,以“土豆擔保”為代表的等新平臺迅速崛起。數據顯示,土豆擔保涉及的相關的數據泄露事件從4月的12起暴增至6月的358起,增幅接近30倍。
黑產生態中逐漸出現了“擔保平臺”這一中介角色,中間商的存在不僅撮合交易,還承擔著托管資金、仲裁糾紛的職能,是整個黑產交易能夠持續運轉的重要支點。
正因如此,哪怕某個平臺被打擊清除,新的中間商也會迅速補位、變換馬甲再次出現,只要交易存在,市場對這類“黑產服務商”的需求就不會消失,使得他們很難被徹底根除。
這一產業鏈定律在黑產交流傳播的重要渠道源上也同樣奏效。
以頭部暗網論壇BF為例,在2025年4月同樣遭打擊,關停前貢獻暗網渠道近15%數據事件。盡管黑產平臺面臨持續高壓打擊,但數據交易的市場需求始終未見減弱。以頭部暗網論壇BF為例,2025年上半年,該平臺依然是全球范圍內最主要的數據泄露供給節點之一。
BF的案例印證了黑灰產市場的核心規律:當主要交易平臺被打擊時,用戶和需求會迅速遷移至現有或新興替代品。數據交易市場具備極強的適應能力,即使頭部平臺被摧毀,黑產從業者仍能依托其他渠道維持業務運轉。
3.5.3 銀行“掃碼申請”貸款信息泄露事件較比2024年下半年大幅上升,漲幅超過4倍
(1)銀行“掃碼申請”貸款信息泄露事件上半年暴增
威脅獵人持續監測發現,在2025年上半年所捕獲的泄露數據中,還有另一類名為“銀行掃碼申請料”的貸款信息泄露事件,共計111起,相較于2024年下半年新增89起,漲幅高達404.55%。
銀行掃碼申請:是指用戶通過掃描銀行客戶經理提供的貸款活動二維碼,申請辦理貸款業務的信息數據。
通過深入分析,威脅獵人了解到黑產中所稱的“掃碼申請隔夜”數據,其主要集中在銀行“貸款”業務上。
主要包含貸款用戶的手機號、城市地區以及申請貸款審批結果等信息;同時,根據黑產提供的銀行貸款平臺篩選上來看,共超過80家銀行貸款業務,基本上以地方性銀行或商業銀行為主。
((左圖為泄露的數據格式,
右圖為黑產正式推出“掃碼隔夜申請”數據產品))
(2)銀行“掃碼申請”貸款信息泄露:第三方金融科技公司營銷工具成核心風險點
威脅獵人通過對泄露數據涉及到的銀行二維碼進行分析溯源,發現其均指向同一家知名金融科技服務商開發的“xx營銷助手”平臺。結合黑產發布的銀行貸款平臺名單來看,可以確認影響范圍超過80家銀行機構。
如您想要了解您的銀行機構是否被影響,請聯系威脅獵人
該類相關事件涉及多家銀行,威脅獵人針對具體細節進行深入還原發現:
1、用戶在申請貸款的過程中,是通過掃描銀行客戶經理所提供的貸款業務活動二維碼進行辦理;
2、這一類銀行貸款業務的二維碼信息是攜帶客戶經理信息,去跳轉到銀行官方的小程序上;
3、然后用戶在銀行官方小程序具體的貸款業務上操作提交貸款申請;
威脅獵人了解到客戶經理所提供的貸款二維碼信息,實際上是通過第三方金融科技公司開發的銷售工具進行制作的。(由于該工具頁面較為敏感,此處不做具體展示)
威脅獵人針對該第三方金融科技公司進行分析后發現,該公司不僅為銀行提供應用系統軟件開發,還提供智能風控策略。針對不同資質的貸款用戶提供不同的風控策略,用于配合銀行客戶經理進行跟進。主要為銀行提供業務數字化,推動銀行貸款業務發展。用戶在銀行官方小程序提交地貸款申請后,銀行會將用戶相關信息同步至銷售工具上,便于銀行客戶經理業績統計以及跟進,與此同時也帶來了數據泄露的風險。
(黑產發布的用戶在不同銀行貸款平臺申請所需材料信息,以及不同平臺不同城市地區數據量差異)
據威脅獵人針對黑產發布的信息進行跟進以及分析后發現,在此類型事件開始宣傳時,黑產聲稱,數據是來源于“內鬼”,即內部員工泄露的。結合上文中涉及到超過80家銀行機構,80家銀行機構內部員工泄露的概率極低,初步推斷為第三方金融科技公司內部員工。
根據威脅獵人調研發現,此類信息數據泄露到非法數據交易市場后,主要用于助貸公司進行精準營銷。同時,根據黑產在營銷后的效果反饋上來看,效果是非常好,成功率最高可達20%,也在側面證明了此類數據的真實性。
「風險與危害」
?1、客戶流失與營收損失:?高意向客戶在申請次日即被競爭對手(助貸公司)聯系,提供利率更低或審批更快的替代產品,直接導致銀行潛在客戶流失,損失可預期的利息收入和中間業務收入。
2、品牌聲譽損害:?數據泄露嚴重打擊了用戶對銀行數據安全能力的信任,尤其是在貸款這一核心業務上,將對銀行品牌造成長期負面影響。”
3、監管合規風險:?此類事件已構成嚴重的個人金融信息泄露,違反了《個人信息保護法》等相關法規,銀行作為數據處理者將面臨高額罰款和監管問責的風險。
3.6 API安全場景分析
數字化與線上化趨勢下,API接口作為應用連接、數據傳輸的重要通道,近年來大規模增長。API應用的增速與其安全發展的不平衡,使其成為惡意攻擊的首選目標,圍繞API安全的攻防較量愈演愈烈。
威脅獵人情報數據顯示,2025年上半年遭受攻擊的API數量超過了149萬,涉及消費金融、銀行、電商、在線教育、證券等多個行業。
3.6.1 2025年上半年月均遭受攻擊的API數量超24.9萬
威脅獵人監測顯示,2025 年上半年每月捕獲API攻擊量呈上升趨勢,月均遭受攻擊的 API 數量達 24.9 萬個,較 2024 年下半年19.4 萬個顯著增加,月均增長量達 5.5 萬個,增幅達 28.35%,增長趨勢明顯主要是因為金融行業受黑灰產攻擊增多導致總體趨勢上升。
3.6.2 金融業成首要靶標,消費金融風險登頂
2025 年上半年,威脅獵人蜜罐平臺共監控到近 150 萬起API攻擊事件,波及 1,176 家企業。從行業維度來看,攻擊高度集中于消費金融、銀行、電商、在線教育及證券五大行業;
其中,消費金融、銀行與證券構成的金融業遭受攻擊為重災區,攻擊占比高達 41.92%,消費金融行業更是攻擊者的首要目標。
從攻擊主體量級來看,2025年有209個消費金融公司被攻擊,在API遭受攻擊行業中占比高達17.77%,攻擊主要集中在持牌消費金融公司,互聯網平臺金融業務、轉型助貸平臺和小額貸款公司。經分析,消費金融公司被黑產高度關注的原因主要有以下三方面:
數據收集與流轉的復雜性劇增:?消費金融平臺業務深度嵌入電商、社交等復雜場景,導致用戶數據來源廣、類型雜,平臺與合作方之間的數據流轉鏈條冗長且脆弱。攻擊者往往利用鏈條中任一環節的接口薄弱點,發起信息竊取、撞庫等攻擊。
開放生態下的API接口爆炸式增長:?為支撐復雜的嵌入式金融場景(如場景分期、信用支付、聯合風控),平臺需向大量內外部合作伙伴(商戶、技術服務商、數據源)開放海量且功能各異的API接口。接口數量的激增和調用關系的復雜化,顯著擴大了攻擊暴露面。安全管理若未能同步精細化,極易被攻擊者利用進行接口探測、未授權訪問乃至大規模撞庫攻擊。
高敏數據價值高帶來的利益驅動:消費金融平臺集中存儲海量用戶敏感信息(身份、征信、財務等),這些敏感信息在黑市中單條價格可達100元,遠超其他行業數據,對攻擊者形成巨大誘惑。
3.6.3 2025年上半年值得關注典型API攻擊典型事件
威脅獵人監控到黑產通過API攻擊涉及下游多個作惡場景,涵蓋薅羊毛、惡意刷單、數據爬取、營銷業務欺詐及庫存預留等。2025 年上半年監測數據顯示,支撐這些惡意活動的核心 API 攻擊手段集中于掃號攻擊、撞庫攻擊與占庫攻擊。
(1)掃號攻擊:某互聯網平臺線上業務遭受黑灰產掃號攻擊,大量用戶信息被泄露
2025年3月,威脅獵人監測到攻擊者對國內某互聯網平臺發起掃號攻擊,2月至3月期間,攻擊者使用代理IP對該平臺接口發起超10萬次攻擊,導致5萬有效賬號暴露。
經過流量分析與復現,發現該平臺用戶驗證接口,已注冊用戶和未注冊用戶驗證返回響應體數據存在明顯差異,因此黑產通過該接口大批量驗證手機號是否為平臺注冊用戶,導致有效賬號暴露,用戶隱私泄露。
具體攻擊流程如下圖所示,黑產對請求體進行構造,使用不同的手機號,而其他鑒權參數信息特征保持不變,黑產可以通過回顯來判斷手機號是否為有效賬號,如果手機號碼為無效賬號,回顯“false”,如果手機號碼為有效賬號,平臺回顯“true”。
(2)撞庫攻擊:老舊登錄接口未下線成撞庫突破口,某平臺遭批量撞庫攻擊
從威脅獵人蜜罐捕獲的流量發現,在2025年5月,攻擊者使用代理IP對該平臺老版本登錄接口發起攻擊超30萬次,撞庫成功近3000個賬號。
深入分析,攻擊者攻擊接口為該平臺老版登錄接口,該接口存在明文密碼傳輸缺陷,缺少動態簽名、人機驗證,從而使黑產可以通過極低的成本繞過安全防護,對賬號體系造成威脅。撞庫攻擊得逞后,攻擊者通過盜用的賬戶憑證,惡意發起高頻付費操作,造成原賬戶持有人實質經濟損失。
攻擊流程如下圖所示,黑產利用老版本登錄接口發起撞庫攻擊,由于老版本接口缺少頻次限制和明文密碼傳輸缺陷,攻擊者針對請求體中的Mobile字段和密碼字段,使用自動化腳本攻擊,基于響應體返回的數據內容不同,判斷是否撞庫成功,撞庫失敗,響應體信息返回“賬號不存在或密碼錯誤”,撞庫成功,響應體返回用戶憑證、用戶ID等敏感信息。
(3)占庫攻擊:某平臺接口漏洞被利用實施占庫攻擊獲利
2025年6月,威脅獵人蜜罐捕獲攻擊者利用代理秒撥IP及接碼平臺手機號發起的批量攻擊流量,具體針對某電商店鋪接口發起攻擊10萬次,批量占庫1萬件特價商品,自購套利。
深入分析,目標接口存在高危漏洞:異常賬號可對特價商品無限次加購并生成待支付訂單,直至庫存耗盡。后續該賬號再批量下單商品,第三方平臺兜售,實現套利。
攻擊流程如下圖所示,黑產通過接碼平臺獲取海量虛假號碼,疊加代理秒撥IP池技術,批量注冊該平臺傀儡賬號,惡意擠占特價商品庫存。其通過虛假賬號自購訂單完成套利洗貨,同時也致使正常用戶無法成交,破壞平臺公平交易生態。
?寫在最后?
對企業而言,必須充分認識到與黑產的攻防博弈是長期、動態且持續演進的過程。唯有依托覆蓋全網、跨平臺的黑灰產情報數據,才能從攻擊“尚未發生”階段就提前識別潛在威脅,在攻擊資源籌備、工具調度、路徑構建等階段實現精準溯源與前置攔截——清楚黑產將用什么資源、走哪條路徑、以何種方式實施攻擊,才能真正做到“敵未至,我先控”。
這正是情報的價值所在,也是威脅獵人持續投入的方向:通過系統化的黑灰產攻防研究與情報監測能力,幫助企業在對抗中掌握主動權,構建更具韌性的業務安全防線。
說明:本報告所提供的數據信息系威脅獵人依據大樣本數據抽樣采集、小樣本調研、外部情報數據采集、數據模型預測及其他研究方法估算、分析得出,由于統計分析領域中的任何數據來源和技術方法均存在局限性,依據上述方法所估算、分析得出的數據信息僅供參考。
)
)
![[數據庫]Neo4j圖數據庫搭建快速入門](http://pic.xiahunao.cn/[數據庫]Neo4j圖數據庫搭建快速入門)
)
