2024年互联网黑灰产趋势年度总结

2024年互联网黑灰产趋势年度总结 关于威胁猎人 威胁猎人ThreatHunter（深圳永安在线科技有限公司）成立于2017年，以黑灰产情报能力和反欺诈技术为核心，专注于及时、精准、有效的业务欺诈风险的发现和响应。 公司围绕不同行业在数字化发展过程中面临的业务欺诈、数据泄露、钓鱼仿冒、API攻击等风险场景，提供成熟多样的产品与服务，并多次入选Gartner技术成熟度曲线报告、IDC威胁情报领域代表厂商。 公司总部在深圳，在北京、上海、重庆、新加坡等地设有分公司，并在深圳和重庆两地建立数字风险应急响应中心（DRRC），为客户提供7*24小时全天候数字风险应急响应和及时、优质的服务支持。截至目前，公司已为金融、政务、物流、互联网、科技、零售等行业的300多家客户提供安全服务，覆盖85%头部互联网企业，每年帮助客户减少数十亿资金损失。 前言 2024年，互联网黑灰产攻击依旧严峻。不管是在黑灰产团伙规模，还是攻击资源、攻击技术的应用以及攻击场景的演变，均出现了较大的变化。 在攻击资源方面，2024年威胁猎人捕获全球新增作恶手机号1600多万例，日活跃作恶IP1170万例，较2023年大幅提升。为躲避风控监测，黑灰产不断升级技术寻找更加隐蔽的攻击资源，如通过在正常用户设备植入木马将其IP作为攻击资源、“商户洗钱”产业链快速发展等。 在攻击技术方面，2024年黑产团伙对通用技术的应用也有新的发展，如滥用“子母机”绕过身份认证、利用“NFC远程传输软件”进行境外洗钱、定制化云手机系统提升攻击效率等等。 在攻击场景方面，线上业务欺诈、金融贷款欺诈、品牌广告欺诈、API攻击、钓鱼仿冒、数据泄露、电信网络诈骗等场景热度持续高涨。线上业务欺诈已进入深水区，全行业、全业务环节无差别攻击；“王星事件”更是进一步提升了公众对电信网络诈骗的关注度。 威胁猎人发布《2024年互联网黑色产业链研究报告》，基于对2024年互联网黑色产业链的深入研究，从2024年黑灰产攻击资源、攻击技术、攻击场景等维度进行分析，客观呈现2024年互联网黑灰产的整体发展态势，旨在从情报维度帮助各行各业企业提升对黑灰产的认知，从而进一步完善风控策略。 目录 关于威胁猎人............................................................................................................................................................2 前言.............................................................................................................................................................................3 一、2024年互联网黑灰产攻击资源分析............................................................................................................6 1.12024年作恶手机号资源分析.................................................................................................................61.22024年作恶IP资源分析.....................................................................................................................161.32024年网络洗钱资源分析...................................................................................................................221.42024年风险邮箱资源分析...................................................................................................................32 二、2024年互联网黑灰产通用型攻击技术分析.............................................................................................34 2.1身份绕过技术演化：黑产利用“子母机”绕过认证，无资质人员也可平台接单....................342.2黑产利用“NFC”远程传输软件进行境外洗钱，达到转移违法资金的目的.............................362.3定制化云手机系统，进一步提升黑产攻击效率...............................................................................38 3.1线上业务欺诈场景.................................................................................................................................413.2金融贷款欺诈场景.................................................................................................................................513.3品牌广告欺诈场景...............................................................................................................................603.4API攻击场景...........................................................................................................................................633.5钓鱼仿冒场景.........................................................................................................................................663.6数据泄露场景.........................................................................................................................................693.7电信网络诈骗场景.................................................................................................................................76 写在最后..................................................................................................................................................................80 01 2024年互联网黑灰产攻击资源分析 一、2024年互联网黑灰产攻击资源分析 1.12024年作恶手机号资源分析 1.1.12024国内作恶手机号新增数量超800万，较2023年提升30% 据威胁猎人情报数据显示，近年来国内作恶手机号数量持续上涨，2024年新增量级超800万，较2023年增长30%。 作恶手机号资源中，“猫池卡”和“拦截卡”占比最高，下文1.1.2和1.1.3将重点分析2024年“猫池卡”和“拦截卡”资源的变化情况。 1.1.22024年「猫池卡」资源分析 （1）2024年国内新增猫池卡615万，较2023年增加4.86% 据威胁猎人情报数据显示，2024年国内新增猫池卡615万个，较2023年上升4.86%。 猫池卡：指通过“猫池”网络通信硬件实现同时多个号码通话、群发短信等功能的作恶手机卡。 从2024年国内猫池卡数量的变化趋势来看，2月、6月到9月期间，新增国内猫池手机卡数量呈现下滑趋势。 经威胁猎人情报专家分析，出现这一趋势的主要原因是： 1、2月因春节期间黑产交易放缓，攻击者活跃度降低导致数量显著下降，节后恢复稳步上涨趋势； 2、6-9月期间，由于监管机构加强打击，多个发卡平台被关停，部分卡商被捕，造成供应减少，导致新增猫池卡数量下降。 （2）2024年国内新增猫池卡归属省份TOP3：上海、北京、辽宁 威胁猎人情报数据统计显示，2024年国内新增猫池卡归属地省份（含直辖市）主要集中在上海、北京、和辽宁省。 其中，归属地在上海的猫池卡数量同比2023年增长了87.86%。威胁猎人关注到，今年上海的猫池卡在全年各月均保持较高数量，活跃在发卡平台的头部卡商今年也持续提供上海猫池卡。 通过对上海今年新增的猫池卡来源渠道分析，发现来自发卡平台的猫池卡数量占比超过一半： 2024年国内新增猫池卡归属地TOP10对比2023年变化情况如下： 【关注】2024年归属地为中国香港的作恶手机号持续增长，全年捕获78.25万例 值得关注的是，威胁猎人情报数据显示，自2024年3月起，归属地为中国香港的风险手机卡交易数量大幅增长，9月份达到峰值。 由于下游诈骗黑产需求旺盛，中国香港手机号因可注册国内外应用、成本低、可用时间长等特点，仍被黑产大量需求。 对比其他境内手机卡，中国香港手机卡具备如下特点： 1、注册范围广：香港手机卡注册范围广，可注册Telegram、WhatsApp等海内外应用； 2、在线使用时间长：香港手机卡接码服务的在线使用时间相对其他境内卡更长，一般可保证一个月重复使用，而其他境内手机卡一般为数日； 3、价格较低：香港手机卡的价格相对其他境内卡接码价格更低； 4、支持多种接码形式：香港卡支持多种接码形式，目前威胁猎人在接码平台、发卡网站、私域接码均发现了香港相关手机卡的作恶记录。 （3）2024年国内新增猫池卡归属为三大运营商的占比为76.42%，比去年提升14.51% 威胁猎人情报数据显示，今年国内新增猫池卡的归属运营商主要为基础运营商，占比高达76.42%，相比去年提升了14.51%。 威胁猎人情报人员通过调研发现，今年三大运营商占比提升，主要是很多企业进一步提升对虚拟运营商手机卡的风险控制，导致黑产对国内三大运营商的手机卡资源需求增加。 （4）【关注】2024年猫池卡发卡平台数量增加了39.37%，但平台生存周期缩短 威胁猎人持续监控黑灰产作恶资源来源渠道变化趋势，发现作为猫池卡主要贡献渠道的发卡平台在2024年数量大幅增加，但生存周期缩短： 2024年新出现了171个猫池卡发卡平台，同步2023年增长39