【黑产大数据】2024年互联网黑灰产趋势年度总结
1. 2024黑灰产变化
在攻击资源方面,
2024年威胁猎人捕获全球新增作恶手机号1600多万例,日活跃作恶IP1170万例,较2023年大幅提升。为躲避风控监测,黑灰产不断升级技术寻找更加隐蔽的攻击资源,如通过在正常用户设备植入木马将其IP作为攻击资源、“商户洗钱”产业链快速发展等。
在攻击技术方面,
2024年黑产团伙对通用技术的应用也有新的发展,如滥用“子母机”绕过身份认证、利用“NFC远程传输软件”进行境外洗钱、定制化云手机系统提升攻击效率等等。
在攻击场景方面
线上业务欺诈、金融贷款欺诈、品牌广告欺诈、API攻击、钓鱼仿冒、数据泄露、电信网络诈骗等场景热度持续高涨。线上业务欺诈已进入深水区,全行业、全业务环节无差别攻击;“王星事件”更是进一步提升了公众对电信网络诈骗的关注度。
2. 2024年互联网黑灰产攻击资源分析
2.1. 猫池卡
作恶手机号资源中,“猫池卡”和“拦截卡”占比最高
- 猫池卡: 指通过“猫池”网络通信硬件实现同时多个号码通话、群发短信等功能的作恶手机卡。
- 猫池卡发卡平台运营时间缩短。很多发卡平台运营时间不足一周
- 黑灰产为了防止被监管打击,会采取一些较高的安全措施,包括但不限于周期性订单删除、使用加密货币支付、频繁修改接码地址、限制异常访问和支付等。
2024年归属地为中国香港的作恶手机号持续增长
- 注册范围广:香港手机卡注册范围广,可注册Telegram、WhatsApp等海内外应用;
- 在线使用时间长:香港手机卡接码服务的在线使用时间相对其他境内卡更长,一般可保证一个月重复使用,而其他境内手机卡一般为数日;
- 价格较低:香港手机卡的价格相对其他境内卡接码价格更低;
- 支持多种接码形式:香港卡支持多种接码形式,目前威胁猎人在接码平台、发卡网站、私域接码均发现了香港相关手机卡的作恶记录。
2.2. 拦截卡
“群接码”模式简化黑产使用拦截卡的流程
- “群接码”模式简化黑产使用拦截卡的流程,并使拦截卡真实平台更隐蔽
- 拦截卡卡商隐藏真实号码,仅展示打码号码,只有黑卡购买者可获取完整号码完成接码作恶。
- 使用更便利,**卡商只需提供号码和接码链接,无需为下游代理或黑卡使用者开设账户或配置权限;
- 更高隐蔽性,**卡商可通过“群接码”模式隐蔽真实的平台信息,不将平台的敏感信息暴露于使用者。
3. 作恶IP资源分析
3.1. 国内作恶IP的大幅增长
2024年国内作恶IP的大幅增长主要是劫持共用代理IP数量急剧增长导致
劫持共用代理IP:指被黑产恶意劫持的正常用户IP资源。黑产通过在正常用户设备中植入木马,通过木马在正常用户网络上建立代理通道,且每次使用时间很短,因此普通用户难以感知到自己的IP被盗用。
劫持共用IP大部分时间是正常用户的常规行为,仅少数时间被黑产劫持用于短暂恶意行为,因此平台风控会直接将其视为正常用户,忽视其短暂作恶行为
3.2. 黑产IP资源获取技术升级
黑产IP资源获取技术升级,利用正常用户的IP资源规避风控检测。如利用劫持共用代理IP、云服务IP、云手机IP
利用云计算平台的云函数IP搭建代理IP池
- 为了掩盖真实源IP,会利用云计算平台的云函数IP搭建代理IP池执行攻击,或者利用云手机的群控配置执行批量攻击
3.3. 国外作恶IP
主要是巴西、美国、印度
3.4. 国内外IP类型差异
国内作恶IP主要以家庭宽带IP为主。国内作恶代理IP、秒拨IP和劫持共用代理 IP都与家庭宽带密切相关;
国外作恶IP虽然家庭宽带占比也是最大,但移动网络占比也比较高,超过40%,进一步分析发现,这些IP主要来自流量卡,通过频繁切换飞行模式来实现IP变化。
4. 2024年网络洗钱资源分析
主要分为涉赌卡、跑分卡和涉诈卡三种类型,其中涉诈卡占比最大,达到42.03%
涉赌卡:活跃在赌博平台中,为赌博平台内收款使用的银行卡,常被用于赌博平台内进行充值收款行为,关联的资产涉及到赌博洗钱行为。威胁猎人通过人工和自动化结合的方式,从各类赌博平台中采集用于收款行为的银行卡账号信息。
跑分卡:活跃在跑分平台,为跑分份子使用的银行卡,常被用于各种非法来源资金的流通交易。威胁猎人通过自动化的方式,从跑分平台APP中获取到跑分订单中的银行卡账号信息。
涉诈卡:在各类匿名社交黑产群聊中,被诈骗团伙购买用于洗钱的银行卡,常用于诈骗类黑资金转移。威胁猎人通过自动化的方式,从各大匿名社交黑产群聊中发送的记录中,提取出诈骗团伙所使用的银行卡账号信息。
参与洗钱的卡特征
- 归属为六大国有银行的洗钱卡占比最大。这主要是因为其覆盖范围广、客户基数大,
- 重庆的涉诈卡和涉赌卡最多,深圳和广州的跑分卡最多
- 参与洗钱的银行卡超过50%活跃周期不到1天 具有明显的短期、高频操作特点
4.1. 对公洗钱账户资源变化
洗钱对公账户: 对公账户指以公司名义在银行开立的账户,洗钱对公账户指被黑产用于非法资金清洗的银行对公账户,因对公账户具有收款额度大、转账次数多等特点,使得“对公账户”常常作为黑钱转账的集中点及发散点
参与洗钱的对公账户归属银行类型分布中,城市商业银行排行第一,占比30.63%。
4.2. 参与洗钱的商户资源变化
“商户” 通常指具有合法营业资格的商户商家及商户账号。近年来,诈骗或洗钱团伙开始利用商户账户收取“黑钱”来洗钱,使用商家资质开通的收款账户基本没有收款额度限制,可支持花呗、信用卡等多种付款方式,相比传统洗钱方式会更隐蔽和高效。
4.3. 参与洗钱的商户所属行业分布TOP3:零售业、批发业、餐饮业
5. 2024年互联网黑灰产通用型攻击技术分析
5.1. 利用“子母机”绕过认证
“子母机”的应用逻辑是: 黑产先用母手机登录账号完成身份认证,在通过代码劫持获取账号的Cookie、设备环境等信息,再将这些信息复制到子设备上,替换其原始文件,并让子设备读取新信息。
① 首先,在A手机上登录并认证完成了A师傅的平台账号;
② 然后,通过劫持等方式把A手机上的cookie和设备环境信息等,复制到B手机上;
③ B手机此时掌握在B师傅上,但B手机上的信息,是A师傅的账号信息;
④ 每次人脸认证时,只需要在A手机上进行认证,即可在两台手机上都生效,A、B师傅都可继续使用账号进行业务操作。
5.2. 利用“NFC”远程传输软件进行境外洗钱
NFC(近场通信)是一种短距离无线通信技术,有效距离通常在10cm以内,广泛应用于移动支付(如Apple Pay、Google Pay)、门禁卡、数据交换等领域。
所谓NFC远程传输,指的是先通过NFC技术读取设备信息,再借由网络远程传输这些信息。例如,设备A读取IC卡信息后,通过特定应用将信息发送至服务器或设备B,设备B即可模拟该IC卡使用。
最典型的攻击案例便是洗钱: 黑产将国内信用卡信息远程传输至国外设备,利用这些信息进行POS机消费,购买奢侈品、珠宝等,从而绕过信用卡交易的地理限制,完成洗钱行为。
5.3. 定制化云手机系统
黑产为其定制开发的云手机系统涵盖了注册、养号、引流变现等完整攻击流程的自动化实现。这不仅降低了攻击者的准入门槛,使新手也能进行傻瓜式操作,还让攻击者无需关注风控层面的对抗,从而极大提升了攻击效率。
6. 2024年互联网黑灰产攻击场景分析
6.1. 线上业务欺诈场景
只要是所有干扰业务正常运营,从正常的业务开展中牟利的恶意行为,都被称之为“业务欺诈攻击”,如营销欺诈、恶意引流、刷量欺诈、认证绕过等。
随着业务风控能力的不断提升,大多数典型的机器作弊行为已被有效识别。尽管一些高端黑产仍在使用定制化技术进行对抗,但越来越多的黑灰产开始转向真人众包作弊方式进行攻击。
传统众包
传统的任务型众包平台,即以“发布任务”和“领取任务”为主的模式,
更加隐蔽的众包
如通过众包私域群聊、开发专项APP来招募真人执行特定任务,这种模式类似于刷单真人群,很难被风控系统识别。 这些专项任务可能包括变相刷单、浏览酒店页面以增加浏览量、或使用真人账号挂机爬取平台商品数据等。
案例1:以“酒店截图”众包项目为例,黑产开发了一款名为“指尖xx”的APP,通过该APP组织兼职人员完成酒店截图任务。
参与者按照APP提供的教程,针对指定的入住平台、日期、地区和酒店名称,截取酒店页面的价格信息并上传。APP会自动通过OCR技术识别并提取价格信息,参与者随后可以领取相应的佣金。
案例2:黑灰产以兼职名义创建群组,组织、招募真人使用其账号对指定电商平台商品链接进行访问,按要求获取商品对应件数、对应活动条件的到手价格上传表格。这就是一种“真人爬虫”行为。
6.1.1. 欺诈角色边界逐渐模糊
6.1.2. 欺诈角色边界逐渐模糊
越来越多的真人用户通过研究和利用平台业务的“正当”规则进行恶意牟利。
各平台层出不穷的多倍赔付、仅退款教程、价保退款攻略, 更多反映了在黑灰产“引导”下,以平台真人用户为主的欺诈趋势。
6.2. 金融贷款欺诈场景
贷款欺诈产品类型热度TOP3:企业贷、信用贷、房抵贷
2024年信贷欺诈地区热度排在TOP5的地区是:广东、重庆、山东、浙江、四川。
“卖征信换钱”现象加剧,黑产瞄准高信用、高资质客户
6.3. 品牌广告欺诈场景
食品饮料类成为遭受广告欺诈占比最大的广告主 欺诈广告中以15秒的视频广告为主
6.4. API攻击场景
API攻击的行业分布数据来看,音视频行业受攻击热度最高。黑产利用音视频平台有安全缺陷的API非法爬取内容、用户信息等数据,通过贩卖音视频内容或用户信息获取高额利益,如非法分发、转售、侵犯版权,以及利用用户信息进行钓鱼攻击、诈骗等。
2024年9月,威胁猎人风险情报平台监测到攻击者对国内某互联网平台发起批量登陆攻击,使用历史版本的登录API接口获取用户凭证,再访问“当前版本应用”利用积分免费兑换商品业务,给企业带来损失。
从威胁猎人蜜罐捕获的攻击流量发现,从2024年9月至11月,攻击者使用代理IP,对该历史版本的登录API发起攻击超13万次,超10W左右的账号使用积分兑换商品。
如下图所示,该登录API接口中账号密码参数并未进行加密,均为明文传输,且缺失简单的人机验证方式,导致成为了黑产发起批量登录攻击的主要对象。
数据爬取:某银行线上业务遭受黑灰产扫号攻击,大量用户信息被泄露
黄牛抢号:医院线上挂号业务被黄牛抢号,医疗资源被抢占
6.4.1. 电商平台沦为钓鱼仿冒重灾区
随着跨境贸易的火热,海外电商平台为吸引新手卖家推出低门槛政策,导致大量缺乏经验的卖家涌入,成为骗子的目标。
“海外商城盘” 就是其中一种以“开网店创业”为幌子的骗局,诈骗者冒用知名海外电商平台身份,以“零成本开店”和“高收益分销”吸引受害者注册仿冒电商平台进行诈骗,这种行为不仅给商家带来直接经济损失,还严重损害电商平台品牌资产;破坏了平台的商家准入机制,影响品牌公信力。
仿冒平台引流阶段:骗子通过分享网店创业经验、用“零成本开店”和“高收益分销”为诱饵,让受害者注册仿冒电商平台。
诱导开店运营阶段:在受害者注册后,诈骗者引导开设店铺并通过虚拟订单和伪造盈利截图,营造生意兴隆的假象,诱导受害者不断充值垫资发货,逐步加大资金投入。
杀鱼诈骗阶段:当受害者投入大量资金后,诈骗者以延迟物流、冻结账户等为借口,进一步要求缴纳违约金或保证金,直到受害者资金被完全掏空。整个骗局伪装成合法创业,利用受害者对快速赚钱的渴望逐步完成诈骗闭环。
6.5. 数据泄露场景
6.5.1. 前五行业分别是银行、电商、消费金融、保险以及快递
6.5.2. 新型数据泄露类型“强登”出现
本地生活数据泄露大幅上涨的原因是新型泄露类型“强登”导致。
本地生活: 主要指提供外卖、餐饮、电影票、买菜等与生活息息相关的服务平台。
强登: 指黑灰产通过多种复杂手法强行登录用户的平台账号,获取账号下的具体订单等敏感信息,再把这些信息提供给下游数据购买者,在中游数据售卖时售卖广告会标注【强登】。
“强登”数据是怎么来的
信息获取:首先,攻击者通过手机号在其他渠道(如查档或社工库等)获取用户的身份证号和证件照等信息。
绕过验证:接着,利用获取到的证件照生成AI视频或模拟人脸,以此绕过平台的视频验证环节。
强行登录:最后,通过平台的忘记密码或找回密码等接口,绕过平台的校验机制,强行登录用户的账号,从而获取账号中的订单内容等敏感信息。
6.5.3. 物流行业“解密”服务兴起
2024年黑产推出了新的查档服务——“解密”来破解隐私面单,最近一年,“解密”相关数据泄露事件逐渐增多。
6.6. 电信网络诈骗场景
信息获取:诈骗团伙通过各种非法渠道获取到各种人员资料,资料越详细,诈骗成功率越高。
技术搭建**:**诈骗团队伪造仿冒网站、开发仿冒软件、伪造交易记录等,用于后续诈骗使用。
目标筛选**:**筛选容易受骗的目标客群,如老年人、投资者、求职者等,并制定相应的诈骗策略(剧本)。
推手引流:“推手”指那些为诈骗活动提供帮助或支持的人员或团体,虽然不直接参与诈骗行为,但通过与受害者联系,将受害者引流至微信、QQ等社交渠道供其他诈骗人员进行诈骗,即“推手引流”。
高薪引诱:发布高薪职位,承诺丰厚的报酬或表示能赚到巨额资金,诱使受害人对职位产生兴趣。
人口绑架:将受害人诱骗至目的地,并绑至电诈园区,强迫受害人从事诈骗工作。
7. 最后
对企业而言,应该认识到与外部黑产的对抗是动态、持续的,及时依托基于全网多渠道监测的黑灰产情报数据,从黑产攻击准备阶段就开始溯源追踪,知道攻击者正准备利用什么资源或工具,这些资源或工具有什么特征、攻击者会采用什么手段来攻击企业……先于攻击方达到被攻击方的防御前沿,让攻防对抗达到“敌方未攻我先控”的局面。这就是情报的价值所在,也是威胁猎人的价值所在。