1 2目录Contents前言..................................................................................................................3一、2023年互联网黑灰产业发展现状.........................................................61.12023年互联网黑灰产从业人员达587万，较2022年上升141%...................71.22023年黑灰产资源整体情况..........................................................................................7二、2023年黑产攻击资源分析..................................................................102.12023年黑手机卡资源分析............................................................................................112.22023年风险IP资源分析..............................................................................................172.32023年网络洗钱资源分析............................................................................................212.42023年风险邮箱资源分析............................................................................................29三、2023年黑产通用型攻击技术..........................................................313.1黑产应用AI技术大幅提升攻击效率，突破企业防御体系.......................................323.2提供云手机服务的平台持续增加，配套攻击工具更加完善.....................................35四、2023年黑产攻击场景分析............................................................374.12023年业务欺诈场景分析............................................................................................384.22023年数据泄露场景分析.............................................................................................474.32023年钓鱼仿冒场景分析............................................................................................51五、总结...............................................................................................55 3前言2023年，黑灰产从业人员人数超过580万，威胁猎人捕获到的国内作恶手机号数量高达625万，日活跃风险IP数量602万，洗钱银行卡数量87万。从百万级黑灰产业链规模、大幅提升的攻击资源量级可见，2023年是黑产攻防对抗空前激烈的一年，推陈出新的攻击资源和技术成为黑产攻击的“保护色”，因难以监测黑产攻击行为和溯源潜在风险，不少企业遭受严重损失，成为业务安全建设中亟需攻破的难点。威胁猎人发布《2023年互联网黑灰产研究年度报告》，针对2023年黑灰产业链进行了深入研究，从2023年互联网黑灰产发展现状、黑灰产攻击资源、黑灰产攻击场景等维度进行全面梳理分析，力求通过客观呈现黑灰产情报数据，帮助更多企业深入直观了解黑灰产业，有效防控各类攻击风险。 4相关名词定义：1、风险IP：业内也称黑IP，指存在攻击风险（包括代理、秒拨等恶意行为）的IP；2、风险手机号：存在被滥用盗用等风险的手机号，如被黑产用于接收短信，实施批量恶意攻击的手机号，通常从接码平台或发卡平台捕获；3、风险邮箱：指被黑产用于恶意注册生成的临时邮箱，用以骗取用户重要信息、传播恶意程序等；4、黑手机卡：指未进行实名登记或以假身份进行实名登记的，并被不法分子利用实施违法犯罪活动的电话卡；5、猫池卡：指通过“猫池”这一网络通信硬件，实现同时支持多个号码通话、群发短信等功能的黑手机卡；6、拦截卡：指通过病毒木马控制真实用户手机短信/验证码收发权限的手机卡，通常捕获自拦截卡平台；7、洗钱银行卡：指被黑产用于非法资金清洗（将违法所得收入合法化）的银行卡，例如赌博及诈骗团伙通过银行卡消费、转账等方式转移洗钱资金；8、洗钱数字钱包：指被黑产用于非法资金清洗的加密数字货币，例如通过数字人民币消费、转账等方式转移资金，利用数字货币的隐蔽性来逃避监管审查；9、洗钱对公账户：指被黑产用于非法资金清洗的银行对公账户，因对公账户具有收款额度大、转账次数多等特点，使得“对公账户”常常作为黑钱转账的集中点及发散点；10、改机：指的是通过修改手机设备信息，如手机型号、串码、IMEI、GPS定位等，达成绕过厂商设备检测的目的； 511、改定位：指利用相关工具修改手机定位信息，例如通过修改地理位置信息参加地域性活动并进行营销作弊；12、数据泄露情报：威胁猎人通过TG群、暗网等渠道捕获到的“未授权个人/组织敏感信息被公开交易或使用”的情报信息，可能包含历史数据、重复数据等，往往量级巨大；13、数据泄露事件：威胁猎人安全研究专家针对数据泄露情报的样例等进行分析及验证，确认为真实、有效的数据泄露事件；14、暗网：指隐藏的网络，普通网民无法通过常规手段搜索访问，需要使用一些特定的软件、配置或者授权才能登录；15、公民个人信息：指公民个人身份信息，包括但不限于姓名、身份证号码、出生日期、手机号码、家庭住址、银行账户信息等。 62023年互联网黑灰产业发展现状01 7一、2023年互联网黑灰产业发展现状1.12023年互联网黑灰产从业人员达587万，较2022年上升141%威胁猎人安全研究员调研统计发现，2023年互联网黑灰产从业人数持续上升，从业人员数量达到587.1万，较2022年上升141%。1.22023年黑灰产资源整体情况1.2.12023年国内作恶手机号较2022年增长15.44%2023年国内作恶手机号数量达到625.5万，较2022年上升15.44%。 81.2.22023年风险IP数量较2022年增长88.47%2023年风险IP数量持续上升，风险IP数量达到602.2万，较2022年上升88.47%。1.2.32023年洗钱银行卡数量较2022年增长133.74% 92023年洗钱银行卡数量持续上升，洗钱银行卡数量达到87.4万，较2022年上升133.74%。 102023年黑产攻击资源分析02 11二、2023年黑产攻击资源分析2.12023年黑手机卡资源分析2.1.12023年猫池卡资源变化趋势（1）2023年国内猫池卡数量较2022年增长8.25%据威胁猎人威胁情报运营平台数据显示，2023年新捕获猫池卡586.6万个，较2022年上升8.25%。从2023年国内猫池卡数量的变化趋势来看，1-3月出现明显上升趋势，4-6月逐渐降低。经威胁猎人情报专家分析，出现这一趋势的主要原因是：1-3月某头部接码平台对接的黑产持续上传大量新的接码手机号，使得该时间段内的新增作恶手机号数量持续上升；4-6月该头部接码平台遭遇持续性DDos攻击而无法正常运营，导致该时间段内的作恶手机号数量持续下降。 12（2）2023年猫池卡归属最多的三个省份为：江苏、山东、河南威胁猎人情报专家对2023年捕获到的国内猫池卡进行统计分析，发现江苏、山东、河南三省为猫池卡归属地最多的三个省份；针对归属城市分析发现，南京、上海、北京三城市为猫池卡归属地最多的城市。（3）2023年捕获的猫池卡中，归属国内三大运营商的占41.78%2023年威胁猎人威胁情报运营平台捕获猫池卡618万张，其中归属国内三大运营商的猫池卡占比41.78%，归属其他运营商的占比58.2%。 132.1.22023年拦截卡资源变化趋势（1）2023年国内拦截卡数量达38.9万，并于3月出现大幅上升2023年，威胁猎人最新捕获拦截卡达38.9万，并于3月捕获到大量新增拦截卡，经过持续监测分析发现，其主要原因是：2023年3月出现一个新的拦截卡接码平台，导致3月新增拦截卡数量大幅上升。（2）2023年拦截卡归属最多的三个省份为：广西、山东、江苏威胁猎人安全研究员对2023年捕获到的国内拦截卡进行统计分析，发现广西、山东、江苏三省为拦截卡归属地最多的三个省份，与猫池卡归属省份存在一定的重合；针对归属城市分析发现，南京、贵港、南宁三城市为拦截卡归属地最多的城市。 14（3）2023年捕获的拦截卡中，归属国内三大运营商的占98.48%2023年威胁猎人威胁情报运营平台捕获拦截卡87万张，归属国内三大运营商的拦截卡占比达98.48%，归属其他运营商占比1.52%。值得注意的是，2023年威胁情报运营平台捕获到的192号段黑手机卡数量达到87.8万，黑产大量使用192号段的黑手机卡进行作恶。从192号段黑手机卡数量的变化趋势来看，7月、8月及10月出现大幅增长。 15经威胁猎人情报专家分析，7月、8月及10月新增量较大的主要原因是：自第三季度开始，有4个供应渠道进一步增大192号段手机卡的投入规模，使得第三季度新增量进一步增加。10月，部分黑产开始将目光投向非头部互联网平台并展开攻击，直到11月这些平台开始察觉到攻击情况并对其进行风控，192号段的新增量开始逐渐下降。2.1.3发卡平台成为黑产投放高价值接码手机卡的主流渠道之一从威胁猎人威胁情报运营平台捕获的数据来看，提供接码服务的发卡平台及发卡店铺数量呈明显上升趋势，同时通过发卡平台捕获到的接码手机号也呈现出明显上升趋势，由此可见，“发卡平台”成为黑产投放高价值接码手机卡的主流渠道之一。高质量接码手机号：手机号入网时间短，在网状态正常，绝大多数都是黑产卡商通过特定渠道及技术新开的实体手机卡。黑产多利用此类手机号对热门APP业务进行攻击并实现获利，如热门的视频APP、互联网社交APP或电商APP的注册和换绑业务。 16（1）2023年每月捕获的涉及接码的发卡平台及发卡店铺数量持续上升自2023年1月起，每月捕获的涉及接码的发卡平台数量持续上升，截至2023年12月，活跃发卡平台达到28个。在这些发卡平台中，直接向黑产提供手机号接码服务的发卡店铺数量亦也出现大幅度上升，2023年12月，威胁猎人共捕获该类店铺322家。（2）2023年通过发卡店铺每月捕获的高价值接码手机号数量持续走高自2023年1月起，威胁猎人通过发卡店铺捕获到用于作恶的接码手机号数量出现大幅上升。2023年12月，威胁猎人共捕获作恶手机号12.9万个。 17威胁猎人安全研究员发现：“黑灰产手机号接码服务愈发成熟，已呈现出明显分工趋势”。例如手机卡商提供黑卡物料，代理商汇集多个卡商渠道，通过在发卡平台开设店铺的形式为黑产提供隐蔽的接码服务。2.22023年风险IP资