2025年KYC攻击风险研究报告：黑产大数据

关于威胁猎人 威胁猎人ThreatHunter（深圳永安在线科技有限公司）成立于2017年，以黑灰产情报能力和反欺诈技术为核心，专注于及时、精准、有效的业务欺诈风险的发现和响应。 公司围绕不同行业在数字化发展过程中面临的业务欺诈、数据泄露、钓鱼仿冒、API攻击等风险场景，提供成熟多样的产品与服务，并多次入选Gartner技术成熟度曲线报告、IDC威胁情报领域代表厂商。 公司总部在深圳，在北京、上海、重庆、新加坡等地设有分公司，并在深圳和重庆两地建立数字风险应急响应中心（DRRC），为客户提供7*24小时全天候数字风险应急响应和及时、优质的服务支持。截至目前，公司已为金融、政务、物流、互联网、科技、零售等行业的300多家客户提供安全服务，覆盖85%头部互联网企业，每年帮助客户减少数十亿资金损失。 目录 一、2025年KYC攻击风险态势..........................................................................................................................6 1.1KYC攻击呈现明显的金融行业聚集情况..............................................................................................61.2KYC攻击信息在暗网交流渠道上呈现上升趋势.................................................................................71.3KYC攻击行业高度成熟，并根据产业链层级分化出不同类型的KYC攻击黑产..........................81.4KYC攻击范围广泛，欧洲、南美洲、非洲、东南亚是KYC攻击最活跃的四大区域...............91.5KYC绕过物料类型中，地址证明成为黑产售卖最为频繁的KYC攻击物料...............................101.6KYC个人攻击物料价格平稳，但企业证明类物料上升波动最大..................................................12 二、2025年KYC攻击产业链............................................................................................................................14 2.1产业链综述：从“作坊式”走向“精密工业化”...........................................................................142.2、KYC攻击上游分析：物料来源的“AI化”与“定制化”..........................................................152.3、KYC攻击中游分析——技术支持....................................................................................................192.4、KYC攻击下游分析——KYC代过组织“SaaS化”运作............................................................232.5、KYC攻击变现环节分析——获利手段............................................................................................25 三、2025年KYC典型攻击案例........................................................................................................................28 3.12025年KYC产业攻击链结构.............................................................................................................283.22025年KYC产业链新型手法.............................................................................................................293.3KYC攻击在电商行业的典型案例........................................................................................................303.4KYC攻击在金融/信贷行业的典型案例..............................................................................................343.5KYC攻击在虚拟币交易所行业的典型案例.......................................................................................37 四、结语..................................................................................................................................................................41 前言 随着数字化业务的全面铺开，KYC（KnowYourCustomer，身份认证）已成为金融、虚拟资产、电商与平台型业务中最关键的信任起点，也是风控体系的“第一道关口”。 然而，近年来黑灰产正持续整合数据泄露、伪造证件、AI换脸等手段，围绕KYC认证流程形成高度成熟的攻击链条。从身份物料生产、技术绕过服务，到成品账号交易与资金变现，KYC攻击已不再是零散的个体行为，而是一门具备规模化供给、标准化流程与高ROI的黑色产业链。 威胁猎人将基于全球黑灰产情报监测数据，从攻击目标行业分布、暗网与社群活跃度、产业链分工、区域风险以及核心绕过物料等多个维度，系统还原2025年KYC攻击的整体风险态势，揭示当前身份认证体系所面临的真实压力与结构性挑战。 01 一、2025年KYC攻击风险态势 1.1KYC攻击呈现明显的金融行业聚集情况 2025年，KYC攻击目标呈现出显著的行业集中趋势，金融服务、虚拟货币/交易所以及钱包与支付工具平台合计占比超过78%，金融行业成为黑灰产最核心的攻击对象。 其中金融服务类平台被攻击的占比达36.4%，黑产攻击此类平台主要用于跨境收款洗钱等业务； 虚拟货币/交易所平台、钱包/支付工具平台被攻击的占比分别23.65%和18.31%，黑产攻击此类平台除了用于收款外，还涉及平台的营销活动作弊，如注册批量账号，自动化撸空投奖励。 此外，内容平台和电商平台也同样成为黑产攻击的目标；前者主要涉及无人直播、水军刷量，后者则是跨境电商、无货源售货等作恶场景。 1.2KYC攻击信息在暗网交流渠道上呈现上升趋势 根据威胁猎人反欺诈情报平台的监测数据统计： 2025年，KYC攻击群聊数量及黑产数量整体呈现上升趋势，这表明越来越多的黑产参与到KYC攻击中，并不断的建立群聊进行攻击经验的交流、攻击服务的宣传售卖。 1.3KYC攻击行业高度成熟，并根据产业链层级分化出不同类型的KYC攻击黑产 KYC攻击行业的发展高度完善，按照攻击产业链中的的层级，已分化出不同服务类型的社交群聊及黑产。 上游：作为黑产生态的基础设施，提供绕过KYC验证所需的技术、物料和教程。在整体黑产类型中占比高达37.33%，说明上游供给高度集中且规模化。 中游：是连接供需的关键枢纽，承担服务交付、信息共享和社区维系的作用。中游黑产提供KYC绕过服务典型为B2C/C2C服务模式，包括代做KYC、批量注册账号、协助通过人脸识别等，具有高频率、低单价、强需求的特点，在黑产交易中数量最多（占比32.32%），其活跃度极高。 下游：是黑产的最终变现环节，主要是将已完成KYC验证的账号出售给下游犯罪使用。其中，售卖已验证账号的黑产类型中占30.34%，仅次于绕过服务，这表明终端账号需求旺盛，市场已趋成熟。 1.4KYC攻击范围广泛，欧洲、南美洲、非洲、东南亚是KYC攻 击最活跃的四大区域 KYC攻击呈现明显的欧美非高频、东南亚集中的特征，攻击者正高度聚焦于金融体系成熟或黑产链条完整的地区。 根据威胁猎人反欺诈情报平台的监测数据显示： 2025年，欧洲、南美洲、非洲、东南亚是KYC攻击最活跃的四大区域（总计占比82.93%），主要原因为这几类地区金融数字化转型快、存在规模化黑产链条且从部分公开的新闻上来看，部分地区的身份验证监管存在漏洞。 1.5KYC绕过物料类型中，地址证明成为黑产售卖最为频繁的KYC攻击物料 身份证明：主要包含有护照、身份证或驾照的正反面高清扫描件/照片，是个人身份材料的基本证明。 地址证明：主要包含有水电煤账单、银行流水单或税务信件，用于辅助验证用户的真实居住地。 生物识别：主要包含有手持证件照、点头/眨眼视频或3D人脸数据，用于突破kyc认证中的活体检测认证。 完整资料：主要包含有包含证件、手持自拍、地址证明甚至个人信息的整套数据包（俗称“全套/Fullz”）。企业证明：主要包含有营业执照、税务单据、法人驾照等企业资质文件，用于通过企业账户、跨境电商店铺或对公业务的认证。 威胁猎人研究人员针对黑产售卖的KYC绕过物料进行分析，可以将其进一步细分为地址证明、身份证明、完整资料、企业证明、生物识别五种类型。 其中，“地址证明”类绕过物料的售卖最泛滥，主要原因有以下几点： 多数平台要求近3个月内的账单，而身份证长期不变，地址证明需要频繁更新、反复购买 地址证明多为水电账单或银行对账单的PDF文件或照片，模板化程度高，借助AI可低成本批量生成，导致市场供给过剩。 同时，“身份证明”类信息，作为绝大部分地区进行身份认证时所需的证明信息之一，也存在大量的售卖情况。 1.6KYC个人攻击物料价格平稳，但企业证明类物料上升波动最大 2025年，KYC攻击物料的售卖价格在呈现全面的上升趋势。 威胁猎人研究人员监测发现： 企业类证明的售卖价格最高，其主要原因为其绕过流程涉及到企业注册等相关操作，导致其绕过流程会比个人用户的KYC绕过更为复杂。 同时，与个人KYC认证相关的物料，如地址证明、身份证明、生物识别、完整资料等全年价格相对平稳，这反映了个人身份信息市场的高度饱和与工业化程度，供应源极其充足，即使在需求旺季，价格也很难产生剧烈跳动。 02 2025年KYC攻击产业链 二、2025年KYC攻击产业链 2.1产业链综述：从“作坊式”走向“精密工业化” 2025年的KYC攻击不再是个体的单打独斗，而是一个分工严密、紧密咬合的地下产业生态。这一生态已形成标准的“产-销-用”闭环： 上游负责“原材料”的规模化生产（身份物料）；中游负责核心“武器”研发（绕过技术与工具）；下游负责市场化运作（代过服务）；终端则实现流量与资金的变现。这种链条化的运作显著降低了攻击门槛，实现了身份欺诈的规