威脅獵人-2022年黑灰產業(yè)研究報告-2023.03

1目錄Contents前言...............................................................................................................................

3一、2022

年黑灰產發(fā)展現狀.....................................................................................5二、2022

年黑灰產攻擊資源分析...........................................................................12三、2022

年黑灰產攻擊技術分析...........................................................................26四、2022

年黑灰產攻擊場景分析...........................................................................35五、風險對抗思路.....................................................................................................

502前言“從業(yè)者超

200

萬，平均年齡

23

歲，市場規(guī)模高達

1100

億”這是來自中國互聯(lián)網協(xié)會關于“黑灰產市場規(guī)?！钡囊豁椊y(tǒng)計數據。在巨額利益的驅動下，黑灰產從業(yè)者瘋狂游走在監(jiān)管邊緣地帶，黑產各類攻擊資源高度市場化、模塊化，產業(yè)鏈不同層級的團伙分工明確又配合嚴密。網絡黑灰產業(yè)鏈在與各方對抗中不斷升級，不少企業(yè)被迫卷入黑灰產的漩渦。“知己知彼”才能打破攻防僵局，推動有效治理。黑灰產業(yè)鏈一直是威脅獵人重點研究的內容，威脅獵人發(fā)布《2022

年黑灰產業(yè)研究報告》（以下簡稱《報告》），客觀呈現

2022年黑灰產發(fā)展態(tài)勢，深入分析黑灰產攻擊資源、技術、場景并提出針對風險防治思路。301黑灰產發(fā)展現狀4一、2022

年黑灰產發(fā)展現狀《報告》統(tǒng)計數據顯示，2022

年國內的黑灰產業(yè)仍然非常發(fā)達，主要表現為：規(guī)模更龐大、產業(yè)鏈結構更清晰、攻擊更高效、覆蓋場景更廣泛。1.1

八億余條黑灰產相關情報，2022

年黑灰產規(guī)模依然龐大2022

年，威脅獵人情報平臺監(jiān)測到

8

億余條黑灰產相關情報，黑產規(guī)模依舊十分龐大。2022年黑灰產產業(yè)鏈整體結構可按照供需關系分為資源、服務、變現三個層級，并以此來區(qū)分產業(yè)鏈的上中下游：資源層：作為上游，把控黑灰產作惡的底層基礎資源；服務層：作為中游，整合上游資源和自身技術，為下游攻擊提供各種服務支持；變現層：作為下游，也就是實際黑產攻擊群體，對業(yè)務進行攻擊并最終實現利益變現。51.2

2022

年黑灰產從業(yè)人員規(guī)模更廣，較

2021

年增長

10%2022

年黑產從業(yè)人員規(guī)模更廣，2022

年黑灰產從業(yè)人員數量較

2021

年增長了

10%左右。1.3

受“斷卡行動”持續(xù)影響，2022

年黑產資源新增數量減少黑手機卡是十分重要的黑灰產資源。無論是營銷作弊還是刷粉刷贊等，黑產都需要囤積大量賬號，而賬號的主要來源就是黑手機卡注冊。2022

年“斷卡行動”持續(xù)升溫，黑產獲取國內傳統(tǒng)黑手機號的難度越來越大，2022

年傳統(tǒng)黑手機號增量較

2021

年下降了約

26%。6黑

IP

同樣是重要黑灰產資源之一，黑灰產利用海量黑

IP

繞過企業(yè)針對

IP

的風控，并隱藏攻擊者的真實

IP。2022

年黑

IP

資源整體變化不大，日活躍黑

IP

的數量較

2021

年增長了約

12%。7黑銀行卡是網絡賭博、色情、詐騙等違法行為洗錢的重要資源。威脅獵人情報平臺監(jiān)測發(fā)現，2022

年新增的黑銀行卡數量較

2021

年下降了約

20%，經研究推斷，主要由于

2022

年“斷卡行動”持續(xù)升溫，各銀行對于黑銀行卡的治理取得一定成效。1.4

黑產攻擊服務劃分為三大模塊：“過身份”、“多身份”、“批量化”威脅獵人針對產業(yè)鏈中游服務層進行深入研究及總結，將攻擊服務劃分為“過身份”、“多身份”、“批量化”三大模塊，其中每個模塊涉及到多種攻擊技術。8過身份：利用偽造身份、人臉等方式繞過平臺認證，可以注冊虛假賬號并正常參與平臺業(yè)務和活動；多身份：利用多開、改機、改定位等技術偽造多個“正?！痹O備，從而繞過平臺對于單身份的限制；自動化：利用自動化腳本或群控工具，批量完成注冊、登錄、點擊等業(yè)務操作。注：針對

2022

年黑灰產攻擊資源、技術的具體分析，將在第二、三章詳細講解。1.5

黑灰產作惡形勢依舊嚴峻，涉及營銷作弊、虛假刷量等6

大重點攻擊場景92022

年黑灰產規(guī)模不減，作惡情況依舊嚴重。威脅獵人圍繞營銷作弊、虛假刷量、數據泄漏等

2022

年黑灰產重點攻擊場景進行了深入研究，其中營銷作弊仍然是黑灰產最主要的攻擊場景，此外，刷量產業(yè)鏈不斷進化，新型“高級賬號”刷量悄然出現。注：更多黑灰產攻擊場景分析將在第四章詳細講解。1002黑灰產攻擊資源分析11二、2022

年黑灰產攻擊資源分析2.1

2022

年黑手機卡資源增量波動較大據威脅獵人觀察，黑灰產通過傳統(tǒng)黑手機卡、攔截卡、海外卡等方式為各風險場景作惡提供了充足的“彈藥”，體現出黑灰產極強的對抗力和生命力。2.2.1

傳統(tǒng)黑手機卡傳統(tǒng)黑手機卡指非正常實名的手機

SIM

卡，渠道多樣，有企業(yè)匿名卡、歷史物聯(lián)網卡、通信虛擬卡等等，主要特征是“在生命周期內被黑產固定持有”，即在這個期限內無論注冊哪個平臺，進行何種行為均可判斷為惡意。2022

年傳統(tǒng)黑手機卡資源供給并不穩(wěn)定，每月傳統(tǒng)黑手機卡新增數量如下圖所示：12經威脅獵人情報專家分析，增量波動較大的原因主要有兩點：1、受“斷卡行動”的持續(xù)影響，卡商難以通過營業(yè)廳內鬼等渠道批量開新卡，不少卡商只能利用舊卡開展一些新業(yè)務；2、傳統(tǒng)黑手機號卡的最主要對接渠道——接碼平臺，在

2022

年受公安打擊、平臺跑路等現實因素影響，加劇了黑卡增量的波動。面對監(jiān)管平臺的重拳出擊，黑產團伙也出現了各種應對招數：1、部分卡商發(fā)掘出新渠道進行批量開卡（如：利用云平臺號碼隱私保護服務），因此部分時間段供卡量出現增長；2、接碼平臺受多種現實因素影響，卡商逐步聚集到極少數頭部接碼平臺，這些平臺的服務器通常架設在海外，打擊難度較大；3、為了避免被輕易發(fā)現，越來越多的卡商采用私密對接的方式，2022

年私密對接的接碼方式逐漸由“群接碼”轉變?yōu)椤熬W頁接碼”。群接碼：賣家在

QQ、微信等社交軟件中組建的群組容易遭到檢測并封禁，因此需頻繁組建或更換接碼群，群接碼較不穩(wěn)定；網頁接碼：有特定黑產團伙負責開發(fā)轉碼軟件及網站，賣家可以通過軟件生成專屬鏈接，提供給買家用于接收短信內容（俗稱接碼房間），網頁接碼更加便捷和隱蔽，其原理如下：13以下是

2022

年兩種接碼方式的走勢對比，可以看出，網頁接碼的規(guī)模持續(xù)增長，而群接碼持續(xù)下降。2022

年底，網頁接碼每月接收驗證碼的數量已達到數千萬規(guī)模，而群接碼幾乎消失殆盡。142.2.2

攔截卡攔截卡主要特征是“手機號為自然人持有”，也就是“實名卡”，指在具備通信功能的移動設備上留下后門或植入木馬，攔截正常用戶手機設備收到的短信內容，利用其開展惡意行為，我們簡稱其為“攔截卡”。威脅獵人調查發(fā)現，2022

年上半年攔截卡數量極少，主要因

2022

年初攔截卡平臺集體跑路，從

2022

年

7

月份開始，陸續(xù)出現多個新的攔截卡平臺并持續(xù)活躍，因此

2022

年下半年攔截卡數量明顯增長。2.2.3

海外黑卡15海外黑卡無論是接碼平臺還是卡源都在海外，因此海外黑卡并未受到專項打擊的影響，2022全年海外黑卡數量較為穩(wěn)定，從海外黑卡的地域分布來看，主要集中在美國、加拿大、香港、東南亞等區(qū)域。2.2

2022

年黑

IP

日活量穩(wěn)定在

300

萬左右，家庭寬帶黑

IP

占比位居第一162022

年黑

IP

資源數量較為平穩(wěn)，日活躍的黑

IP

數量穩(wěn)定在

300

萬左右。威脅獵人研究員針對黑

IP

主要類型進行分析（排除掉

IP

類型未知的數據），發(fā)現家庭寬帶類型的黑

IP

占比最高，超過

85%；其次是企業(yè)專線和數據中心，占比在

6%-8%左右；而移動網絡和校園網絡等其他類型的黑

IP，占比僅

0.35%。家庭寬帶：黑產所使用的秒撥及動態(tài)代理

IP

基本屬于家庭寬帶類型，主要利用“家庭寬帶撥號每次斷線重連，會重新獲取一個新

IP”

的原理，秒撥及動態(tài)代理

IP

價格便宜、數量大、切換方便，因此成為了黑產大規(guī)模攻擊的首選黑

IP

資源。企業(yè)專線：企業(yè)專線類型的黑

IP

數量在近一兩年有所上升，部分黑

IP

資源供給方通過企業(yè)身份申請企業(yè)專線

IP，并以優(yōu)質池、獨享池等方式進行出售。由于這些黑

IP

價格昂貴，往往會被某些定向攻擊的黑產團伙固定使用，其識別難度更大。17數據中心：數據中心類型的黑

IP

資源主要用于秒殺、搶購等營銷作弊場景，該類場景往往需要網速更快的

IP

資源，因此資源供給方會選擇租用機房，來滿足部分黑產快網速

IP

資源的需求。2022

年代理

IP

需求激增，黑

IP

的資源供給方以代理

IP

平臺為主2022

年，黑

IP

的資源供給方主要是不合規(guī)的代理

IP

平臺以及秒撥平臺，其中以代理

IP

平臺為主，隨著各大應用開始展示用戶

IP

歸屬地，代理

IP

的需求激增，無形中促進了代理

IP

平臺的數量增長。同時，代理

IP

平臺和秒撥平臺聯(lián)系緊密，很多動態(tài)代理

IP

都由秒撥平臺撥出。IPv6

日漸普及，支持

IPv6

的秒撥平臺數量逐年增加18IPv6

在國內日漸普及，對黑

IP

資源供給方持續(xù)產生影響。目前，雖然代理

IP

平臺尚未提供

IPv6

的代理

IP，但自

20219

年起秒撥平臺已經提供支持

IPv6

的秒撥機，同時支持

IPv6的秒撥平臺數量逐年增加。針對部分支持

IPv6

的秒撥機，經威脅獵人情報專家測試和分析發(fā)現：1、得益于

IPv6

遠大過

IPv4

的地址空間，IPv6

秒撥機撥出的

IPv6

地址重復率非常低，攻擊者完全可以做到每次攻擊使用不同

IP

地址，這給黑

IP

的識別帶來了新的挑戰(zhàn)；2、雖然

IPv6

秒撥機每次撥出來的

IPv6

地址不一樣，但在地址分配上仍然遵循著一定的規(guī)律。威脅獵人通過觀察到秒撥平臺對

IPv6

地址分配的規(guī)律，結合捕獲黑產使用的

IPv6

數據進行分析，形成識別規(guī)則，構成一套

IPv6

風險識別算法，能為企業(yè)檢測出業(yè)務流量中

IPv6流量在活躍時間內的風險值。隨著互聯(lián)網的快速發(fā)展和普及，全球

IPv4

地址已瀕臨枯竭。而

IPv6

作為替代

IPv4

的下一代

IP

協(xié)議，在

IP

地址數量、安全性、移動性、服務質量等方面有著巨大優(yōu)勢，企業(yè)需要時刻關注黑產在

IP

資源供給側的變化，并及時采取應對策略。192.3

銀行卡、第三方支付、虛擬貨幣成主要網絡洗錢資源據有關部門統(tǒng)計，目前我國非法賭博人數超過千萬，每年境內流出涉賭資金超一萬億元，嚴重威脅國家經濟安全。針對全網賭博、跑分等違法平臺，威脅獵人情報研究員經過長期調查與數據分析發(fā)現，2022

年網絡洗錢的主要渠道如下：2.3.1

銀行卡銀行卡仍然是最主要的網絡洗錢渠道，尤其是針對網絡賭博洗錢渠道。從

2022

年下半年起，黑銀行卡呈現快速上升趨勢，在世界杯期間月新增量超過

5

萬。20通過對比近兩年銀行涉賭卡數量占比的排名變化發(fā)現，排名上升最快的前

10

家銀行中有

8家是農村信用社，由此可見，隨著大行打壓，賭資洗錢風險有所轉移，農村信用社銀行卡逐漸被賭博平臺規(guī)?；?。212.3.2

虛擬貨幣由于匿名性、難以追蹤等特點，虛擬貨幣長期被黑產用于洗錢等地下交易支付渠道。2022年，用于洗錢的虛擬貨幣活躍數量較為穩(wěn)定，并于

2022

年

11

月世界杯小組賽期間達到峰值，月活躍量超過

5

萬。2.3.3

充值繳費

APP黑產惡意利用某些

APP

的話費、電費等充值繳費功能，通過低價代他人充值繳費完成洗錢，2022

年，充值繳費的洗錢方式被更多黑產所利用。以代繳電費為例，2022

年下半年通過代繳電費進行洗錢的虛假賬號數量呈快速上升的趨勢。222.2.4

數字人民幣數字人民幣錢包作為一種新興的支付方式，從

2022

年

7

月起，普遍被網絡賭博平臺用于收款洗錢，呈現出明顯上升趨勢。23數字人民幣錢包主要分為四類，最低權限的“第四類錢包”屬于匿名錢包，用戶僅憑手機號便可開通，匿名賬戶之間可以任意轉賬，成為賭博平臺繞過支付監(jiān)管的新型充值方式。威脅獵人調查發(fā)現，由于數字人民幣“第四類錢包”無需綁定用戶身份信息，有手機號即可注冊，洗錢團伙會利用專門提供手機小號并接收驗證碼的平臺，批量注冊數字人民幣錢包賬戶，或直接租用、購買普通民眾的數字人民幣賬戶，用于收取賭資。在將賭資進行轉移后注銷數字人民幣賬號，從而規(guī)避監(jiān)管。2403黑灰產攻擊技術分析25三、2022

年黑灰產攻擊技術分析黑灰產在進行作惡時，會采用各類攻擊技術進行批量、自動化攻擊，以達到短時間內獲得更多收益的目的，2022

年黑灰產主要攻擊技術包括改機技術、改定位技術、人臉認證繞過技術等。3.1

三大類改機技術依然活躍，定制

ROM

改機技術成為主流改機是黑產大規(guī)模作惡所依賴的重要技術手段，主要指通過特定的技術，修改手機的品牌、型號、串碼、IMEI、MAC

地址等設備信息，從而“偽裝”成一臺新的設備，黑產可以通過改機批量偽造新設備來繞過風控。目前，改機工具類型主要包括：軟件改機、ROM

改機、硬件改機。3.3.1

軟件改機中，LSPosed

框架因隱蔽性高成為主要改機框架軟件改機：軟件改機已經出現多年，其核心技術是通過抓取與設備信息相關的函數并修改函數返回值來達到改機效果。軟件改機一般都會用到

Hook

框架，Hook

框架包括

XPosed

框架、LSPosed

框架，其中LSPosed

框架在近幾年興起并不斷成熟，2022

年

LSPosed

框架已經成為了軟件改機使用的主流框架，相比

XPosed

框架，LSPosed

框架更難以被檢測。26以特征文件等檢測點為例，LSPosed

框架相對不容易被檢測出的原因如下：此外

LSPosed

框架還有以下一些優(yōu)勢：1、LSPosed

在設計之初就考慮到了對

XPosed

的原生兼容，所以已有的

XPosed

模塊無需改動即可在

LSPosed

框架上運行。2、對于開發(fā)者而言，LSPosed

依舊采用

Xposed

開發(fā)包開發(fā)模塊，沒有額外的學習成本，可輕易在

LSPosed

框架上開發(fā)想要的模塊。3、目前

LSPosed

框架維護和更新比較穩(wěn)定，不用擔心可用性問題。3.3.2

定制

ROM

改機成為目前最主流的改機方式定制

ROM

改機：從威脅獵人的攻防實踐及客戶實際測試效果來看，軟件改機的成功率并不高，為了提高成功率，黑產也在不斷開發(fā)更底層的改機技術，其中就包括定制

ROM

改機。定位

ROM

也不是新技術，其核心原理是通過修改

Android

源代碼進行改機。2022

年定制ROM

改機技術更加成熟：一方面，有專業(yè)團伙負責維護各種品牌手機的

ROM

包（包括驅27動）；另一方面，有專業(yè)團伙負責解各種品牌手機的設備鎖。在多方配合與成熟運作之下，無需從零打造“作案工具”。目前，定制

ROM

改機已經成為了最主流的改機方式。與軟件改機相比，定制

ROM

改機的優(yōu)點如下：1、ROM

改機所修改的源代碼并未運行在目標應用進程中，因此防守方無法在檢測上與之正面對抗；2、ROM

改機無需

Root

手機，因此防守方無法通過檢測

Root

環(huán)境來標記設備風險；3、ROM

改機可以輕易修改設備的任意信息，且穩(wěn)定性高。定制

ROM

改機為何難以檢測？如果將一臺電器比作改機目標，將控制其電源比擬為改機過程，軟件改機則是“入室控制電源”，極易被檢測發(fā)現，而

ROM

改機則是”直接控制發(fā)電廠”，從根源進行遠程破壞，防守者很難與之正面對抗。具體的技術原理如下：我們以修改設備的

IMEI

值為例，解釋定制

ROM

改機的技術原理。在

Android

系統(tǒng)上，獲取

IMEI

值調用的

getDeviceID

函數，這其實是一個

IPC

調用。響應方是系統(tǒng)的

Phone

服務（對應的進程包名是

com.android.phone），并最終會調用到

Phone.getDeviceID

函數。通過改寫該函數，根據

IPC

調用方的

uid

來判斷是否是改機目標應用；如果是，則調用

getHookValue

返回偽造的

IMEI

值；如果不是，則返回真實的

IMEI

值。整個過程如下所示：283.2

改定位技術中，“劫持系統(tǒng)位置服務”被黑產普遍使用改定位，指修改設備可用于定位的信息，包括

GPS、wifi、基站等，從而將設備“偽裝”到指定的地址。改定位技術被廣泛運用于各種業(yè)務欺詐行為，如：1.偽造虛假的司機出行記錄騙取平臺補貼；2.將定位改到特定地點并通過社交軟件的“附近人”功能進行色情引流；3.限定地區(qū)參與的營銷活動，通過修改定位突破限制獲得活動資格等。改

GPS

定位主要有以下幾種方式：1、比較初級的方式是將定位信息注入到目標

App，通過

Hook

GetLastLocation

或GetLastKnownLocation

函數，偽造返回的經緯度信息。這種方式比較容易被檢測，黑產已經很少使用；292、通過定制

ROM

技術也可以偽造

GPS

信息，原理和與改機類似，這種方式目前尚未被黑產普遍使用；3、目前，劫持系統(tǒng)位置服務被黑產普遍使用，劫持系統(tǒng)位置服務通過

Hook

關鍵函數并偽造函數返回值，因不在目標應用進程空間而難以檢測。劫持系統(tǒng)位置服務被黑產普遍使用，其技術原理及具體步驟如下：原理：在

Android

系統(tǒng)中，獲取

GPS

信息會調用系統(tǒng)的位置服務；而該服務運行在system_server

進程中，對應的

Java

類是：com.android.server.LocationManagerService，因此通過劫持

LocationManagerService

中的相關函數，可以達到偽造定位的效果。步驟：1、向

system_server

進程注入惡意模塊；2、惡意模塊的入口代碼，通過

Class.forName

反射調用，找到

LocationManagerService對象；3、Hook

LocationManagerService

對象的多個函數，其中就包括

getLastLocation

函數：4、在劫持的

getLastLocation

函數中，判斷是否需要改定位。如果是，構造一個

Location對象，填充偽造的經緯度信息并返回；如果不是，則調用原本的

getLastLocation

函數并返回。303.3

人臉認證繞過技術中，定制

ROM

劫持攝像頭成常用攻擊方式人臉認證繞過，黑產俗稱“過臉”或者“過人臉”，隨著越來越多的應用進行實名認證同時使用人臉識別技術，黑產對于人臉認證繞過技術的使用更加普遍，具體包括定制

ROM

劫持攝像頭、云手機虛擬相機等。定制

ROM

劫持攝像頭同樣通過修改

Android

源代碼來實現，由于這種技術改寫了比較底層的

Android

源代碼，因此難以被檢測，成為了

2022

年黑產常用的劫持攝像頭的攻擊方式。31定制

ROM

劫持攝像頭過程如下：1、當應用使用攝像功能時，會調用

Camera.open

函數去打開前置或者后置攝像頭，并最終進入

Native

層的

libandroid_runtime.so

調用android_hardware_camera.native_setup

函數；2、native_setup

函數中會并構造一個

JNICameraContext

對象（相機上下文），通過操作這個對象使用攝像功能；3、劫持攝像頭的定制

ROM

改寫了

JNICameraContext

對象的源代碼，再其構造函數中主動加載了一個惡意模塊；4、這個惡意模塊集成了

ffmpeg

庫（一款優(yōu)秀的視頻編解碼庫）。通過調用

ffmpeg

庫，打開想要替換的視頻文件，并對文件進行解碼，將其轉換成攝像頭錄制的視頻流格式，并進行替換，最終達到劫持效果。32此外，威脅獵人通過藍軍攻防實踐發(fā)現，云手機虛擬相機也可以繞過人臉認證。目前市面上出現了眾多的云手機平臺，其中大部分是基于瑞芯微(rockchip)的

RK

系列芯片開發(fā)，部分云手機平臺開發(fā)并提供了“遠程虛擬相機”的功能。從實際測試效果來看，云手機虛擬相機繞過人臉認證的成功率較高。面對改機、改定位、人臉認證繞過等日漸猖獗的黑產技術，企業(yè)很難從單一技術角度與之正面對抗，可以從情報維度及時監(jiān)測并分析使用該技術的各類黑產資源，及時進行針對性防御。3304黑灰產攻擊場景分析34四、2022

年黑灰產攻擊場景分析4.1

2022

年營銷作弊仍然是黑灰產最主要攻擊場景企業(yè)開展營銷活動時，往往會投入現金、實物或虛擬商品等各種獎勵來吸引用戶，但同時也吸引了大量的黑產參與活動并薅取獎勵。2022

年營銷作弊仍然是黑灰產最主要的攻擊場景，攻擊目標覆蓋全行業(yè)，以下是

2022

年較為常見的活動類型：2022

年各行業(yè)為刺激消費，立減金成重要營銷活動類型排名靠前的活動類型中，除立減金外，其他往年也都排名前列。立減金是一種發(fā)放給用戶的現金券，在客戶消費時可以進行抵扣。352022

年各行業(yè)為了刺激消費，立減金成為了重要的營銷活動類型，多家銀行都曾推出各種形式的立減金活動。由于缺乏營銷作弊的防控經驗和手段，當活動參與資格及變現方式較為寬松簡單，便極易遭到黑灰產的攻擊。以某銀行立減金活動遭受到的作弊攻擊為例參與該活動的用戶沒，每人可領取

5

元立減金，黑產找到了該活動的變現路徑，發(fā)起了大規(guī)模持續(xù)攻擊，預估造成的營銷費用損失將近

100

萬，攻擊全過程如下：36專業(yè)黑產團伙發(fā)起的規(guī)?；魧ζ髽I(yè)造成的損失極大，這種攻擊往往需要具備以下兩個要素：1、大量虛假賬號：單個賬號營銷作弊的收益往往不會太高，因此黑產團伙一般通過大量虛假賬號來積累收益，虛假賬號的主要來源就是黑手機卡，如何有效識別黑手機卡成為對抗營銷作弊的關鍵；2、自動化攻擊：針對營銷活動開發(fā)的自動化攻擊工具，可以高效完成注冊、拉新、助力等活動任務并薅取活動獎勵，自動化攻擊的主要方式有兩種：①

改機+群控：通過改機技術偽造出多臺設備，通過群控技術批量操控多臺設備，對于這種攻擊方式，如何有效識別風險設備環(huán)境成為關鍵。②

協(xié)議攻擊：破解注冊、登錄以及跟活動相關的

API

接口，批量偽造接口請求。對于這種攻擊方式，對

API

接口進行安全加固以及如何識別風險流量成為關鍵。374.2

刷量產業(yè)鏈不斷進化，新型“高級賬號”刷量悄然出現在如今“流量為王”的時代，刷量已成為互聯(lián)網行業(yè)心照不宣的“潛規(guī)則”。由于各大內容平臺以閱讀量、粉絲數、點贊數等數據作為影響力的評判標準，內容發(fā)布者為了提高排名獲得更高的曝光度，不惜制造虛假的流量數據。在流量思維的主導下，數據造假風氣盛行。2022

年，內容平臺虛假刷量熱度依舊，刷量方式除了協(xié)議刷量和真人眾包刷量之外，還衍生出了新型的高級賬號刷量方式。協(xié)議刷量：協(xié)議刷量是“流量造假”的原始手段，即直接采用“代理

IP+用戶登錄態(tài)”來模擬協(xié)議并編寫代碼，實現自動化刷量，簡單、直接、技術含量低。38真人眾包刷量：真人眾包刷量指刷量者在“真人眾包任務平臺”或“刷量任務群聊”發(fā)布刷量任務，以任務賞金的形式吸引真人用戶，并讓其按照特定流程進行刷量。協(xié)議刷量和真人眾包刷量在

2021

年

8

月至

2022

年

12

月的熱度走勢如下，可以清晰看到協(xié)議刷量整體呈現明顯下降趨勢；而真人眾包刷量在

2022

年初有明顯下降，經研究分析主要是受到網信辦“清朗”系列專項打擊活動的影響，而在

2022

年

2

月以后呈現出逐步恢復并上升的趨勢。2022

年“協(xié)議刷量”明顯下降，“真人眾包刷量”穩(wěn)中有升，經研究分析主要原因如下：1、協(xié)議刷量的難度增加。隨著各內容平臺安全建設水位的不斷提升，無論是協(xié)議的破解難度，還是繞過機器流量識別的難度，相比以前都大大增加，而且一旦被發(fā)現，會面臨平臺的嚴懲；392、真人眾包刷量效果遠超協(xié)議刷量。真人眾包刷量都是真人操作，難以從技術上進行識別。威脅獵人與國內某頭部內容平臺合作，進行真人眾包刷量測試，實測成功率很高且平均速度很快，完成任務平均用時僅需

4

分鐘；3、真人眾包刷量任務價格適中。目前真人眾包刷量的任務類型主要為：下載、評論、點贊、瀏覽、收藏、關注、喜歡、投幣等。這些任務的價格不算高，單價在

0.2

元/條左右，買家完全可以接受這個價格；4、專項打擊對刷量產業(yè)鏈影響較大。在監(jiān)管部門專項打擊活動期間對刷量產業(yè)鏈震懾效果明顯，但由于刷量市場需求很強，專項打擊過去一段時間后，不少真人眾包平臺很快恢復了刷量任務的發(fā)布，且任務數量持續(xù)上升。2022

年，真人眾包刷量成為了黑產刷量的最主要方式。此外，針對頭部內容平臺，黑產刷量衍生出了一種新型刷量手段：高級賬號刷量。其刷量賬號具有等級高、內容多、粉絲數量多等特征，如“千粉號”、“萬粉號”、“千粉千贊”等，由于這類賬號在平臺上的可信度和影響力大于一般賬號，因此在評分、排名等方面擁有更高的權重，從而可以達到更好的刷量效果。404.3

機器作弊效果日益變差，真人作弊成電商作弊主要手段2022

年電商場景因于平臺風控日益完善，機器作弊效果日益變差，真人作弊成為黑灰產的主要作弊手段，而風險主要集中在店鋪刷單、黃牛代下、湊滿減和惡意賠付四個細分場景。1、店鋪刷單：店鋪刷單指平臺賣家付費委托刷單黑灰產，通過刷單工具、真人刷手等方式向指定的平臺賣家購買商品、填寫虛假好評來提升店鋪銷量、信用度和評分、獲取平臺流量。店鋪刷單不僅誤導消費者的購物決策，引發(fā)店鋪不公平競爭，還會嚴重影響平臺的正常運營。2022

年度，威脅獵人監(jiān)控到與電商平臺相關的刷單線報超過

15

萬，較

2021

年增長了26.15%。2022

年店鋪刷單作弊的主要方式如下：刷單手法真人刷單手法介紹真人刷手接受任務后向指定的平臺賣家購買商品、填寫虛假好評來提升店鋪銷量、信用度和評分主播在其直播間的商品櫥窗掛低價值福利品而非商家主營商品，購買鏈接指向作弊商家，通過吸引真人用戶購買+好評，來提高店鋪整體排名，全程僅需店鋪配合掃碼即可。直播引流刷單412、黃牛代下：黃牛代下指黑灰產雇傭真人遠程下單，來批量薅取活動限購的優(yōu)惠商品，目前也形成了一個成熟的產業(yè)鏈。黑灰產實時監(jiān)控各個商家的優(yōu)惠商品，并通過

QQ

群、微信群等私域群組、報單網站發(fā)布代下方案，真人用戶按照黑灰產提供的商品鏈接和地址下單，并賺取黑灰產提供的傭金，而黑灰產收到商品后進行轉賣以獲利。黃牛代下導致大量優(yōu)惠商品被專門的黑產團伙薅取，而正常用戶基本享受不到優(yōu)惠，企業(yè)白白耗損大量營銷費用，久而久之正常用戶甚至會流失到黑產的轉賣渠道。代下產業(yè)鏈的的核心是：“下單發(fā)貨到特定地址”。

黃牛中介在不同渠道發(fā)布的代下商品方案中，包含下單商品及統(tǒng)一的下單地址，而統(tǒng)一地址背后往往的大型的收貨團伙/大貨主，收攏來自全國大量分散的代下團伙的代下商品。因此，平臺方可以收集分析此類下單地址，針對該類訂單/賬號實施對應風控策略。3、湊滿減：湊滿減指羊毛黨通過研究電商平臺的滿減要求，為以最優(yōu)惠價格購買目標商品選擇另外一款商品湊單達成滿減條件，付款后再對湊單商品進行退貨操作?？赡芤l(fā)湊單商品短時間內被大量退貨的風險，以及商家數據異常和庫存壓力。422022

年，威脅獵人檢測到“湊滿減”相關線報總量超過

68

萬條，涉及到的黑產群組超過1000

個，且整體呈上升趨勢。值得注意的是，在電商平臺大促活動期間，“湊滿減”風險尤其普遍且后果更為嚴重。以大促期間平臺跨店“湊滿減”為例：大促期間，平臺往往支持跨店湊滿減，湊單商品大多可通過口令形式便捷傳播、快速下單，同時平臺及店鋪支持無條件退款。同一個“湊滿減”商品線報，往往會被不同的羊毛黨生成不同的口令在社交群聊中大肆傳播，因此湊單商品將會在短時間內面臨大量退貨風險。4、惡意賠付：惡意賠付指黑灰產或職業(yè)打假人利用法律法規(guī)、電商相關禁止規(guī)則，通過向商家套話或向有關部門舉報等方式，下單商品并惡意發(fā)起售后申請，向商家及平臺施壓要求索賠的行為。部分賠付教程通過引流、付費等方式被廣泛傳播及實操，極大影響了商家和平臺的正常運營。2022

年，威脅獵人通過監(jiān)測相關黑灰產論壇及社群，挖掘黑灰產惡意賠付方案超

30

例，主要集中在頭部電商平臺。通過對方案進一步分析發(fā)現，當前的賠付方案主要圍繞不發(fā)貨、商品宣傳違禁詞、售假、三無、違禁品、食品安全等問題，尋找存在這些漏洞的店鋪并發(fā)起惡意售后申請。43以某電商平臺“三無產品賠付”方案為例：該方案展現了賠付思路及操作流程，包括如何篩選賠付商品鏈接、下單、收貨注意要點、賠付話術等，具體內容如下：4.4

金融信貸欺詐給金融機構帶來大額經濟損失隨著金融+互聯(lián)網的發(fā)展，金融行業(yè)通過數字化轉型為用戶提供靈活與便捷服務的同時，也面臨著黑產不斷迭代演變的各類欺詐威脅。其中以金融信貸欺詐最為嚴峻，給金融機構帶來了壞賬和大額經濟損失。金融信貸欺詐：黑產中介利用貸款審批漏洞為貸款者申請貸款，或通過特定話術等方式，為貸款者成功申請延期、減免利息，而中介從中賺取高額提成，這類作惡行為會造成信用機構資金損失、大額壞賬。44當前信貸欺詐場景黑產產業(yè)鏈結構如下：上游主要是掌握作弊渠道或技術的人員，負責提供擼貸渠道和技術；中游主要是信貸中介群體，負責作弊方案的傳播，并進行實際的代理操作下游主要是騙貸群體，作為實際的貸款者，騙貸群體主要分為幾類：①因沒有資質而被銀行拒絕的用戶；②想進行退息、退費等操作的用戶；③被中介教唆或者惡意隱瞞而進行貸款的用戶。在信貸欺詐中，黑產的攻擊場景可以細分為：騙貸、反催收、背債招募、信通卡提額、退息退費等，其最終目的多為通過偽造資質證明，達到過身份的目的。主要的欺詐思路包括但不限于偽造資質及銀行流水、利用特定話術反催收等。45信貸欺詐的具體作惡思路如下：-①

偽造貸款用戶資質：黑產通過偽造資料幫助違約用戶貸款，其本質是對申請人信息進行造假，常見造假項包括：工作單位、房產信息、公積金、工資流水等。②

仿冒銀行

APP

制作銀行流水：黑產通過仿冒假銀行

APP

偽造虛假流水，難以發(fā)現異常。該方法主要利用了不同銀行間的信息差：假設黑產想去

A

銀行申請貸款，并制作偽造

B

銀行的虛假

APP

及虛假流水，申請過程中黑產會向

A

銀行工作人員展示

B

銀行的虛假

APP及流水，因此

A

銀行不仔細分辨的情況下很難發(fā)現異常。③

提供反催收特定話術：202