【黑產大數據】2025年上半年互聯網黑灰產趨勢年度總結
2025年上半年,互聯網黑灰產攻擊持續演化,呈現出更隱蔽、更智能、更產業化的趨勢。黑灰產從業人員數量繼續增長,攻擊資源、技術與作案場景全面升級。整體來看,2025年上半年黑灰產行業發生的幾大事件,也時刻印證了黑灰產市場的核心規律——黑產永不眠,當主要交易平臺被打擊時,黑產及其作惡需求會迅速遷移至現有或新興替代渠道。
在攻擊資源方面,威脅獵人捕獲日均活躍風險IP達1382萬例,環比上升15.02%,“劫持共用代理”IP攻擊更加猖獗,計費模式更多元;黑卡渠道受監管打擊後收縮明顯,同時新型“鏈接接碼”方式興起,提升攻擊隱蔽性;洗錢銀行卡環比上漲28.60%,其中涉賭卡佔比70.25%,環比上漲141%,與賭博平臺新型充值方式“掛單充值”相關;洗錢對公賬戶環比下降40%,黑產目標逐漸從六大行轉向城商行和農信社;商戶洗錢數量上漲,行業集中於終端零售業、批發零售業、餐飲業。
在攻擊技術方面,AI能力被黑產深度濫用,分鐘級AI換臉、語音克隆已廣泛應用於電詐與認證繞過場景,顯著提升攻擊效率與欺騙性。與此同時,“拉碼工具”等洗錢技術工具流入黑產交易鏈,可直接將黑錢轉入正規平臺交易路徑中進行清洗。
在攻擊場景方面,營銷欺詐、金融欺詐、電信詐騙、釣魚仿冒、數據泄露、API攻擊等典型場景依舊高發,攻擊模式由單點操作向鏈式協同演進。整體來看,黑灰產已滲透至各行業業務鏈條,作案模式不斷翻新,威脅持續擴大,防禦體系亟需系統性升級。
面對不斷演進的黑灰產威脅,威脅獵人發佈《2025年上半年互聯網黑灰產研究報告》,基於平臺捕獲的海量風險數據和典型案例分析,從攻擊資源、技術演化、重點場景等維度全景呈現當前黑產發展態勢,旨在爲各行業風控建設提供實戰情報支持,助力提升對新型黑產的洞察力與防禦力。
報告目錄
一、2025年上半年互聯網黑灰產攻擊資源分析
二、2025年上半年互聯網黑灰產通用型攻擊技術分析
三、2025年上半年互聯網黑灰產攻擊場景分析
一、2025年上半年互聯網黑灰產攻擊資源分析
1.1 2025年上半年作惡手機號資源分析
1.1.1 2025年上半年新增國內風險手機號總量較2024年下半年環比下降26.16%
2025年上半年,威脅獵人監測發現新增國內風險手機號總量出現下滑趨勢,新增數量爲226萬,較2024年下半年環比下降26.16%。
1.1.2 2025年上半年貓池卡資源變化趨勢
(1)2025年上半年國內貓池卡較2024年下半年減少26.16%
據威脅獵人情報平臺數據顯示,2025年上半年捕獲新增貓池卡226萬例,較2024年下半年環比下降26.16%
貓池卡:指通過“貓池”網絡通信硬件實現同時多個號碼通話、羣發短信等功能的作惡手機卡。
經威脅獵人情報專家分析,出現這一趨勢的主要原因是:
1、1月及2月因農曆春節期間黑產交易放緩,下游作惡者活躍度降低導致供應量顯著下降,節後恢復穩步上漲趨勢;這一現象爲黑灰產業的年度週期性規律。
2、2025 年上半年貓池卡數量在 5-6 月呈下降趨勢,主要原因爲上游黑卡卡商供給收縮,2025年4月底起,供卡源遭受監管打擊,卡商停止供卡,導致2025年上半年整體數據量下降,詳細見2.1.3。
(2)2025年上半年新增貓池卡歸屬最多的三個省份爲:上海、重慶、廣東
威脅獵人對2025年上半年新增國內貓池卡進行統計分析,發現上海、重慶、廣東三省(含直轄市)爲貓池卡歸屬地最多的三個省份。
(3)2025年上半年新增貓池卡歸屬最多的三個城市爲:上海、重慶、長沙
威脅獵人對2025年上半年新增國內貓池卡進行統計分析,發現上海、重慶、長沙三地爲貓池卡歸屬地最多的三個城市。
(4)2025年上半年捕獲的新增貓池卡中,歸屬國內三大運營商的佔66.51%
2025年上半年監測到新增貓池卡226萬例,其中歸屬國內三大運營商的貓池卡佔比66.51%,廣電運營商佔比10.4%,歸屬虛擬運營商的佔比23.09%。
1.1.3 2025年國內攔截手機卡資源變化趨勢
攔截卡:黑產通過病毒木馬劫持手機短信收發權限,從而控制的手機號碼,號碼主人爲正常用戶。
(1)2025年上半年國內攔截卡較2024年下半年減少83.51%
據威脅獵人情報平臺數據顯示,2025年上半年,威脅獵人捕獲新增攔截卡達15.5萬,較2024年下半年減少83.51%。
對黑灰產攔截卡供給情況的進一步分析顯示:
2024 年下半年至 2025 年上半年,主流攔截卡平臺持續受到監管力量打擊,導致供卡側規模大幅下降。
1-4 月期間,原本活躍的 6 個攔截卡平臺(供卡渠道)中,僅剩餘 2 個處於半停滯狀態;而 5 月下旬,監測發現新增 4 個供卡渠道,此前處於半停滯狀態的 2 個供卡渠道,黑產更換了域名、接碼工具後恢復活躍。
截止25年上半年,現存6大活躍供卡渠道,但上述平臺的號碼供給量級和質量均呈現不穩定波動狀態。
(2)2025年上半年攔截卡歸屬最多的三個省份爲:山東、河南、四川
針對2025年上半年捕獲到的國內攔截卡統計分析發現,山東、河南、四川三省爲攔截卡歸屬地最多的三個省份。
(3)2025年上半年新增攔截卡歸屬最多的三個城市爲:重慶、菏澤、臨沂
威脅獵人對2025年上半年新增國內攔截卡進行統計分析,發現重慶、菏澤、臨沂三地爲攔截卡歸屬地最多的三個城市。
(4)2025年上半年捕獲的新增攔截卡中,歸屬國內三大運營商的佔98.86%
2025年上半年威脅獵人情報運營平臺捕獲新增攔截卡達15.5萬張,歸屬國內三大運營商的攔截卡佔比達98.86%。
1.1.4 監管打擊供卡源:上游供卡源波動影響黑產作惡全鏈條
(1)頭部供卡源上海卡商監管重創,國內貓池卡上半年銳減
威脅獵人監控數據分析,上海卡商近年躍升爲貓池卡供應的頭部卡源。
2024年以來,提供號碼歸屬爲上海市的貓池卡卡商持續高度活躍,2024年新增上海貓池卡佔全年新增總量的11.77%;
2025年1到4月期間仍保持上升趨勢,於4 月達到峰值,當月新增國內新增貓池卡中 24.93% 來自上海。
2025年5月監管打擊行動中,上海卡商首當其衝受創,該卡源5月份新增佔比全國的比重迅速下滑至月均佔比8.29%。這也是上半年國內貓池卡出現大幅下降的主要原因。
上海新增黑卡數量監管打擊期間大幅下降,導致全國貓池卡整體數量下滑,在下圖可見,上海新增黑卡數量在5月出現銳減並在本年度首次低於廣東、重慶黑卡,該格局目前仍保持。
2025年上半年黑卡產業鏈監管打擊時間線如下,上游上海、重慶卡商相繼遭受打擊。
(2)上游供卡源的波動傳導至黑產中游環節
作爲黑產中游環節的髮卡平臺和接碼平臺,2025年5月到6月期間頻繁出現遷址、關停維護或註銷等情況,這進一步阻斷下游黑卡供給鏈路。
以長期監控的黑產主流髮卡平臺團伙A爲例,短期頻繁更改使用的域名8次以上,域名存活週期縮短到15到21天不等,供卡數量亦呈現下滑趨勢,從115萬降至6月底35萬。
而作爲黑灰產主要作惡渠道之一的羣接碼渠道,觀察捕獲的接碼短信記錄亦呈現下降趨勢——2025 年 5 月至 6 月捕獲的短信記錄數量,較同年 3 月至 4 月下降了 556 萬例,環比降幅約爲 7.26%。
以黑產作惡重點目標 “數字人民幣” 接碼爲例,其作惡短信數量變化趨勢,便是這一影響的典型例證。
1.1.5 鏈接接碼:黑灰產新型接碼方式興起
2025年上半年,被稱爲“鏈接接碼”的新型接碼方式在髮卡渠道興起,黑產當前主要用於北美地區和中國香港地區的接碼服務。
截止6月份,已監控146萬餘條交易記錄,涉鏈接接碼相關域名140個,每週新增約8個分銷商獨立域名。
“鏈接接碼”的顯著特徵爲“一對一”的模式,具體而言,下游黑產用戶購買某個項目後會分配到一個專用接碼手機號,並通過獨佔鏈接接收該項目的短信驗證碼。每個惡意手機號僅服務單一項目,每個鏈接僅展示對應項目的驗證碼。鏈接接碼流程如下:
相較於傳統接碼方式,鏈接接碼具備更高的隱私性與反溯源能力,其有效規避了傳統接碼中常見的三類風險:
一是養號成果被竊取——傳統接碼通常共享對接碼或轉碼房間,導致號碼明文或掩碼被其他黑產讀取,已養成的惡意賬戶被劫持;
二是資源衝突問題——同一號碼在多個黑產項目中重複使用,造成數據污染,需額外過濾流程。
三是監管溯源追蹤——卡商通常將鏈接接碼使用的接碼域名設置爲不同於黑產平臺的域名,或出售給分銷商使用獨立域名,難以通過域名溯源到黑產平臺。
1.2 2025年上半年作惡IP資源分析
1.2.1 2025年上半年日均活躍風險IP總量較2024年下半年環比增長15.02%
2025年上半年,威脅獵人監測發現日均活躍風險IP數量持續上升,風險IP數量達到1382萬,較2024年下半年增長15.02%。
1.2.2 2025年上半年國內作惡IP資源分析
(1) 2025年上半年國內作惡IP有6096萬個,環比2024年下半年增加4.61%
(2)2025年上半年國內作惡IP歸屬省份TOP3:廣東、河南、浙江
威脅獵人情報數據統計顯示,2025年上半年國內活躍的作惡IP歸屬省份(含直轄市)主要集中在廣東省、河南省和浙江省。
(3)2025年上半年“劫持共用代理”IP攻擊佔總量50.37%,IP資源供應更穩定、計費模式更多元
威脅獵人對代理IP平臺持續監測,從2025上半年捕獲數據來看,“劫持共用代理”IP日均捕獲數量達120萬,同時從國內風險IP類型佔比來看,黑產使用劫持共用IP攻擊佔比從1月的38.80%上升至6月的63.10%,說明黑產通過植入木馬惡意使用正常用戶IP的行爲更加猖獗。
由於這類IP大部分時間是正常用戶使用,如進行點擊、充值、瀏覽等行爲,少量時間會被黑產劫持共用,出現短暫的作惡行爲,因此平臺可能會認定該用戶爲正常用戶,進而忽視其短暫的作惡行爲,給黑產可乘之機。
劫持共用代理從興起到穩定,爲滿足黑產羣體多類型的攻擊需求,收費模式從之前單一的按IP計費模式發展成適應於不同攻擊場景使用的計費模式,產品逐漸趨於成熟。
(4)2025年上半年靜態IP仍是重要作惡資源之一
威脅獵人對代理IP持續監測,針對近期黑產使用的資源情況,我們發現部分黑產仍會使用靜態長效代理IP進行作惡。從2025上半年捕獲數據來看,“長效靜態代理”IP捕獲數量達140萬。
與威脅獵人過往監控的短效動態代理IP不同的是,這類長效靜態IP地址長期不變,其特徵較爲固定和明顯,易被網站和網絡安全系統識別並與惡意活動關聯起來,且一旦被平臺檢測封禁IP,就無法繼續使用,導致黑產的攻擊行爲難以持續進行。
然而在一些不需要頻繁更換IP的作惡場景,黑產通常會使用靜態IP,主要用於如下場景:
社交平臺養號:利用長效靜態IP註冊的虛假賬號進行養號,之後發送大量的垃圾私信、評論、羣發廣告等,進行惡意營銷推廣,干擾正常用戶的社交體驗,引流到其他非法平臺或網站。
低頻爬蟲:利用長效靜態IP模仿普通用戶進行數據爬取的一種爬蟲,其在 User-agent、頻率、時間軸等特徵上與普通用戶較爲接近,進而爬取社交媒體、新聞網站、論壇等平臺上的信息。
同時我們發現,這類長效靜態代理IP的來源類型以數據中心爲主,佔比85.14%,而短效動態代理IP則主要來源於家庭寬帶。
1.2.3 2025年上半年國外作惡IP資源分析
(1)2025年上半年捕獲國外作惡IP 1.1億個,環比2024年下半年增加6.56%
(2)2025年上半年國外作惡IP歸屬國家TOP3:美國、巴西、印度
威脅獵人情報數據統計顯示,2025年上半年國外活躍的作惡IP國家主要集中在美國、巴西和印度。
威脅獵人發現不同國家的黑IP作惡資源也不盡相同,如下是國外TOP3國家的黑IP類型分佈:
1.3 2024年網絡洗錢資源分析
1.3.1 2025年上半年涉及洗錢銀行卡較2024年下半年環比上漲28.60%
涉賭卡:活躍在賭博平臺中,爲賭博平臺內收款使用的銀行卡,常被用於賭博平臺內進行充值收款行爲,關聯的資產涉及到賭博洗錢行爲。威脅獵人通過人工和自動化結合的方式,從各類賭博平臺中採集用於收款行爲的銀行卡賬號信息。
涉詐卡:在各類匿名社交黑產羣聊中,被詐騙團伙購買用於洗錢的銀行卡,常用於詐騙類黑資金轉移。威脅獵人通過自動化的方式,從各大匿名社交黑產羣聊中發送的記錄中,提取出詐騙團伙所使用的銀行卡賬號信息。
跑分二級卡:活躍在跑分平臺,用於收取洗過一遍資金的二級銀行卡。威脅獵人通過自動化的方式,從跑分平臺APP中獲取到跑分訂單中的銀行卡賬號信息。
(1)2025年上半年洗錢銀行卡中涉賭卡佔比70.25%,環比上漲141%
威脅獵人對2025年上半年捕獲到的22.28萬張參與洗錢的銀行卡進行分析,主要分爲涉賭卡、跑分二級卡和涉詐卡三種類型,其中涉賭卡佔比最大,達到70.25%。
①「2025年上半年賭博平臺掛單充值漸成規模,涉賭卡環比上漲141%」
威脅獵人觀察發現,出現涉賭銀行卡環比上漲141%這一顯著增長的核心原因是賭博平臺新型充值方式——“掛單充值”的發現和規模監控。
威脅獵人於2024年11月份首次在賭博平臺中發現此類賭資充值方式,該方式利用充值賭客與提現賭客之間的點對點充值方式,進行洗錢活動。
相比早期跑分模式,“掛單充值”無需招募專業跑分人員,直接利用賭客銀行卡即可低成本獲取大量賬號分散轉移詐騙資金。因賭客卡前期無明顯洗錢特徵(如小額高頻轉賬),極大提升了資金轉移的隱蔽性。
賭博平臺掛單充值洗錢模式,即是將賭客A的提現需求與賭客B的充值需求實時進行匹配,引導賭博資金在賭客間點對點直接流轉。讓賭客在不知情的情況下成爲洗錢通道,幫助完成贓款轉移。
②「2025年上半年最大黑產擔保“好旺”崩盤,洗錢團伙發生轉移,涉詐卡數據5月份出現短暫下降」
威脅獵人觀察發現,涉詐卡新增數量在5月出現明顯的下降,但在6月又迅速回升。
其背後原因,是美國在5月對Huione集團(匯旺)實施制裁,導致其在TG上的黑灰產擔保平臺“好旺”崩盤。這一制裁行動似乎遏制了黑產活動,實則僅造成洗錢團伙的短暫轉移,黑產迅速遷移至“土豆”、“火幣”等新興擔保平臺,洗錢活動並未受到實質性打擊。
這一變化清楚反映出,當前的打擊手段並未從根本上切斷黑產洗錢鏈條。黑產組織具備極強的適應性和轉移能力,一旦某個平臺受限,便迅速轉向其他渠道繼續運作。因此,僅依賴個別平臺的制裁難以形成持續有效的遏制力,黑產洗錢產業鏈仍在不斷演化與擴散,打擊工作面臨巨大挑戰。
(2)2025年上半年涉及洗錢的銀行卡中,六大國有銀行的洗錢卡佔比依舊是最多的,達到73%
(3)2025年上半年涉及洗錢的銀行卡中,三種類型洗錢卡排名TOP1省份均爲廣東省
威脅獵人研究發現,2025年上半年三種風險類型的洗錢銀行卡歸屬省份TOP10均涵蓋廣東、江蘇、四川,其中TOP1均爲廣東。
不過,不同類型的洗錢銀行卡TOP10省份存在差異性:
如跑分二級卡的TOP10省份中,福建和江西是獨有省份;而涉詐卡的TOP10省份中,山東是獨有省份。
(4)2025年上半年涉及洗錢的銀行卡中,三種類型洗錢卡排名TOP1城市均爲深圳市
威脅獵人研究發現,2025年上半年三種風險類型洗錢卡的TOP10歸屬城市均涵蓋深圳、廣州、重慶、上海、北京、東莞、成都,其中TOP1均爲深圳。
不過,不同類型的洗錢銀行卡TOP10城市存在差異性:
如跑分二級卡的TOP10城市中,晉城和南京是獨有城市;涉賭卡的TOP10城市中,銀川是獨有城市;而涉詐卡的TOP10城市中,鄭州和西安是獨有城市。
(5)2025年上半年涉及洗錢的銀行卡中,活躍週期在“一天以內”的佔比,基本維持在70%左右
威脅獵人分析發現,洗錢卡活躍時間依舊呈現短期化特徵。2025年上半年單日活躍卡佔70%,長期活躍卡(180天以上)佔比則低於1%。
1.3.2 2025年上半年對公洗錢賬戶資源變化分析
洗錢對公賬戶:對公賬戶指以公司名義在銀行開立的賬戶,洗錢對公賬戶指被黑產用於非法資金清洗的銀行對公賬戶,因對公賬戶具有收款額度大、轉賬次數多等特點,使得“對公賬戶”常常作爲黑錢轉賬的集中點及發散點。
(1)2025上半年新增洗錢對公賬戶環比下降40%
2025年上半年,威脅獵人監測數據顯示,洗錢對公賬戶新增數量環比下降40%,分析發現導致量級下降的因素主要有三個:
1、提供洗錢對公賬戶的洗錢團伙數量在減少,2025年上半年,提供對公賬戶的洗錢團伙數量環比下降了18%。
2、對公洗錢需求在每年年初都會短暫的下降,根據對洗錢黑產團伙研究發現,黑產每年在接近春節前的1-2個月對公洗錢的需求都會減少,對應的提供對公賬戶的黑產提供對公賬戶數量也在減少。
3、5月份美國對Huione集團(匯旺)實施制裁,導致其在TG上的黑灰產擔保平臺“好旺”崩盤,活躍在TG上的對公洗錢黑產團伙在5月份之後又進一步下降26.25%。
(2)2025年上半年涉及洗錢的對公賬戶中,黑產目標逐漸從六大行轉向城商行和農信社
威脅獵人近兩年數據顯示,涉洗錢對公賬戶的歸屬銀行發生了顯著變化。
2023年下半年至2025年上半年,六大國有銀行的洗錢對公賬戶佔比從36%下降至20%,與此同時,城市商業銀行和農村信用社的佔比則呈現持續上升趨勢,城市商業銀行從23%增至34%,農村信用社也從7%升至18%。
這一現象明確揭示了黑產洗錢活動正在將目標從監管更爲嚴格、獲取成本更高的六大國有銀行,逐步轉向城市商業銀行和農村信用社。
這或側面反映出,相比國有大行,城市商業銀行和農村信用社的對公賬戶獲取門檻相對較低,且在洗錢風險管控方面可能存在一定的薄弱環節。
(3)2025年上半年涉及的洗錢的對公賬戶中,TOP3省份是廣東、山東、江蘇
(4)2025年上半年涉及洗錢的對公賬戶中,TOP3城市是北京、廣州、深圳
(5)2025年上半年涉及洗錢的對公賬戶中,TOP3行業是批發零售業、終端零售業、商務服務業
威脅獵人近兩年數據顯示,涉及洗錢的對公賬戶中,TOP10的所屬行業均未發生變化,且渠道批發業長期位於榜首,這表明此類行業的對公賬戶更容易被黑產用來洗錢。
1.3.3 2025上半年參與洗錢的商戶資源變化分析
“商戶”通常指具有合法營業資格的商戶及商戶賬號。近年來,詐騙或洗錢團伙開始利用商戶賬戶收取“黑錢”來洗錢,使用商家資質開通的收款賬戶基本沒有收款額度限制,可支持花唄、信用卡等多種付款方式,相比傳統洗錢方式會更隱蔽和高效
(1)商戶洗錢團伙活躍數量持續上升,被黑產用來洗錢的商戶數量環比上漲43%
2025年上半年,用於洗錢的商戶賬戶數量環比上漲43%,呈現出快速增長態勢。這一顯著增長背後的主要推手是黑產獲取商戶的成本及門檻較低,以及商戶交易特徵與洗錢交易特徵相似。
一方面,黑產通過僞造材料、資質交易、代辦開戶等非法手段,以極低成本繞過審覈。一旦得手,這些賬戶便會大量出售或租賃給到洗錢團伙。
另一方面,商戶本身具備高頻交易、大額資金流動以及支持多種支付方式的特徵,爲非法資金的流轉和掩護提供了天然通道。這種“易獲取、高適配”的特性,使商戶成爲黑產洗錢鏈條中的重要節點。
威脅獵人監測數據顯示,2025年上半年,活躍的商戶洗錢黑產團伙數量環比增長了60%。
這一數據反映出商戶洗錢風險擴張,該模式正在向組織化、規模化方向演變,進一步表明商戶洗錢模式對反洗錢工作的挑戰性。
(2)2025年上半年涉及洗錢的商戶中,TOP3省份是廣東、浙江、湖北
(3)2025年上半年涉及洗錢的商戶中,TOP3城市是廣州、武漢、昆明
(4)2025年上半年涉及洗錢的商戶中,TOP3行業是終端零售業、批發零售業、餐飲業
1.4 2025年上半年風險郵箱資源分析
2025年上半年,威脅獵人識別郵箱域名數量11.68萬個,其中高風險臨時郵箱佔比最大,達到79.03%。
2025年上半年,高風險臨時郵箱域名數量環比上漲14倍。威脅獵人通過郵件服務器反查技術,加強了對共用同一個郵件服務器的臨時郵箱域名羣組的監控能力,捕獲未被完全覆蓋的、屬於同一批臨時郵箱服務商的衍生域名,極大地拓寬了風險郵箱的監測範圍。
二、2025年上半年黑產通用型攻擊技術分析
2.1 AI技術助力黑產實現分鐘級攻擊
“媽,8000元不夠,給我轉1.5萬元吧。”一位母親正和女兒視頻聊天,聽着在外地上學的女兒在視頻裡撒嬌抱怨“生活費不夠用了”,她心疼不已打算立刻給孩子轉賬。就在這時,家門打開了,她的“真女兒”走了進來。而另一頭,視頻裡的“假女兒”還在央求媽媽“給生活費”。
這是一則AI反詐視頻。在這條反詐視頻評論區中,不少網友反映自己也有過類似的被騙經歷,“騙子來電,聲音容貌和我家人一模一樣”。
在上述的例子中,詐騙分子使用了實時換臉+語音克隆的技術實施了詐騙。實時換臉技術爲詐騙分子假扮受害者親人提供了第一道便利,而語音克隆技術則爲詐騙分子取信受害者親人打上了第二道保險,讓詐騙分子能最大限度的取信受害者親人,從而實施詐騙。
得益於AI技術的發展,黑產也逐漸將AI技術應用到其攻擊中。這在一定程度上降低了黑產的攻擊門檻,提升了黑產的攻擊效率,提高了黑產的攻擊質量;這也導致受害者在面對黑產的攻擊時防不勝防。
2.1.1 AI換臉技術進化-藉助少量圖片實現分鐘級AI換臉
在2023年,威脅獵人展示了黑灰產基於視頻進行AI換臉的攻擊技術;而經過兩年時間的技術發展,基於圖片進行AI實時換臉的攻擊技術也逐漸成熟,並開始被黑產用於攻擊中。
(1)新舊技術對比
通過對比不同時期的攻擊技術,可以知道:
① 新技術在素材要求更低、訓練時長更短的作惡優勢;
② 換臉效果存在受限條件,需要臉型相近,相近程度直接影響成功率。
(2)新技術演示
通過對比不同時期的過程十分簡單:首先從公開渠道,獲取目標人物2-3張圖片;隨後直接用換臉軟件加載圖片,實現實時換臉。
(3)風險
AI換臉技術的發展,使得攻擊者實施攻擊所需的素材越發簡單、速度越發快速。以app的人臉認證繞過場景、電信詐騙場景爲例,這導致攻擊者能在更短的時間內實施攻擊,留給受害者思考的時間也越來越短;往往在受害者還未反應過來的時候,攻擊者便已發動攻擊,讓受害者防不勝防。
2.1.2 語音克隆技術-基於10秒音頻克隆聲音
得益於技術的發展,除了上面提及的AI換臉技術外,基於少量音頻實現的語音克隆技術也變得成熟,並被黑產用於攻擊中。
(1)技術演示
以受害者一段10秒的音頻作爲克隆樣本,在短短的10幾秒內即可完成克隆,並能以受害者的語音進行任意內容的輸出。
(2)風險
與AI換臉不同,語音克隆往往被用於電信詐騙場景中。常見的如電話詐騙、視頻會議詐騙等詐騙場景中,都可能會使用到語音克隆技術。語音克隆技術的發展,必然會使得攻擊者的攻擊越發逼真、越發迅速。
2.2 拉碼工具-抓取平臺支付訂單鏈接進行洗錢
(1)工具信息
威脅獵人於2025年4月捕獲到黑產洗錢常用的拉碼工具。該工具功能爲抓取電商平臺、支付平臺生成的支付訂單鏈接,並將鏈接轉化爲二維碼供其同夥掃碼使用。
該工具的信息如下:
(2)工具流程介紹
該類工具利用抓包技術,抓取支付訂單鏈接,供黑產在洗錢過程中支付使用。具體運行流程如下:
1、手機端設置VPN端口轉發
2、電腦端開啓軟件,監聽手機端轉發的信息
3、手機端在軟件中選擇商品下單,電腦端會彈出收款二維碼
4、利用其他手機掃碼付款即可。
經調研,該類工具常被用於黑產代付、洗錢、刷單詐騙等場景;
以下文電詐團伙A尋找洗錢團伙B進行洗錢爲例,在洗錢流程中,洗錢團伙通過拉碼工具,將正規平臺的支付訂單裹挾到洗錢流程中,使得黑錢直接流向的正規平臺中,使得洗錢流程波及的範圍更大,追查難度亦更高。
洗錢團伙B提供的服務及主要流程如下:
1、電詐團伙詐騙得到2萬元,尋找洗錢團伙進行洗錢;
2、洗錢團伙創建社交羣聊並持續運營,以優惠購買商品爲噱頭,吸引正常用戶;
3、正常用戶A購買電腦設備,原需2萬;現在羣聊中購買,只需1.9萬;
4、洗錢團伙將2萬元的洗錢需求與正常用戶的2萬元購買需求相匹配,讓洗錢團伙用詐騙來的2萬元支付正常用戶的購買訂單;這個過程中,電詐團伙正是藉助洗錢團伙通過拉碼軟件生成的二維碼或鏈接,完成正常用戶2萬元商品訂單的支付。
5、正常用戶A向洗錢團伙轉賬購買費用1.9萬,洗錢團伙再扣除4千元的洗錢服務費後,把餘下1.5萬元以等價的虛擬貨幣轉給電詐團伙;
三、2025年上半年黑產攻擊場景分析
3.1 營銷欺詐場景分析
2025年上半年,威脅獵人系統共捕獲營銷活動攻擊情報5.8億條,環比2024年下半年(4.6億條)增長超26%,呈現持續高壓態勢。
2025年1月起攻擊量明顯攀升,1-3月線報量從6800萬級別上升至9600萬+,5月線報量飆升至1.37億條,爲半年峰值,大量黑灰產藉助五一促銷節點、品牌618預熱期集中投放營銷詐騙內容。
2025年上半年威脅獵人共計預警同步風險事件1510個,從行業分佈來看,電商行業仍是風險最爲集中領域,佔比高達 27.55%,其次爲本地生活(11.99%)、銀行(9.07%)、興趣社交(8.82%)、在線票務(7.88%)等行業,整體呈現以下特徵:
平臺屬性強的行業風險更高:如電商、生活服務、票務等行業,由於其依賴用戶活躍、訂單交易和營銷活動,成爲黑產重點目標;
資金交互頻繁的行業同樣高發:如銀行、消費金融、支付類行業,風險關注點更偏向於營銷引流下的轉化路徑篡改、薅羊毛行爲;
根據威脅獵人平臺監測數據,2025年上半年平均每月捕獲涉及營銷活動的黑產作惡羣組約爲37.5萬個,其中 5月與6月爲半年高點,整體羣組數量相比 2024年下半年同期略有上升。
2025年上半年,威脅獵人平臺平均每月捕獲營銷欺詐相關黑灰產從業賬號超過130萬,其中 6月達到143.6萬,爲近一年新高,整體對比2024年下半年月均水平(約117萬)上漲11%。
3.1.1 黑產“嫁接”傳統地推手段至盜號欺詐
今年上半年以來,盜號風險逐漸上升,黑灰產團伙手法不斷翻新,逐漸從“技術型劫持”向“社交工程誘導”演進,最終形成“技術劫持+社交工程”的複合攻擊模式。這類被盜取的賬號經盜號黑產交易後,最終會被用於各類非法引流、詐騙等作惡用途。
威脅獵人數據顯示,2025年上半年共計捕獲11798條地推盜號風險線報,2024下半年共計捕獲該類線報6080條,環比上漲94.05%。
其中今年2月起明顯增長,表明春節期間是地推盜號行爲的高發階段;後續三個月數據回落,但整體仍處於高位,說明風險尚未解除。
(1)傳統地推方式受黑產團伙關注及利用
所謂“地推”,即“地面推廣”的簡稱,原本是企業通過擺攤、掃街、派發傳單、面對面講解等方式在線下接觸用戶、推廣產品的一種營銷方式。其核心特徵是真實接觸+現場轉化,多見於地鐵口、商圈、校園、展會等人流密集區域。
黑灰產團伙正是藉助這一形式,將傳統的線下推廣手法“嫁接”到欺詐攻擊中。通過主流社交平臺配合使用,黑產人員以“掃碼登錄”“刷單返利”“中獎領獎”等話術誘導用戶掃碼、下載 App 或交出手機,誘使其主動提交授權信息或執行敏感操作,進而獲取賬號控制權。
(2)威脅獵人識別出兩類高發盜號路徑
一類是單點式作案,由地推人員手持接碼卡,通過話術誘導用戶掃碼並實施賬號換綁,流程簡單,盜號後直接出售變現,組織結構鬆散。
另一類是鏈條化作案,由上游開發木馬工具,中游地推執行植入,下游專門負責賬號流轉和變現,分工明確、作案規模更大、隱蔽性更強。
①地推引流+賬號換綁:黑產高效盜號路徑:
黑產在與受害者當面接觸時,往往通過線下拉新活動、掃碼抽獎等方式引導受害者掃碼或交出手機,再以“輔助操作”爲名,實則快速完成賬號密碼重置和換綁手機號的操作,該類地推盜號簡易、高效。但是賬號極易掉線。
黑產可獲取其賬號短期的使用權(1-2天),因此黑產往往是提前對接好買家,獲取到賬號後便快速出售獲利
1、黑產在街頭通過地推擺攤的方式吸引用戶參與等活動(掃碼註冊領禮品、下載app等等)
2、黑產使用話術取得用戶信任,並藉機拿到手機,迅速爲該賬號設置登錄密碼(如aa123456),並使用手裡的換綁卡資源,將目標app賬號原綁定的手機號進行更換;
3、黑產使用新換綁的手機號登錄該賬號,此時系統可能觸發新設備風控:
若是需要原手機驗證碼驗證:黑產誘導受害者提供短信驗證碼
若是密碼驗證:則使用統一設置的弱密碼完成驗證;
4、確認可以正常登錄後,黑產便快速將賬號出售,並離開擺攤地點,尋找下一個人羣密集地繼續行騙
②地推引流+誘導安裝木馬 App 實現提參盜號:
黑產通過線上或線下地推,以“掃碼領獎”“參與活動”等話術誘導受害者安裝木馬 App,從而在後臺靜默提取用戶在目標 App 中的登錄憑證(如 token、cookie、session_id 等),並實時上傳至黑產服務器。該手法在業內被稱爲“提參”,即“提取參數”的簡稱,實質上是繞過傳統密碼驗證,直接複用用戶的登錄會話,實現遠程克隆登錄。
獲取憑證後,黑產可藉助上號器、模擬器等工具還原賬號使用環境,進行批量登錄、自動化操作與變現。這類賬號通常以“數據號”形式出售,具備可直接登錄、無需驗證的特點,極易被用於刷量、引流、推廣等黑產行爲。
下圖爲盜號黑產上游提供給中游地推團隊的二維碼,地推人員只需要讓用戶掃描二維碼其賬號登錄憑證便會被盜取。
下圖爲地推上游黑產使用的軟件界面,中游地推人員每成功誘騙一個用戶掃碼或者下載app,其登錄數據憑證便會傳回後端顯示在軟件裡面,黑產則可以批量導出數據進行售賣。
黑產操作鏈路詳解:
1、黑產在街頭通過“掃碼送禮”“邀請拉新得紅包”等方式,吸引路人蔘與活動。
2、地推人員在“社交誘導”下,引導用戶完成如下行爲之一:
下載帶有提參功能的木馬App(通常僞裝成活動App或優惠工具),App安裝後在後臺靜默運行,抓取目標App的登錄憑證數據;
掃碼登錄釣魚頁:地推人員出示二維碼,誘導用戶用某App掃碼登錄,通過接口監聽或緩存劫持提取其登錄憑證;
誘導提供驗證碼:謊稱需要驗證身份,誘騙用戶提供短信驗證碼,黑產後臺藉此登錄賬號並同步提取token等參數。
3、一旦成功獲取,登錄憑證數據會實時上傳至黑產後臺服務器
3.1.2 刷單團伙產業鏈升級
(1)刷單行爲的產業化演變路徑
威脅獵人監測和分析,電商刷單正經歷從“零散化”向“平臺化”“工具化”的快速演進早期刷單主要依託 QQ 羣、微信羣,以“熟人+魚塘”的模式發佈任務,個人用戶通過墊付購買商品獲得佣金返現。
這種方式高度依賴人力協調,操作繁瑣、成本高、效率低。而近年來,刷單模式已顯著升級。黑產團伙開發並銷售自助式刷單工具系統,轉至由商家主導刷單全流程的階段。
(2)刷單產業升級:從魚塘模式到商家自運營閉環
商家可通過黑產開發的刷單平臺自行選擇賬號、配置設備,並遠程控制刷單流程,實現從任務發起、下單操作到數據反饋的自主化操控。刷手不再是重要執行角色,只需要執行付款的動作,整個過程不在高度依賴人工對接,極大降低了操作門檻和對接成本,刷單效率和隱蔽性也大幅提升。
當前刷單生態已不是過去的“找幾個羣、做幾單任務”那種粗放玩法,而是從組織架構、設備資源到執行方式都完成了產業級躍遷。威脅獵人總結其演變路徑,呈現出兩大核心升級趨勢:
① 商家主導刷單,擬真度提升至“運營級別”
相比以往交由“刷單刷手”隨意操作,現如今越來越多商家開始自建刷單方案並主導執行策略。商家深諳平臺流量邏輯,知道什麼樣的用戶行爲能帶來真實流量、權重加持,因此他們會:
按照人羣畫像精準選設備;
模擬搜索、瀏覽、收藏、停留、下單、評價等全鏈條行爲;
並結合自身商品在轉化、加購率、復購等運營指標的需求,做出高度擬真的任務參數配置。
結果:刷單不再是“刷銷量”,而是“刷全指標”,幾可亂真,風控識別難度急劇上升。
下圖爲商家端刷單的軟件頁面,可根據自己的實際需求進行相應設備和平臺進行連接:
② 黑產設備體系演進:上萬真實刷手設備形成刷單調度網絡
平臺化刷單系統背後,是一張由黑產精心構建的真實設備網。平臺已對接超4萬個真實刷手的手機,通過遠控或掛機系統統一調度使用。
這些設備:
具備長期使用記錄,權重高、可信度強;
被打上行爲標籤(如地域、性別、品類偏好);
被納入刷單任務調度系統,可根據商家需求精準調用。
本質:刷單已由“人力協調”變成“算法+設備調度”,進入自動化生產階段。
下圖爲刷手開始掛機前,進行個人信息配置的軟件頁面:
③ 刷手參與模式轉變:從“全流程”到“輕參與”
在傳統刷單體系中,刷手需從接任務、瀏覽、下單、確認、評價全流程參與,時間成本高、協作複雜。而在當前平臺化模式中:
刷手僅需在系統提示時完成“付款動作”,無需理解任務全貌;
平臺系統化分配任務、自動化操作設備,刷手只需出租賬號和設備即可收益;
參與門檻降低、操作壓力減輕,吸引大量普通用戶“兼職變刷手”,爲黑產提供海量底層執行資源。
趨勢預測:隨着平臺功能日益完善、回報機制簡化,未來將有越來越多的刷手加入平臺,刷單人力逐步平臺化、泛職業化。
下圖爲刷手端的掛機頁面:
3.1.3 水軍產業從輿情干擾到商業競爭打擊
隨着黑灰產組織的不斷演進,水軍操控行爲已不再侷限於簡單的刷量操作,而是被用於商業打壓、內容控評、熱點引流等場景。任務通常通過羣組或小型衆包平臺集中發佈,涵蓋“點贊、評論、轉發、控評”等輿論操控操作,水軍按照預設要求執行任務,並提交截圖等反饋材料。整個流程隱蔽性強、響應速度快,已形成從任務發起到資金結算的完整閉環。
(1)水軍任務的接單模式與對接方式
水軍任務的分發方式已形成多元化結構,主要通過社羣渠道+衆包平臺+私密執行羣三類路徑完成。爲了保障任務的執行率與統一性,水軍組織在任務對接流程上進行了系統化設計。任務發佈者不再直接與所有水軍溝通,而是通過特定渠道,將操作要求精準傳遞給穩定的執行人羣。任務對接通常具備以下特徵:
有明確的評論話術或圖片要求;
有執行時間窗口或互動規則;
有截圖或賬號ID作爲任務反饋憑證;
有統一的回收、審覈與結算流程
(2)捕獲商業品牌水軍抹黑案例
①「私域渠道招募水軍刷差評引導輿論攻擊」
通過截獲一組聊天記錄截圖,顯示有組織方通過社羣方式招募水軍,實施定向評論攻擊國內某知名車企。任務以發佈引戰評論、複製粘貼內容刷差評爲主,通過大量賬號在特定社交平臺帖子評論區發佈統一差評內容,營造產品爭議、製造質量負面輿情,引導公衆對品牌產生質疑。
1、任務說明明確
引導話題、換電爭議、資金斷裂等關鍵詞已預設;
評論/點贊數超過100條即結算,執行門檻低;
明確“截圖回傳”作爲覈驗機制。
2、差評內容批量提供
招募方提供統一文案,要求水軍直接複製粘貼;
每條評論價格爲0.5元,按量計費;
評論中包含捏造事實、誇張指控、仿冒技術人員視角等手法,增強“真實性”。
3、執行羣內管控
禁止追問任務來源或貼主身份;
強調“話不要太多”,明顯具備信息隔離意圖;
羣內形成“單向發單+截圖結算”閉環。
②「衆包渠道招募水軍刷差評引導輿論攻擊」
根據監測發現,有黑產或營銷團伙通過衆包平臺組織水軍執行定向評論任務,意圖在短視頻平臺操控輿論、引導用戶對目標品牌或產品產生負面認知。這類任務往往以“點贊+評論”+“負面引導”爲核心操作,僱傭大量水軍在評論區展開集中發言,呈現出“真實用戶吐槽”的假象,背後卻是精心策劃的情緒操控行爲。
任務目標:進入指定視頻,發佈帶有貶損語氣的評論,引導輿論關注品牌問題(如續航差、產品虛標、售後差等)。
評論方式:首評+附評模式,即首個水軍發佈主評論,後續多個賬號進行點贊、互動和擴散。
示例話術:
“誰買誰後悔,續航虛到離譜”
“上次都快剎不住了,電池是真不行”
“質量真的不敢恭維”
3.2 金融欺詐場景分析
金融欺詐場景下,金融貸款風險輿情和信貸渠道中介動態受到銀行等金融機構廣泛關注,其中潛藏的惡意貸款風險輿情更是用於識別研判信貸欺詐、進而調整風控策略的重要情報來源。
惡意貸款欺詐:指金融從業人員或黑產團伙通過虛假宣傳、僞造材料、誘導欺騙等手段,以非法牟利爲目的實施的各類違規貸款活動。其典型行爲包括:揹債、融車套現、科技提額、美容貸騙貸、債務重組、AB貸、製作假流水、徵信修復、債務優化等違規業務以謀取私利。
3.2.1 2025年上半年金融貸款惡意欺詐攻擊有增無減,依舊嚴峻
(1)金融貸款惡意欺詐輿情和黑灰產規模持續擴張
2025年上半年威脅獵人監控捕獲金融貸款風險輿情達479萬條,其中惡意貸款欺詐輿情77萬條,佔總量16%,金融貸款風險輿情較2024年下半年下降14%,惡意貸款欺詐輿情較2024年下半年增長12%。
在每月的風險輿情趨勢上,均呈現持續增長態勢。
2025年上半年威脅獵人監控活躍貸款羣組3.3萬個,其中惡意欺詐羣組1.3萬個,佔總量39%,活躍貸款羣組較2024年下半年下降4%,惡意欺詐羣組較2024年下半年增長5%。
2025年上半年威脅獵人監控捕獲活躍貸款服務賬號11.8萬個,其中提供惡意貸款服務的欺詐賬號(信貸黑中介/黑產)3.5萬個,佔總量29.6%,較2024年下半年均增長6%。
(2)2025年上半年惡意貸款主要欺詐類型TOP3:職業揹債、債務優化、徵信修復
2025年上半年數據顯示,惡意貸款主要涉及職業揹債、債務優化、徵信修復、違規提額、融車欺詐、材料造假等超過9類欺詐行爲,其中職業揹債佔比高達50%,居首位,成爲黑產核心攻擊手段;債務優化、徵信修復分別位列第二、第三位,相關代理投訴類業務依然保持較高活躍度。
注意:債務優化包含:反催收、代理維權、代理投訴、退息退費等債務處理場景。
3.2.2 職業揹債現狀風險面擴大,防禦壓力持續攀升
(1)職業揹債熱度上升、已成爲黑灰產常規主營業務
2025年上半年捕獲“揹債”相關攻擊情報呈上升趨勢,揹債熱度上升,2025年上半年較2024年下半年增長65%,職業揹債已成爲黑灰產常規主營業務,傳播面越來越大。
(2)2025年上半年揹債地區熱度TOP3省份:廣東、山東、四川
威脅獵人情報數據顯示,2025年上半年“揹債”相關的貸款欺詐,活躍熱度TOP3的省份(含直轄市)是廣東、山東、四川。
(3)2025年上半年揹債城市熱度TOP3:重慶、上海、成都
威脅獵人情報數據顯示,2025年上半年“揹債”相關的貸款欺詐,活躍熱度TOP3的城市(含直轄市)是重慶、上海、成都。
(4)職業揹債多角色產業鏈解析
當前揹債黑產鏈條已形成精密的分工體系,從資質包裝、騙貸操作到債務轉移均呈現高度專業化特徵。揹債類黑產角色主要分爲上游資源層、中游黑產、下游中介、假材料製作黑產四個角色,加上內外勾結的“內鬼”和揹債人,形成一個多方參與且分工明確、環環相扣的非法利益鏈條。
(5)企業貸成揹債最大風險點
威脅獵人針對揹債風險場景深入調研發現,房貸、信貸、車貸和企業貸呈現出差異化的風險特徵:
車貸因資產易變現、處置鏈條短,風險暴露迅速且欺詐特徵明顯;
房貸憑藉抵押物增信和處置週期長的特性,風險具有較強隱蔽性;
企業貸則因“先息後本、“無本續貸”等還款方式,風險呈現明顯滯後性,往往積累至集中爆發階段才顯現。
黑產當前的揹債搭配模式主要爲組合式搭配,如常見的房信企、房企、信企、車企、房信車企等組合模式,不同的騙貸搭配模式取決於揹債人的基本情況及黑產的渠道資源好壞。
以下是房貸、信貸、車貸、企業貸四類貸款場景中,職業揹債黑產的核心操作環節及風險特徵的專項分析,其中企業貸在揹債環節中至關重要,成爲當前職業揹債風險場景下,金融機構面臨最大風險點。
揹債環節重要性,是指某一貸款場景在黑灰產揹債鏈條中所處的功能與被利用頻率,綜合反映其對整條鏈條成敗的影響程度。重要性越高,說明該環節在鏈條中越關鍵,既可能是黑產套利的主要資金來源,也可能是資產增信關鍵點。對於金融機構來說,重要性高的貸款產品通常面臨更高的欺詐攻擊頻率與更復雜的操控路徑,反映出可被利用的業務漏洞更多,防控難度與風控壓力也更大。
3.2.3車貸欺詐風險:融車套現黑產鏈解析與區域態勢預警
(1)2025年上半年購車欺詐風險有所波動,2025年上半年比較2024年下半年下降10%
(2)2025年上半年購車欺詐風險地區TOP3:廣東、山東、河北
2025年上半年購車欺詐風險地區最高的是廣東省,且遠高於其他省份。
經深度分析,廣東省購車欺詐風險高主要源於新型融車套現模式的區域性氾濫,而這類模式在其他地區較少應用。
該模式具有兩個顯著特徵:
一是精準篩選具有真實購車資質(徵信良好、收入穩定)且存在資金需求的用戶;
二是以"重真實資質、輕包裝造假"的手法提升隱蔽性。
(3)2025年上半年購車欺詐風險城市TOP3:深圳、重慶、廣州
(4)購車欺詐黑產鏈解析
購車欺詐已形成一套分工明確、流程清晰、環環相扣的黑產運作模式。黑產從篩選目標人羣、招募客戶貸款購車、迅速變現車輛,已構建出完整的黑產操作鏈條,呈現出高度組織化與成熟化特徵。
(5)車貸黑產模式固化但風險持續高位
車貸業務中存在包括融車套現、傳銷購車、頂名車、買車包活等在內的多類風險。其中,融車套現風險構成最突出的威脅。
以下爲車貸場景各欺詐風險模式的風險表現:
3.2.4 2025年上半年房貸欺詐風險持續增長
(1)2025年上半年房貸欺詐風險持續增長,2025年上半年比2024年下半年增長63%
(2)2025年上半年房貸欺詐風險地區TOP3:山東、四川、江蘇
(3)2025年上半年房貸欺詐風險城市TOP3:重慶、上海、成都
(4)房貸欺詐風險類型
在購房欺詐風險場景中,風險集中於兩大核心欺詐類型。
其一爲購房按揭貸款欺詐,購房者以非真實居住需求購房,根本目的爲融房套現或作爲揹債增信資產;
其二爲房產抵押貸欺詐,如常見的經營性抵押貸款轉貸換貸、揹債融資等。在這兩類房貸場景中,實際申請貸款者均面臨較大資金缺口,特別是融房及揹債的用戶自身既無償還貸款的能力,也無還款的意願,風險直接轉嫁給了銀行機構,使得銀行機構直接面臨風險衝擊。
3.3 電信網絡詐騙場景分析
3.3.1 2025年上半年電信詐騙數據趨勢
2025年上半年,威脅獵人風險情報平臺監測到電信網絡詐騙相關情報51萬條,環比2024年下半年下降27.39%。
但並非電詐退潮,而是多重因素疊加導致的階段性“表象”:如各類社交、短視頻平臺打擊涉詐話術、好旺擔保等大型團伙被端、部分傳播渠道切換至加密平臺等。
與此同時,黑灰產活躍羣數量和涉詐賬號規模仍在上升,表明電詐生態正加速向更隱蔽、更垂直的方向演化。
2025年上半年,威脅獵人風險情報平臺共監測到活躍作惡社交羣組約2.9萬個,環比2024年下半年上升2.46%,月均活躍羣數穩定在約5000個。在活躍羣聊渠道中,以匿名羣聊和社交羣聊爲主要大量級用戶羣的社媒平臺,黑灰產持續依託社交平臺進行組織化作案,涵蓋推廣仿冒鏈接、分發話術包、發佈釣魚頁面等非法行爲。
2025年上半年,威脅獵人風險情報平臺監測到涉及作惡黑產4萬個賬號,環比2024年下半年上升7.61%,在持續打擊下,黑灰產通過分散化、多賬號操控等手段提升存活率,作惡行爲反而更加隱蔽高頻。
3.3.2 “無感盜刷”三重陷阱:技術引導、驗證漏洞與仿冒僞裝正在重構詐騙方式
隨着支付系統和身份驗證機制日趨智能化,黑灰產詐騙手法也在悄然升級。相比過去的“騙你點鏈接、輸密碼”,如今的不法分子更傾向於繞過你的感知與判斷,用技術流程引導你“配合完成”或“被動失控”地完成支付操作。
2025年上半年,威脅獵人風險情報平臺監測到三類典型的新型詐騙手法正在廣泛傳播,它們構成了當下“無感盜刷”的三大模式:
1.利用NFC技術實現遠程傳卡: 本質上是利用通信技術突破物理驗證場景,實現非接觸式盜刷,用戶並不知卡片信息已被“複製”。
2.企業代付騙局:利用驗證漏洞操控支付流程:利用身份驗證流程中的邏輯漏洞,繞過支付意圖確認,讓用戶在“以爲別人付款”的場景下,完成真實扣款。
3.仿冒App僞裝詐騙:本質是利用仿冒官方權威形象僞裝可信環境,誘導用戶主動交出資金或信息。
(1)濫用NFC免密,誘導“主動貼卡”,異地盜刷
2025年上半年,威脅獵人監測到多起涉及NFC盜刷的詐騙事件。犯罪分子利用“遠程傳卡”技術,誘導受害人將銀行卡貼近手機,盜取NFC數據後遠程仿真卡片,在境外或其他設備上完成盜刷,整個過程無需用戶輸入密碼,即使卡未脫離本人掌控,仍可能被盜刷。
「 典型詐騙流程:」
1、冒充銀行或金融平臺客服:詐騙者通過電話、短信、社交平臺等方式,冒充銀行風控人員,聲稱“你名下銀行卡存在異常交易”,要求立即進行安全驗證。
2、引導安裝僞裝App:受害人被要求下載一個名爲“賬戶安全助手”或“NFC驗證中心”的App。該App仿冒正規銀行界面,實則內嵌了NFC讀卡模塊和數據上傳接口。
3、誘導貼卡讀取信息:騙子指導用戶“將銀行卡貼近手機背面,配合完成芯片驗證”,實則是誘導用戶主動將卡片信息通過NFC方式上傳給詐騙團伙。
4、遠程仿真盜刷:詐騙團伙使用另一部支持NFC卡模擬的手機,在POS機上完成盜刷交易,等同於擁有一張“你本人的銀行卡”。
5、快速資金轉移:成功交易後,資金迅速被轉入多個賬戶或用於虛擬幣交易,受害人往往在數小時後才發現銀行卡被盜刷。
(2)“企業代付”被黑產濫用爲支付引流入口,平臺驗證機制成漏洞入口
“企業代付”、“公司福利”、“免費充值”……看似是好事,其實正是騙子設下的“自掏腰包”陷阱。
2025年上半年,威脅獵人監測到一類以“企業代付”爲幌子的新型詐騙正加速擴散。騙子僞裝成平臺客服、運營人員,打着企業補貼、員工福利的旗號,引導用戶進入支付流程,並藉助平臺支付驗證機制中的漏洞——如刷臉驗證、快捷支付、免密授權等環節默認觸發支付而非確認操作,最終讓用戶在未察覺自身正在執行真實支付操作的情況下完成扣款,等發現資金異常流出時,才意識到所謂“企業代付”根本不存在。
「 典型詐騙流程:」
1、福利引流,放長線釣魚:騙子在QQ羣、微信羣、短視頻評論區發佈“企業贈送會員”、“手機充值補貼”等廣告,吸引用戶添加他們的微信號或私信賬號。
2、僞裝企業代付,引導充值:騙子僞裝成客服、運營,稱“爲了匹配企業賬戶,需要你配合測試支付流程”,誘導用戶進入某支付App的“手機充值”、“優惠券領取”、“訂單付款”等頁面。
3、誘導點擊驗證,實爲觸發支付:騙子可能以“流程驗證”、“支付測試”爲由,引導你反覆輸入錯誤密碼、刷臉認證,或讓你在App中點擊“免密開通”“、快捷支付模擬”等按鈕。你以爲只是配合操作,但由於平臺驗證流程存在漏洞,這些動作實際上觸發了真實的扣款行爲,導致資金在你毫不知情的情況下被轉走。
4、無感盜刷完成轉賬:在某些支付平臺或舊版客戶端中,只要人臉識別成功、點擊動作完成,系統便會默認執行支付操作,而沒有彈窗確認或密碼環節。
5、盜刷完成,資金立刻被轉移:用戶毫無察覺地完成了支付,付款對象是騙子控制的賬戶,隨後資金被迅速轉出或通過虛擬幣平臺洗出,受害者往往在事後查看賬單才發現異常。