2威脅獵人ThreatHunter（深圳永安在線科技有限公司）成立于2017年，以黑灰產(chǎn)情報(bào)能力和反欺詐技術(shù)為核心，專注于及時(shí)、精準(zhǔn)、有效的業(yè)務(wù)欺詐風(fēng)險(xiǎn)的發(fā)現(xiàn)和響應(yīng)。公司圍繞不同行業(yè)在數(shù)字化發(fā)展過程中面臨的業(yè)務(wù)欺詐、數(shù)據(jù)泄露、釣魚仿冒、API攻擊等風(fēng)險(xiǎn)場景，提供成熟多樣的產(chǎn)品與服務(wù)，并多次入選Gartner技術(shù)成熟度曲線報(bào)告、IDC威脅情報(bào)領(lǐng)域代表廠商。公司總部在深圳，在北京、上海、重慶、新加坡等地設(shè)有分公司，并在深圳和重慶兩地建立數(shù)字風(fēng)險(xiǎn)應(yīng)急響應(yīng)中心（DRRC為客戶提供7*24小時(shí)全天候數(shù)字風(fēng)險(xiǎn)應(yīng)急響應(yīng)和及時(shí)、優(yōu)質(zhì)的服務(wù)支持。截至目前，公司已為金融、政務(wù)、物流、互聯(lián)網(wǎng)、科技、零售等行業(yè)的300多家客戶提供安全服務(wù)，覆蓋85%頭部互聯(lián)網(wǎng)企業(yè)，每年幫助客戶減少數(shù)十億資金損失。32025年上半年，互聯(lián)網(wǎng)黑灰產(chǎn)攻擊持續(xù)演化，呈現(xiàn)出更隱蔽、更智能、更產(chǎn)業(yè)化的趨勢。黑灰產(chǎn)從業(yè)人員數(shù)量繼續(xù)增長，攻擊資源、技術(shù)與作案場景全面升級。整體來看，2025年上半年黑灰產(chǎn)行業(yè)發(fā)生的幾大事件，也時(shí)刻印證了黑灰產(chǎn)市場的核心規(guī)律——黑產(chǎn)永不眠，當(dāng)主要交易平臺被打擊時(shí)，黑產(chǎn)及其作惡需求會迅速遷移至現(xiàn)有或新興替代渠道。報(bào)告內(nèi)容關(guān)鍵點(diǎn)總結(jié)：在攻擊資源方面，威脅獵人捕獲日均活躍風(fēng)險(xiǎn)IP達(dá)1382萬例，環(huán)比上升15.02%，“劫持共用代理”IP攻擊更加猖獗，計(jì)費(fèi)模式更多元；黑卡渠道受監(jiān)管打擊后收縮明顯，同時(shí)新型“鏈接接碼”方式興起，提升攻擊隱蔽性；洗錢銀行卡環(huán)比上漲28.60%，其中涉賭卡占比70.25%，環(huán)比上漲141%，與賭博平臺新型充值方式“掛單充值”相關(guān)；洗錢對公賬戶環(huán)比下降40%，黑產(chǎn)目標(biāo)逐漸從六大行轉(zhuǎn)向城商行和農(nóng)信社；商戶洗錢數(shù)量上漲，行業(yè)集中于終端零售業(yè)、批發(fā)零售業(yè)、餐飲業(yè)。在攻擊技術(shù)方面，AI能力被黑產(chǎn)深度濫用，分鐘級AI換臉、語音克隆已廣泛應(yīng)用于電詐與認(rèn)證繞過場景，顯著提升攻擊效率與欺騙性。與此同時(shí)，“拉碼工具”等洗錢技術(shù)工具流入黑產(chǎn)交易鏈，可直接將黑錢轉(zhuǎn)入正規(guī)平臺交易路徑中進(jìn)行清洗。在攻擊場景方面，營銷欺詐、金融欺詐、電信詐騙、釣魚仿冒、數(shù)據(jù)泄露、API攻擊等典型場景依舊高發(fā)，攻擊模式由單點(diǎn)操作向鏈?zhǔn)絽f(xié)同演進(jìn)。整體來看，黑灰產(chǎn)已滲透至各行業(yè)業(yè)務(wù)鏈條，作案模式不斷翻新，威脅持續(xù)擴(kuò)大，防御體系亟需系統(tǒng)性升級。面對不斷演進(jìn)的黑灰產(chǎn)威脅，威脅獵人發(fā)布《2025年上半年互聯(lián)網(wǎng)黑灰產(chǎn)研究報(bào)告》，基于平臺捕獲的海量風(fēng)險(xiǎn)數(shù)據(jù)和典型案例分析，從攻擊資源、技術(shù)演化、重點(diǎn)場景等維度全景呈現(xiàn)當(dāng)前黑產(chǎn)發(fā)展態(tài)勢，旨在為各行業(yè)風(fēng)控建設(shè)提供實(shí)戰(zhàn)情報(bào)支持，助力提升對新型黑產(chǎn)的洞察力與防御力。4 2 3 6 6 42 57 932025年上半年黑產(chǎn)攻擊資源分析61.12025年上半年作惡手機(jī)號資源分析2025年上半年，威脅獵人監(jiān)測發(fā)現(xiàn)新增國內(nèi)風(fēng)險(xiǎn)手機(jī)號總量出現(xiàn)下滑趨勢，新增數(shù)量為226萬，較2024年下半年環(huán)比下降26.16%。（1）2025年上半年國內(nèi)貓池卡較2024年下半年減少26.16%據(jù)威脅獵人情報(bào)平臺數(shù)據(jù)顯示，2025年上半年捕獲新增貓池卡226萬例，較2024年下半年環(huán)比下降26.16%。7貓池卡：指黑產(chǎn)“貓池”設(shè)備中，可被批量操控以實(shí)現(xiàn)收發(fā)短信等功能的手機(jī)SIM卡，常被不法分子用于違法活動。經(jīng)威脅獵人情報(bào)專家分析，出現(xiàn)這一趨勢的主要原因是：1、1月及2月因農(nóng)歷春節(jié)期間黑產(chǎn)交易放緩，下游作惡者活躍度降低導(dǎo)致供應(yīng)量顯著下降，節(jié)后恢復(fù)穩(wěn)步上漲趨勢；這一現(xiàn)象為黑灰產(chǎn)業(yè)的年度周期性規(guī)律。2、2025年上半年貓池卡數(shù)量在5-6月呈下降趨勢，主要原因?yàn)樯嫌魏诳ㄉ坦┙o收縮，2025年4月底起，供卡源遭受監(jiān)管打擊，卡商停止供卡，導(dǎo)致2025年上半年整體數(shù)據(jù)量下降，詳細(xì)見2.1.3。（2）2025年上半年新增貓池卡歸屬最多的三個(gè)省份為：上海、重慶、廣東威脅獵人對2025年上半年新增國內(nèi)貓池卡進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)上海、重慶、廣東三?。ê陛犑校樨埑乜w屬地最多的三個(gè)省份。8（3）2025年上半年新增貓池卡歸屬最多的三個(gè)城市為：上海、重慶、長沙威脅獵人對2025年上半年新增國內(nèi)貓池卡進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)上海、重慶、長沙三地為貓池卡歸屬地最多的三個(gè)城市。9（4）2025年上半年捕獲的新增貓池卡中，歸屬國內(nèi)三大運(yùn)營商的占66.51%威脅獵人情報(bào)數(shù)據(jù)顯示，2025年上半年監(jiān)測到新增貓池卡226萬例，其中歸屬國內(nèi)三大運(yùn)營商的貓池卡占比66.51%攔截卡：黑產(chǎn)通過病毒木馬劫持手機(jī)短信收發(fā)權(quán)限，從而控制的手機(jī)號碼，號碼主人為正常用戶。（1）2025年上半年國內(nèi)攔截卡較2024年下半年減少83.51%據(jù)威脅獵人情報(bào)平臺數(shù)據(jù)顯示，2025年上半年，威脅獵人捕獲新增攔截卡達(dá)15.5萬，較2024年下半年減少83.51%。對黑灰產(chǎn)攔截卡供給情況的進(jìn)一步分析顯示：2024年下半年至2025年上半年，主流攔截卡平臺持續(xù)受到監(jiān)管力量打擊，導(dǎo)致供卡側(cè)規(guī)模大幅下降。l1-4月期間，原本活躍的6個(gè)攔截卡平臺（供卡渠道）中，僅剩余2個(gè)處于半停滯狀態(tài)；l而5月下旬，監(jiān)測發(fā)現(xiàn)新增4個(gè)供卡渠道，此前處于半停滯狀態(tài)的2個(gè)供卡渠道，黑產(chǎn)更換了域名、接碼工具后恢復(fù)活躍。截止25年上半年，現(xiàn)存6大活躍供卡渠道，但上述平臺的號碼供給量級和質(zhì)量均呈現(xiàn)不穩(wěn)定波動狀態(tài)。（2）2025年上半年攔截卡歸屬最多的三個(gè)省份為：山東、河南、四川針對2025年上半年捕獲到的國內(nèi)攔截卡統(tǒng)計(jì)分析發(fā)現(xiàn)，山東、河南、四川三省為攔截卡歸屬地最多的三個(gè)省份。（3）2025年上半年新增攔截卡歸屬最多的三個(gè)城市為：重慶、菏澤、臨沂威脅獵人對2025年上半年新增國內(nèi)攔截卡進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)重慶、菏澤、臨沂三地為攔截卡歸屬地最多的三個(gè)城市。（4）2025年上半年捕獲的新增攔截卡中，歸屬國內(nèi)三大運(yùn)營商的占98.86%2025年上半年威脅獵人情報(bào)運(yùn)營平臺捕獲新增攔截卡達(dá)15.5萬張，歸屬國內(nèi)三大運(yùn)營商的攔截卡占比達(dá)98.86%。（1）頭部供卡源上?？ㄉ瘫O(jiān)管重創(chuàng)，國內(nèi)貓池卡上半年銳減威脅獵人監(jiān)控?cái)?shù)據(jù)分析，上?？ㄉ探贶S升為貓池卡供應(yīng)的頭部卡源。2024年以來，提供號碼歸屬為上海市的貓池卡卡商持續(xù)高度活躍，2024年新增上海貓池卡占全年新增總量的11.77%；2025年1到4月期間仍保持上升趨勢，于4月達(dá)到峰值，當(dāng)月新增國內(nèi)新增貓池卡中24.93%來自上海。2025年5月監(jiān)管打擊行動中，上海卡商首當(dāng)其沖受創(chuàng)，該卡源5月份新增占比全國的比重迅速下滑至月均占比8.29%。這也是上半年國內(nèi)貓池卡出現(xiàn)大幅下降的主要原因。上海新增黑卡數(shù)量監(jiān)管打擊期間大幅下降，導(dǎo)致全國貓池卡整體數(shù)量下滑，在下圖可見，上海新增黑卡數(shù)量在5月出現(xiàn)銳減并在本年度首次低于廣東、重慶黑卡，該格局目前仍保持。2025年上半年黑卡產(chǎn)業(yè)鏈監(jiān)管打擊時(shí)間線如下，上游上海、重慶卡商相繼遭受打擊。（2）上游供卡源的波動傳導(dǎo)至黑產(chǎn)中游環(huán)節(jié)作為黑產(chǎn)中游環(huán)節(jié)的發(fā)卡平臺和接碼平臺，2025年5月到6月期間頻繁出現(xiàn)遷址、關(guān)停維護(hù)或注銷等情況，這進(jìn)一步阻斷下游黑卡供給鏈路。以長期監(jiān)控的黑產(chǎn)主流發(fā)卡平臺團(tuán)伙A為例，短期頻繁更改使用的域名8次以上，域名存活周期縮短到15到21天不等，供卡數(shù)量亦呈現(xiàn)下滑趨勢，從115萬降至6月底35萬。而作為黑灰產(chǎn)主要作惡渠道之一的群接碼渠道，觀察捕獲的接碼短信記錄亦呈現(xiàn)下降趨勢——2025年5月至6月捕獲的短信記錄數(shù)量，較同年3月至4月下降了556萬例，環(huán)比降幅約為7.26%。以黑產(chǎn)作惡重點(diǎn)目標(biāo)“數(shù)字人民幣”接碼為例，其作惡短信數(shù)量變化趨勢，便是這一影響的典型例證。2025年上半年，被稱為“鏈接接碼”的新型接碼方式在發(fā)卡渠道興起，黑產(chǎn)當(dāng)前主要用于北美地區(qū)和中國香港地區(qū)的接碼服務(wù)。截止6月份，已監(jiān)控146萬余條交易記錄，涉鏈接接碼相關(guān)域名140個(gè)，每周新增約8個(gè)分銷商獨(dú)立域名?！版溄咏哟a”的顯著特征為“一對一”的模式，具體而言，下游黑產(chǎn)用戶購買某個(gè)項(xiàng)目后會分配到一個(gè)專用接碼手機(jī)號，并通過獨(dú)占鏈接接收該項(xiàng)目的短信驗(yàn)證碼。每個(gè)惡意手機(jī)號僅服務(wù)單一項(xiàng)目，每個(gè)鏈接僅展示對應(yīng)項(xiàng)目的驗(yàn)證碼。鏈接接碼流程如下：相較于傳統(tǒng)接碼方式，鏈接接碼具備更高的隱私性與反溯源能力，其有效規(guī)避了傳統(tǒng)接碼中常見的三類風(fēng)險(xiǎn)：一是養(yǎng)號成果被竊取——傳統(tǒng)接碼通常共享對接碼或轉(zhuǎn)碼房間，導(dǎo)致號碼明文或掩碼被其他黑產(chǎn)讀取，已養(yǎng)成的惡意賬戶被劫持；二是資源沖突問題——同一號碼在多個(gè)黑產(chǎn)項(xiàng)目中重復(fù)使用，造成數(shù)據(jù)污染，需額外過濾流程。三是監(jiān)管溯源追蹤——卡商通常將鏈接接碼使用的接碼域名設(shè)置為不同于黑產(chǎn)平臺的域名，或出售給分銷商使用獨(dú)立域名，難以通過域名溯源到黑產(chǎn)平臺。1.22025年上半年作惡IP資源分析1.2.12025年上半年日均活躍風(fēng)險(xiǎn)IP總量較2024年下半年環(huán)比增長2025年上半年，威脅獵人監(jiān)測發(fā)現(xiàn)日均活躍風(fēng)險(xiǎn)IP數(shù)量持續(xù)上升，風(fēng)險(xiǎn)IP數(shù)量達(dá)到1382萬，較2024年下半年增長15.02%。（1）2025年上半年國內(nèi)作惡IP有6096萬個(gè)，環(huán)比2024年下半年增加4.61%（2）2025年上半年國內(nèi)作惡IP歸屬省份TOP3：廣東、河南、浙江威脅獵人情報(bào)數(shù)據(jù)統(tǒng)計(jì)顯示，2025年上半年國內(nèi)活躍的作惡IP歸屬省份（含直轄市）主要集中在廣東省、河南省和浙江省。（3）2025年上半年“劫持共用代理”IP攻擊占總量50.37%，IP資源供應(yīng)更穩(wěn)定、計(jì)費(fèi)模式更多元威脅獵人對代理IP平臺持續(xù)監(jiān)測，從2025上半年捕獲數(shù)據(jù)來看，“劫持共用代理”IP日均捕獲數(shù)量達(dá)120萬，同時(shí)從國內(nèi)風(fēng)險(xiǎn)IP類型占比來看，黑產(chǎn)使用劫持共用IP攻擊占比從1月的38.80%上升至6月的63.10%，說明黑產(chǎn)通過植入木馬惡意使用正常用戶IP的行為更加猖獗。由于這類IP大部分時(shí)間是正常用戶使用，如進(jìn)行點(diǎn)擊、充值、瀏覽等行為，少量時(shí)間會被黑產(chǎn)劫持共用，出現(xiàn)短暫的作惡行為，因此平臺可能會認(rèn)定該用戶為正常用戶，進(jìn)而忽視其短暫的作惡行為，給黑產(chǎn)可乘之機(jī)。劫持共用代理從興起到穩(wěn)定，為滿足黑產(chǎn)群體多類型的攻擊需求，收費(fèi)模式從之前單一的按IP計(jì)費(fèi)模式發(fā)展成適應(yīng)于不同攻擊場景使用的計(jì)費(fèi)模式，產(chǎn)品逐漸趨于成熟。（4）2025年上半年靜態(tài)IP仍是重要作惡資源之一威脅獵人對代理IP持續(xù)監(jiān)測，針對近期黑產(chǎn)使用的資源情況，我們發(fā)現(xiàn)部分黑產(chǎn)仍會使用靜態(tài)長效代理IP進(jìn)行作惡。從2025上半年捕獲數(shù)據(jù)來看，“長效靜態(tài)代理”IP捕獲數(shù)量達(dá)140萬。與威脅獵人過往監(jiān)控的短效動態(tài)代理IP不同的是，這類長效靜態(tài)IP地址長期不變，其特征較為固定和明顯，易被網(wǎng)站和網(wǎng)絡(luò)安全系統(tǒng)識別并與惡意活動關(guān)聯(lián)起來，且一旦被平臺檢測封禁IP，就無法繼續(xù)使用，導(dǎo)致黑產(chǎn)的攻擊行為難以持續(xù)進(jìn)行。然而在一些不需要頻繁更換IP的作惡場景，黑產(chǎn)通常會使用靜態(tài)IP，主要用于如下場景：社交平臺養(yǎng)號：利用長效靜態(tài)IP注冊的虛假賬號進(jìn)行養(yǎng)號，之后發(fā)送大量的垃圾私信、評論、群發(fā)廣告等，進(jìn)行惡意營銷推廣，干擾正常用戶的社交體驗(yàn)，引流到其他非法平臺或網(wǎng)站。低頻爬蟲：利用長效靜態(tài)IP模仿普通用戶進(jìn)行數(shù)據(jù)爬取的一種爬蟲，其在User-agent、頻率、時(shí)間軸等特征上與普通用戶較為接近，進(jìn)而爬取社交媒體、新聞網(wǎng)站、論壇等平臺上的信息。同時(shí)我們發(fā)現(xiàn)，這類長效靜態(tài)代理IP的來源類型以數(shù)據(jù)中心為主，占比85.14%，而短效動態(tài)代理IP則主要來源于家庭寬帶。（1）2025年上半年捕獲國外作惡IP1.1億個(gè)，環(huán)比2024年下半年增加6.56%（2）2025年上半年國外作惡IP歸屬國家TOP3：美國、巴西、印度威脅獵人情報(bào)數(shù)據(jù)統(tǒng)計(jì)顯示，2025年上半年國外活躍的作惡IP國家主要集中在美國、巴西和印度。威脅獵人發(fā)現(xiàn)不同國家的黑IP作惡資源也不盡相同，如下是國外top3國家的黑IP類型分布。1.32024年網(wǎng)絡(luò)洗錢資源分析涉賭卡：活躍在賭博平臺中，為賭博平臺內(nèi)收款使用的銀行卡，常被用于賭博平臺內(nèi)進(jìn)行充值收款行為，關(guān)聯(lián)的資產(chǎn)涉及到賭博洗錢行為。威脅獵人通過人工和自動化結(jié)合的方式，從各類賭博平臺中采集用于收款行為的銀行卡賬號信息。涉詐卡：在各類匿名社交黑產(chǎn)群聊中，被詐騙團(tuán)伙購買用于洗錢的銀行卡，常用于詐騙類黑資金轉(zhuǎn)移。威脅獵人通過自動化的方式，從各大匿名社交黑產(chǎn)群聊中發(fā)送的記錄中，提取出詐騙團(tuán)伙所使用的銀行卡賬號信息。跑分二級卡：活躍在跑分平臺，用于收取洗過一遍資金的二級銀行卡。威脅獵人通過自動化的方式，從跑分平臺APP中獲取到跑分訂單中的銀行卡賬號信息。（1）2025年上半年洗錢銀行卡中涉賭卡占比70.25%，環(huán)比上漲141%威脅獵人對2025年上半年捕獲到的22.28萬張參與洗錢的銀行卡進(jìn)行分析，主要分為涉賭卡、跑分二級卡和涉詐卡三種類型，其中涉賭卡占比最大，達(dá)到70.25%。①2025年上半年賭博平臺掛單充值漸成規(guī)模，涉賭卡環(huán)比上漲141%威脅獵人觀察發(fā)現(xiàn)，出現(xiàn)涉賭銀行卡環(huán)比上漲141%這一顯著增長的核心原因是賭博平臺新型充值方式——“掛單充值”的發(fā)現(xiàn)和規(guī)模監(jiān)控。威脅獵人于2024年11月份首次在賭博平臺中發(fā)現(xiàn)此類賭資充值方式，該方式利用充值賭客與提現(xiàn)賭客之間的點(diǎn)對點(diǎn)充值方式，進(jìn)行洗錢活動。相比早期跑分模式，“掛單充值”無需招募專業(yè)跑分人員，直接利用賭客銀行卡即可低成本獲取大量賬號分散轉(zhuǎn)移詐騙資金。因賭客卡前期無明顯洗錢特征（如小額高頻轉(zhuǎn)賬極大提升了資金轉(zhuǎn)移的隱蔽性。賭博平臺掛單充值洗錢模式，即是將賭客A的提現(xiàn)需求與賭客B的充值需求實(shí)時(shí)進(jìn)行匹配，引導(dǎo)賭博資金在賭客間點(diǎn)對點(diǎn)直接流轉(zhuǎn)。讓賭客在不知情的情況下成為洗錢通道，幫助完成贓款轉(zhuǎn)移。②2025年上半年最大黑產(chǎn)擔(dān)保“好旺”崩盤，洗錢團(tuán)伙發(fā)生轉(zhuǎn)移，涉詐卡數(shù)據(jù)5月份出現(xiàn)短暫下降威脅獵人觀察發(fā)現(xiàn)，涉詐卡新增數(shù)量在5月出現(xiàn)明顯的下降，但在6月又迅速回升。其背后原因，是美國在5月對Huione集團(tuán)（匯旺）實(shí)施制裁，導(dǎo)致其在TG上的黑灰產(chǎn)擔(dān)保平臺“好旺”崩盤。這一制裁行動似乎遏制了黑產(chǎn)活動，實(shí)則僅造成洗錢團(tuán)伙的短暫轉(zhuǎn)移，黑產(chǎn)迅速遷移至“土豆”、“火幣”等新興擔(dān)保平臺，洗錢活動并未受到實(shí)質(zhì)性打擊。這一變化清楚反映出，當(dāng)前的打擊手段并未從根本上切斷黑產(chǎn)洗錢鏈條。黑產(chǎn)組織具備極強(qiáng)的適應(yīng)性和轉(zhuǎn)移能力，一旦某個(gè)平臺受限，便迅速轉(zhuǎn)向其他渠道繼續(xù)運(yùn)作。因此，僅依賴個(gè)別平臺的制裁難以形成持續(xù)有效的遏制力，黑產(chǎn)洗錢產(chǎn)業(yè)鏈仍在不斷演化與擴(kuò)散，打擊工作面臨巨大挑戰(zhàn)。（2）2025年上半年涉及洗錢的銀行卡中，六大國有銀行的洗錢卡占比依舊是最多的，達(dá)到73%（3）2025年上半年涉及洗錢的銀行卡中，三種類型洗錢卡排名TOP1省份均為廣東省威脅獵人研究發(fā)現(xiàn)，2025年上半年三種風(fēng)險(xiǎn)類型的洗錢銀行卡歸屬省份TOP10均涵蓋廣東、江蘇、四川，其中TOP1均為廣東。不過，不同類型的洗錢銀行卡TOP10省份存在差異性：如跑分二級卡的TOP10省份中，福建和江西是獨(dú)有省份；而涉詐卡的TOP10省份中，山東是獨(dú)有省份。（4）2025年上半年涉及洗錢的銀行卡中，三種類型洗錢卡排名TOP1城市均為深圳市威脅獵人研究發(fā)現(xiàn)，2025年上半年三種風(fēng)險(xiǎn)類型洗錢卡的TOP10歸屬城市均涵蓋深圳、廣州、重慶、上海、北京、東莞、成都，其中TOP1均為深圳。不過，不同類型的洗錢銀行卡TOP10城市存在差異性：如跑分二級卡的TOP10城市中，晉城和南京是獨(dú)有城市；涉賭卡的TOP10城市中，銀川是獨(dú)有城市；而涉詐卡的TOP10城市中，鄭州和西安是獨(dú)有城市。（5）2025年上半年涉及洗錢的銀行卡中，活躍周期在“一天以內(nèi)”的占比，基本維持在70%左右威脅獵人分析發(fā)現(xiàn)，洗錢卡活躍時(shí)間依舊呈現(xiàn)短期化特征。2025年上半年單日活躍卡占70%，長期活躍卡（180天以上）占比則低于1%。洗錢對公賬戶：對公賬戶指以公司名義在銀行開立的賬戶，洗錢對公賬戶指被黑產(chǎn)用于非法資金清洗的銀行對公賬戶，因?qū)~戶具有收款額度大、轉(zhuǎn)賬次數(shù)多等特點(diǎn)，使得“對公賬戶”常常作為黑錢轉(zhuǎn)賬的集中點(diǎn)及發(fā)散點(diǎn)。（1）2025上半年新增洗錢對公賬戶環(huán)比下降40%2025年上半年，威脅獵人監(jiān)測數(shù)據(jù)顯示，洗錢對公賬戶新增數(shù)量環(huán)比下降40%，分析發(fā)現(xiàn)導(dǎo)致量級下降的因素主要有三個(gè)：1.提供洗錢對公賬戶的洗錢團(tuán)伙數(shù)量在減少，2025年上半年，提供對公賬戶的洗錢團(tuán)伙數(shù)量環(huán)比下降了18%。2.對公洗錢需求在每年年初都會短暫的下降，根據(jù)對洗錢黑產(chǎn)團(tuán)伙研究發(fā)現(xiàn)，黑產(chǎn)每年在接近春節(jié)前的1-2個(gè)月對公洗錢的需求都會減少，對應(yīng)的提供對公賬戶的黑產(chǎn)提供對公賬戶數(shù)量也在減少。3.5月份美國對Huione集團(tuán)（匯旺）實(shí)施制裁，導(dǎo)致其在TG上的黑灰產(chǎn)擔(dān)保平臺“好旺”崩盤，活躍在TG上的對公洗錢黑產(chǎn)團(tuán)伙在5月份之后又進(jìn)一步下降26.25%。（2）2025年上半年涉及洗錢的對公賬戶中，黑產(chǎn)目標(biāo)逐漸從六大行轉(zhuǎn)向城商行和農(nóng)信社威脅獵人近兩年數(shù)據(jù)顯示，涉洗錢對公賬戶的歸屬銀行發(fā)生了顯著變化。2023年下半年至2025年上半年，六大國有銀行的洗錢對公賬戶占比從36%下降至20%，與此同時(shí)，城市商業(yè)銀行和農(nóng)村信用社的占比則呈現(xiàn)持續(xù)上升趨勢，城市商業(yè)銀行從23%增至34%，農(nóng)村信用社也從7%升至這一現(xiàn)象明確揭示了黑產(chǎn)洗錢活動正在將目標(biāo)從監(jiān)管更為嚴(yán)格、獲取成本更高的六大國有銀行，逐步轉(zhuǎn)向城市商業(yè)銀行和農(nóng)村信用社。這或側(cè)面反映出，相比國有大行，城市商業(yè)銀行和農(nóng)村信用社的對公賬戶獲取門檻相對較低，且在洗錢風(fēng)險(xiǎn)管控方面可能存在一定的薄弱環(huán)節(jié)。、（3）2025年上半年涉及的洗錢的對公賬戶中，TOP3省份是廣東、山東、江蘇（4）2025年上半年涉及洗錢的對公賬戶中，TOP3城市是北京、廣州、深圳（5）2025年上半年涉及洗錢的對公賬戶中，TOP3行業(yè)是批發(fā)零售業(yè)、終端零售業(yè)、商務(wù)服務(wù)業(yè)威脅獵人近兩年數(shù)據(jù)顯示，涉及洗錢的對公賬戶中，TOP10的所屬行業(yè)均未發(fā)生變化，且渠道批發(fā)業(yè)長期位于榜首，這表明此類行業(yè)的對公賬戶更容易被黑產(chǎn)用來洗錢?！吧虘簟蓖ǔＶ妇哂泻戏I業(yè)資格的商戶及商戶賬號。近年來，詐騙或洗錢團(tuán)伙開始利用商戶賬戶收取“黑錢”來洗錢，使用商家資質(zhì)開通的收款賬戶基本沒有收款額度限制，可支持花唄、信用卡等多種付款方式，相比傳統(tǒng)洗錢方式會更隱蔽和高效（1）商戶洗錢團(tuán)伙活躍數(shù)量持續(xù)上升，被黑產(chǎn)用來洗錢的商戶數(shù)量環(huán)比上漲43%2025年上半年，用于洗錢的商戶賬戶數(shù)量環(huán)比上漲43%，呈現(xiàn)出快速增長態(tài)勢。這一顯著增長背后的主要推手是黑產(chǎn)獲取商戶的成本及門檻較低，以及商戶交易特征與洗錢交易特征相似。一方面，黑產(chǎn)通過偽造材料、資質(zhì)交易、代辦開戶等非法手段，以極低成本繞過審核。一旦得手，這些賬戶便會大量出售或租賃給到洗錢團(tuán)伙。另一方面，商戶本身具備高頻交易、大額資金流動以及支持多種支付方式的特征，為非法資金的流轉(zhuǎn)和掩護(hù)提供了天然通道。這種“易獲取、高適配”的特性，使商戶成為黑產(chǎn)洗錢鏈條中的重要節(jié)點(diǎn)。威脅獵人監(jiān)測數(shù)據(jù)顯示，2025年上半年，活躍的商戶洗錢黑產(chǎn)團(tuán)伙數(shù)量環(huán)比增長了60%。這一數(shù)據(jù)反映出商戶洗錢風(fēng)險(xiǎn)擴(kuò)張，該模式正在向組織化、規(guī)?；较蜓葑儯M(jìn)一步表明商戶洗錢模式對反洗錢工作的挑戰(zhàn)性。（2）2025年上半年涉及洗錢的商戶中，TOP3省份是廣東、浙江、湖北（3）2025年上半年涉及洗錢的商戶中，TOP3城市是廣州、武漢、昆明（4）2025年上半年涉及洗錢的商戶中，TOP3行業(yè)是終端零售業(yè)、批發(fā)零售業(yè)、餐飲業(yè)1.42025年上半年風(fēng)險(xiǎn)郵箱資源分析2025年上半年，威脅獵人識別郵箱域名數(shù)量11.68萬個(gè)，其中高風(fēng)險(xiǎn)臨時(shí)郵箱占比最大，達(dá)到79.03%。2025年上半年，高風(fēng)險(xiǎn)臨時(shí)郵箱域名數(shù)量環(huán)比上漲14倍。威脅獵人通過郵件服務(wù)器反查技術(shù)，加強(qiáng)了對共用同一個(gè)郵件服務(wù)器的臨時(shí)郵箱域名群組的監(jiān)控能力，捕獲未被完全覆蓋的、屬于同一批臨時(shí)郵箱服務(wù)商的衍生域名，極大地拓寬了風(fēng)險(xiǎn)郵箱的監(jiān)測范圍。2025年上半年黑產(chǎn)通用型攻擊技術(shù)分析2.1AI技術(shù)助力黑產(chǎn)實(shí)現(xiàn)分鐘級攻擊“媽，8000元不夠，給我轉(zhuǎn)1.5萬元吧。”一位母親正和女兒視頻聊天，聽著在外地上學(xué)的女兒在視頻里撒嬌抱怨“生活費(fèi)不夠用了”，她心疼不已打算立刻給孩子轉(zhuǎn)賬。就在這時(shí)，家門打開了，她的“真女兒”走了進(jìn)來。而另一頭，視頻里的“假女兒”還在央求媽媽“給生活費(fèi)”。這是一則AI反詐視頻。在這條反詐視頻評論區(qū)中，不少網(wǎng)友反映自己也有過類似的被騙經(jīng)歷，“騙子來電，聲音容貌和我家人一模一樣”。在上述的例子中，詐騙分子使用了實(shí)時(shí)換臉+語音克隆的技術(shù)實(shí)施了詐騙。實(shí)時(shí)換臉技術(shù)為詐騙分子假扮受害者親人提供了第一道便利，而語音克隆技術(shù)則為詐騙分子取信受害者親人打上了第二道保險(xiǎn)，讓詐騙分子能最大限度的取信受害者親人，從而實(shí)施詐騙。得益于AI技術(shù)的發(fā)展，黑產(chǎn)也逐漸將AI技術(shù)應(yīng)用到其攻擊中。這在一定程度上降低了黑產(chǎn)的攻擊門檻，提升了黑產(chǎn)的攻擊效率，提高了黑產(chǎn)的攻擊質(zhì)量；這也導(dǎo)致受害者在面對黑產(chǎn)的攻擊時(shí)防不勝防。在2023年，威脅獵人展示了黑灰產(chǎn)基于視頻進(jìn)行AI換臉的攻擊技術(shù)；而經(jīng)過兩年時(shí)間的技術(shù)發(fā)展，基于圖片進(jìn)行AI實(shí)時(shí)換臉的攻擊技術(shù)也逐漸成熟，并開始被黑產(chǎn)用于攻擊中。（1）新舊技術(shù)對比通過對比不同時(shí)期的攻擊技術(shù)，可以知道：①新技術(shù)在素材要求更低、訓(xùn)練時(shí)長更短的作惡優(yōu)勢；②換臉效果存在受限條件，需要臉型相近，相近程度直接影響成功率。（2）新技術(shù)演示過程十分簡單：首先從公開渠道，獲取目標(biāo)人物2-3張圖片；隨后直接用換臉軟件加載圖片，實(shí)現(xiàn)實(shí)時(shí)換臉。（3）風(fēng)險(xiǎn)AI換臉技術(shù)的發(fā)展，使得攻擊者實(shí)施攻擊所需的素材越發(fā)簡單、速度越發(fā)快速。以app的人臉認(rèn)證繞過場景、電信詐騙場景為例，這導(dǎo)致攻擊者能在更短的時(shí)間內(nèi)實(shí)施攻擊，留給受害者思考的時(shí)間也越來越短；往往在受害者還未反應(yīng)過來的時(shí)候，攻擊者便已發(fā)動攻擊，讓受害者防不勝防。得益于技術(shù)的發(fā)展，除了上面提及的AI換臉技術(shù)外，基于少量音頻實(shí)現(xiàn)的語音克隆技術(shù)也變得成熟，并被黑產(chǎn)用于攻擊中。（1）技術(shù)演示以受害者一段10秒的音頻作為克隆樣本，在短短的10幾秒內(nèi)即可完成克隆，并能以受害者的語音進(jìn)行任意內(nèi)容的輸出。（2）風(fēng)險(xiǎn)與AI換臉不同，語音克隆往往被用于電信詐騙場景中。常見的如電話詐騙、視頻會議詐騙等詐騙場景中，都可能會使用到語音克隆技術(shù)。語音克隆技術(shù)的發(fā)展，必然會使得攻擊者的攻擊越發(fā)逼真、越發(fā)迅速。2.2拉碼工具-抓取平臺支付訂單鏈接進(jìn)行洗錢（1）工具信息威脅獵人于2025年4月捕獲到黑產(chǎn)洗錢常用的拉碼工具。該工具功能為抓取電商平臺、支付平臺生成的支付訂單鏈接，并將鏈接轉(zhuǎn)化為二維碼供其同伙掃碼使用。該工具的信息如下：（2）工具流程介紹該類工具利用抓包技術(shù)，抓取支付訂單鏈接，供黑產(chǎn)在洗錢過程中支付使用。具體運(yùn)行流程如下：1.手機(jī)端設(shè)置VPN端口轉(zhuǎn)發(fā)2.電腦端開啟軟件，監(jiān)聽手機(jī)端轉(zhuǎn)發(fā)的信息3.手機(jī)端在軟件中選擇商品下單，電腦端會彈出收款二維碼4.利用其他手機(jī)掃碼付款即可。經(jīng)調(diào)研，該類工具常被用于黑產(chǎn)代付、洗錢、刷單詐騙等場景，以下文電詐團(tuán)伙A尋找洗錢團(tuán)伙B進(jìn)行洗錢為例，在洗錢流程中，洗錢團(tuán)伙通過拉碼工具，將正規(guī)平臺的支付訂單裹挾到洗錢流程中，使得黑錢直接流向的正規(guī)平臺中，使得洗錢流程波及的范圍更大，追查難度亦更高。洗錢團(tuán)伙B提供的服務(wù)及主要流程如下：1.電詐團(tuán)伙詐騙得到2萬元，尋找洗錢團(tuán)伙進(jìn)行洗錢；2.洗錢團(tuán)伙創(chuàng)建社交群聊并持續(xù)運(yùn)營，以優(yōu)惠購買商品為噱頭，吸引正常用戶；3.正常用戶A購買電腦設(shè)備，原需2萬；現(xiàn)在群聊中購買，只需1.9萬；4.洗錢團(tuán)伙將2萬元的洗錢需求與正常用戶的2萬元購買需求相匹配，讓洗錢團(tuán)伙用詐騙來的2萬元支付正常用戶的購買訂單；這個(gè)過程中，電詐團(tuán)伙正是借助洗錢團(tuán)伙通過拉碼軟件生成的二維碼或鏈接，完成正常用戶2萬元商品訂單的支付。5.正常用戶A向洗錢團(tuán)伙轉(zhuǎn)賬購買費(fèi)用1.9萬，洗錢團(tuán)伙再扣除4千元的洗錢服務(wù)費(fèi)后，把余下1.5萬元以等價(jià)的虛擬貨幣轉(zhuǎn)給電詐團(tuán)伙；2025年上半年黑產(chǎn)攻擊場景分析3.1營銷欺詐場景分析2025年上半年，威脅獵人系統(tǒng)共捕獲營銷活動攻擊情報(bào)5.8億條，環(huán)比2024年下半年（4.6億條）增長超26%，呈現(xiàn)持續(xù)高壓態(tài)勢。2025年1月起攻擊量明顯攀升，1-3月線報(bào)量從6800萬級別上升至9600萬+，5月線報(bào)量飆升至1.37億條，為半年峰值，大量黑灰產(chǎn)借助五一促銷節(jié)點(diǎn)、品牌618預(yù)熱期集中投放營銷詐騙內(nèi)容。2025年上半年威脅獵人共計(jì)預(yù)警同步風(fēng)險(xiǎn)事件1510個(gè)，從行業(yè)分布來看，電商行業(yè)仍是風(fēng)險(xiǎn)最為集中領(lǐng)域，占比高達(dá)27.55%，其次為本地生活（11.99%）、銀行（9.07%）、興趣社交（8.82%）、在線票務(wù)（7.88%）等行業(yè)，整體呈現(xiàn)以下特征：l平臺屬性強(qiáng)的行業(yè)風(fēng)險(xiǎn)更高：如電商、生活服務(wù)、票務(wù)等行業(yè)，由于其依賴用戶活躍、訂單交易和營銷活動，成為黑產(chǎn)重點(diǎn)目標(biāo)；l資金交互頻繁的行業(yè)同樣高發(fā)：如銀行、消費(fèi)金融、支付類行業(yè)，風(fēng)險(xiǎn)關(guān)注點(diǎn)更偏向于營銷引流下的轉(zhuǎn)化路徑篡改、薅羊毛行為；根據(jù)威脅獵人平臺監(jiān)測數(shù)據(jù)，2025年上半年平均每月捕獲涉及營銷活動的黑產(chǎn)作惡群組約為37.5萬個(gè)，其中5月與6月為半年高點(diǎn)，整體群組數(shù)量相比2024年下半年同期略有上升2025年上半年，威脅獵人平臺平均每月捕獲營銷欺詐相關(guān)黑灰產(chǎn)從業(yè)賬號超過130萬，其中6月達(dá)到143.6萬，為近一年新高，整體對比2024年下半年月均水平（約117萬）上漲11%。今年上半年以來，盜號風(fēng)險(xiǎn)逐漸上升，黑灰產(chǎn)團(tuán)伙手法不斷翻新，逐漸從“技術(shù)型劫持”向“社交工程誘導(dǎo)”演進(jìn)，最終形成“技術(shù)劫持+社交工程”的復(fù)合攻擊模式。這類被盜取的賬號經(jīng)盜號黑產(chǎn)交易后，最終會被用于各類非法引流、詐騙等作惡用途。威脅獵人數(shù)據(jù)顯示，2025年上半年共計(jì)捕獲11798條地推盜號風(fēng)險(xiǎn)線報(bào)，2024下半年共計(jì)捕獲該類線報(bào)6080條，環(huán)比上漲94.05%。其中今年2月起明顯增長，表明春節(jié)期間是地推盜號行為的高發(fā)階段；后續(xù)三個(gè)月數(shù)據(jù)回落，但整體仍處于高位，說明風(fēng)險(xiǎn)尚未解除。（1）傳統(tǒng)地推方式受黑產(chǎn)團(tuán)伙關(guān)注及利用所謂“地推”，即“地面推廣”的簡稱，原本是企業(yè)通過擺攤、掃街、派發(fā)傳單、面對面講解等方式在線下接觸用戶、推廣產(chǎn)品的一種營銷方式。其核心特征是真實(shí)接觸+現(xiàn)場轉(zhuǎn)化，多見于地鐵口、商圈、校園、展會等人流密集區(qū)域。黑灰產(chǎn)團(tuán)伙正是借助這一形式，將傳統(tǒng)的線下推廣手法“嫁接”到欺詐攻擊中。通過主流社交平臺配合使用，黑產(chǎn)人員以“掃碼登錄”“刷單返利”“中獎?lì)I(lǐng)獎”等話術(shù)誘導(dǎo)用戶掃碼、下載App或交出手機(jī)，誘使其主動提交授權(quán)信息或執(zhí)行敏感操作，進(jìn)而獲取賬號控制權(quán)。（2）兩大類高發(fā)地推盜號路徑威脅獵人識別出兩類高發(fā)盜號路徑：一類是單點(diǎn)式作案，由地推人員手持接碼卡，通過話術(shù)誘導(dǎo)用戶掃碼并實(shí)施賬號換綁，流程簡單，盜號后直接出售變現(xiàn)，組織結(jié)構(gòu)松散。另一類是鏈條化作案，由上游開發(fā)木馬工具，中游地推執(zhí)行植入，下游專門負(fù)責(zé)賬號流轉(zhuǎn)和變現(xiàn)，分工明確、作案規(guī)模更大、隱蔽性更強(qiáng)。①地推引流+賬號換綁：黑產(chǎn)高效盜號路徑黑產(chǎn)在與受害者當(dāng)面接觸時(shí)，往往通過線下拉新活動、掃碼抽獎等方式引導(dǎo)受害者掃碼或交出手機(jī)，再以“輔助操作”為名，實(shí)則快速完成賬號密碼重置和換綁手機(jī)號的操作，該類地推盜號簡易、高效。但是賬號極易掉線。黑產(chǎn)可獲取其賬號短期的使用權(quán)（1-2天因此黑產(chǎn)往往是提前對接好買家，獲取到賬號后便快速出售獲利1.黑產(chǎn)在街頭通過地推擺攤的方式吸引用戶參與等活動（掃碼注冊領(lǐng)禮品、下載app等等）2.黑產(chǎn)使用話術(shù)取得用戶信任，并借機(jī)拿到手機(jī)，迅速為該賬號設(shè)置登錄密碼（如aa123456并使用手里的換綁卡資源，將目標(biāo)app賬號原綁定的手機(jī)號進(jìn)行更換；3.黑產(chǎn)使用新?lián)Q綁的手機(jī)號登錄該賬號，此時(shí)系統(tǒng)可能觸發(fā)新設(shè)備風(fēng)控：l若是需要原手機(jī)驗(yàn)證碼驗(yàn)證：黑產(chǎn)誘導(dǎo)受害者提供短信驗(yàn)證碼l若是密碼驗(yàn)證：則使用統(tǒng)一設(shè)置的弱密碼完成驗(yàn)證；4.確認(rèn)可以正常登錄后，黑產(chǎn)便快速將賬號出售，并離開擺攤地點(diǎn)，尋找下一個(gè)人群密集地繼續(xù)行騙②地推引流+誘導(dǎo)安裝木馬App實(shí)現(xiàn)盜號黑產(chǎn)通過線上或線下地推，以“掃碼領(lǐng)獎”“參與活動”等話術(shù)誘導(dǎo)受害者安裝木馬App，從而在后臺靜默提取用戶在目標(biāo)App中的登錄憑證（如token、cookie、session_id等），并實(shí)時(shí)上傳至黑產(chǎn)服務(wù)器。該手法在業(yè)內(nèi)被稱為“提參”，即“提取參數(shù)”的簡稱，實(shí)質(zhì)上是繞過傳統(tǒng)密碼驗(yàn)證，直接復(fù)用用戶的登錄會話，實(shí)現(xiàn)遠(yuǎn)程克隆登錄。獲取憑證后，黑產(chǎn)可借助上號器、模擬器等工具還原賬號使用環(huán)境，進(jìn)行批量登錄、自動化操作與變現(xiàn)。這類賬號通常以“數(shù)據(jù)號”形式出售，具備可直接登錄、無需驗(yàn)證的特點(diǎn)，極易被用于刷量、引流、推廣等黑產(chǎn)行為。下圖為盜號黑產(chǎn)上游提供給中游地推團(tuán)隊(duì)的二維碼，地推人員只需要讓用戶掃描二維碼其賬號登錄憑證便會被盜取下圖為地推上游黑產(chǎn)使用的軟件界面，中游地推人員每成功誘騙一個(gè)用戶掃碼或者下載app，其登錄數(shù)據(jù)憑證便會傳回后端顯示在軟件里面，黑產(chǎn)則可以批量導(dǎo)出數(shù)據(jù)進(jìn)行售賣黑產(chǎn)操作鏈路詳解：1.黑產(chǎn)在街頭通過“掃碼送禮”“邀請拉新得紅包”等方式，吸引路人參與活動。2.地推人員在“社交誘導(dǎo)”下，引導(dǎo)用戶完成如下行為之一：l下載帶有提參功能的木馬App（通常偽裝成活動App或優(yōu)惠工具App安裝后在后臺靜默運(yùn)行，抓取目標(biāo)App的登錄憑證數(shù)據(jù)；l掃碼登錄釣魚頁：地推人員出示二維碼，誘導(dǎo)用戶用某App掃碼登錄，通過接口監(jiān)聽或緩存劫持提取其登錄憑證；l誘導(dǎo)提供驗(yàn)證碼：謊稱需要驗(yàn)證身份，誘騙用戶提供短信驗(yàn)證碼，黑產(chǎn)后臺借此登錄賬號并同步提取token等參數(shù)。3.一旦成功獲取，登錄憑證數(shù)據(jù)會實(shí)時(shí)上傳至黑產(chǎn)后臺服務(wù)器（1）刷單行為的產(chǎn)業(yè)化演變路徑威脅獵人監(jiān)測和分析，電商刷單正經(jīng)歷從“零散化”向“平臺化”“工具化”的快速演進(jìn)早期刷單主要依托QQ群、微信群，以“熟人+魚塘”的模式發(fā)布任務(wù)，個(gè)人用戶通過墊付購買商品獲得傭金返現(xiàn)。這種方式高度依賴人力協(xié)調(diào)，操作繁瑣、成本高、效率低。而近年來，刷單模式已顯著升級。黑產(chǎn)團(tuán)伙開發(fā)并銷售自助式刷單工具系統(tǒng)，轉(zhuǎn)至由商家主導(dǎo)刷單全流程的階段。（2）刷單產(chǎn)業(yè)升級：從魚塘模式到商家自運(yùn)營閉環(huán)商家可通過黑產(chǎn)開發(fā)的刷單平臺自行選擇賬號、配置設(shè)備，并遠(yuǎn)程控制刷單流程，實(shí)現(xiàn)從任務(wù)發(fā)起、下單操作到數(shù)據(jù)反饋的自主化操控。刷手不再是重要執(zhí)行角色，只需要執(zhí)行付款的動作，整個(gè)過程不在高度依賴人工對接，極大降低了操作門檻和對接成本，刷單效率和隱蔽性也大幅提升。當(dāng)前刷單生態(tài)已不是過去的“找?guī)讉€(gè)群、做幾單任務(wù)”那種粗放玩法，而是從組織架構(gòu)、設(shè)備資源到執(zhí)行方式都完成了產(chǎn)業(yè)級躍遷。威脅獵人總結(jié)其演變路徑，呈現(xiàn)出三大核心升級趨勢：①商家主導(dǎo)刷單，擬真度提升至“運(yùn)營級別”相比以往交由“刷單刷手”隨意操作，現(xiàn)如今越來越多商家開始自建刷單方案并主導(dǎo)執(zhí)行策略。商家深諳平臺流量邏輯，知道什么樣的用戶行為能帶來真實(shí)流量、權(quán)重加持，因此他們會：l按照人群畫像精準(zhǔn)選設(shè)備；l模擬搜索、瀏覽、收藏、停留、下單、評價(jià)等全鏈條行為；l并結(jié)合自身商品在轉(zhuǎn)化、加購率、復(fù)購等運(yùn)營指標(biāo)的需求，做出高度擬真的任務(wù)參數(shù)配置。結(jié)果：刷單不再是“刷銷量”，而是“刷全指標(biāo)”，幾可亂真，風(fēng)控識別難度急劇上升。下圖為商家端刷單的軟件頁面，可根據(jù)自己的實(shí)際需求進(jìn)行相應(yīng)設(shè)備和平臺進(jìn)行連接②黑產(chǎn)設(shè)備體系演進(jìn)：上萬真實(shí)刷手設(shè)備形成刷單調(diào)度網(wǎng)絡(luò)平臺化刷單系統(tǒng)背后，是一張由黑產(chǎn)精心構(gòu)建的真實(shí)設(shè)備網(wǎng)。平臺已對接超4萬個(gè)真實(shí)刷手的手機(jī)，通過遠(yuǎn)控或掛機(jī)系統(tǒng)統(tǒng)一調(diào)度使用。這些設(shè)備：l具備長期使用記錄，權(quán)重高、可信度強(qiáng)；l被打上行為標(biāo)簽（如地域、性別、品類偏好）；l被納入刷單任務(wù)調(diào)度系統(tǒng)，可根據(jù)商家需求精準(zhǔn)調(diào)用。l本質(zhì)：刷單已由“人力協(xié)調(diào)”變成“算法+設(shè)備調(diào)度”，進(jìn)入自動化生產(chǎn)階段。下圖為刷手開始掛機(jī)前，進(jìn)行個(gè)人信息配置的軟件頁面③刷手參與模式轉(zhuǎn)變：從“全流程”到“輕參與”在傳統(tǒng)刷單體系中，刷手需從接任務(wù)、瀏覽、下單、確認(rèn)、評價(jià)全流程參與，時(shí)間成本高、協(xié)作復(fù)雜。而在當(dāng)前平臺化模式中：l刷手僅需在系統(tǒng)提示時(shí)完成“付款動作”，無需理解任務(wù)全貌；l平臺系統(tǒng)化分配任務(wù)、自動化操作設(shè)備，刷手只需出租賬號和設(shè)備即可收益；l參與門檻降低、操作壓力減輕，吸引大量普通用戶“兼職變刷手”，為黑產(chǎn)提供海量底層執(zhí)行資源。l趨勢預(yù)測：隨著平臺功能日益完善、回報(bào)機(jī)制簡化，未來將有越來越多的刷手加入平臺，刷單人力逐步平臺化、泛職業(yè)化。下圖為刷手端的掛機(jī)頁面：3.1.3水軍產(chǎn)業(yè)從輿情干擾到商業(yè)競爭打擊隨著黑灰產(chǎn)組織的不斷演進(jìn)，水軍操控行為已不再局限于簡單的刷量操作，而是被用于商業(yè)打壓、內(nèi)容控評、熱點(diǎn)引流等場景。任務(wù)通常通過群組或小型眾包平臺集中發(fā)布，涵蓋“點(diǎn)贊、評論、轉(zhuǎn)發(fā)、控評”等輿論操控操作，水軍按照預(yù)設(shè)要求執(zhí)行任務(wù)，并提交截圖等反饋材料。整個(gè)流程隱蔽性強(qiáng)、響應(yīng)速度快，已形成從任務(wù)發(fā)起到資金結(jié)算的完整閉環(huán)。（1）水軍任務(wù)的接單模式與對接方式水軍任務(wù)的分發(fā)方式已形成多元化結(jié)構(gòu)，主要通過社群渠道+眾包平臺+私密執(zhí)行群三類路徑完成。為了保障任務(wù)的執(zhí)行率與統(tǒng)一性，水軍組織在任務(wù)對接流程上進(jìn)行了系統(tǒng)化設(shè)計(jì)。任務(wù)發(fā)布者不再直接與所有水軍溝通，而是通過特定渠道，將操作要求精準(zhǔn)傳遞給穩(wěn)定的執(zhí)行人群。任務(wù)對接通常具備以下特征：l有明確的評論話術(shù)或圖片要求；l有執(zhí)行時(shí)間窗口或互動規(guī)則；l有截圖或賬號ID作為任務(wù)反饋憑證；l有統(tǒng)一的回收、審核與結(jié)算流程（2）捕獲商業(yè)品牌水軍抹黑案例①私域渠道招募水軍刷差評引導(dǎo)輿論攻擊通過截獲一組聊天記錄截圖，顯示有組織方通過社群方式招募水軍，實(shí)施定向評論攻擊國內(nèi)某知名車企。任務(wù)以發(fā)布引戰(zhàn)評論、復(fù)制粘貼內(nèi)容刷差評為主，通過大量賬號在特定社交平臺帖子評論區(qū)發(fā)布統(tǒng)一差評內(nèi)容，營造產(chǎn)品爭議、制造質(zhì)量負(fù)面輿情，引導(dǎo)公眾對品牌產(chǎn)生質(zhì)疑。1、任務(wù)說明明確l引導(dǎo)話題、換電爭議、資金斷裂等關(guān)鍵詞已預(yù)設(shè)；l評論/點(diǎn)贊數(shù)超過100條即結(jié)算，執(zhí)行門檻低；l明確“截圖回傳”作為核驗(yàn)機(jī)制。2、差評內(nèi)容批量提供l招募方提供統(tǒng)一文案，要求水軍直接復(fù)制粘貼；l每條評論價(jià)格為0.5元，按量計(jì)費(fèi)；l評論中包含捏造事實(shí)、夸張指控、仿冒技術(shù)人員視角等手法，增強(qiáng)“真實(shí)性”。3、執(zhí)行群內(nèi)管控l禁止追問任務(wù)來源或貼主身份；l強(qiáng)調(diào)“話不要太多”，明顯具備信息隔離意圖；l群內(nèi)形成“單向發(fā)單+截圖結(jié)算”閉環(huán)。②眾包渠道招募水軍刷差評引導(dǎo)輿論攻擊根據(jù)監(jiān)測發(fā)現(xiàn)，有黑產(chǎn)或營銷團(tuán)伙通過眾包平臺組織水軍執(zhí)行定向評論任務(wù)，意圖在短視頻平臺操控輿論、引導(dǎo)用戶對目標(biāo)品牌或產(chǎn)品產(chǎn)生負(fù)面認(rèn)知。這類任務(wù)往往以“點(diǎn)贊+評論”+“負(fù)面引導(dǎo)”為核心操作，雇傭大量水軍在評論區(qū)展開集中發(fā)言，呈現(xiàn)出“真實(shí)用戶吐槽”的假象，背后卻是精心策劃的情緒操控行為。任務(wù)目標(biāo)：進(jìn)入指定視頻，發(fā)布帶有貶損語氣的評論，引導(dǎo)輿論關(guān)注品牌問題（如續(xù)航差、產(chǎn)品虛標(biāo)、售后差等）。評論方式：首評+附評模式，即首個(gè)水軍發(fā)布主評論，后續(xù)多個(gè)賬號進(jìn)行點(diǎn)贊、互動和擴(kuò)散。示例話術(shù)：l“誰買誰后悔，續(xù)航虛到離譜”l“上次都快剎不住了，電池是真不行”l“質(zhì)量真的不敢恭維”3.2金融欺詐場景分析金融欺詐場景下，金融貸款風(fēng)險(xiǎn)輿情和信貸渠道中介動態(tài)受到銀行等金融機(jī)構(gòu)廣泛關(guān)注，其中潛藏的惡意貸款風(fēng)險(xiǎn)輿情更是用于識別研判信貸欺詐、進(jìn)而調(diào)整風(fēng)控策略的重要情報(bào)來源。惡意貸款欺詐：指金融從業(yè)人員或黑產(chǎn)團(tuán)伙通過虛假宣傳、偽造材料、誘導(dǎo)欺騙等手段，以非法牟利為目的實(shí)施的各類違規(guī)貸款活動。其典型行為包括：背債、融車套現(xiàn)、科技提額、美容貸騙貸、債務(wù)重組、AB貸、制作假流水、征信修復(fù)、債務(wù)優(yōu)化等違規(guī)業(yè)務(wù)以謀取私利。（1）金融貸款惡意欺詐輿情和黑灰產(chǎn)規(guī)模持續(xù)擴(kuò)張2025年上半年威脅獵人監(jiān)控捕獲金融貸款風(fēng)險(xiǎn)輿情達(dá)479萬條，其中惡意貸款欺詐輿情77萬條，占總量16%，金融貸款風(fēng)險(xiǎn)輿情較2024年下半年下降14%，惡意貸款欺詐輿情較2024年下半年增長12%。在每月的風(fēng)險(xiǎn)輿情趨勢上，均呈現(xiàn)持續(xù)增長態(tài)勢。2025年上半年威脅獵人監(jiān)控活躍貸款群組3.3萬個(gè)，其中惡意欺詐群組1.3萬個(gè)，占總量39%，活躍貸款群組較2024年下半年下降4%，惡意欺詐群組較2024年下半年增長5%。2025年上半年威脅獵人監(jiān)控捕獲活躍貸款服務(wù)賬號11.8萬個(gè)，其中提供惡意貸款服務(wù)的欺詐賬號（信貸黑中介/黑產(chǎn)）3.5萬個(gè)，占總量29.6%，較2024年下半年均增長6%。（2）2025年上半年惡意貸款主要欺詐類型TOP3：職業(yè)背債、債務(wù)優(yōu)化、征信修復(fù)2025年上半年數(shù)據(jù)顯示，惡意貸款主要涉及職業(yè)背債、債務(wù)優(yōu)化、征信修復(fù)、違規(guī)提額、融車欺詐、材料造假等超過9類欺詐行為，其中職業(yè)背債占比高達(dá)50%，居首位，成為黑產(chǎn)核心攻擊手段；債務(wù)優(yōu)化、征信修復(fù)分別位列第二、第三位，相關(guān)代理投訴類業(yè)務(wù)依然保持較高活躍度。注意：債務(wù)優(yōu)化包含：反催收、代理維權(quán)、代理投訴、退息退費(fèi)等債務(wù)處理場景。（1）職業(yè)背債熱度上升、已成為黑灰產(chǎn)常規(guī)主營業(yè)務(wù)2025年上半年捕獲“背債”相關(guān)攻擊情報(bào)呈上升趨勢，背債熱度上升，2025年上半年較2024年下半年增長65%，職業(yè)背債已成為黑灰產(chǎn)常規(guī)主營業(yè)務(wù)，傳播面越來越大。（2）2025年上半年背債地區(qū)熱度TOP3省份：廣東、山東、四川威脅獵人情報(bào)數(shù)據(jù)顯示，2025年上半年“背債”相關(guān)的貸款欺詐，活躍熱度TOP3的省份（含直轄市）是廣東、山東、四川。（3）2025年上半年背債城市熱度TOP3：重慶、上海、成都威脅獵人情報(bào)數(shù)據(jù)顯示，2025年上半年“背債”相關(guān)的貸款欺詐，活躍熱度TOP3的城市（含直轄市）是重慶、上海、成都。（4）職業(yè)背債多角色產(chǎn)業(yè)鏈解析當(dāng)前背債黑產(chǎn)鏈條已形成精密的分工體系，從資質(zhì)包裝、騙貸操作到債務(wù)轉(zhuǎn)移均呈現(xiàn)高度專業(yè)化特征。背債類黑產(chǎn)角色主要分為上游資源層、中游黑產(chǎn)、下游中介、假材料制作黑產(chǎn)四個(gè)角色，加上內(nèi)外勾結(jié)的“內(nèi)鬼”和背債人，形成一個(gè)多方參與且分工明確、環(huán)環(huán)相扣的非法利益鏈條。（5）企業(yè)貸成背債最大風(fēng)險(xiǎn)點(diǎn)威脅獵人針對背債風(fēng)險(xiǎn)場景深入調(diào)研發(fā)現(xiàn)，房貸、信貸、車貸和企業(yè)貸呈現(xiàn)出差異化的風(fēng)險(xiǎn)特征：車貸因資產(chǎn)易變現(xiàn)、處置鏈條短，風(fēng)險(xiǎn)暴露迅速且欺詐特征明顯；房貸憑借抵押物增信和處置周期長的特性，風(fēng)險(xiǎn)具有較強(qiáng)隱蔽性；企業(yè)貸則因“先息后本、“無本續(xù)貸”等還款方式，風(fēng)險(xiǎn)呈現(xiàn)明顯滯后性，往往積累至集中爆發(fā)階段才顯現(xiàn)。黑產(chǎn)當(dāng)前的背債搭配模式主要為組合式搭配，如常見的房信企、房企、信企、車企、房信車企等組合模式，不同的騙貸搭配模式取決于背債人的基本情況及黑產(chǎn)的渠道資源好壞。以下是房貸、信貸、車貸、企業(yè)貸四類貸款場景中，職業(yè)背債黑產(chǎn)的核心操作環(huán)節(jié)及風(fēng)險(xiǎn)特征的專項(xiàng)分析，其中企業(yè)貸在背債環(huán)節(jié)中至關(guān)重要，成為當(dāng)前職業(yè)背債風(fēng)險(xiǎn)場景下，金融機(jī)構(gòu)面臨最大風(fēng)險(xiǎn)點(diǎn)。背債環(huán)節(jié)重要性，是指某一貸款場景在黑灰產(chǎn)背債鏈條中所處的功能與被利用頻率，綜合反映其對整條鏈條成敗的影響程度。重要性越高，說明該環(huán)節(jié)在鏈條中越關(guān)鍵，既可能是黑產(chǎn)套利的主要資金來源，也可能是資產(chǎn)增信關(guān)鍵點(diǎn)。對于金融機(jī)構(gòu)來說，重要性高的貸款產(chǎn)品通常面臨更高的欺詐攻擊頻率與更復(fù)雜的操控路徑，反映出可被利用的業(yè)務(wù)漏洞更多，防控難度與風(fēng)控壓力也更大。（1）2025年上半年購車欺詐風(fēng)險(xiǎn)有所波動，2025年上半年比較2024年下半年下降10%（2）2025年上半年購車欺詐風(fēng)險(xiǎn)地區(qū)TOP3：廣東、山東、河北2025年上半年購車欺詐風(fēng)險(xiǎn)地區(qū)最高的是廣東省，且遠(yuǎn)高于其他省份。經(jīng)深度分析，廣東省購車欺詐風(fēng)險(xiǎn)高主要源于新型融車套現(xiàn)模式的區(qū)域性泛濫，而這類模式在其他地區(qū)較少應(yīng)用。該模式具有兩個(gè)顯著特征：一是精準(zhǔn)篩選具有真實(shí)購車資質(zhì)（征信良好、收入穩(wěn)定）且存在資金需求的用戶；二是以"重真實(shí)資質(zhì)、輕包裝造假"的手法提升隱蔽性。（3）2025年上半年購車欺詐風(fēng)險(xiǎn)城市TOP3：深圳、重慶、廣州（4）購車欺詐黑產(chǎn)鏈解析購車欺詐已形成一套分工明確、流程清晰、環(huán)環(huán)相扣的黑產(chǎn)運(yùn)作模式。黑產(chǎn)從篩選目標(biāo)人群、招募客戶貸款購車、迅速變現(xiàn)車輛，已構(gòu)建出完整的黑產(chǎn)操作鏈條，呈現(xiàn)出高度組織化與成熟化特征。（5）車貸黑產(chǎn)模式固化但風(fēng)險(xiǎn)持續(xù)高位車貸業(yè)務(wù)中存在包括融車套現(xiàn)、傳銷購車、頂名車、買車包活等在內(nèi)的多類風(fēng)險(xiǎn)。其中，融車套現(xiàn)風(fēng)險(xiǎn)構(gòu)成最突出的威脅。以下為車貸場景各欺詐風(fēng)險(xiǎn)模式的風(fēng)險(xiǎn)表現(xiàn)：（1）2025年上半年房貸欺詐風(fēng)險(xiǎn)持續(xù)增長，2025年上半年比2024年下半年增長63%（2）2025年上半年房貸欺詐風(fēng)險(xiǎn)地區(qū)TOP3：山東、四川、江蘇（3）2025年上半年房貸欺詐風(fēng)險(xiǎn)城市TOP3：重慶、上海、成都（4）房貸欺詐風(fēng)險(xiǎn)類型在購房欺詐風(fēng)險(xiǎn)場景中，風(fēng)險(xiǎn)集中于兩大核心欺詐類型。其一為購房按揭貸款欺詐，購房者以非真實(shí)居住需求購房，根本目的為融房套現(xiàn)或作為背債增信資產(chǎn)；其二為房產(chǎn)抵押貸欺詐，如常見的經(jīng)營性抵押貸款轉(zhuǎn)貸換貸、背債融資等。在這兩類房貸場景中，實(shí)際申請貸款者均面臨較大資金缺口，特別是融房及背債的用戶自身既無償還貸款的能力，也無還款的意愿，風(fēng)險(xiǎn)直接轉(zhuǎn)嫁給了銀行機(jī)構(gòu)，使得銀行機(jī)構(gòu)直接面臨風(fēng)險(xiǎn)沖擊。3.3電信網(wǎng)絡(luò)詐騙場景分析2025年上半年，威脅獵人風(fēng)險(xiǎn)情報(bào)平臺監(jiān)測到電信網(wǎng)絡(luò)詐騙相關(guān)情報(bào)51萬條，環(huán)比2024年下半年下降27.39%。但并非電詐退潮，而是多重因素疊加導(dǎo)致的階段性“表象”：如各類社交、短視頻平臺打擊涉詐話術(shù)、好旺擔(dān)保等大型團(tuán)伙被端、部分傳播渠道切換至加密平臺等。與此同時(shí)，黑灰產(chǎn)活躍群數(shù)量和涉詐賬號規(guī)模仍在上升，表明電詐生態(tài)正加速向更隱蔽、更垂直的方向演化。2025年上半年，威脅獵人風(fēng)險(xiǎn)情報(bào)平臺共監(jiān)測到活躍作惡社交群組約2.9萬個(gè)，環(huán)比2024年下半年上升2.46%，月均活躍群數(shù)穩(wěn)定在約5000個(gè)。在活躍群聊渠道中，以匿名群聊和社交群聊為主要大量級用戶群的社媒平臺，黑灰產(chǎn)持續(xù)依托社交平臺進(jìn)行組織化作案，涵蓋推廣仿冒鏈接、分發(fā)話術(shù)包、發(fā)布釣魚頁面等非法行為。2025年上半年，威脅獵人風(fēng)險(xiǎn)情報(bào)平臺監(jiān)測到涉及作惡黑產(chǎn)4萬個(gè)賬號，環(huán)比2024年下半年上升7.61%，在持續(xù)打擊下，黑灰產(chǎn)通過分散化、多賬號操控等手段提升存活率，作惡行為反而更加隱蔽高頻。隨著支付系統(tǒng)和身份驗(yàn)證機(jī)制日趨智能化，黑灰產(chǎn)詐騙手法也在悄然升級。相比過去的“騙你點(diǎn)鏈接、輸密碼”，如今的不法分子更傾向于繞過你的感知與判斷，用技術(shù)流程引導(dǎo)你“配合完成”或“被動失控”地完成支付操作。2025年上半年，威脅獵人風(fēng)險(xiǎn)情報(bào)平臺監(jiān)測到三類典型的新型詐騙手法正在廣泛傳播，它們構(gòu)成了當(dāng)下“無感盜刷”的三大模式：1.利用NFC技術(shù)實(shí)現(xiàn)遠(yuǎn)程傳卡:本質(zhì)上是利用通信技術(shù)突破物理驗(yàn)證場景，實(shí)現(xiàn)非接觸式盜刷，用戶并不知卡片信息已被“復(fù)制”。2.企業(yè)代付騙局：利用驗(yàn)證漏洞操控支付流程：利用身份驗(yàn)證流程中的邏輯漏洞，繞過支付意圖確認(rèn)，讓用戶在“以為別人付款”的場景下，完成真實(shí)扣款。3.仿冒App偽裝詐騙：本質(zhì)是利用仿冒官方權(quán)威形象偽裝可信環(huán)境，誘導(dǎo)用戶主動交出資金或信息。（1）濫用NFC免密，誘導(dǎo)“主動貼卡”，異地盜刷2025年上半年，威脅獵人監(jiān)測到多起涉及NFC盜刷的詐騙事件。犯罪分子利用“遠(yuǎn)程傳卡”技術(shù)，誘導(dǎo)受害人將銀行卡貼近手機(jī)，盜取NFC數(shù)據(jù)后遠(yuǎn)程仿真卡片，在境外或其他設(shè)備上完成盜刷，整個(gè)過程無需用戶輸入密碼，即使卡未脫離本人掌控，仍可能被盜刷。典型詐騙流程：1.冒充銀行或金融平臺客服詐騙者通過電話、短信、社交平臺等方式，冒充銀行風(fēng)控人員，聲稱“你名下銀行卡存在異常交易”，要求立即進(jìn)行安全驗(yàn)證。2.引導(dǎo)安裝偽裝App受害人被要求下載一個(gè)名為“賬戶安全助手”或“NFC驗(yàn)證中心”的App。該App仿冒正規(guī)銀行界面，實(shí)則內(nèi)嵌了NFC讀卡模塊和數(shù)據(jù)上傳接口。3.誘導(dǎo)貼卡讀取信息騙子指導(dǎo)用戶“將銀行卡貼近手機(jī)背面，配合完成芯片驗(yàn)證”，實(shí)則是誘導(dǎo)用戶主動將卡片信息通過NFC方式上傳給詐騙團(tuán)伙。4.遠(yuǎn)程仿真盜刷詐騙團(tuán)伙使用另一部支持NFC卡模擬的手機(jī)，在POS機(jī)上完成盜刷交易，等同于擁有一張“你本人的銀行卡”。5.快速資金轉(zhuǎn)移成功交易后，資金迅速被轉(zhuǎn)入多個(gè)賬戶或用于虛擬幣交易，受害人往往在數(shù)小時(shí)后才發(fā)現(xiàn)銀行卡被盜刷。（2）“企業(yè)代付”被黑產(chǎn)濫用為支付引流入口，平臺驗(yàn)證機(jī)制成漏洞入口“企業(yè)代付”、“公司福利”、“免費(fèi)充值”……看似是好事，其實(shí)正是騙子設(shè)下的“自掏腰包”陷阱。2025年上半年，威脅獵人監(jiān)測到一類以“企業(yè)代付”為幌子的新型詐騙正加速擴(kuò)散。騙子偽裝成平臺客服、運(yùn)營人員，打著企業(yè)補(bǔ)貼、員工福利的旗號，引導(dǎo)用戶進(jìn)入支付流程，并借助平臺支付驗(yàn)證機(jī)制中的漏洞——如刷臉驗(yàn)證、快捷支付、免密授權(quán)等環(huán)節(jié)默認(rèn)觸發(fā)支付而非確認(rèn)操作，最終讓用戶在未察覺自身正在執(zhí)行真實(shí)支付操作的情況下完成扣款，等發(fā)現(xiàn)資金異常流出時(shí)，才意識到所謂“企業(yè)代付”根本不存在。典型詐騙流程：1.福利引流，放長線釣魚騙子在QQ群、微信群、短視頻評論區(qū)發(fā)布“企業(yè)贈送會員”、“手機(jī)充值補(bǔ)貼”等廣告，吸引用戶添加他們的微信號或私信賬號。2.偽裝企業(yè)代付，引導(dǎo)充值騙子偽裝成客服、運(yùn)營，稱“為了匹配企業(yè)賬戶，需要你配合測試支付流程”，誘導(dǎo)用戶進(jìn)入某支付App的“手機(jī)充值”、“優(yōu)惠券領(lǐng)取”、“訂單付款”等頁面。3.誘導(dǎo)點(diǎn)擊驗(yàn)證，實(shí)為觸發(fā)支付騙子可能以“流程驗(yàn)證”、“支付測試”為由，引導(dǎo)你反復(fù)輸入錯(cuò)誤密碼、刷臉認(rèn)證，或讓你在App中點(diǎn)擊“免密開通”、“快捷支付模擬”等按鈕。你以為只是配合操作，但由于平臺驗(yàn)證流程存在漏洞，這些動作實(shí)際上觸發(fā)了真實(shí)的扣款行為，導(dǎo)致資金在你毫不知情的情況下被轉(zhuǎn)走。4.無感盜刷完成轉(zhuǎn)賬在某些支付平臺或舊版客戶端中，只要人臉識別成功、點(diǎn)擊動作完成，系統(tǒng)便會默認(rèn)執(zhí)行支付操作，而沒有彈窗確認(rèn)或密碼環(huán)節(jié)。5.盜刷完成，資金立刻被轉(zhuǎn)移用戶毫無察覺地完成了支付，付款對象是騙子控制的賬戶，隨后資金被迅速轉(zhuǎn)出或通過虛擬幣平臺洗出，受害者往往在事后查看賬單才發(fā)現(xiàn)異常。（3）仿冒App包裝成正規(guī)平臺，騙你一步步走進(jìn)支付陷阱在網(wǎng)絡(luò)詐騙持續(xù)演化的趨勢下，“仿冒”已經(jīng)成為黑灰產(chǎn)高頻使用的關(guān)鍵手段之一。從仿冒銀行、快遞、政務(wù)App，到仿冒成人商城、社交平臺、內(nèi)部商城，詐騙者通過高度擬真的偽裝界面和誘導(dǎo)話術(shù)，讓用戶在不知情中主動交出錢財(cái)、權(quán)限甚至隱私。仿真平臺+情緒誘導(dǎo)：2025年高發(fā)仿冒詐騙類型一覽典型案例剖析：仿冒商城引發(fā)的“代付詐騙”詐騙流程如下：1.感情養(yǎng)成，引導(dǎo)信任黑產(chǎn)組織代聊人員在交友平臺）注冊女性賬號，通過長時(shí)間聊天與受害人建立“線上戀愛”關(guān)系，穩(wěn)定后引導(dǎo)“男方”履行“情侶義務(wù)”，提出買奶茶、水果、飯菜、藥品等小額需求。2.下單仿冒商城，生成代付鏈接代聊人員進(jìn)入黑產(chǎn)提供的仿冒電商平臺，平臺頁面幾乎完全復(fù)刻某知名電商外賣首頁，支持選擇商品分類（如鮮花、水果、奶茶、藥品等填寫虛假收貨地址后生成“代付鏈接”或代付二維碼。3.代付流程掩蓋真實(shí)收款人用戶掃碼后看到的是一個(gè)幾乎完全正常的“商品付款頁”，由于使用微信代付功能，付款人無法看到收貨地址或收款人，僅看到商品名稱和金額，極易誤判為真實(shí)平臺請求。4.風(fēng)控繞過與多次轉(zhuǎn)發(fā)技巧黑產(chǎn)操作人員通常先將鏈接發(fā)至自己的微信小號測試有無風(fēng)險(xiǎn)提示，若無異常再轉(zhuǎn)發(fā)給受害人，確保詐騙操作不被微信風(fēng)控?cái)r截。5.支付完成即為詐騙成功一旦代付成功，平臺顯示“已付款”，但商品從未真正配送，收款方為黑產(chǎn)賬戶。用戶常因金額較小、對方態(tài)度親密而不疑有他，甚至多次幫對方代付。3.4釣魚仿冒場景分析2025年上半年，威脅獵人共捕獲66855起釣魚仿冒風(fēng)險(xiǎn)情報(bào)，相較于2024年下半年的20968起，呈暴增趨勢，總量超3倍。這一爆炸式增長的背后，是攻擊模式的系統(tǒng)性升級：傳統(tǒng)的釣魚攻擊依然是“基本盤”，但以社交媒體為流量入口、以商品侵權(quán)為變現(xiàn)手段的新型攻擊鏈條，正表現(xiàn)出強(qiáng)勁的增長勢頭，成為威脅情報(bào)增量的核心因素。商品侵權(quán)：指攻擊者在各大電商平臺中，公開售賣侵犯企業(yè)知識產(chǎn)權(quán)的商品。在本報(bào)告的語境下，它主要涵蓋游戲私服的初始號、盜版軟件激活碼、破解賬號等虛擬商品，是黑灰產(chǎn)將流量轉(zhuǎn)化為收入的關(guān)鍵環(huán)節(jié)。仿冒網(wǎng)站：指攻擊者創(chuàng)建的、在外觀和域名上與官方網(wǎng)站高度相似的虛假網(wǎng)站。其主要目的是誘騙用戶輸入賬號密碼、個(gè)人身份信息、銀行卡或支付信息等敏感數(shù)據(jù)，是網(wǎng)絡(luò)釣魚攻擊中最直接、最常見的手段。仿冒社交媒體：指攻擊者在社交平臺、短視頻平臺等渠道上，注冊并運(yùn)營與官方品牌或個(gè)人形象高度一致的虛假賬號。這些賬號通常通過發(fā)布虛假活動、抽獎信息等內(nèi)容進(jìn)行引流，或直接與用戶私信互動實(shí)施精準(zhǔn)詐騙，是當(dāng)前黑灰產(chǎn)最主要的流量入口和用戶觸達(dá)渠道。仿冒APP：指攻擊者制作的、在圖標(biāo)、名稱和界面設(shè)計(jì)上模仿官方正版應(yīng)用的惡意移動應(yīng)用程序。這些應(yīng)用通常通過第三方下載站、社交群組、短信鏈接等非官方渠道傳播，安裝后可竊取用戶設(shè)備中的敏感信息或植入木馬，是一種危害性極高的攻擊形式。仿冒客服電話：指攻擊者利用虛假號碼或通過改號軟件偽裝成官方客服熱線，主動聯(lián)系用戶。攻擊者通常以“訂單異?！?、“賬戶安全問題”等為由，利用社會工程學(xué)進(jìn)行言語欺詐，誘導(dǎo)用戶提供驗(yàn)證碼、密碼或直接進(jìn)行轉(zhuǎn)賬操作，常用于詐騙的“收割”環(huán)節(jié)。SEO污染：指攻擊者利用搜索引擎優(yōu)化（SEO）技術(shù)，將包含惡意代碼或指向釣魚網(wǎng)站的虛假頁面，優(yōu)化至搜索結(jié)果的前列。當(dāng)用戶搜索特定關(guān)鍵詞（如“XX官方客服”、“XX軟件下載”）時(shí)，會誤入這些陷阱頁面，這是一種通過劫持用戶正常搜索意圖來實(shí)現(xiàn)精準(zhǔn)攻擊的手段。（1）仿冒網(wǎng)站是攻擊的基石、仿冒社媒、商品侵權(quán)增長強(qiáng)勁在整個(gè)上半年，仿冒網(wǎng)站攻擊事件累計(jì)捕獲30155起，占風(fēng)險(xiǎn)情報(bào)總量的45.11%，幾乎為每月保持最高占比的單一風(fēng)險(xiǎn)類型，構(gòu)成了網(wǎng)絡(luò)釣魚攻擊的“底盤”。這表明通過搭建虛假站點(diǎn)來直接竊取用戶賬號、密碼、支付信息等敏感數(shù)據(jù)，依然是攻擊者最常用、最核心的手段。其體量之大，決定了它仍是品牌保護(hù)工作的首要防御陣地。另值得注意的是，與商品侵權(quán)和仿冒社媒相關(guān)的攻擊事件占比分別從3月和4月起有了明顯的占比體現(xiàn)，表現(xiàn)出強(qiáng)勁的增長勢頭。（2）仿冒社媒與商品侵權(quán)呈現(xiàn)“協(xié)同增長”，驅(qū)動攻擊模式變革威脅獵人對游戲行業(yè)的持續(xù)監(jiān)控發(fā)現(xiàn)，大量仿冒官方的社媒賬號，其最終目的并非直接釣魚，而是系統(tǒng)性地將用戶引流至電商平臺，購買私服、外掛等侵權(quán)商品。為完整揭示這條“前端引流、后端變現(xiàn)”的攻擊鏈路，威脅獵人從4月起將“商品侵權(quán)”正式納入監(jiān)控。隨后的數(shù)據(jù)清晰地驗(yàn)證了我們的判斷：作為流量入口的仿冒社媒風(fēng)險(xiǎn)在5月激增至3581起，而作為變現(xiàn)渠道的商品侵權(quán)風(fēng)險(xiǎn)也從4月新納入監(jiān)控的948起，一路上升至6月的1911起。這兩條風(fēng)險(xiǎn)曲線的高度同步，標(biāo)志著一個(gè)以游戲行業(yè)為起點(diǎn)，通過仿冒社媒引流、再以侵權(quán)商品變現(xiàn)的完整產(chǎn)業(yè)鏈攻擊模式，已完全浮出水面。2025年上半年的數(shù)據(jù)顯示，釣魚仿冒風(fēng)險(xiǎn)呈現(xiàn)高度集中的態(tài)勢。其中，泛金融領(lǐng)域是攻擊最集中的重災(zāi)區(qū)，該領(lǐng)域以直接竊取資金為目標(biāo)，包含消費(fèi)金融（28.41%）、電商（28.14%）、支付（8.65%）、銀行（5.46%合計(jì)占比高達(dá)70.66%，而以系統(tǒng)性瓦解商業(yè)模式為核心的游戲行業(yè)，占比為17.01%。綜合來看，泛金融和游戲這兩大領(lǐng)域合計(jì)占比已近九成，構(gòu)成了當(dāng)前釣魚仿冒攻擊的主要戰(zhàn)場。（1）泛金融領(lǐng)域：以資金為核心的直接掠奪生態(tài)泛金融領(lǐng)域（消費(fèi)金融、電商、銀行、支付行業(yè)合計(jì)占比高達(dá)80.6%）因其直接處理海量資金流、支付信息和用戶個(gè)人數(shù)據(jù)，成為網(wǎng)絡(luò)釣魚和詐騙的“天然狩獵場”。攻擊者通過仿冒網(wǎng)站、支付頁面、客服電話等手段，旨在竊取用戶的銀行卡號、密碼、驗(yàn)證碼等關(guān)鍵信息，實(shí)現(xiàn)資金的直接盜取。（2）游戲行業(yè)：以釜底抽薪的方式，系統(tǒng)性瓦解商業(yè)根基游戲行業(yè)的風(fēng)險(xiǎn)則源于完全不同的邏輯，其核心是如私服、外掛等知識產(chǎn)權(quán)侵權(quán)攻擊。攻擊者通過搭建私服直接復(fù)刻官方游戲，不僅侵蝕品牌價(jià)值，更重要的是分流核心付費(fèi)用戶、直接蠶食官方商業(yè)收入。這種攻擊的本質(zhì)，是對目標(biāo)企業(yè)商業(yè)模式的系統(tǒng)性破壞，通過構(gòu)建一個(gè)寄生的灰色產(chǎn)業(yè)鏈，掏空正版游戲的收入基礎(chǔ)，縮短其生命周期。新范式（1）產(chǎn)業(yè)鏈結(jié)構(gòu)：從技術(shù)源頭到矩陣式分發(fā)游戲私服的猖獗，已從過去的“小作坊”演變?yōu)橐粋€(gè)分工明確、多平臺聯(lián)動、自動化運(yùn)作的黑灰產(chǎn)帝國。其核心不再是單一的推廣鏈接，而是一個(gè)精心設(shè)計(jì)的、層層遞進(jìn)的“引流矩陣”：上游-技術(shù)源頭：由匿名的技術(shù)團(tuán)隊(duì)負(fù)責(zé)破解官方源碼、搭建私服，并通過Telegram等加密渠道發(fā)布。這是整個(gè)黑產(chǎn)的“軍火庫”，是傳統(tǒng)打擊方式的難點(diǎn)。中游-渠道分發(fā)：由專業(yè)的運(yùn)營團(tuán)隊(duì)建立大量私服下載網(wǎng)站，并發(fā)展金字塔式的下線代理網(wǎng)絡(luò)，構(gòu)建起一個(gè)覆蓋全網(wǎng)的、極具韌性的矩陣化分發(fā)渠道，封堵單一節(jié)點(diǎn)無法動搖其根本。下游-引流轉(zhuǎn)化：由數(shù)量龐大的代理商執(zhí)行，負(fù)責(zé)將公域流量精準(zhǔn)地轉(zhuǎn)化為私域用戶，是整個(gè)體系中最為活躍和龐大的一環(huán)。（2）核心運(yùn)作：“引流-篩選-轉(zhuǎn)化”的精準(zhǔn)漏斗下游的引流轉(zhuǎn)化遵循一套標(biāo)準(zhǔn)化的三步曲，每一步都經(jīng)過精心設(shè)計(jì)：初步引流(社媒曝光)：代理商注冊大量賬號，發(fā)布私服相關(guān)的“內(nèi)部福利”、“高爆率”等誘惑性內(nèi)容，進(jìn)行廣泛曝光，吸引潛在玩家的注意。一般有兩種引流方法，一是在圖文社媒平臺發(fā)帖引流，二是在視頻平臺直播引流。深度引流(電商篩選)：這是整個(gè)攻擊鏈條中最關(guān)鍵的樞紐。攻擊者不會在社媒直接提供下載鏈接，而是引導(dǎo)用戶去電商平臺，購買價(jià)格僅為幾元的“初始號”或“資源包”。此舉一箭雙雕：l篩選高價(jià)值目標(biāo)：付費(fèi)行為本身就是一次高效的“意向篩選”，能從海量用戶中精準(zhǔn)識別出未來可能進(jìn)行大額充值的“潛在金主”。l規(guī)避平臺封禁：相較于直接在社媒發(fā)布私服網(wǎng)站或私服APP，這種“電商引流”模式更加隱蔽。因?yàn)楣粽甙l(fā)布的引流內(nèi)容（如游戲攻略、福利領(lǐng)取等）本身不包含直接的違規(guī)信息，而是“既模糊又清晰”地引導(dǎo)用戶至電商平臺完成一個(gè)看似正常的交易。這使得游戲官方難以僅憑社媒內(nèi)容進(jìn)行有效投訴和封禁，從而極大地延長了整個(gè)攻擊鏈路的存活時(shí)間。l最終轉(zhuǎn)化(私域沉淀)：用戶購買后，通過客服引導(dǎo)或自動發(fā)貨被拉入QQ群、微信群等私域社群。至此，黑產(chǎn)完成了從公域流量到私域資產(chǎn)的沉淀。在這個(gè)封閉的環(huán)境中，后續(xù)的大額充值、策反核心付費(fèi)玩家等行為將完全脫離監(jiān)管，品牌方不僅損失了收入，更永久性地失去了核心用戶。（3）商業(yè)閉環(huán)：高額分成與匿名結(jié)算驅(qū)動的病毒式擴(kuò)張這套體系能病毒式擴(kuò)張，其核心驅(qū)動力在于其商業(yè)模式。威脅獵人獨(dú)家情報(bào)顯示，某私服代理商能獲得高達(dá)46%的玩家充值返傭，并通過USDT（泰達(dá)幣）等加密貨幣進(jìn)行結(jié)算。這套“高傭金+匿名結(jié)算”的模式，極大地激勵(lì)了下游代理商的擴(kuò)張，同時(shí)也給追溯和打擊帶來了巨大挑戰(zhàn)。3.5數(shù)據(jù)泄露場景分析據(jù)威脅獵人數(shù)據(jù)泄露風(fēng)險(xiǎn)監(jiān)測平臺數(shù)據(jù)顯示，2025年1月至6月期間，全網(wǎng)共監(jiān)測到1.8億條情報(bào)線索。經(jīng)真實(shí)性驗(yàn)證引擎與DRRC人工分析，其中確認(rèn)為有效的數(shù)據(jù)泄露事件共計(jì)57,092起，較2024年下半年上升1.54%。從上半年的數(shù)據(jù)泄露事件量的變化趨勢來看，顯示出了明顯的異常波動，1-3月呈上升趨勢，4、5月起攻擊事件量連續(xù)下滑，6月出現(xiàn)明顯回升。威脅獵人發(fā)現(xiàn)，這一波動與Telegram平臺于2025年4月啟動針對非法團(tuán)伙的“封群行動”或存在強(qiáng)關(guān)聯(lián)。該行動導(dǎo)致大量非法數(shù)據(jù)交易群被封禁，黑產(chǎn)交易渠道受阻，或直接導(dǎo)致數(shù)據(jù)泄露事件量下降。從威脅獵人捕獲數(shù)據(jù)分析發(fā)現(xiàn)：活躍的非法數(shù)據(jù)交易團(tuán)伙數(shù)量從3月的1,943個(gè)減少至4月的1,477個(gè)，降幅達(dá)23.98%；進(jìn)一步分析發(fā)現(xiàn)，3月活躍的團(tuán)伙中有33.71%在4月疑似遭遇封禁。與此對應(yīng)的是，我方2025年4月監(jiān)測到的數(shù)據(jù)泄露事件為9,085起，環(huán)比下降29.93%。然而，由于Telegram平臺的封禁難以徹底，且非法團(tuán)伙具備極強(qiáng)的“再生能力”，大量新群或替代群在短時(shí)間內(nèi)重新活躍，推動了2025年6月數(shù)據(jù)泄露事件數(shù)量重新回升。從行業(yè)分布來看，2025年上半年全網(wǎng)數(shù)據(jù)泄露事件共涉及76個(gè)行業(yè)，TOP3行業(yè)是電商、消費(fèi)金融、銀行。其中，以電商、金融為代表的高敏感度、高變現(xiàn)率行業(yè)，仍然是數(shù)據(jù)泄露的重災(zāi)區(qū)。（1）好旺擔(dān)保遭遇重創(chuàng)停運(yùn)、短暫影響黑產(chǎn)數(shù)據(jù)泄露交易在非法數(shù)據(jù)交易市場中，數(shù)據(jù)供給端和需求端都高度活躍，形成了強(qiáng)烈的供需關(guān)系，也催生了完整的黑產(chǎn)交易鏈條。然而，由于交易本身存在高風(fēng)險(xiǎn)與高不確定性，買賣雙方難以建立直接信任關(guān)系，擔(dān)保群組作為中立“第三方擔(dān)保人”機(jī)制應(yīng)運(yùn)而生。其中，“好旺擔(dān)?！保ㄇ吧頌椤皡R旺擔(dān)?！保┰L期活躍于Telegram等匿名社交平臺，憑借第三方信用中介服務(wù)，成為數(shù)據(jù)交易、詐騙、洗錢等黑產(chǎn)活動的核心擔(dān)保平臺，在2025年上半年及以前處于市場主導(dǎo)地位，以近一年事件數(shù)據(jù)來看，由其進(jìn)行擔(dān)保的數(shù)據(jù)泄露交易事件量占比高達(dá)74.26%。然而，在2025年5月，好旺擔(dān)保遭遇重創(chuàng)。l5月1日，美國金融犯罪執(zhí)法網(wǎng)絡(luò)（FinCEN）將其母公司Huione集團(tuán)（匯旺）列為“首要洗錢關(guān)注”機(jī)構(gòu)，切斷其國際金融通道。隨后Telegram官方于5月初集中封禁其交易群組及賬號。l5月9日，好旺官方發(fā)布公告稱“交易員賬號被大量注銷”，至此，其運(yùn)營體系全面崩潰，公群業(yè)務(wù)中斷率達(dá)到100%。威脅獵人監(jiān)測發(fā)現(xiàn)，自“好旺擔(dān)?！蓖＿\(yùn)后，其相關(guān)數(shù)據(jù)泄露事件量從3月的832件直線下降，至6月基本歸零。（2）新?lián)Ｑ杆傺a(bǔ)位，交易快速恢復(fù)運(yùn)轉(zhuǎn)但黑產(chǎn)市場的需求并未消失。“好旺擔(dān)?！钡瓜潞螅浴巴炼箵?dān)?！睘榇淼牡刃缕脚_迅速崛起。數(shù)據(jù)顯示，土豆擔(dān)保涉及的相關(guān)的數(shù)據(jù)泄露事件從4月的12起暴增至6月的358起，增幅接近30倍。黑產(chǎn)生態(tài)中逐漸出現(xiàn)了“擔(dān)保平臺”這一中介角色，中間商的存在不僅撮合交易，還承擔(dān)著托管資金、仲裁糾紛的職能，是整個(gè)黑產(chǎn)交易能夠持續(xù)運(yùn)轉(zhuǎn)的重要支點(diǎn)。正因如此，哪怕某個(gè)平臺被打擊清除，新的中間商也會迅速補(bǔ)位、變換馬甲再次出現(xiàn)，只要交易存在，市場對這類“黑產(chǎn)服務(wù)商”的需求就不會消失，使得他們很難被徹底根除。這一產(chǎn)業(yè)鏈定律在黑產(chǎn)交流傳播的重要渠道源上也同樣奏效。以頭部暗網(wǎng)論壇BF為例，在2025年4月同樣遭打擊，關(guān)停前貢獻(xiàn)暗網(wǎng)渠道近15%數(shù)據(jù)事件。盡管黑產(chǎn)平臺面臨持續(xù)高壓打擊，但數(shù)據(jù)交易的市場需求始終未見減弱。以頭部暗網(wǎng)論壇BF為例，2025年上半年，該平臺依然是全球范圍內(nèi)最主要的數(shù)據(jù)泄露供給節(jié)點(diǎn)之一。BF的案例印證了黑灰產(chǎn)市場的核心規(guī)律：當(dāng)主要交易平臺被打擊時(shí)，用戶和需求會迅速遷移至現(xiàn)有或新興替代品。數(shù)據(jù)交易市場具備極強(qiáng)的適應(yīng)能力，即使頭部平臺被摧毀，黑產(chǎn)從業(yè)者仍能依托其他渠道維持業(yè)務(wù)運(yùn)轉(zhuǎn)。（1）銀行“掃碼申請”貸款信息泄露事件上半年暴增威脅獵人持續(xù)監(jiān)測發(fā)現(xiàn)，在2025年上半年所捕獲的泄露數(shù)據(jù)中，還有另一類名為“銀行掃碼申請料”的貸款信息泄露事件，共計(jì)111起，相較于2024年下半年新增89起，漲幅高達(dá)404.55%。銀行掃碼申請：是指用戶通過掃描銀行客戶經(jīng)理提供的貸款活動二維碼，申請辦理貸款業(yè)務(wù)的信息數(shù)據(jù)。通過深入分析，威脅獵人了解到黑產(chǎn)中所稱的“掃碼申請隔夜”數(shù)據(jù)，其主要集中在銀行“貸款”業(yè)務(wù)上。主要包含貸款用戶的手機(jī)號、城市地區(qū)以及申請貸款審批結(jié)果等信息；同時(shí)，根據(jù)黑產(chǎn)提供的銀行貸款平臺篩選上來看，共超過80家銀行貸款業(yè)務(wù)，基本上以地方性銀行或商業(yè)銀行為主。（2）銀行“掃碼申請”貸款信息泄露：第三方金融科技公司營銷工具成核心風(fēng)險(xiǎn)點(diǎn)威脅獵人通過對泄露數(shù)據(jù)涉及到的銀行二維碼進(jìn)行分析溯源，發(fā)現(xiàn)其均指向同一家知名金融科技服務(wù)商開發(fā)的“xx營銷助手”平臺。結(jié)合黑產(chǎn)發(fā)布的銀行貸款平臺名單來看，可以確認(rèn)影響范圍超過80家銀行機(jī)構(gòu)。基于該類相關(guān)事件涉及多家銀行，根據(jù)威脅獵人針對具體細(xì)節(jié)進(jìn)行深入還原發(fā)現(xiàn)：1.用戶在申請貸款的過程中，是通過掃描銀行客戶經(jīng)理所提供的貸款業(yè)務(wù)活動二維碼進(jìn)行辦理；2.這一類銀行貸款業(yè)務(wù)的二維碼信息攜帶著客戶經(jīng)理信息，去跳轉(zhuǎn)到銀行官方的小程序上；3.然后用戶在銀行官方小程序具體的貸款業(yè)務(wù)上操作提交貸款申請。威脅獵人了解到客戶經(jīng)理所提供的貸款二維碼信息，實(shí)際上是通過第三方金融科技公司開發(fā)的銷售工具進(jìn)行制作的（由于該工具頁面較為敏感，此處不做具體展示）。威脅獵人針對該第三方金融科技公司進(jìn)行分析后發(fā)現(xiàn)，該公司不僅為銀行提供應(yīng)用系統(tǒng)軟件開發(fā)，還提供智能風(fēng)控策略。針對不同資質(zhì)的貸款用戶提供不同的風(fēng)控策略，用于配合銀行客戶經(jīng)理進(jìn)行跟進(jìn)，主要為銀行提供業(yè)務(wù)數(shù)字化，推動銀行貸款業(yè)務(wù)發(fā)展。用戶在銀行官方小程序提交地貸款申請后，銀行會將用戶相關(guān)信息同步至銷售工具上，便于銀行客戶經(jīng)理業(yè)績統(tǒng)計(jì)以及跟進(jìn)，與此同時(shí)也帶來了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。據(jù)威脅獵人針對黑產(chǎn)發(fā)布的信息進(jìn)行跟進(jìn)以及分析后發(fā)現(xiàn)，在此類型事件開始宣傳時(shí)，黑產(chǎn)聲稱，數(shù)據(jù)是來源于“內(nèi)鬼”，即內(nèi)部員工泄露的。結(jié)合上文