22威脅獵人ThreatHunter（深圳永安在線科技有限公司）成立于2017年，以黑灰產(chǎn)情報(bào)能力和反欺詐技術(shù)為核心，專注于及時(shí)、精準(zhǔn)、有效的業(yè)務(wù)欺詐風(fēng)險(xiǎn)的發(fā)現(xiàn)和響應(yīng)。公司圍繞不同行業(yè)在數(shù)字化發(fā)展過(guò)程中面臨的業(yè)務(wù)欺詐、數(shù)據(jù)泄露、釣魚仿冒、API攻擊等風(fēng)險(xiǎn)場(chǎng)景，提供成熟多樣的產(chǎn)品與服務(wù)，并多次入選Gartner技術(shù)成熟度曲線報(bào)告、IDC威脅情報(bào)領(lǐng)域代表廠商。公司總部在深圳，在北京、上海、重慶、新加坡等地設(shè)有分公司，并在深圳和重慶兩地建立數(shù)字風(fēng)險(xiǎn)應(yīng)急響應(yīng)中心（DRRC為客戶提供7*24小時(shí)全天候數(shù)字風(fēng)險(xiǎn)應(yīng)急響應(yīng)和及時(shí)、優(yōu)質(zhì)的服務(wù)支持。截至目前，公司已為金融、政務(wù)、物流、互聯(lián)網(wǎng)、科技、零售等行業(yè)的300多家客戶提供安全服務(wù)，覆蓋85%頭部互聯(lián)網(wǎng)企業(yè)，每年幫助客戶減少數(shù)十億資金損失。aa前言 4一、2025年互聯(lián)網(wǎng)黑灰產(chǎn)攻擊資源分析 61.12025年作惡手機(jī)號(hào)資源分析 1.22025年作惡IP資源分析 201.32025年網(wǎng)絡(luò)洗錢資源分析 1.42025年風(fēng)險(xiǎn)郵箱資源分析 二、2025年黑產(chǎn)通用型攻擊技術(shù)分析 2.1手機(jī)端智能體的安全圍欄與越權(quán)風(fēng)險(xiǎn) 2.2AI換臉技術(shù)升級(jí)：從“單點(diǎn)工具”到“AI工作流”，黑產(chǎn)攻擊成本呈指數(shù)級(jí)下降 402.3自動(dòng)化工具突破“三色炫光”防線，黑產(chǎn)攻擊門檻降低 45三、2025年黑產(chǎn)攻擊場(chǎng)景分析 3.1業(yè)務(wù)場(chǎng)景分析 3.2金融信貸欺詐分析 3.3釣魚仿冒場(chǎng)景分析 3.4數(shù)據(jù)泄露場(chǎng)景分析 寫在最后： 8744過(guò)去一年，互聯(lián)網(wǎng)黑灰產(chǎn)并未因監(jiān)管趨嚴(yán)而退場(chǎng)，反而在資源結(jié)構(gòu)、作惡方式與技術(shù)路徑上發(fā)生了顯著演化。威脅獵人基于對(duì)黑產(chǎn)情報(bào)體系的持續(xù)監(jiān)測(cè)發(fā)現(xiàn)：2025年，黑灰產(chǎn)正在從“堆資源、拼人力”的傳統(tǒng)模式，轉(zhuǎn)向更隱蔽、更低成本、更接近真實(shí)用戶行為的“類真人化、智能化作惡”階段。報(bào)告內(nèi)容關(guān)鍵點(diǎn)總結(jié)：攻擊資源層面：攔截卡、劫持代理、真人眾包等“更像真人”的資源大規(guī)模替代傳統(tǒng)貓池卡；相較以往高度可識(shí)別的黑資源，這類資源更貼近真實(shí)用戶與真實(shí)設(shè)備形態(tài)，顯著提升了攻擊隱蔽性與存活周期，也加大了溯源與治理難度。攻擊技術(shù)層面：生成式AI與智能體技術(shù)的爆發(fā)，不僅為業(yè)務(wù)創(chuàng)新帶來(lái)了機(jī)遇，也為黑灰產(chǎn)提供了低門檻、高效率的自動(dòng)化作惡工具。同時(shí)，在非AI技術(shù)方面，自動(dòng)化工具突破人臉活體檢測(cè)“三色炫光”防線，傳統(tǒng)的基于顏色匹配的防御策略面臨挑戰(zhàn)在攻擊場(chǎng)景方面，·業(yè)務(wù)欺詐：以高補(bǔ)貼、高流量場(chǎng)景為核心，黑產(chǎn)圍繞營(yíng)銷補(bǔ)貼和業(yè)務(wù)規(guī)則進(jìn)行系統(tǒng)性利用；黑產(chǎn)自動(dòng)化作惡進(jìn)入“智能體階段”?！ば刨J欺詐：職業(yè)背債風(fēng)險(xiǎn)輿情量較2024年增長(zhǎng)168%，從貸款類型來(lái)看，企業(yè)貸欺詐風(fēng)險(xiǎn)、信用貸欺詐風(fēng)險(xiǎn)、房貸欺詐風(fēng)險(xiǎn)位列前三；惡意貸款欺詐風(fēng)險(xiǎn)值廣東風(fēng)險(xiǎn)值遠(yuǎn)超其他地區(qū)?！め烎~仿冒：從傳統(tǒng)的“點(diǎn)鏈接”進(jìn)化為“GEO投毒”認(rèn)知劫持，通過(guò)污染AI搜索引用的高權(quán)重信息源，誘導(dǎo)主動(dòng)尋求幫助的用戶撥打虛假客服電話。·數(shù)據(jù)泄露：泄露風(fēng)險(xiǎn)高度集中于“泛金融”板塊，且黑產(chǎn)已進(jìn)入利用AI模型對(duì)“消金申請(qǐng)”等高價(jià)值數(shù)據(jù)進(jìn)行清洗與質(zhì)量控制以提升詐騙轉(zhuǎn)化率的新階段。面對(duì)不斷演進(jìn)的黑灰產(chǎn)威脅，威脅獵人發(fā)布《2025年互聯(lián)網(wǎng)黑灰產(chǎn)研究報(bào)告》，基于平臺(tái)捕獲的海量風(fēng)險(xiǎn)數(shù)據(jù)和典型案例分析，從攻擊資源、技術(shù)演化、重點(diǎn)場(chǎng)景等維度全景呈現(xiàn)當(dāng)前黑產(chǎn)發(fā)展態(tài)勢(shì)，旨在為各行業(yè)風(fēng)控建設(shè)提供實(shí)戰(zhàn)情報(bào)支持，助力提升對(duì)新型黑產(chǎn)的洞察力與防御力。黑灰產(chǎn)攻擊資源分析55661.12025年作惡手機(jī)號(hào)資源分析1.1.12025年國(guó)內(nèi)作惡手機(jī)號(hào)新增數(shù)量超1100萬(wàn)，較2024年提升據(jù)威脅獵人情報(bào)平臺(tái)數(shù)據(jù)顯示，2025年，國(guó)內(nèi)作惡手機(jī)號(hào)新增量級(jí)超1100萬(wàn)，較2024年提升30.02%。黑產(chǎn)作惡的主要手機(jī)號(hào)資源有兩種類型：黑產(chǎn)作惡的主要手機(jī)號(hào)資源有兩種類型：貓池卡：手機(jī)卡掌握在黑產(chǎn)手中，并插在特殊設(shè)備“貓池”上收發(fā)短信驗(yàn)證碼，屬于傳統(tǒng)接碼手機(jī)號(hào)。攔截卡：手機(jī)卡插在正常人持有的設(shè)備上，設(shè)備存在后門導(dǎo)致短信驗(yàn)證碼被黑產(chǎn)攔截。據(jù)威脅獵人情報(bào)平臺(tái)數(shù)據(jù)顯示，在2025年全年新增國(guó)內(nèi)作惡手機(jī)號(hào)資源中，攔截卡資源占比由2024年的39.5%提升至2025年的69.23%。下文1.1.2和1.1.3將重點(diǎn)分析“貓池卡”和“攔截卡”資源的變化情況。77（1）2025年國(guó)內(nèi)新增貓池卡349萬(wàn)，較2024年下降33.85%據(jù)威脅獵人情報(bào)平臺(tái)數(shù)據(jù)顯示，2025年國(guó)內(nèi)捕獲新增貓池卡349萬(wàn)個(gè)，較2024年下降33.85%。從2025年國(guó)內(nèi)貓池卡數(shù)量的變化趨勢(shì)來(lái)看，自4月起，新增國(guó)內(nèi)貓池手機(jī)卡數(shù)量呈現(xiàn)下滑趨勢(shì)。經(jīng)威脅獵人情報(bào)專家分析，出現(xiàn)這一趨勢(shì)的主要原因是：1、上游黑卡卡商供給收縮88受監(jiān)管打擊影響，多個(gè)卡商機(jī)房關(guān)停、部分卡商被捕，貓池卡整體供給能力明顯收縮，直接導(dǎo)致新增貓池卡數(shù)量下降。威脅獵人監(jiān)控?cái)?shù)據(jù)分析，上海卡商近年躍升為貓池卡供應(yīng)的頭部卡源。2025威脅獵人監(jiān)控?cái)?shù)據(jù)分析，上?？ㄉ探贶S升為貓池卡供應(yīng)的頭部卡源。2025年1—4月期間，上海地區(qū)貓池卡新增數(shù)量持續(xù)上升，并于3月達(dá)到階段性峰值，當(dāng)月來(lái)自上海的新增貓池卡占國(guó)內(nèi)新增總量的23.42%。然而，2025年5月監(jiān)管集中打擊行動(dòng)中，上?？ㄉ淌桩?dāng)其沖受創(chuàng)，多個(gè)機(jī)房關(guān)停、卡商被捕，導(dǎo)致供給端快速收縮，新增貓池卡數(shù)量下降，5月份當(dāng)月國(guó)內(nèi)新增貓池卡中僅有8.32%來(lái)自上海。上海新增黑卡數(shù)量在監(jiān)管打擊期間大幅下降，導(dǎo)致全國(guó)貓池卡整體數(shù)量下滑。992、某主流接碼平臺(tái)停止運(yùn)營(yíng)某主流接碼平臺(tái)在2025年1—9月期間累計(jì)捕獲貓池卡數(shù)量超過(guò)百萬(wàn)，長(zhǎng)期承擔(dān)著黑灰產(chǎn)的重要接碼需求。然而，年內(nèi)該平臺(tái)頻繁出現(xiàn)服務(wù)器波動(dòng)，平臺(tái)穩(wěn)定性顯著下降，導(dǎo)致接碼成功率驟降，黑產(chǎn)日常違規(guī)操作節(jié)奏被持續(xù)干擾；進(jìn)入9月后，該平臺(tái)最終徹底停止運(yùn)營(yíng)；這進(jìn)一步阻斷下游黑卡供給鏈路。（2）2025年國(guó)內(nèi)新增貓池卡歸屬省份TOP3：重慶、上海、廣東，歸屬于重慶地區(qū)的貓池卡新增數(shù)量由2024年第九名上升至2025年第一名威脅獵人對(duì)2025年新增國(guó)內(nèi)貓池卡進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)重慶、上海、廣東三?。ê陛犑校樨埑乜w屬地最多的三個(gè)省份。其中，歸屬地在重慶的貓池卡數(shù)量同比2024年增長(zhǎng)了106.63%，對(duì)比2024年排名上升了8位。威脅獵人關(guān)注到，今年重慶的貓池卡在全年各月均保持較高數(shù)量。威脅獵人研究人員進(jìn)一步分析發(fā)現(xiàn)，重慶地區(qū)新增貓池卡的運(yùn)營(yíng)商分布呈現(xiàn)出明顯的階段性遷移特征。3—6月期間，新增貓池卡主要?dú)w屬于運(yùn)營(yíng)商D，并在6月達(dá)到峰值；而進(jìn)入7月后，其運(yùn)營(yíng)商來(lái)源發(fā)生顯著轉(zhuǎn)移，并快速集中至運(yùn)營(yíng)商A（3）2025年國(guó)內(nèi)新增貓池卡歸屬為三大運(yùn)營(yíng)商的占比為71.77%，比去年降低4.65%威脅獵人情報(bào)數(shù)據(jù)顯示，2025年監(jiān)測(cè)到的新增貓池卡中，其中歸屬于三大運(yùn)營(yíng)商的貓池卡占比為71.77%。（1）2025年國(guó)內(nèi)新增攔截卡786萬(wàn)例，較2024年提升127.77%據(jù)威脅獵人情報(bào)平臺(tái)數(shù)據(jù)顯示，2025年，威脅獵人捕獲的國(guó)內(nèi)新增攔截卡數(shù)量大幅增加，達(dá)786萬(wàn)例，較2024年增長(zhǎng)127.77%。攔截卡熱度暴漲的背后，是越來(lái)越多的企業(yè)加強(qiáng)了傳統(tǒng)接碼手機(jī)號(hào)的風(fēng)控，加上傳統(tǒng)接碼手機(jī)號(hào)數(shù)量逐步下滑，黑產(chǎn)只能轉(zhuǎn)向“更像真人”的攔截卡。對(duì)黑灰產(chǎn)攔截卡供給情況的進(jìn)一步分析顯示：攔截卡是黑產(chǎn)利用特定的“黑卡物料”實(shí)施的作惡行為。號(hào)卡實(shí)體由普通人持有，但用戶所用設(shè)備被黑產(chǎn)或設(shè)備生產(chǎn)廠家植入病毒或后門，導(dǎo)致短信接收權(quán)限被竊取，進(jìn)而使驗(yàn)證碼短信遭劫持。此類設(shè)備多為老人機(jī)、兒童手表等低端設(shè)備。2024年以來(lái)，攔截卡相關(guān)黑產(chǎn)呈現(xiàn)“打擊-收縮-反彈”的循環(huán)態(tài)勢(shì)——平臺(tái)遭受打擊后會(huì)迅速隱匿，待打擊力度減弱后，便快速重啟作惡鏈路，導(dǎo)致該類黑產(chǎn)行為難以從源頭根治。20242024年下半年至2025年上半年，主流攔截卡平臺(tái)持續(xù)受到監(jiān)管力量打擊，導(dǎo)致供卡側(cè)規(guī)模大幅下降。2025年1-4月期間，原本活躍的6個(gè)攔截卡平臺(tái)（供卡渠道）中，僅剩余2個(gè)處于半停滯狀態(tài)；而到了5月下旬，監(jiān)測(cè)發(fā)現(xiàn)新增4個(gè)供卡渠道，此前處于半停滯狀態(tài)的2個(gè)供卡渠道，黑產(chǎn)更換了域名、接碼工具后恢復(fù)活躍。名、接碼工具后恢復(fù)活躍。黑產(chǎn)完成了前期的籌備工作后，在9月份開(kāi)始大批量的供卡，市面上活躍的攔截卡平臺(tái)大幅增加。攔截卡手機(jī)號(hào)與貓池卡的優(yōu)劣勢(shì)對(duì)比：威脅獵人調(diào)研發(fā)現(xiàn)，憑借“真人持卡”的核心特征，黑產(chǎn)在多個(gè)行業(yè)的作惡活動(dòng)中，逐步放棄使用傳統(tǒng)貓池卡，轉(zhuǎn)而使用攔截卡手機(jī)號(hào)進(jìn)行作惡，其與傳統(tǒng)接碼手機(jī)號(hào)的差異如下圖所示。由上述對(duì)比可見(jiàn)，攔截卡具備隱蔽度高，和真人用戶相仿，企業(yè)風(fēng)控難度大的的特點(diǎn)，使得黑產(chǎn)作惡成功率大幅提高，部分黑產(chǎn)致力于尋求高質(zhì)量的攔截卡用于作惡擊。（2）2025年國(guó)內(nèi)新增攔截卡歸屬省份TOP3：廣東、河南、四川針對(duì)2025年捕獲到的國(guó)內(nèi)攔截卡統(tǒng)計(jì)分析發(fā)現(xiàn)，廣東、河南和四川三省為攔截卡歸屬地最多的三個(gè)省份。（3）2025年捕獲的新增攔截卡中，歸屬國(guó)內(nèi)三大運(yùn)營(yíng)商的占比為97.8%威脅獵人情報(bào)數(shù)據(jù)顯示，2025年捕獲新增攔截卡中，歸屬國(guó)內(nèi)三大運(yùn)營(yíng)商的攔截卡占比達(dá)97.8%，而傳統(tǒng)接碼手機(jī)號(hào)歸屬三大運(yùn)營(yíng)商的占比為71.77%，這也是攔截卡區(qū)別于傳統(tǒng)接碼手機(jī)號(hào)更像“真人”的原因之一。威脅獵人通過(guò)對(duì)真人作弊號(hào)碼資源研究發(fā)現(xiàn)，2025年出現(xiàn)多個(gè)真人眾包型的接碼平臺(tái)進(jìn)行作惡，黑產(chǎn)利用真人眾包平臺(tái)進(jìn)行作惡趨勢(shì)上漲。真人作弊是指黑灰產(chǎn)通過(guò)眾包平臺(tái)、私域群組或?qū)ｍ?xiàng)真人作弊是指黑灰產(chǎn)通過(guò)眾包平臺(tái)、私域群組或?qū)ｍ?xiàng)APP等渠道，招募寶媽、學(xué)生等大量真實(shí)兼職用戶，讓這些用戶用自己的真實(shí)賬號(hào)和設(shè)備，完成各類違規(guī)或虛假任務(wù)以賺取傭金這些任務(wù)。常見(jiàn)的有直播間刷人氣、電商平臺(tái)刷單、短視頻刷贊刷評(píng)，還包括惡意舉報(bào)、批量注冊(cè)賬號(hào)、模擬用戶爬取平臺(tái)數(shù)據(jù)等。真人眾包型接碼平臺(tái)以“低門檻兼職、即時(shí)結(jié)算傭金”為誘餌，吸引了大量尋求副業(yè)收入的普通人群注冊(cè)參與，不少參與者在利益驅(qū)動(dòng)下，逐步淪為黑產(chǎn)的“工具人”，涌入平臺(tái)開(kāi)展批量接碼、賬號(hào)注冊(cè)、驗(yàn)證碼倒賣等違規(guī)作惡行為。真人眾包型接碼平臺(tái)樣例：相比傳統(tǒng)貓池卡平臺(tái)與攔截卡平臺(tái)使用專屬接碼工具接碼，這種模式的優(yōu)勢(shì)在于：l更高隱蔽性。使用真人手機(jī)號(hào)能規(guī)避多數(shù)平臺(tái)風(fēng)控監(jiān)測(cè)，令企業(yè)更難以識(shí)別；l使用更便利。黑產(chǎn)只需發(fā)布眾包任務(wù)，無(wú)需批量開(kāi)卡或?qū)ふ铱ㄉ坦┛?；l價(jià)格更便宜。真人作弊無(wú)需額外硬件投入，只需以傭金形式結(jié)算給兼職用戶，且傭金可按任務(wù)完成效果靈活支付，無(wú)需承擔(dān)設(shè)備折舊、卡源失效等隱性損耗。*非中國(guó)大陸地區(qū)：指的是中國(guó)香港、中國(guó)澳門、中國(guó)臺(tái)灣及海外地區(qū)（1）2025年非中國(guó)大陸地區(qū)新增貓池卡2622萬(wàn)，較2024年提升117.81%2025年，威脅獵人加強(qiáng)對(duì)全球作惡手機(jī)號(hào)進(jìn)行的監(jiān)測(cè)，2025年港澳臺(tái)及海外地區(qū)新增貓池卡2622萬(wàn)個(gè)，較2024年上升117.81%。（2）2025年非中國(guó)大陸地區(qū)新增貓池卡歸屬地TOP3：美國(guó)/加拿大、菲律賓、越南威脅獵人情報(bào)數(shù)據(jù)統(tǒng)計(jì)顯示，2025年港澳臺(tái)及海外地區(qū)新增貓池卡歸屬地主要集中在美國(guó)/加拿大、菲律賓和越南。同時(shí)威脅獵人關(guān)注到，黑產(chǎn)針對(duì)美國(guó)/加拿大地區(qū)的接碼服務(wù)，還采用了"鏈接接碼"這種交易模式。區(qū)別于傳統(tǒng)接碼平臺(tái)，“鏈接接碼”的顯著特征為“一對(duì)一”的模式，具體而言，其具備“一號(hào)碼一項(xiàng)目一鏈接”的獨(dú)占性機(jī)制。黑灰產(chǎn)用戶在使用鏈接接碼時(shí)，每一個(gè)手機(jī)號(hào)在接碼每一個(gè)項(xiàng)目時(shí)，都會(huì)分別生成一條專屬的鏈接，并通過(guò)專屬鏈接接收對(duì)應(yīng)項(xiàng)目的驗(yàn)證碼短信。每個(gè)號(hào)碼僅服務(wù)單一項(xiàng)目，每個(gè)鏈接僅展示對(duì)應(yīng)攻擊項(xiàng)目的驗(yàn)證碼。鏈接接碼流程如下：對(duì)黑產(chǎn)來(lái)說(shuō)，鏈接接碼具備更高的隱私性與反溯源能力，其有效規(guī)避了傳統(tǒng)接碼中常見(jiàn)的風(fēng)險(xiǎn)：l一是養(yǎng)號(hào)成果被竊取，傳統(tǒng)接碼通常共享對(duì)接碼或轉(zhuǎn)碼房間，導(dǎo)致號(hào)碼明文或掩碼被其他黑產(chǎn)讀取，已養(yǎng)成的惡意賬戶被劫持；l二是易被監(jiān)管溯源追蹤，卡商通常將鏈接接碼使用的接碼域名設(shè)置為不同于黑產(chǎn)平臺(tái)的域名，或出售給分銷商使用獨(dú)立域名，難以通過(guò)域名溯源到來(lái)源平臺(tái)。1.22025年作惡IP資源分析據(jù)威脅獵人情報(bào)數(shù)據(jù)顯示，近年來(lái)，日活躍作惡IP數(shù)量持續(xù)上升，2025年日活躍作惡IP數(shù)量達(dá)到1498.4萬(wàn)，較2024年增長(zhǎng)27.20%（1）2025年國(guó)內(nèi)作惡IP有8031.6萬(wàn)個(gè)，同比2024年下降0.64%威脅獵人研究發(fā)現(xiàn)，2025年國(guó)內(nèi)惡意行為的作惡IP，其規(guī)模與2024年相比無(wú)顯著波動(dòng)，作惡IP量級(jí)基本維持穩(wěn)定。其中，從作惡ip類型來(lái)看，在經(jīng)歷2024年的快速增長(zhǎng)后，“劫持共用代理”IP在2025年發(fā)展也逐漸趨于穩(wěn)定。數(shù)據(jù)顯示，2025年共捕獲“劫持共用代理”IP數(shù)量超過(guò)4500萬(wàn)個(gè)，占比由2024年的50.77%提升至2025年的57.23%；其規(guī)模與2024年相比無(wú)顯著波動(dòng)劫持共用代理劫持共用代理IP：指被黑產(chǎn)惡意劫持的正常用戶IP資源。黑產(chǎn)通過(guò)在正常用戶設(shè)備中植入木馬，通過(guò)木馬在正常用戶網(wǎng)絡(luò)上建立代理通道，且每次使用時(shí)間很短，因此普通用戶難以感知到自己的IP被盜用。威脅獵人在2024年1月已把這類IP標(biāo)記為“劫持共用代理IP”風(fēng)險(xiǎn)標(biāo)簽。（2）2025年國(guó)內(nèi)作惡IP歸屬省份TOP3：浙江、廣東、江蘇威脅獵人情報(bào)數(shù)據(jù)統(tǒng)計(jì)顯示，2025年國(guó)內(nèi)活躍的作惡IP歸屬省份（含直轄市）主要集中在浙江省、廣東省和江蘇省。監(jiān)測(cè)數(shù)據(jù)顯示，2025年浙江省作惡IP量級(jí)同比增長(zhǎng)14.02%，增長(zhǎng)幅度居國(guó)內(nèi)首位，區(qū)域排名由2024年的第四位躍升至全國(guó)第一；同時(shí)，威脅獵人亦觀察到，劫持類共用代理平臺(tái)中浙江IP占比的也出現(xiàn)了明顯的提升，其占比由此前的5.42%增長(zhǎng)至7.13%；后續(xù)，威脅獵人將持續(xù)對(duì)相關(guān)區(qū)域作惡IP活躍度及代理資源分布變化進(jìn)行監(jiān)測(cè)與跟蹤。（1）2025年捕獲國(guó)外作惡IP1.65億個(gè)，同比2024年增長(zhǎng)9.74%2025年，威脅獵人加強(qiáng)對(duì)海外作惡IP進(jìn)行的監(jiān)測(cè)，2025年共捕獲海外作惡IP1.65億個(gè)，相比2024年提升了9.74%。（2）2025年國(guó)外作惡IP歸屬國(guó)家TOP3：美國(guó)、巴西、印度威脅獵人情報(bào)數(shù)據(jù)統(tǒng)計(jì)顯示，2025年國(guó)外活躍的作惡IP歸屬國(guó)家主要集中在美國(guó)、巴西和印度。監(jiān)測(cè)數(shù)據(jù)顯示，2025年美國(guó)作惡IP量級(jí)的提升幅度最為顯著，較2024年提升80.91%。威脅獵人研究人員分析發(fā)現(xiàn)，該增長(zhǎng)主要與代理資源的變化有關(guān)，具體體現(xiàn)在兩個(gè)方面：一方面，本年度新監(jiān)測(cè)到的代理平臺(tái)，其核心資源均以美國(guó)地區(qū)的IP為主，成為該地區(qū)惡意IP增量的核心貢獻(xiàn)來(lái)源；另一方面，此前一直活躍的海外代理平臺(tái)也在持續(xù)擴(kuò)充代理資源池，監(jiān)控發(fā)現(xiàn)這些平臺(tái)也在大幅度增加美國(guó)地區(qū)代理資源。（3）國(guó)內(nèi)外作惡IP類型占比存在差異，國(guó)外移動(dòng)網(wǎng)絡(luò)占比遠(yuǎn)超國(guó)內(nèi)威脅獵人分析發(fā)現(xiàn)，不同國(guó)家的黑IP作惡資源也存在一定差異：ll國(guó)內(nèi)作惡IP以家庭寬帶為核心類型，占比超90%，主要是因?yàn)閲?guó)內(nèi)作惡的代理IP、秒撥IP、劫持共用代理IP均依托家庭寬帶資源產(chǎn)生；l而國(guó)外作惡IP雖家庭寬帶占比仍居首位，但移動(dòng)網(wǎng)絡(luò)占比超20%以上。1.32025年網(wǎng)絡(luò)洗錢資源分析（1）2025年涉及洗錢的銀行卡中，涉賭卡占比最大，占比68.15%威脅獵人對(duì)2025年全年監(jiān)控到的29萬(wàn)張洗錢銀行卡進(jìn)行分析后發(fā)現(xiàn)，風(fēng)險(xiǎn)類型主要集中在涉賭卡與涉詐卡兩大類。其中涉賭卡占比最高，占比達(dá)到68.15%。涉賭卡：涉賭卡：活躍在賭博平臺(tái)中，為賭博平臺(tái)收款使用的銀行卡，常被用于賭博平臺(tái)進(jìn)行充值收款行為，關(guān)聯(lián)的資產(chǎn)涉及到賭博洗錢行為。威脅獵人通過(guò)人工和自動(dòng)化結(jié)合的方式，從各類賭博平臺(tái)中采集用于收款行為的銀行卡賬號(hào)信息。涉詐卡：在各類匿名社交黑產(chǎn)群聊中，被詐騙團(tuán)伙購(gòu)買用于洗錢的銀行卡，常用于詐騙類黑資金轉(zhuǎn)移。威脅獵人通過(guò)自動(dòng)化的方式，從各大匿名社交黑產(chǎn)群聊中發(fā)送的威脅獵人通過(guò)自動(dòng)化的方式，從各大匿名社交黑產(chǎn)群聊中發(fā)送的記錄中，提取出詐騙團(tuán)伙所使用的銀行卡賬號(hào)信息。（2）2025年洗錢銀行卡中，六大國(guó)有銀行依舊是占比最多的，占比達(dá)到71.29%（3）2025年涉及洗錢的銀行卡歸屬城市中，TOP3城市分別是：重慶、深圳、廣州其中，涉賭卡和涉詐卡在城市分布上呈現(xiàn)下面2個(gè)特點(diǎn)：ll涉賭卡歸屬城市主要集中于重慶、深圳、廣州三地，且量級(jí)顯著高于其他城市。l涉詐卡歸屬城市主要集中在“南方沿海+西南節(jié)點(diǎn)”，呈現(xiàn)雙集中格局。（1）2025年出現(xiàn)黑產(chǎn)假借“優(yōu)化流水”，實(shí)則操縱企業(yè)賬戶洗錢的新手法威脅獵人發(fā)現(xiàn)，黑產(chǎn)團(tuán)伙通過(guò)偽造銀行“貸款審批”材料，誘導(dǎo)企業(yè)配合開(kāi)展所謂的“流水包裝”，實(shí)質(zhì)是利用企業(yè)對(duì)公賬戶實(shí)施洗錢。相關(guān)黑產(chǎn)已形成較為成熟的操作流程和話術(shù)體系，并通過(guò)按既定路徑快速轉(zhuǎn)賬，以掩蓋資金真實(shí)來(lái)源。黑產(chǎn)騙取企業(yè)對(duì)公賬戶并用于洗錢的主要流程如下：l對(duì)公賬戶騙取階段黑產(chǎn)偽裝成金融借貸公司或金融服務(wù)人員，以貸款、融資服務(wù)為名接觸企業(yè)，通過(guò)專業(yè)話術(shù)建立信任，進(jìn)而騙取企業(yè)對(duì)公賬戶信息及操作權(quán)限。l洗錢實(shí)施階段黑產(chǎn)將獲取的對(duì)公賬戶對(duì)接詐騙團(tuán)伙，用于接收詐騙資金。同時(shí)以“刷流水、包裝流水”為由對(duì)企業(yè)法人進(jìn)行話術(shù)安撫，誘導(dǎo)其配合完成多筆資金交易，實(shí)際完成洗錢操作。l洗錢結(jié)束階段洗錢完成后，黑產(chǎn)立即切斷與企業(yè)法人的聯(lián)系。由于其身份信息均為虛假包裝，企業(yè)難以追責(zé)，最終承擔(dān)損失。（2）2025年洗錢對(duì)公賬戶變化趨勢(shì)，環(huán)比2024年基本持平（3）2025年洗錢對(duì)公賬戶所屬銀行中，城市商業(yè)銀行占比36.12%，且連續(xù)三年保持增長(zhǎng)威脅獵人研究發(fā)現(xiàn)，2023年到2025年，洗錢對(duì)公賬戶占比呈現(xiàn)出“從六大行向中小銀行系統(tǒng)性轉(zhuǎn)移”的明顯趨勢(shì)：2023年至2025年，六大國(guó)有銀行的洗錢對(duì)公賬戶占比逐年下降，從34.03%下降至10.78%；與此同時(shí)，城市商業(yè)銀行、農(nóng)村信用社快速上升，合計(jì)占比從29.21%提升至54.34%。這一現(xiàn)象揭示了黑產(chǎn)洗錢活動(dòng)正在將目標(biāo)從監(jiān)管更為嚴(yán)格、獲取成本更高的六大國(guó)有銀行，逐步轉(zhuǎn)向城市商業(yè)銀行和農(nóng)村信用社。這或側(cè)面反映出，相比國(guó)有大行，城市商業(yè)銀行和農(nóng)村信用社的對(duì)公賬戶獲取門檻相對(duì)較低，且在洗錢風(fēng)險(xiǎn)管控方面可能存在一定的薄弱環(huán)節(jié)。（4）2025年洗錢對(duì)公賬戶歸屬省份中，TOP3省份是廣東、山東、江蘇（5）2025年洗錢對(duì)公賬戶歸屬城市中，TOP3城市是深圳、北京、廣州（6）2025年洗錢對(duì)公賬戶歸屬行業(yè)中，TOP3行業(yè)是批發(fā)業(yè)、零售業(yè)、商務(wù)服務(wù)業(yè)“商戶”通常指具有合法營(yíng)業(yè)資格的商戶及商戶賬號(hào)。近年來(lái)，詐騙或洗錢團(tuán)伙開(kāi)始利用商戶賬戶“商戶”通常指具有合法營(yíng)業(yè)資格的商戶及商戶賬號(hào)。近年來(lái)，詐騙或洗錢團(tuán)伙開(kāi)始利用商戶賬戶收取“黑錢”來(lái)洗錢，使用商家資質(zhì)開(kāi)通的收款賬戶基本沒(méi)有收款額度限制，可支持花唄、信用卡等多種付款方式，相比傳統(tǒng)洗錢方式會(huì)更隱蔽和高效。（1）2025年被黑產(chǎn)用來(lái)洗錢的商戶中，黑商戶占比最高，達(dá)到85.87%威脅獵人研究發(fā)現(xiàn)，被黑產(chǎn)用來(lái)洗錢的商戶存在兩種情況，一種是“黑商戶”，一種是“白商戶”。黑商戶：黑產(chǎn)通過(guò)偽造材料、資質(zhì)交易、代辦開(kāi)戶等非法黑商戶：黑產(chǎn)通過(guò)偽造材料、資質(zhì)交易、代辦開(kāi)戶等非法手段，以較低成本繞過(guò)平臺(tái)審核，獲取并控制商戶賬戶。商戶開(kāi)戶成功后被批量出售或租賃給洗錢團(tuán)伙，用于承接和轉(zhuǎn)移非法資金，這些商戶具備明顯的工具化特征。白商戶：黑產(chǎn)通過(guò)線下“掃街”、線上購(gòu)物等方式獲取到的正常商戶收款賬號(hào)，由于商戶本身具備真實(shí)經(jīng)營(yíng)背景，其賬戶普遍具有交易頻次高、資金流水大、支持多種支付方式等特征。黑產(chǎn)通過(guò)看似正常的消費(fèi)行為，將非法資金混入真實(shí)交易流水中，實(shí)現(xiàn)資金掩護(hù)與轉(zhuǎn)化。商戶并未主動(dòng)參與洗錢，但其賬戶客觀上成為非法資金流轉(zhuǎn)的重要通道。（2）2025年商戶洗錢團(tuán)伙保持上升趨勢(shì)，被黑產(chǎn)用來(lái)洗錢的商戶數(shù)量環(huán)比上升91.53%威脅獵人監(jiān)測(cè)顯示，2025年被黑產(chǎn)用于洗錢的商戶賬戶數(shù)量環(huán)比上漲91.53%，整體呈現(xiàn)出顯著的上升趨勢(shì)。該現(xiàn)象表明，商戶賬戶正成為洗錢活動(dòng)中被高頻利用的重要載體。無(wú)論是“黑商戶”還是“白商戶”，增長(zhǎng)趨勢(shì)主要由兩方面因素共同推動(dòng)：商戶賬戶的獲取成本較低，以及商戶交易特征與洗錢資金流轉(zhuǎn)需求高度契合。威脅獵人監(jiān)測(cè)數(shù)據(jù)顯示，2025年，活躍的商戶洗錢團(tuán)伙數(shù)量環(huán)比增長(zhǎng)了89.44%。這一數(shù)據(jù)反映出商戶洗錢風(fēng)險(xiǎn)擴(kuò)張，該模式正在向組織化、規(guī)?；较蜓葑儭＃?）2025年洗錢商戶歸屬省份中，TOP3省份是廣東、浙江、湖北（4）2025年洗錢商戶歸屬城市中，TOP3城市是廣州、武漢、成都（5）2025年洗錢商戶歸屬行業(yè)中，TOP3行業(yè)是零售業(yè)、批發(fā)業(yè)、餐飲業(yè)1.42025年風(fēng)險(xiǎn)郵箱資源分析2025年，威脅獵人識(shí)別郵箱域名數(shù)量13.88萬(wàn)個(gè)，其中高風(fēng)險(xiǎn)臨時(shí)郵箱占比最大，達(dá)到69.08%。其中，2025年以臨時(shí)郵箱為代表的高風(fēng)險(xiǎn)郵箱域名數(shù)量較2024年環(huán)比增長(zhǎng)了約9倍。臨時(shí)郵箱臨時(shí)郵箱：是一種無(wú)需注冊(cè)、可以短時(shí)間使用的郵箱地址。用戶通常用它批量生成不同的郵箱賬號(hào)，來(lái)接收驗(yàn)證碼或注冊(cè)信息，使用時(shí)間從幾分鐘到幾小時(shí)不等，到期后郵箱會(huì)自動(dòng)失效、無(wú)法再使用。由于臨時(shí)郵箱具備獲取成本低、匿名性強(qiáng)、可頻繁更換域名后綴等特征，極易被黑產(chǎn)作為批量注冊(cè)、自動(dòng)化攻擊的基礎(chǔ)工具，并通過(guò)不斷更換域名繞過(guò)傳統(tǒng)檢測(cè)手段。針對(duì)這一特點(diǎn)，威脅獵人情報(bào)運(yùn)營(yíng)團(tuán)隊(duì)持續(xù)提升對(duì)高風(fēng)險(xiǎn)臨時(shí)郵箱的識(shí)別與覆蓋能力，通過(guò)持續(xù)監(jiān)測(cè)臨時(shí)郵箱服務(wù)的最新變化，及時(shí)判定郵箱是否屬于臨時(shí)郵箱服務(wù)，幫助客戶在業(yè)務(wù)風(fēng)控、賬號(hào)注冊(cè)和交易場(chǎng)景中更快做出風(fēng)險(xiǎn)決策，降低黑產(chǎn)攻擊風(fēng)險(xiǎn)。黑產(chǎn)通用型攻擊技術(shù)分析2025年，威脅獵人觀察到黑灰產(chǎn)的攻擊技術(shù)存在明顯的變化趨勢(shì)。其中尤以AI技術(shù)迭代最為明顯，如智能體手機(jī)出現(xiàn)、AI生成視頻的迭代進(jìn)化、在線工作流引擎網(wǎng)站的興起等。此類技術(shù)或應(yīng)用的出現(xiàn)、流行，使得黑產(chǎn)的攻擊更加快速、攻擊成本大幅度下降。此外，在非AI技術(shù)方面，如人臉炫光繞過(guò)工具和方法的出現(xiàn)及流行也使得黑產(chǎn)的攻擊更加的隱秘，過(guò)往較為安全的場(chǎng)景在今后亦將，面臨大規(guī)模、常態(tài)化的攻擊。2.1手機(jī)端智能體的安全圍欄與越權(quán)風(fēng)險(xiǎn)2025年，隨著手機(jī)端智能體（如豆包手機(jī)、智譜AutoGLM）的落地，大模型驅(qū)動(dòng)的自主智能體開(kāi)始集成至移動(dòng)操作系統(tǒng)。此類設(shè)備允許用戶通過(guò)自然語(yǔ)言指令完成訂票、轉(zhuǎn)賬、社交互動(dòng)等復(fù)雜任務(wù)，在提升交互效率的同時(shí)，這種深度的系統(tǒng)權(quán)限和自主決策能力也引入了新型自動(dòng)化攻擊面，一旦AI智能體與現(xiàn)有黑產(chǎn)基礎(chǔ)設(shè)施（如接碼平臺(tái)、云手機(jī)集群）結(jié)合，其自然語(yǔ)言驅(qū)動(dòng)、自適應(yīng)UI、類人行為等特性，將顯著降低攻擊門檻并提升隱蔽性。當(dāng)前主流智能體普遍內(nèi)置雙層風(fēng)控架構(gòu)，由系統(tǒng)層與智能體層共同構(gòu)成安全邊界，用于限制其在物理感知與邏輯執(zhí)行層面的高風(fēng)險(xiǎn)操作能力。系統(tǒng)層限制：l視覺(jué)遮蔽：當(dāng)用戶進(jìn)入銀行支付、身份核驗(yàn)等高敏感界面時(shí)，系統(tǒng)強(qiáng)制開(kāi)啟防截屏、防錄屏標(biāo)志，使得智能體無(wú)法獲取隱私圖像。l權(quán)限鎖定：嚴(yán)格限制智能體調(diào)用高危自動(dòng)化接口，防止其未經(jīng)授權(quán)自主操作手機(jī)。智能體層限制：l意圖攔截：在AI發(fā)起操作指令前，安全模型會(huì)進(jìn)行語(yǔ)義過(guò)濾。一旦識(shí)別出如“轉(zhuǎn)賬”、“發(fā)送驗(yàn)證碼”等敏感關(guān)鍵詞或高危意圖，將直接阻斷任務(wù)。l強(qiáng)交互確認(rèn)：規(guī)定所有涉及資產(chǎn)和隱私的關(guān)鍵動(dòng)作，必須由用戶手動(dòng)點(diǎn)擊確認(rèn)，無(wú)法實(shí)現(xiàn)全自動(dòng)運(yùn)行。雙層安全邊界架構(gòu)但需要引起重視的是，當(dāng)前部署的雙層安全邊界在實(shí)際運(yùn)行中仍存在可被利用的技術(shù)突破點(diǎn)，在特定條件下，黑灰產(chǎn)仍有可能對(duì)整體防護(hù)體系形成系統(tǒng)性繞過(guò)風(fēng)險(xiǎn)。風(fēng)險(xiǎn)一：智能體側(cè)檢測(cè)存在被規(guī)避的風(fēng)險(xiǎn)盡管智能體側(cè)部署了敏感詞過(guò)濾、多模態(tài)風(fēng)控等機(jī)制，但由于大語(yǔ)言模型（LLM）在本質(zhì)上是基于語(yǔ)義推斷而非硬性代碼執(zhí)行，攻擊者可利用其深度語(yǔ)義理解與上下文聯(lián)想特性，實(shí)現(xiàn)對(duì)智能體側(cè)安全策略的柔性繞過(guò)。風(fēng)險(xiǎn)二：系統(tǒng)側(cè)安全邊界存在被突破的風(fēng)險(xiǎn)AI智能體的多模態(tài)感知能力（視覺(jué)+文本）高度依賴對(duì)屏幕內(nèi)容的實(shí)時(shí)捕獲，通過(guò)切斷AI智能體的視覺(jué)輸入，使其無(wú)法識(shí)別UI元素并繼續(xù)自動(dòng)化操作，但該機(jī)制仍存在可被利用的薄弱點(diǎn)，攻擊者可以通過(guò)技術(shù)手段，使屏幕內(nèi)容重新可被截取或錄制，從而使大模型代理能夠成功獲取UI信息并完成自動(dòng)化操作，實(shí)現(xiàn)對(duì)系統(tǒng)測(cè)安全防護(hù)的繞過(guò)。綜上，當(dāng)前手機(jī)智能體的安全防護(hù)體系雖已初步構(gòu)建，但在面對(duì)具備自主決策與跨應(yīng)用操作能力的AI智能體時(shí)，其邊界仍顯脆弱。系統(tǒng)隔離與語(yǔ)義管控的雙重防線尚未形成無(wú)縫協(xié)同，存在被系統(tǒng)性繞過(guò)的現(xiàn)實(shí)風(fēng)險(xiǎn)。在3.1的第二段業(yè)務(wù)欺詐場(chǎng)景部分在3.1的第二段業(yè)務(wù)欺詐場(chǎng)景部分，威脅獵人也將用具體的案例展現(xiàn)上述案例，以更直觀地呈現(xiàn)AI智能體能力被濫用后可能帶來(lái)的實(shí)際影響。2.2AI換臉技術(shù)升級(jí)：從“單點(diǎn)工具”到“AI工作流”，黑產(chǎn)攻擊成本呈指數(shù)級(jí)下降2.2.1演進(jìn)路徑：由“單點(diǎn)工具”到"AI工作流”回顧AI人臉攻擊技術(shù)的發(fā)展歷程，我們清晰地看到一條從“簡(jiǎn)易動(dòng)畫”到“深度偽造”，再到如今“AIGC工作流化”的演變路徑：技術(shù)演變鏈：技術(shù)演變鏈：CrazyTalk(早期照片動(dòng)畫)-DeepFaceLAB(離線換臉模型)-DeepFaceLive(實(shí)時(shí)換臉)-ComfyUI(本地工作流引擎)-在線工作流引擎(云端SaaS)這一演變體現(xiàn)了攻擊技術(shù)的四大關(guān)鍵變化：l生成質(zhì)量躍升：視覺(jué)效果從“僵硬”走向“毛孔級(jí)真實(shí)”。l內(nèi)容生成自由：從依賴原視頻動(dòng)作，轉(zhuǎn)變?yōu)榭捎晌谋?音頻驅(qū)動(dòng)的無(wú)限制生成。l操作流程極簡(jiǎn)：復(fù)雜的代碼訓(xùn)練被封裝為可視化的“一鍵式”式操作。l硬件門檻歸零：從依賴昂貴的本地顯卡工作站，轉(zhuǎn)向?yàn)g覽器即可調(diào)用的云端算力。2025年上半年（單點(diǎn)工具時(shí)代）：威脅獵人的監(jiān)測(cè)數(shù)據(jù)顯示，在這一時(shí)期，制作AI攻擊素材（如名人帶貨視頻）是一項(xiàng)高門檻、高投入的工程。由于當(dāng)時(shí)缺乏整合性的工具，攻擊者必須像“拼積木”一樣分散操作：l硬件燒錢：運(yùn)行這些早期AI模型需要配置極高的高端顯卡（GPU設(shè)備成本高昂；l流程割裂：攻擊者無(wú)法一次性生成成品。他們必須先用一個(gè)AI工具生成“假臉視頻”，再換另一個(gè)AI工具生成“假聲音”；l人工繁瑣：最后，還需要像專業(yè)視頻剪輯師一樣，手動(dòng)將視頻和音頻放入剪輯軟件中，一幀一幀地對(duì)齊口型和聲音。制作短短幾十秒的視頻，往往需要耗費(fèi)數(shù)小時(shí)的人工與算力。2025年下半年（工作流時(shí)代隨著ComfyUI等能夠串聯(lián)多種AI模型的工作流引擎普及，攻擊效率發(fā)生質(zhì)變。l案例A（帶貨視頻）：攻擊者僅需“1張圖片+1段音頻+1個(gè)動(dòng)作參考視頻”，即可在工作流中一鍵生成口型同步、動(dòng)作自然的帶貨視頻。l案例B（身份繞過(guò)）：攻擊者利用工作流將“1張證件照”轉(zhuǎn)化為標(biāo)準(zhǔn)頭像，隨即生成動(dòng)態(tài)人臉視頻，直接用于繞過(guò)人臉認(rèn)證系統(tǒng)。下表通過(guò)六個(gè)關(guān)鍵維度，詳細(xì)對(duì)比了從早期工具到當(dāng)前AIGC工作流的技術(shù)跨越：盡管本地工作流引擎降低了操作難度，但高質(zhì)量生成仍依賴高性能顯卡（GPU然而，在線工作流引擎（SaaS）的出現(xiàn)徹底擊穿了這一壁壘。與本地部署相比，在線引擎具備以下顯著特征：(1)算力云端化，硬件零門檻l特點(diǎn)：用戶無(wú)需購(gòu)買昂貴的顯卡（如NVIDIA4090只需通過(guò)瀏覽器即可調(diào)用云端集群（通常配備24G/48G顯存的高端顯卡）。l影響：攻擊者只需一臺(tái)能上網(wǎng)的手機(jī)或輕薄本，即可在云端完成高算力推理。(2)模型社區(qū)化，攻擊成本極低l特點(diǎn)：會(huì)員訂閱制低至每月百元級(jí)別。平臺(tái)支持用戶上傳與分享訓(xùn)練好的工作流（Workflow攻擊者可直接“一鍵復(fù)用”他人的高階攻擊模型。l影響：即使是不懂技術(shù)的“小白”攻擊者，也能以極低成本獲取頂級(jí)的攻擊能力。(3)典型威脅案例：LivePortrait的濫用目前，威脅獵人已監(jiān)測(cè)到大量黑產(chǎn)利用LivePortrait這類先進(jìn)的驅(qū)動(dòng)模型進(jìn)行人臉視頻生成。l攻擊鏈路：攻擊者在在線SaaS平臺(tái)選擇現(xiàn)成的LivePortrait工作流——〉上傳受害者照片——〉云端極速生成視頻——〉下載視頻并注入攝像頭。l后果：此類視頻被大量打包售賣，用于人臉認(rèn)證繞過(guò)攻擊進(jìn)行非法牟利。由于生成質(zhì)量高且具備微表情（眨眼、注視傳統(tǒng)防御手段極難識(shí)別。2.3自動(dòng)化工具突破“三色炫光”防線，黑產(chǎn)攻擊門檻降低2.3.1攻擊演變：從“手工預(yù)制視頻”到“自動(dòng)化實(shí)時(shí)渲染”在人臉活體檢測(cè)領(lǐng)域，“主動(dòng)式色彩閃爍活體檢測(cè)”（在國(guó)內(nèi)常被稱為“炫彩”或“三色”驗(yàn)證）曾被視為一道堅(jiān)固的防線。什么是“色彩閃爍活體檢測(cè)”？什么是“色彩閃爍活體檢測(cè)”？這是一種常見(jiàn)的活體防御技術(shù)。系統(tǒng)會(huì)讓手機(jī)屏幕快速閃爍不同的顏色（如紅、綠、藍(lán)并通過(guò)攝像頭捕捉人臉上的光線反射變化。只有真實(shí)的人臉才會(huì)隨著屏幕顏色的變化產(chǎn)生自然的實(shí)時(shí)反光，而照片或普通視頻則無(wú)法做到這一點(diǎn)。長(zhǎng)期以來(lái)，由于這種技術(shù)要求光線產(chǎn)生實(shí)時(shí)、動(dòng)態(tài)的變化，黑產(chǎn)難以通過(guò)簡(jiǎn)單的照片或預(yù)錄視頻進(jìn)行破解。然而，在2025年7月，威脅獵人監(jiān)測(cè)到某主流人臉認(rèn)證繞過(guò)工具發(fā)布了重大更新，新增了“自動(dòng)化炫光模擬”功能。這一功能的出現(xiàn)，徹底擊穿了這道曾經(jīng)難以逾越的技術(shù)防線。在此次更新之前，黑產(chǎn)面對(duì)色彩閃爍驗(yàn)證時(shí)往往束手無(wú)策，或只能通過(guò)極其繁瑣的手工編輯來(lái)碰運(yùn)氣；而工具更新后，攻擊者實(shí)現(xiàn)了“傻瓜式”的自動(dòng)化通關(guān)。以下是技術(shù)迭代前后的具體對(duì)比：經(jīng)威脅獵人實(shí)驗(yàn)室深度逆向分析，該工具的炫光繞過(guò)功能并非簡(jiǎn)單的濾鏡疊加，而是一套基于屏幕交互的實(shí)時(shí)渲染機(jī)制。其核心邏輯可拆解為三個(gè)步驟：l步驟一：預(yù)設(shè)取色坐標(biāo)l步驟二：實(shí)時(shí)采樣l步驟三：動(dòng)態(tài)渲染該工具的出現(xiàn)具有里程碑式的破壞意義：l防御失效：意味著“炫光/三色驗(yàn)證”這一曾經(jīng)能攔截90%以上傳統(tǒng)視頻攻擊（如紙張、簡(jiǎn)單翻拍、普通Deepfake）的風(fēng)控措施，在新型工具面前已不再安全。l攻擊常態(tài)化：由于工具將技術(shù)門檻降為零，針對(duì)金融、信貸、社交等高價(jià)值場(chǎng)景的炫光驗(yàn)證攻擊將呈現(xiàn)大規(guī)模、自動(dòng)化的爆發(fā)趨勢(shì)。l對(duì)抗升級(jí)：傳統(tǒng)的基于顏色匹配的防御策略面臨挑戰(zhàn)·,企業(yè)安全團(tuán)隊(duì)需被迫轉(zhuǎn)向更底層的對(duì)抗（如檢測(cè)注入軟件特征、分析光線在面部曲面的物理反射合理性等）。黑產(chǎn)攻擊場(chǎng)景分析1）2025年線上業(yè)務(wù)欺詐風(fēng)險(xiǎn)熱度不減，相關(guān)攻擊情報(bào)量超13億2025年，威脅獵人反欺詐情報(bào)平臺(tái)共捕獲線上業(yè)務(wù)欺詐相關(guān)攻擊情報(bào)約13.1億條。從全年走勢(shì)來(lái)看，黑產(chǎn)攻擊強(qiáng)度整體維持在高位運(yùn)行：上半年攻擊量持續(xù)走高，并在6月受年中促銷與暑期活動(dòng)疊加影響達(dá)到全年峰值；下半年雖有所波動(dòng)，但整體仍處于高位水平，至年底出現(xiàn)小幅回落。2）2025年預(yù)警業(yè)務(wù)欺詐風(fēng)險(xiǎn)事件達(dá)4271起2025年威脅獵人共預(yù)警業(yè)務(wù)欺詐風(fēng)險(xiǎn)事件4271起，同比上漲約2.7%。全年事件分布呈現(xiàn)階段性特征，上半年數(shù)量較高，下半年整體回落，年末節(jié)點(diǎn)出現(xiàn)反彈3）黑產(chǎn)攻擊行業(yè)分布主要集中在高頻交易、高補(bǔ)貼、高流量的互聯(lián)網(wǎng)業(yè)務(wù)場(chǎng)景根據(jù)威脅獵人反欺詐情報(bào)平臺(tái)監(jiān)測(cè)數(shù)據(jù)，2025年黑產(chǎn)攻擊事件主要集中在高頻交易、高補(bǔ)貼、高流量的互聯(lián)網(wǎng)業(yè)務(wù)場(chǎng)景，從行業(yè)分布來(lái)看，電商行業(yè)仍是風(fēng)險(xiǎn)最為集中領(lǐng)域，占比20.5%，其次為銀行（11.99%）、旅游服務(wù)（12.03%）、本地生活（12%）等行業(yè)；4）全年捕獲作惡黑產(chǎn)群組&論壇數(shù)量月均超50萬(wàn)個(gè)根據(jù)威脅獵人反欺詐情報(bào)平臺(tái)監(jiān)測(cè)數(shù)據(jù)，2025年全年平均每月捕獲涉及營(yíng)銷活動(dòng)的黑產(chǎn)作惡群組約為50萬(wàn)個(gè)。5）全年捕獲作惡黑產(chǎn)賬號(hào)數(shù)量月均超130萬(wàn)個(gè)2025年全年，威脅獵人反欺詐情報(bào)平臺(tái)捕獲業(yè)務(wù)欺詐活躍作惡賬號(hào)數(shù)月均超130萬(wàn)個(gè)3.1.1AI時(shí)代的風(fēng)控新風(fēng)險(xiǎn)：自動(dòng)化作惡進(jìn)入“智能體階段”隨著AI、手機(jī)智能體等能力的日漸成熟，黑灰產(chǎn)以及羊毛黨正逐步將其引入業(yè)務(wù)作弊與自動(dòng)化操作中。相較傳統(tǒng)腳本工具，AI能夠識(shí)別界面元素、模擬真實(shí)用戶操作，并在多個(gè)App間連續(xù)執(zhí)行任務(wù)，使原本依賴人工的復(fù)雜流程具備規(guī)?；瘡?fù)制條件。同時(shí)，AI的廣泛應(yīng)用使得作惡的使用門檻和成本持續(xù)下降；威脅獵人監(jiān)測(cè)發(fā)現(xiàn)，市面已出現(xiàn)“一鍵部署”的智能體服務(wù)，僅需簡(jiǎn)單安裝即可將普通設(shè)備轉(zhuǎn)化為“可操作智能體”，進(jìn)一步放大黑灰產(chǎn)的規(guī)模化作惡能力，對(duì)現(xiàn)有風(fēng)控體系形成新的挑戰(zhàn)。威脅獵人情報(bào)監(jiān)測(cè)發(fā)現(xiàn)，隨著生成式AI工具的普及，黑灰產(chǎn)及羊毛黨已開(kāi)始將AI引入電商套利相關(guān)操作中，已在評(píng)價(jià)、售后、返利等典型營(yíng)銷場(chǎng)景中表現(xiàn)出明顯滲透跡象。威脅獵人識(shí)別到3類高發(fā)欺詐行為：1、利用AI生成評(píng)價(jià)內(nèi)容參與電商返利套利在部分羊毛論壇及黑產(chǎn)交流渠道中，威脅獵人監(jiān)測(cè)到有關(guān)利用AI生成評(píng)價(jià)內(nèi)容參與電商返利套利的操作分享。相關(guān)作惡方式主要圍繞電商平臺(tái)的“評(píng)價(jià)返利”“曬單返券”等營(yíng)銷機(jī)制展開(kāi)；也就是在未實(shí)際獲取商品的情況下，通過(guò)使用AI自動(dòng)生成評(píng)價(jià)文字，或生成與商品高度相關(guān)的配圖內(nèi)容，偽裝成真實(shí)買家評(píng)價(jià)提交，從而觸發(fā)平臺(tái)返現(xiàn)、返券或積分獎(jiǎng)勵(lì)。在此場(chǎng)景下，黑產(chǎn)并非真實(shí)購(gòu)買，而是通過(guò)虛假評(píng)價(jià)套取平臺(tái)補(bǔ)貼資源；在獲取補(bǔ)貼后，黑產(chǎn)會(huì)進(jìn)行退貨操作；但此時(shí)已經(jīng)獲取到的補(bǔ)貼平臺(tái)不會(huì)收回。2、通過(guò)AI生成虛假圖片材料實(shí)施“僅退款”套利在評(píng)價(jià)返利之外，黑灰產(chǎn)已開(kāi)始將AI能力進(jìn)一步延伸至售后與賠付環(huán)節(jié)。2025年，威脅獵人捕獲多起通過(guò)AI生成虛假圖片材料騙取退款或賠付的案例。相關(guān)作惡方利用AI生成商品損壞、質(zhì)量瑕疵、包裝破損等圖片，作為售后或申訴憑證提交，成功觸發(fā)平臺(tái)“僅退款”“先用后付退款”等流程。在部分案例中，AI生成的圖片在清晰度、構(gòu)圖邏輯及細(xì)節(jié)呈現(xiàn)上已足以通過(guò)平臺(tái)的初步審核，尤其在缺乏人工復(fù)核或依賴規(guī)則判定的場(chǎng)景下，更容易被系統(tǒng)判定為“合理憑證”。該類行為進(jìn)一步削弱了平臺(tái)對(duì)“實(shí)物交付—問(wèn)題發(fā)生—材料舉證”鏈路真實(shí)性的判斷能力，使售后賠付環(huán)節(jié)成為AI套利的高風(fēng)險(xiǎn)入口。3、利用AI智能體完成電商下單與履約全流程操作威脅獵人監(jiān)測(cè)發(fā)現(xiàn)，在部分社交媒體與技術(shù)分享渠道中，已出現(xiàn)利用AI自動(dòng)下單的操作演示與經(jīng)驗(yàn)分享。結(jié)合實(shí)際測(cè)試結(jié)果，目前在特定條件下，可通過(guò)驅(qū)使AI智能體在電商App內(nèi)完成包括商品瀏覽、比價(jià)、加購(gòu)、下單、確認(rèn)收貨在內(nèi)的全鏈路操作流程，部分場(chǎng)景中還可喚起第三方支付App，執(zhí)行免密支付或輸入指定密碼等敏感操作。該類能力一旦被黑產(chǎn)規(guī)?；?，可能被引入刷單、虛假交易、營(yíng)銷資源套利等作惡場(chǎng)景。相較傳統(tǒng)腳本或真人眾包方式，AI智能體在操作節(jié)奏、行為路徑及頁(yè)面交互上更接近真實(shí)用戶，若與模擬器等工具結(jié)合使用，將顯著降低人工參與成本，提升風(fēng)控識(shí)別難度。隨著AI智能體逐步具備在移動(dòng)端App內(nèi)執(zhí)行連續(xù)操作的能力，其在金融場(chǎng)景中的潛在風(fēng)險(xiǎn)正從“理論可能”進(jìn)入“可驗(yàn)證階段”。威脅獵人通過(guò)內(nèi)部測(cè)試與研究發(fā)現(xiàn)，在特定條件下，AI智能體已具備在金融類App中執(zhí)行部分敏感操作的能力，一旦被黑產(chǎn)利用，可能對(duì)賬戶安全與資金安全造成實(shí)質(zhì)性影響。1、AI智能體在金融類App中可執(zhí)行“查詢余額、查看交易明細(xì)、自動(dòng)輸入賬密”等敏感操作威脅獵人研究人員在內(nèi)部測(cè)試與驗(yàn)證過(guò)程中發(fā)現(xiàn)，在已登錄狀態(tài)下，AI智能體已具備在部分金融類App中執(zhí)行查詢與交互操作的能力，包括查詢賬戶余額、交易明細(xì)等敏感信息，以及參與平臺(tái)內(nèi)的營(yíng)銷活動(dòng)。需要關(guān)注的是，當(dāng)前市面上的智能體產(chǎn)品中大多數(shù)采用開(kāi)源架構(gòu)。若被黑產(chǎn)加以利用并植入后門程序，相關(guān)智能體在執(zhí)行正常操作的同時(shí)，可能將賬戶余額、交易記錄等敏感信息通過(guò)“后門”回傳至黑產(chǎn)側(cè)，從而引發(fā)賬戶信息泄露甚至資金損失風(fēng)險(xiǎn)，對(duì)用戶及金融機(jī)構(gòu)均可能造成嚴(yán)重影響。2、安全策略被規(guī)避后存在被組合繞過(guò)的可能在進(jìn)一步測(cè)試中，威脅獵人發(fā)現(xiàn)，在特定指令組合與執(zhí)行路徑下，AI智能體可能對(duì)金融APP內(nèi)置的安全策略進(jìn)行重新解釋或規(guī)避判斷，從而繞過(guò)原本用于限制高風(fēng)險(xiǎn)操作的安全約束。在安全策略被規(guī)避后，智能體仍可繼續(xù)執(zhí)行包括轉(zhuǎn)賬、簽約等金融高風(fēng)險(xiǎn)操作流程的后續(xù)步驟。盡管大多數(shù)廠商已經(jīng)限制了AI在金融領(lǐng)域的能力，但是威脅獵人研究發(fā)現(xiàn)，在通過(guò)對(duì)提示詞的繞過(guò)以及安裝插件獲取原本被限制的截圖權(quán)限后，AI智能體依舊可以模擬正常人進(jìn)行轉(zhuǎn)賬、簽約等需要銀行取款密碼才能執(zhí)行的高度敏感操作。以下是威脅獵人研究人員的相關(guān)測(cè)試情況：(安全策略被規(guī)避后，AI可執(zhí)行銀行轉(zhuǎn)賬流程)(安全策略被規(guī)避后，AI執(zhí)行第三方快捷支付簽約與授權(quán)操作)該測(cè)試現(xiàn)象反映出：l基于提示詞或策略約定的安全機(jī)制，本質(zhì)上仍屬于“軟約束”；l當(dāng)智能體被允許“重解釋規(guī)則”時(shí)，其安全邊界將高度依賴使用者意圖；l金融機(jī)構(gòu)的“黑屏風(fēng)控”策略并非堅(jiān)不可破，可以依賴外部的插件進(jìn)行破解。威脅獵人內(nèi)部測(cè)試表明，AI智能體在金融場(chǎng)景中已具備理解并執(zhí)行部分敏感操作流程的技術(shù)可行性，在特定條件下對(duì)安全策略的約束依賴存在不確定性。盡管尚未發(fā)現(xiàn)相關(guān)能力被實(shí)際濫用的案例，但其對(duì)以人工操作為前提的傳統(tǒng)風(fēng)控假設(shè)已構(gòu)成潛在沖擊，金融機(jī)構(gòu)值得提前評(píng)估與應(yīng)對(duì)。2025年，在“國(guó)補(bǔ)”政策監(jiān)管下，威脅獵人情報(bào)平臺(tái)仍監(jiān)測(cè)到黑灰產(chǎn)利用國(guó)補(bǔ)漏洞獲利。黑灰產(chǎn)通過(guò)聯(lián)合快遞員違規(guī)驗(yàn)收、資格轉(zhuǎn)賣、違規(guī)核驗(yàn)操作、偽造回收刷單套利、招募個(gè)人回收國(guó)補(bǔ)等多種手法套取國(guó)補(bǔ)優(yōu)惠。這些手法涉及多個(gè)角色，包括黑灰產(chǎn)、商家和個(gè)人用戶，具體涉及作弊用戶、轉(zhuǎn)賣資格用戶、商家、代銷商、黃牛、快遞員等。這些角色相互配合，通過(guò)代買、轉(zhuǎn)寄、代激活等方式繞過(guò)國(guó)補(bǔ)地區(qū)和用戶監(jiān)管，形成了一個(gè)復(fù)雜的利益鏈條。多角色協(xié)同牟利點(diǎn)及手段如下：1、數(shù)碼家電產(chǎn)品成為國(guó)補(bǔ)商品販賣重災(zāi)區(qū)威脅獵人對(duì)交易市場(chǎng)黑灰產(chǎn)販賣國(guó)補(bǔ)相關(guān)商品的種類數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，交易熱度TOP的商品類別分別為：數(shù)碼類產(chǎn)品、家電類產(chǎn)品、以及生活類產(chǎn)品，占比分別為53.32%、30.42%和13.56%。2、售賣國(guó)補(bǔ)商品的黑灰產(chǎn)主要分布地區(qū)TOP3：上海市、北京市、深圳市威脅獵人研究人員根據(jù)監(jiān)測(cè)到的各大交易平臺(tái)中販賣國(guó)補(bǔ)商品的個(gè)體黑灰產(chǎn)店鋪?zhàn)?cè)地分析發(fā)現(xiàn)，售賣國(guó)補(bǔ)商品的黑灰產(chǎn)主要分布在上海、北京、深圳、廣州等經(jīng)濟(jì)發(fā)達(dá)地區(qū)。3、售賣國(guó)補(bǔ)產(chǎn)品來(lái)源渠道主要來(lái)源國(guó)內(nèi)兩大頭部電商平臺(tái)注：以下報(bào)告內(nèi)容已做脫敏處理（相關(guān)電商平臺(tái)用A、B、C等代稱）威脅獵人從捕獲周期樣本數(shù)據(jù)中對(duì)黑灰產(chǎn)售賣的國(guó)補(bǔ)產(chǎn)品來(lái)源渠道信息進(jìn)行統(tǒng)計(jì)，其中87.1%的國(guó)補(bǔ)產(chǎn)品來(lái)源國(guó)內(nèi)兩大頭部電商平臺(tái)。4、黑灰產(chǎn)在論壇和社媒進(jìn)行廣告發(fā)布后引流到私域完成交易威脅獵人監(jiān)測(cè)到，圍繞國(guó)補(bǔ)“代購(gòu)、轉(zhuǎn)寄、返現(xiàn)、回收”相關(guān)的風(fēng)險(xiǎn)的討論渠道中，黑產(chǎn)常偽裝成“省錢攻略”，在社交媒體、論壇和即時(shí)通訊軟件等渠道發(fā)布、引流以及交易。5、國(guó)補(bǔ)產(chǎn)業(yè)鏈各類角色套取國(guó)補(bǔ)優(yōu)惠手法分析2025上半年，威脅獵人通過(guò)多渠道監(jiān)控發(fā)現(xiàn)，黑灰產(chǎn)圍繞“國(guó)補(bǔ)”形成了多種作弊手法，主要包括以下五類：l黃牛在社交平臺(tái)招募，快遞員成違規(guī)幫兇黃牛通過(guò)社交平臺(tái)召集用戶并引導(dǎo)其通過(guò)微信群填寫個(gè)人信息、選擇商品下單，再通過(guò)快遞員違規(guī)驗(yàn)收設(shè)備回收國(guó)補(bǔ)資格。這一手法利用了社交平臺(tái)和快遞員協(xié)作的漏洞。l商家遠(yuǎn)程非本人異地代激活部分商家通過(guò)微信視頻遠(yuǎn)程讓購(gòu)買者激活設(shè)備，繞過(guò)了線下門店要求的身份證核驗(yàn)和設(shè)備核驗(yàn)，直接通過(guò)快遞將設(shè)備送達(dá)購(gòu)買者。l代銷商利用三重優(yōu)惠販賣國(guó)補(bǔ)代銷商通過(guò)三重優(yōu)惠（國(guó)補(bǔ)補(bǔ)貼、以舊換新、平臺(tái)優(yōu)惠）低價(jià)銷售國(guó)補(bǔ)商品，并通過(guò)虛假回收舊品方式繞過(guò)以舊換新的規(guī)定，進(jìn)一步降低成本。l社交平臺(tái)招募轉(zhuǎn)賣國(guó)補(bǔ)資格，線下違規(guī)核驗(yàn)與郵寄交易用戶將國(guó)補(bǔ)資格轉(zhuǎn)賣給他人，并通過(guò)家人或朋友在門店代為購(gòu)買設(shè)備、核驗(yàn)后通過(guò)郵寄完成交易，繞過(guò)了國(guó)補(bǔ)的資格和地域限制。l快遞員協(xié)助轉(zhuǎn)寄繞過(guò)國(guó)補(bǔ)地區(qū)限制用戶通過(guò)與快遞員協(xié)商，將設(shè)備轉(zhuǎn)寄到異地完成交易，繞過(guò)了國(guó)補(bǔ)的地域限制，繼續(xù)套取補(bǔ)貼。6、近期新增：兩類“異地套取國(guó)補(bǔ)”手法拆解2025年下半年，隨著傳統(tǒng)模式被持續(xù)打擊，傳統(tǒng)手法的活躍度在2025年下半年有所減少，黑灰產(chǎn)不斷創(chuàng)新，研究出新的“異地套取國(guó)補(bǔ)”手法，近期威脅獵人發(fā)現(xiàn)了以下兩種新型手法：1）利用發(fā)券平臺(tái)和支付平臺(tái)校驗(yàn)鏈路解耦漏洞這一手法主要利用了發(fā)券平臺(tái)與支付平臺(tái)校驗(yàn)鏈路解耦，即發(fā)券平臺(tái)和支付平臺(tái)之間的補(bǔ)貼領(lǐng)取和支付環(huán)節(jié)缺乏嚴(yán)格的核查與驗(yàn)證，使得黑灰產(chǎn)可以“在A城市的發(fā)券平臺(tái)領(lǐng)取國(guó)補(bǔ)，在B城市的支付平臺(tái)完成支付”，繞過(guò)雙方風(fēng)控措施，實(shí)現(xiàn)了跨地區(qū)國(guó)補(bǔ)領(lǐng)取。2）虛擬環(huán)境+定位偽裝型這一手法主要利用“安卓端虛擬環(huán)境和定位偽裝”技術(shù)，修改設(shè)備地理位置實(shí)現(xiàn)異地補(bǔ)貼領(lǐng)取，再切回真實(shí)環(huán)境或者用另一臺(tái)設(shè)備完成支付，最終完成國(guó)補(bǔ)套取。3.2金融信貸欺詐分析威脅獵人觀察到，因2025年8月騰訊微信平臺(tái)響應(yīng)“清朗行動(dòng)”的專項(xiàng)治理，聚焦黑灰產(chǎn)與違規(guī)群組實(shí)施相關(guān)風(fēng)控政策，以及2025年下半年以來(lái)，公安部和國(guó)家金融監(jiān)管總局聯(lián)合部署開(kāi)展金融黑灰產(chǎn)打擊活動(dòng)，2025年下半年金融貸款輿情量較2025年上半年有所下降，但其中惡意貸款欺詐風(fēng)險(xiǎn)輿情整體仍有所上升。相關(guān)名詞定義：惡意貸款欺詐：是指從事冒充銀行名義進(jìn)行虛假宣傳貸款業(yè)務(wù)、包裝騙貸、違規(guī)提額、違規(guī)轉(zhuǎn)貸、違規(guī)套現(xiàn)、誘導(dǎo)性貸款、收取客戶高額手續(xù)費(fèi)、卷款跑路、詐騙客戶謀利、發(fā)放高利貸等違規(guī)業(yè)務(wù)以謀取私利的金融欺詐行為。如背債、融車套現(xiàn)、科技提額、美容貸騙貸、債務(wù)重組、AB貸、制作假流水、征信修復(fù)、債務(wù)優(yōu)化等業(yè)務(wù)行為。債務(wù)優(yōu)化：通常指通過(guò)代理投訴、代理維權(quán)等手段，對(duì)債務(wù)人的債務(wù)結(jié)構(gòu)、還款方式、利息成本等進(jìn)行調(diào)整和優(yōu)化，以減輕債務(wù)人的還款壓力、改善財(cái)務(wù)狀況的過(guò)程。債務(wù)優(yōu)化與逃廢債存在關(guān)聯(lián)，主要表現(xiàn)為通過(guò)黑產(chǎn)代理投訴等方式，實(shí)現(xiàn)分期還款、延期分期、減免結(jié)清等，從而達(dá)到緩還、少還債務(wù)的目的。融車套現(xiàn)：也稱套車或融車，是指急需用錢的客戶主動(dòng)找到黑產(chǎn)或黑產(chǎn)招募客戶貸款購(gòu)車后將車輛轉(zhuǎn)賣套現(xiàn)的行為。職業(yè)背債：是指完全沒(méi)有貸款資質(zhì)（如征信為純白、小白、小花，文化程度較低）或資質(zhì)較低且有背債意愿的人在黑產(chǎn)的包裝下且有背債意愿的人在黑產(chǎn)的包裝下，申請(qǐng)銀行大額貸款。職業(yè)背債以高額利益為目的，不打算償還債務(wù)。職業(yè)背債主要分為2類：一類是“包裝貸”，另一類是“背壞賬”包裝貸：通過(guò)捏造身份偽造材料騙取銀行高額貸款的行為，比如“房”、“信”、“企”、“車”貸款背壞賬：企業(yè)名下有壞賬或不良資產(chǎn)影響企業(yè)經(jīng)營(yíng)或聲譽(yù)，企業(yè)通過(guò)股權(quán)轉(zhuǎn)讓、資產(chǎn)處置、抵押等方式，背債人獨(dú)自背負(fù)企業(yè)債務(wù)的行為，比如“企業(yè)直背”、“銀行直背”3.2.1.12025年下半年金融惡意欺詐輿情較2025年上半年增長(zhǎng)32%2025年威脅獵人監(jiān)控捕獲金融貸款風(fēng)險(xiǎn)輿情達(dá)680萬(wàn)條，其中惡意貸款欺詐輿情189萬(wàn)條，占總量27%。2025年下半年金融貸款輿情較2025年上半年下降12%，2025年下半年惡意貸款欺詐風(fēng)險(xiǎn)輿情較2025年上半年增長(zhǎng)32%。3.2.1.22025年威脅獵人共監(jiān)控到活躍金融貸款群組3.7萬(wàn)個(gè)，其中惡意欺詐群組1.8萬(wàn)個(gè)，占總量50%3.2.1.32025年惡意貸款欺詐賬戶數(shù)占金融貸款帳戶的30%2025年威脅獵人共監(jiān)控捕獲活躍貸款服務(wù)賬戶33萬(wàn)個(gè)，其中提供惡意貸款服務(wù)的欺詐賬戶（信貸黑中介/黑產(chǎn)）10萬(wàn)個(gè)，占總量30%。3.2.1.42025年惡意貸款主要欺詐類型TOP3：職業(yè)背債、債務(wù)優(yōu)化、征信修復(fù)2025年數(shù)據(jù)顯示，惡意貸款主要涉及職業(yè)背債、債務(wù)優(yōu)化、征信修復(fù)、材料造假、融車欺詐、債務(wù)重組等超過(guò)9類欺詐行為，其中職業(yè)背債占比高達(dá)37%，居首位，成為黑產(chǎn)核心攻擊手段；債務(wù)優(yōu)化、征信修復(fù)分別位列第二、第三位，其中債務(wù)優(yōu)化代理投訴類業(yè)務(wù)占比，出現(xiàn)成倍增長(zhǎng)。注意：債務(wù)優(yōu)化包含：反催收、代理維權(quán)、代理投訴、退息退費(fèi)等債務(wù)處理場(chǎng)景。3.2.1.52025年惡意貸款欺詐風(fēng)險(xiǎn)地區(qū)TOP5：廣東、四川、山東、江蘇、浙江威脅獵人情報(bào)數(shù)據(jù)顯示，2025年惡意貸款欺詐活躍熱度TOP5的省份（含直轄市）是廣東、四川、山東、江蘇、浙江，其中廣東地區(qū)風(fēng)險(xiǎn)值遠(yuǎn)高于其他地區(qū)。3.2.1.62025年惡意貸款欺詐風(fēng)險(xiǎn)城市TOP5：重慶、深圳、成都、上海、北京威脅獵人情報(bào)數(shù)據(jù)顯示，2025年惡意貸款欺詐活躍熱度TOP5的城市（含直轄市）是重慶、深圳、成都、上海、北京。3.2.2.12025年每月職業(yè)背債風(fēng)險(xiǎn)輿情量持續(xù)增長(zhǎng)，下半年較上半年增長(zhǎng)59%2025年威脅獵人監(jiān)控捕獲職業(yè)背債風(fēng)險(xiǎn)輿情量達(dá)37萬(wàn)條，從整體來(lái)看，每月風(fēng)險(xiǎn)輿情持續(xù)增長(zhǎng)，2025年下半年較上半年增長(zhǎng)59%3.2.2.22025年背債地區(qū)熱度TOP5省份：廣東、四川、山東、河南、重慶威脅獵人情報(bào)數(shù)據(jù)顯示，2025年背債相關(guān)的貸款欺詐，活躍熱度TOP5的省份（含直轄市）是廣東、四川、山東、河南、重慶。3.2.2.32025年背債城市熱度TOP5城市：重慶、廣州、成都、上海、深圳威脅獵人情報(bào)數(shù)據(jù)顯示，2025年背債相關(guān)的貸款欺詐，活躍熱度TOP5的城市（含直轄市）是重慶、廣州、成都、上海、深圳。3.2.2.42025年職業(yè)背債黑產(chǎn)策略升級(jí)與貸款場(chǎng)景風(fēng)險(xiǎn)分化2025年，職業(yè)背債黑產(chǎn)的運(yùn)作策略進(jìn)行全面升級(jí)：操作模式從單打獨(dú)斗轉(zhuǎn)向黑產(chǎn)間的資源共享與利益最大化合作；目標(biāo)客群從重點(diǎn)挑選征信“純白戶”轉(zhuǎn)向擁有良好信貸記錄的“優(yōu)質(zhì)小白”；攻擊場(chǎng)景則從“房信企車”的全覆蓋，轉(zhuǎn)為根據(jù)背債人資質(zhì)精準(zhǔn)挑選最優(yōu)場(chǎng)景。從背債攻擊的風(fēng)險(xiǎn)輿情增速看，不同場(chǎng)景在2025年下半年呈現(xiàn)顯著分化。其中，消費(fèi)貸與企業(yè)貸場(chǎng)景風(fēng)險(xiǎn)高漲，下半年環(huán)比增長(zhǎng)率均超過(guò)80%，是主要的增長(zhǎng)領(lǐng)域；相較而言，房貸與車貸場(chǎng)景增速相對(duì)平緩，環(huán)比增長(zhǎng)率分別為46.2%和13.1%。2025年消費(fèi)貸背債風(fēng)險(xiǎn)輿情激增，下半年較上半年翻倍增長(zhǎng)達(dá)103%2025年企業(yè)貸背債風(fēng)險(xiǎn)輿情高位運(yùn)行，下半年環(huán)比增長(zhǎng)87.8%當(dāng)前，房貸、車貸、消費(fèi)貸及企業(yè)貸作為核心信貸場(chǎng)景，已成為黑產(chǎn)的重點(diǎn)攻擊目標(biāo)。不同貸款場(chǎng)景因產(chǎn)品特性與風(fēng)控邏輯各異，不僅受攻擊程度不同，其欺詐風(fēng)險(xiǎn)類型存在差異。以下是各貸款場(chǎng)景中當(dāng)前面臨的主流欺詐方式：圍繞這一領(lǐng)域圍繞這一領(lǐng)域，威脅獵人將于后續(xù)發(fā)布《2025年中國(guó)信貸欺詐風(fēng)險(xiǎn)趨勢(shì)報(bào)告》，對(duì)上述相關(guān)問(wèn)題進(jìn)行更為系統(tǒng)、深入的研究與解讀。3.3釣魚仿冒場(chǎng)景分析2025年全年，威脅獵人共捕獲到釣魚仿冒風(fēng)險(xiǎn)事件17W例，涉及237家企業(yè)，整體呈現(xiàn)出顯著的季節(jié)性爆發(fā)與手段更替趨勢(shì)。從風(fēng)險(xiǎn)事件的類型來(lái)看：l仿冒網(wǎng)站風(fēng)險(xiǎn)穩(wěn)居“基石”地位，Q1爆發(fā)明顯：2025年共捕獲仿冒網(wǎng)站攻擊5萬(wàn)起（占比33.2%）。盡管下半年增速放緩，但其在第一季度占據(jù)絕對(duì)主流。作為詐騙鏈路的基礎(chǔ)設(shè)施，搭建虛假站點(diǎn)套取敏感數(shù)據(jù)仍是攻擊者的核心手段。l社媒與客服仿冒風(fēng)險(xiǎn)增長(zhǎng)明顯：值得關(guān)注的是，仿冒社交媒體與仿冒客服電話相關(guān)攻擊事件在第三季度出現(xiàn)明顯增長(zhǎng)，并與“暑期經(jīng)濟(jì)”帶來(lái)的社會(huì)活躍度提升高度相關(guān)，反映出黑產(chǎn)團(tuán)伙對(duì)階段性流量熱點(diǎn)的快速響應(yīng)能力。仿冒社交媒體（分布式裂變傳播仿冒社交媒體（分布式裂變傳播）：針對(duì)暑期游戲市場(chǎng)的熱潮，黑產(chǎn)團(tuán)伙采取了“自持高權(quán)重號(hào)+分布式裂變”的組合手段。除了傳統(tǒng)的自運(yùn)營(yíng)賬號(hào)矩陣外，利用大量看似普通用戶的賬號(hào)在社交平臺(tái)發(fā)布高度同質(zhì)化的仿冒誘導(dǎo)內(nèi)容（如虛假福利、高比例返利等）。這種模式極大地提升了違規(guī)內(nèi)容繞過(guò)平臺(tái)審核機(jī)制的存活率，其核心目的在于將官方流量精準(zhǔn)攔截并導(dǎo)流至非法游戲私服，實(shí)現(xiàn)快速套現(xiàn)。仿冒客服電話（仿冒客服電話（GEO投毒2025年第三季度期間，攻擊團(tuán)伙針對(duì)借貸類APP的“客服、退息、解凍”等高頻搜索詞，利用搜索引擎算法漏洞進(jìn)行區(qū)域性霸屏，直接將虛假客服電話嵌入搜索結(jié)果的顯眼位置。這種技術(shù)手段不再依賴被動(dòng)的短信廣撒網(wǎng)，而是實(shí)現(xiàn)對(duì)主動(dòng)尋求幫助用戶的精準(zhǔn)流量“截殺”，極高的攻擊觸達(dá)率直接推動(dòng)該時(shí)段風(fēng)險(xiǎn)數(shù)據(jù)的爆發(fā)式增長(zhǎng)。2025年監(jiān)測(cè)數(shù)據(jù)顯示，釣魚仿冒風(fēng)險(xiǎn)呈現(xiàn)出“高度金融化、金融內(nèi)廣譜覆蓋”的特征，黑產(chǎn)攻擊策略由聚焦少數(shù)頭部機(jī)構(gòu)，轉(zhuǎn)向?qū)鹑谛袠I(yè)的規(guī)模化覆蓋與分層收割。從行業(yè)分布來(lái)看，金融領(lǐng)域（證券、銀行、消費(fèi)金融、基金等）合計(jì)占比高達(dá)76.28%。其中，銀行、證券及消費(fèi)金融等可直接導(dǎo)向資金損失或賬戶接管的核心業(yè)務(wù)場(chǎng)景，仍是黑產(chǎn)優(yōu)先攻擊的重點(diǎn)目標(biāo)；但與此同時(shí)，黑產(chǎn)攻擊范圍不再局限于少數(shù)頭部機(jī)構(gòu)，而是通過(guò)域名批量注冊(cè)、模板化站點(diǎn)復(fù)用及腳本化投放等方式，將大量中小金融機(jī)構(gòu)系統(tǒng)性納入仿冒范圍。而非金融交易場(chǎng)景，則聚焦引流與變現(xiàn)：如電商行業(yè)（10.31%）主要作為支付與退款誘導(dǎo)的入口；而區(qū)塊鏈行業(yè)（4.64%）與游戲行業(yè)（4.12%）則利用資產(chǎn)高波動(dòng)的特性，實(shí)施空投或充值攔截?？傮w來(lái)看，攻擊者系統(tǒng)性利用金融品牌信任與用戶對(duì)“官方通知、賬戶異常、合規(guī)驗(yàn)證”的心理預(yù)期，推動(dòng)仿冒從“做得更像”升級(jí)為“覆蓋更廣、觸達(dá)更頻繁”，并在登錄、轉(zhuǎn)賬、驗(yàn)證碼/授權(quán)等關(guān)鍵環(huán)節(jié)形成閉環(huán)變現(xiàn)。3.3.3.1從“仿冒客服電話”升級(jí)為“污染AI的信息供給”過(guò)去，黑灰產(chǎn)獲取用戶主要依賴仿冒網(wǎng)站、短信釣魚、搜索廣告等方式，其攻擊鏈路集中在“鏈接層”。隨著AI搜索、智能問(wèn)答逐步成為用戶獲取官方信息與聯(lián)系方式的重要入口，攻擊面發(fā)生了根本性變化——黑產(chǎn)不再只是“仿冒企業(yè)官網(wǎng)”，而是轉(zhuǎn)向污染AI會(huì)引用的信息源，使用戶在詢問(wèn)“客服電話”“官方聯(lián)系方式”等問(wèn)題時(shí)，直接獲得錯(cuò)誤答案并主動(dòng)撥打。威脅獵人監(jiān)測(cè)發(fā)現(xiàn)，2025年第三季度，多家高權(quán)重內(nèi)容平臺(tái)集中出現(xiàn)高度同構(gòu)、批量生成的文章。這些內(nèi)容正文大多為正常資訊，但在關(guān)鍵位置被系統(tǒng)性植入虛假客服電話。該現(xiàn)象并非普通違規(guī)內(nèi)容，而是典型的GEO投毒行為。3.3.3.2什么是GEO投毒：利用“生成式搜索”的引用機(jī)制做定向欺騙GEO投毒是指黑灰產(chǎn)借鑒并利用生成式搜索的“引用與綜合”機(jī)制，刻意構(gòu)造并大規(guī)模投放虛假或誤導(dǎo)性內(nèi)容，使大模型在檢索與生成答案時(shí)優(yōu)先引用這些信息，從而在AI搜索、智能問(wèn)答等場(chǎng)景中輸出錯(cuò)誤結(jié)果（如仿冒客服電話最終將用戶引入詐騙鏈路。其本質(zhì)區(qū)別在于：傳統(tǒng)攻擊影響的是“用戶點(diǎn)到哪里”傳統(tǒng)攻擊影響的是“用戶點(diǎn)到哪里”，而GEO投毒影響的是“AI直接告訴用戶什么”。3.3.3.3新型GEO投毒相對(duì)傳統(tǒng)釣魚仿冒的四個(gè)變化l攻擊入口變化：從“點(diǎn)鏈接”轉(zhuǎn)為“信答案”在生成式搜索場(chǎng)景下，用戶不再判斷鏈接是否可疑，而是直接采信系統(tǒng)生成的答案。攻擊入口從可識(shí)別的仿冒頁(yè)面，轉(zhuǎn)移為“權(quán)威、自然的咨詢結(jié)果”，顯著降低了用戶的防范與核驗(yàn)概率。l攻擊目標(biāo)變化：從“流量劫持”升級(jí)為“認(rèn)知劫持”GEO投毒并非追求單次曝光，而是通過(guò)反復(fù)鋪量制造“多數(shù)一致”的錯(cuò)誤信息，讓AI在綜合多個(gè)來(lái)源時(shí)形成穩(wěn)定的錯(cuò)誤判斷，直接操縱用戶的決策路徑。l攻擊載體變化：從低質(zhì)站群轉(zhuǎn)向“高權(quán)重內(nèi)容平臺(tái)”威脅獵人監(jiān)測(cè)數(shù)據(jù)顯示，GEO投毒內(nèi)容已明顯集中于更容易進(jìn)入模型引用體系的平臺(tái)，其中新聞平臺(tái)占比60%視頻平臺(tái)16%、文章平臺(tái)9%問(wèn)答平臺(tái)僅1%，已不再是主要陣地高權(quán)重平臺(tái)合計(jì)占比達(dá)86%，成為影響AI檢索與生成結(jié)果的主要污染源。這意味著，即便企業(yè)官網(wǎng)信息完全正確，仍可能在AI場(chǎng)景中被“權(quán)威平臺(tái)的錯(cuò)誤信息”所覆蓋。l攻擊方式變化：黑產(chǎn)攻擊方式更加規(guī)?；?、模板化、可復(fù)用黑產(chǎn)圍繞GEO投毒已形成一套高度標(biāo)準(zhǔn)化、可規(guī)模復(fù)制的“三件套”打法：1、利用高權(quán)重平臺(tái)，提高進(jìn)入模型引用庫(kù)的概率；2、利用腳本化批量生成內(nèi)容，其核心策略是，使用同一個(gè)仿冒號(hào)碼（如“XXX人工專線00xx-6xxx-73xx”并通過(guò)腳本自動(dòng)替換上百個(gè)不同的金融品牌名稱，實(shí)現(xiàn)極低成本的跨平臺(tái)“投毒矩陣”。3、以標(biāo)準(zhǔn)化新聞體裁包裝內(nèi)容，文章約95%為真實(shí)但無(wú)關(guān)信息，僅在關(guān)鍵位置嵌入偽造聯(lián)系方式，利用模型對(duì)“權(quán)威敘事”的信任偏好，提升投毒內(nèi)容的隱蔽性。3.3.3.4AI搜索結(jié)果被污染后的四類直接影響在GEO投毒行為持續(xù)作用下，其危害已不再停留在內(nèi)容層面，而是直接體現(xiàn)在AI搜索與智能問(wèn)答的最終輸出結(jié)果中，對(duì)用戶決策與品牌安全產(chǎn)生實(shí)質(zhì)性影響。以威脅獵人監(jiān)測(cè)到的一個(gè)真實(shí)案例為例：如下圖所示如下圖所示，當(dāng)用戶通過(guò)AI搜索場(chǎng)景查詢某品牌“客服電話”“官方聯(lián)系方式”等高頻需求時(shí)，AI并未僅引用品牌官網(wǎng)或權(quán)威渠道信息，而是綜合調(diào)用了多個(gè)被污染的高權(quán)重平臺(tái)內(nèi)容作為“參考資料”，并在生成式答案中對(duì)這些信息進(jìn)行了結(jié)構(gòu)化整合與再輸出。在上述案例中，使用AI搜索結(jié)果呈現(xiàn)出以下明顯風(fēng)險(xiǎn)特征：1、虛假客服電話被當(dāng)作“官方信息”展示被植入的號(hào)碼未以廣告或異常內(nèi)容形式出現(xiàn)，而是被整理進(jìn)客服信息列表、公告說(shuō)明或參考資料中，整體呈現(xiàn)方式接近官方渠道，普通用戶難以區(qū)分真?zhèn)巍?、重復(fù)引用放大錯(cuò)誤信息影響AI在生成答案時(shí)同時(shí)引用多個(gè)來(lái)源，而這些來(lái)源中存在被批量投放的相同虛假號(hào)碼。當(dāng)同一信息在不同頁(yè)面中反復(fù)出現(xiàn)時(shí)，錯(cuò)誤內(nèi)容被進(jìn)一步放大并固化。3、用戶直接被引導(dǎo)至高風(fēng)險(xiǎn)聯(lián)系方式在AI搜索場(chǎng)景下，用戶通常直接采信生成結(jié)果中的聯(lián)系方式，較少再進(jìn)行二次核驗(yàn)。一旦撥打虛假客服電話，極易進(jìn)入詐騙或信息竊取環(huán)節(jié)。4、品牌官方渠道被弱化甚至替代即使品牌已公開(kāi)正確的官方客服信息，在AI輸出結(jié)果中仍可能被覆蓋或擠出，導(dǎo)致用戶優(yōu)先接觸到錯(cuò)誤內(nèi)容。3.3.3.5治理思路：源頭處置+AI端糾偏的“雙管齊下”威脅獵人DRP品牌保護(hù)團(tuán)隊(duì)針對(duì)GEO投毒風(fēng)險(xiǎn)，采用“源頭與終端雙管齊下”的治理策略，不僅壓縮了黑灰產(chǎn)的空間，還保障了品牌在AI搜索與問(wèn)答中的權(quán)威性和安全性。l切斷污染源頭：對(duì)投毒內(nèi)容快速取證并向相關(guān)渠道發(fā)起下架申請(qǐng)，覆蓋社交媒體、問(wèn)答、視頻、文章等平臺(tái)。監(jiān)測(cè)實(shí)踐顯示，下架成功率可達(dá)93%，能直接阻斷擴(kuò)散鏈路。l推動(dòng)AI平臺(tái)糾偏：同步向AI平臺(tái)提交投毒線索與證據(jù)，要求修正檢索結(jié)果與引用庫(kù)，降低錯(cuò)誤信息繼續(xù)被生成的概率；結(jié)合自動(dòng)化巡檢+人工復(fù)核，持續(xù)監(jiān)控“品牌名+客服電話/官方聯(lián)系方式”等高頻查詢?cè)~，形成長(zhǎng)期防護(hù)閉環(huán)。3.4數(shù)據(jù)泄露場(chǎng)景分析威脅獵人數(shù)據(jù)泄露風(fēng)險(xiǎn)監(jiān)測(cè)平臺(tái)數(shù)據(jù)顯示，2025年1月至12月全網(wǎng)監(jiān)測(cè)了7.67億條關(guān)于數(shù)據(jù)泄露的情報(bào)，基于威脅獵人真實(shí)性驗(yàn)證引擎以及DRRC專業(yè)人工分析驗(yàn)證出有效的數(shù)據(jù)泄露事件共計(jì)41644起，涉及金融、電商、快遞等關(guān)鍵行業(yè)共2120家企業(yè)。3.4.2.1金融行業(yè)風(fēng)險(xiǎn)"斷層式"領(lǐng)先2025年數(shù)據(jù)泄露重災(zāi)區(qū)進(jìn)一步向資金密集型行業(yè)集中。銀行業(yè)數(shù)據(jù)泄露事件穩(wěn)居榜首，消費(fèi)金融行業(yè)則強(qiáng)勢(shì)反超電商行業(yè)，躍升至第二位。加上排名大幅前移的支付（升至Top4）與證券（升至Top5"泛金融"板塊已占據(jù)Top5中的四席，顯示黑產(chǎn)攻擊重心在于高變現(xiàn)價(jià)值的信貸與資金流數(shù)據(jù)。3.4.2.2本地生活“強(qiáng)登”情報(bào)大幅下降，軟件應(yīng)用取代本地生活成為新靶點(diǎn)"軟件應(yīng)用"行業(yè)取代了"本地生活"行業(yè)，首次躋身Top10。據(jù)威脅獵人觀察發(fā)現(xiàn)，一方面2024年本地生活行業(yè)火熱的“強(qiáng)登”查檔泄露在2025年出現(xiàn)大幅下降（-61.38%推測(cè)涉及到的