2024年ღღ◈◈，互联网黑灰产攻击依旧严峻ღღ◈◈。不管是在黑灰产团伙规模ღღ◈◈，还是攻击资源ღღ◈◈、攻击技术的应用以及攻击场景的演变ღღ◈◈，均出现了较大的变化ღღ◈◈。

　　在攻击资源方面ღღ◈◈，2024年威胁猎人捕获全球新增作恶手机号1600多万例ღღ◈◈，日活跃作恶IP1170万例ღღ◈◈，较2023年大幅提升ღღ◈◈。为躲避风控监测ღღ◈◈，黑灰产不断升级技术寻找更加隐蔽的攻击资源ღღ◈◈，如通过在正常用户设备植入木马将其IP作为攻击资源ღღ◈◈、“商户洗钱”产业链快速发展等ღღ◈◈。

　　在攻击技术方面ღღ◈◈，2024年黑产团伙对通用技术的应用也有新的发展ღღ◈◈，如滥用“子母机”绕过身份认证ღღ◈◈、利用“NFC远程传输软件”进行境外洗钱ღღ◈◈、定制化云手机系统提升攻击效率等等ღღ◈◈。

　　在攻击场景方面ღღ◈◈，线上业务欺诈ღღ◈◈、金融贷款欺诈ღღ◈◈、品牌广告欺诈ღღ◈◈、API攻击ღღ◈◈、钓鱼仿冒ღღ◈◈、数据泄露ღღ◈◈、电信网络诈骗等场景热度持续高涨ღღ◈◈。线上业务欺诈已进入深水区ღღ◈◈，全行业ღღ◈◈、全业务环节无差别攻击ღღ◈◈；“王星事件”更是进一步提升了公众对电信网络诈骗的关注度ღღ◈◈。

　　威胁猎人发布《2024年互联网黑灰产趋势年度总结》ღღ◈◈，基于对2024年互联网黑色产业链的深入研究ღღ◈◈，从2024年黑灰产攻击资源ღღ◈◈、攻击技术ღღ◈◈、攻击场景等维度进行分析ღღ◈◈，客观呈现2024年互联网黑灰产的整体发展态势ღღ◈◈，旨在从情报维度帮助各行各业企业提升对黑灰产的认知ღღ◈◈，从而进一步完善风控策略ღღ◈◈。

　　1.1.1 2024国内作恶手机号新增数量超800万ღღ◈◈，较2023年提升30%据威胁猎人情报数据显示ღღ◈◈，近年来国内作恶手机号数量持续上涨ღღ◈◈，2024年新增量级

　　从2024年国内猫池卡数量的变化趋势来看ღღ◈◈，2月ღღ◈◈、6月到9月期间ღღ◈◈，新增国内猫池手机卡数量呈现下滑趋势ღღ◈◈。

　　2ღღ◈◈、6-9月期间ღღ◈◈，由于监管机构加强打击ღღ◈◈，多个发卡平台被关停ღღ◈◈，部分卡商被捕ღღ◈◈，造成供应减少ღღ◈◈，导致新增猫池卡数量下降ღღ◈◈。

　　威胁猎人情报数据统计显示ღღ◈◈，2024年国内新增猫池卡归属地省份（含直辖市）主要集中在上海ღღ◈◈、北京和辽宁省ღღ◈◈。

　　ღღ◈◈。威胁猎人关注到ღღ◈◈，今年上海的猫池卡在全年各月均保持较高数量ღღ◈◈，活跃在发卡平台的头部卡商今年也持续提供上海猫池卡ღღ◈◈。

　　值得关注的是ღღ◈◈，威胁猎人情报数据显示ღღ◈◈，自2024年3月起ღღ◈◈，归属地为中国香港的风险手机卡交易数量大幅增长ღღ◈◈，9月份达到峰值ღღ◈◈。

　　由于下游诈骗黑产需求旺盛ღღ◈◈，中国香港手机号因可注册国内外应用ღღ◈◈、成本低ღღ◈◈、可用时间长等特点ღღ◈◈，仍被黑产大量需求ღღ◈◈。

　　香港手机卡接码服务的在线使用时间相对其他境内卡更长ღღ◈◈，一般可保证一个月重复使用ღღ◈◈，而其他境内手机卡一般为数日ღღ◈◈；

　　香港卡支持多种接码形式ღღ◈◈，目前威胁猎人在接码平台ღღ◈◈、发卡网站ღღ◈◈、私域接码均发现了香港相关手机卡的作恶记录ღღ◈◈。

　　威胁猎人情报数据显示ღღ◈◈，今年国内新增猫池卡的归属运营商主要为基础运营商ღღ◈◈，占比高达76.42%ღღ◈◈，相比去年提升了14.51%ღღ◈◈。

　　威胁猎人情报人员通过调研发现ღღ◈◈，今年三大运营商占比提升ღღ◈◈，主要是很多企业进一步提升对虚拟运营商手机卡的风险控制ღღ◈◈，导致黑产对国内三大运营商的手机卡资源需求增加ღღ◈◈。

　　威胁猎人持续监控黑灰产作恶资源来源渠道变化趋势ღღ◈◈，发现作为猫池卡主要贡献渠道的发卡平台在2024年数量大幅增加ღღ◈◈，但生存周期缩短ღღ◈◈：

　　2024年新出现了171个猫池卡发卡平台ღღ◈◈，同步2023年增长39.37%ღღ◈◈，但其中有24%的猫池卡发卡平台运营时间不足一周ღღ◈◈。威胁猎人进一步调研发现ღღ◈◈，

　　此外ღღ◈◈，威胁猎人对目前还存活的猫池卡相关发卡平台进行测试发现ღღ◈◈，一些黑灰产为了防止被监管打击ღღ◈◈，会采取一些较高的安全措施ღღ◈◈，包括但不限于

　　据威胁猎人情报数据显示ღღ◈◈，2024年国内新增拦截卡大幅增加ღღ◈◈，共有196.64万例ღღ◈◈，较2023年增长405.50%ღღ◈◈。

　　威胁猎人研究发现ღღ◈◈，一月份拦截卡数量大幅提升是因为去年年底新出现的一个拦截卡渠道ღღ◈◈，投放了大量拦截卡资源ღღ◈◈，2024年该渠道贡献拦截卡数量近百万余例ღღ◈◈，占今年整体数量的48.82%ღღ◈◈。但该渠道在2024年6月到7月期间暂停活跃ღღ◈◈，最终在2024年12月停止运营ღღ◈◈。

　　威胁猎人情报数据统计显示ღღ◈◈，2024年国内新增拦截卡归属地省份（含直辖市）主要集中在广东ღღ◈◈、山东和四川ღღ◈◈。

　　威胁猎人情报数据显示ღღ◈◈，今年国内新增拦截卡的归属运营商98.99%为基础运营商ღღ◈◈，归属其他运营商的占比1.01%ღღ◈◈。

　　威胁猎人研究发现ღღ◈◈，拦截卡的接码方式也逐渐从传统的拦截卡平台接码模式转变为“群接码”模式 ღღ◈◈。

　　这种模式下ღღ◈◈，拦截卡卡商隐藏真实号码ღღ◈◈，仅展示打码号码ღღ◈◈，只有黑卡购买者可获取完整号码完成接码作恶ღღ◈◈。

　　卡商可通过“群接码”模式隐蔽真实的平台信息ღღ◈◈，不将平台的敏感信息暴露于使用者ღღ◈◈。目前ღღ◈◈，通过“群接码”渠道日均捕获作恶短信记录1269例ღღ◈◈，作恶记录最高峰为11月ღღ◈◈，捕获作恶短信记录近6万例ღღ◈◈：

　　1.2.1 2024年日活跃作恶IP有1178万ღღ◈◈，较2023年提升95.68%据威胁猎人情报数据显示ღღ◈◈，近年来日活跃作恶IP数量持续上升ღღ◈◈，2024年日活跃作恶IP数量达到1178万ღღ◈◈，较2023年增长95.68%B站的老司机都从这里上车了ღღ◈◈。

　　威胁猎人研究发现ღღ◈◈，2024年国内作恶IP的大幅增长主要是劫持共用代理IP数量急剧增长导致ღღ◈◈。2024年ღღ◈◈，国内劫持共用代理平台发展迅速ღღ◈◈，威胁猎人捕获劫持共用代理IP数量超4000万ღღ◈◈，占比从去年14.91%提升至今年的51.47%ღღ◈◈，且超过普通代理IP的占比ღღ◈◈。

　　指被黑产恶意劫持的正常用户IP资源ღღ◈◈。黑产通过在正常用户设备中植入木马ღღ◈◈，通过木马在正常用户网络上建立代理通道j9九游会官方登录ღღ◈◈，且每次使用时间很短ღღ◈◈，因此普通用户难以感知到自己的IP被盗用ღღ◈◈。威胁猎人在2024年1月已把这类IP标记为“劫持共用代理IP”风险标签ღღ◈◈。

　　威胁猎人情报数据统计显示ღღ◈◈，2024年国内活跃的作恶IP归属省份（含直辖市）主要集中在江苏省ღღ◈◈、广东省和河南省ღღ◈◈。其中ღღ◈◈，河南省量级提升最大ღღ◈◈，提升了54.45%ღღ◈◈，排名也从23年的第六到了第三ღღ◈◈。

　　随着网络安全监管及企业风控策略的增强ღღ◈◈，为规避风控检测和追踪ღღ◈◈，黑产也在升级技术尝试挖掘更加隐蔽的IP攻击资源ღღ◈◈。

　　近年来ღღ◈◈，威胁猎人陆续发现正常用户与不法分子混合使用的作恶IP类型ღღ◈◈，并对其进行深入研究ღღ◈◈，于2024年推出「劫持共用代理IP」ღღ◈◈、

　　是指被黑产恶意劫持的正常用户IP资源ღღ◈◈。威胁猎人发现ღღ◈◈，黑产通过在正常用户设备中植入木马ღღ◈◈，通过木马在正常用户网络上建立代理通道ღღ◈◈，且每次使用时间很短ღღ◈◈，因此普通用户难以感知到自己的IP被盗用ღღ◈◈。劫持共用IP大部分时间是正常用户的常规行为ღღ◈◈，仅少数时间被黑产劫持用于短暂恶意行为ღღ◈◈，因此

　　ღღ◈◈，这就使得黑产使用劫持共用IP的成功率往往高于普通代理IPღღ◈◈，导致越来越多的平台转向劫持共用代理IP资源ღღ◈◈。这类劫持共用代理IP在2023年底出现ღღ◈◈，2024年快速发展ღღ◈◈、数量急剧增加ღღ◈◈，2024年威胁猎人捕获劫持共用代理IP超4000万ღღ◈◈，同比增长341.81%ღღ◈◈，且超过了普通代理IP的数量ღღ◈◈。

　　云服务技术为各行业带来便利的同时ღღ◈◈，也在被黑产滥用ღღ◈◈。一些黑产将云技术成果转为作恶工具ღღ◈◈，如借助云服务搭建代理IP资源池ღღ◈◈、利用云手机的群控设置向企业发起攻击等ღღ◈◈。

　　威胁猎人发现ღღ◈◈，一些攻击者为了掩盖真实源IPღღ◈◈，会利用云计算平台的云函数IP搭建代理IP池执行攻击ღღ◈◈，或者利用云手机的群控配置执行批量攻击B站的老司机都从这里上车了ღღ◈◈，威胁猎人将这两种方式产生的IP定义为「云服务IP」ღღ◈◈、「云手机IP」ღღ◈◈。

　　不管是云服务IP还是云手机IPღღ◈◈，都是广泛服务众多正常用户ღღ◈◈，因此平台风控一般会直接将其视为正常用户ღღ◈◈，忽视了它们的作恶行为ღღ◈◈。

　　2024年ღღ◈◈，威胁猎人加强对海外作恶IP进行的监测ღღ◈◈，2024年共捕获海外作恶IP4479万个ღღ◈◈，相比2023年提升了102.14%ღღ◈◈。

　　国内作恶IP主要以家庭宽带IP为主ღღ◈◈，占比将近90%ღღ◈◈，国内作恶代理IPღღ◈◈、秒拨IP和劫持共用代理 IP都与家庭宽带密切相关ღღ◈◈；

　　虽然家庭宽带占比也是最大ღღ◈◈，但移动网络占比也比较高ღღ◈◈，超过40%ღღ◈◈，进一步分析发现ღღ◈◈，这些IP主要来自流量卡ღღ◈◈，通过频繁切换飞行模式来实现IP变化ღღ◈◈。

　　1.3.1 2024年涉及洗钱的银行卡资源分析威胁猎人对捕获到的33.6万张参与洗钱的银行卡进行分析ღღ◈◈，主要分为涉赌卡ღღ◈◈、跑分卡和涉诈卡三种类型ღღ◈◈，其中涉诈卡占比最大ღღ◈◈，达到42.03%ღღ◈◈。

　　涉赌卡ღღ◈◈：活跃在赌博平台中ღღ◈◈，为赌博平台内收款使用的银行卡ღღ◈◈，常被用于赌博平台内进行充值收款行为ღღ◈◈，关联的资产涉及到赌博洗钱行为ღღ◈◈。威胁猎人通过人工和自动化结合的方式ღღ◈◈，从各类赌博平台中采集用于收款行为的银行卡账号信息ღღ◈◈。

　　活跃在跑分平台ღღ◈◈，为跑分份子使用的银行卡ღღ◈◈，常被用于各种非法来源资金的流通交易ღღ◈◈。威胁猎人通过自动化的方式ღღ◈◈，从跑分平台APP中获取到跑分订单中的银行卡账号信息ღღ◈◈。

　　在各类匿名社交黑产群聊中ღღ◈◈，被诈骗团伙购买用于洗钱的银行卡ღღ◈◈，常用于诈骗类黑资金转移ღღ◈◈。威胁猎人通过自动化的方式ღღ◈◈，从各大匿名社交黑产群聊中发送的记录中ღღ◈◈，提取出诈骗团伙所使用的银行卡账号信息ღღ◈◈。

　　威胁猎人通过对三类洗钱卡的监测数据发现ღღ◈◈，归属为六大国有银行的洗钱卡占比最大ღღ◈◈。这主要是因为其覆盖范围广ღღ◈◈、客户基数大ღღ◈◈，因此也更容易被黑产利用作为洗钱工具ღღ◈◈。

　　1ღღ◈◈、三种类型的洗钱银行卡归属省份TOP10（排名有先后）都是广东ღღ◈◈、广西ღღ◈◈、江苏ღღ◈◈、湖北ღღ◈◈、山西ღღ◈◈、河南ღღ◈◈、重庆ღღ◈◈、四川ღღ◈◈、山东ღღ◈◈、云南ღღ◈◈，

　　2ღღ◈◈、三种类型的洗钱银行卡归属城市TOP10（排名有先后）都是深圳ღღ◈◈、广州B站的老司机都从这里上车了ღღ◈◈、重庆ღღ◈◈、东莞ღღ◈◈、上海ღღ◈◈、武汉ღღ◈◈、晋城ღღ◈◈、郑州ღღ◈◈、成都ღღ◈◈；且

　　威胁猎人研究发现ღღ◈◈，2024年参与洗钱的银行卡ღღ◈◈，超过50%的卡只在1天内活跃ღღ◈◈，其中涉诈卡在1天内活跃的占比达到84.03%ღღ◈◈，高于跑分卡的66.33%ღღ◈◈，和涉赌卡的52.58%ღღ◈◈。

　　这也说明ღღ◈◈，洗钱场景下ღღ◈◈，黑产更倾向于快速完成交易ღღ◈◈，具有明显的短期ღღ◈◈、高频操作特点ღღ◈◈，尤其是在诈骗洗钱场景下更明显ღღ◈◈。

　　对公账户指以公司名义在银行开立的账户ღღ◈◈，洗钱对公账户指被黑产用于非法资金清洗的银行对公账户ღღ◈◈，因对公账户具有收款额度大ღღ◈◈、转账次数多等特点B站的老司机都从这里上车了ღღ◈◈，使得“对公账户”常常作为黑钱转账的集中点及发散点ღღ◈◈。

　　2024年ღღ◈◈，威胁猎人持续监测黑产在洗钱过程中所使用的银行对公账户资源ღღ◈◈，根据威胁猎人情报监测洗钱对公账户数据显示ღღ◈◈，2024年ღღ◈◈，新增洗钱对公账户数量大幅上涨ღღ◈◈，同比2023年增长了58.05%ღღ◈◈。

　　威胁猎人情报数据显示ღღ◈◈，参与洗钱的对公账户归属银行类型分布中ღღ◈◈，城市商业银行排行第一ღღ◈◈，占比30.63%ღღ◈◈。

　　进一步分析发现ღღ◈◈，今年城商行对公账户数量较2023年上升8.13%ღღ◈◈，农信社和农商行的对公数量较比2023年分别上升5.48%和3.48%ღღ◈◈，而六大国有占比下降11.21%ღღ◈◈。

　　威胁猎人研究发现ღღ◈◈，洗钱团伙除了使用个人银行卡ღღ◈◈、对公账号等进行洗钱外ღღ◈◈，也会利用“商户账号”进行洗钱ღღ◈◈。

　　“商户”通常指具有合法营业资格的商户商家及商户账号ღღ◈◈。近年来ღღ◈◈，诈骗或洗钱团伙开始利用商户账户收取“黑钱”来洗钱ღღ◈◈，使用商家资质开通的收款账户基本没有收款额度限制ღღ◈◈，可支持花呗ღღ◈◈、信用卡等多种付款方式ღღ◈◈，相比传统洗钱方式会更隐蔽和高效ღღ◈◈。

　　威胁猎人在2024年针对“商户洗钱”产业链进行重点研究ღღ◈◈，发现目前已出现了“商户代收”（商家码）ღღ◈◈、“扫街码”ღღ◈◈、“商户反扫”ღღ◈◈、“商户代付”（核销码）等多种商户洗钱方式ღღ◈◈。

　　威胁猎人情报数据显示ღღ◈◈，2024年参与洗钱的商户数量持续增多ღღ◈◈，下半年相比上半年增长了141.42%ღღ◈◈。

　　威胁猎人情报人员对参与洗钱的商户进一步分析发现ღღ◈◈，这些商户涉及80多个行业ღღ◈◈，其中零售业商户占比最多ღღ◈◈，超过了40%ღღ◈◈，其次是批发业ღღ◈◈、餐饮业ღღ◈◈。这类行业具备资金流动频率高ღღ◈◈、交易对象多ღღ◈◈、资金结算快等特征ღღ◈◈，这些特征正符合黑产洗钱的要求ღღ◈◈，黑产利用此类商户洗钱更不容易触发风控ღღ◈◈。

　　ღღ◈◈。收单机构既有企业性质的第三方收单机构ღღ◈◈，也有银行自身作为收单机构角色B站的老司机都从这里上车了ღღ◈◈。在威胁猎人监控的300多家涉及商户洗钱风险的收单机构中ღღ◈◈，银行自身作为收单机构的占比最多ღღ◈◈，达到84.17%ღღ◈◈。

　　从2024年不同类型邮箱数量来看ღღ◈◈，2024年捕获邮箱20.41万个ღღ◈◈，其中低风险企业邮箱占总量76.58%ღღ◈◈，高风险邮箱（临时邮箱）占比4.57%ღღ◈◈，今年新增邮箱主要集中在企业邮箱ღღ◈◈。

　　威胁猎人研究发现ღღ◈◈，由于各企业拥有不同的业务环境和风险控制措施ღღ◈◈，黑产组织针对这些企业所采用的恶意工具ღღ◈◈、攻击服务也呈现出多样性ღღ◈◈，但通过深入分析这些工具的底层技术特征ღღ◈◈，我们可以将攻击服务划分为“过身份”ღღ◈◈、“多身份”ღღ◈◈、“批量化”三大模块ღღ◈◈，其中每个模块涉及到多种底层攻击技术ღღ◈◈，这些技术是实现各类具体攻击行为的关键所在ღღ◈◈。

　　威胁猎人研究发现ღღ◈◈，2024年黑灰产利用“子母机”技术ღღ◈◈，可使两台手机同时登录同一平台账号ღღ◈◈，利用这一技术ღღ◈◈，黑产可实现两个人同时共用一个平台账户完成平台相关操作ღღ◈◈。“子母机”的应用逻辑是ღღ◈◈：黑产先用母手机登录账号完成身份认证ღღ◈◈，在通过代码劫持获取账号的Cookieღღ◈◈、设备环境等信息ღღ◈◈，再将这些信息复制到子设备上ღღ◈◈，替换其原始文件ღღ◈◈，并让子设备读取新信息ღღ◈◈。

　　目前ღღ◈◈，出行ღღ◈◈、外卖等行业已出现此类工具的售卖ღღ◈◈，可能导致未经培训或资质不符的司机/外卖员违规上岗ღღ◈◈，不仅影响平台的服务质量ღღ◈◈，还可能危及平台用户的人身安全ღღ◈◈，给平台带来更大的损失和名誉受损ღღ◈◈。

　　② 然后ღღ◈◈，通过劫持等方式把A手机上的cookie和设备环境信息等ღღ◈◈，复制到B手机上ღღ◈◈；③ B手机此时掌握在B师傅上ღღ◈◈，但B手机上的信息ღღ◈◈，是A师傅的账号信息ღღ◈◈；

　　④ 每次人脸认证时ღღ◈◈，只需要在A手机上进行认证ღღ◈◈，即可在两台手机上都生效ღღ◈◈，Aღღ◈◈、B师傅都可继续使用账号进行业务操作ღღ◈◈。

　　NFC（近场通信）是一种短距离无线通信技术ღღ◈◈，有效距离通常在10cm以内ღღ◈◈，广泛应用于移动支付（如Apple Payღღ◈◈、Google Pay）ღღ◈◈、门禁卡ღღ◈◈、数据交换等领域ღღ◈◈。所谓NFC远程传输ღღ◈◈，指的是先通过NFC技术读取设备信息ღღ◈◈，再借由网络远程传输这些信息ღღ◈◈。例如ღღ◈◈，设备A读取IC卡信息后ღღ◈◈，通过特定应用将信息发送至服务器或设备Bღღ◈◈，设备B即可模拟该IC卡使用ღღ◈◈。

　　黑灰产正是利用这一技术ღღ◈◈，实现IC卡信息的远程读取与复原ღღ◈◈。即使手机设备B与IC卡物理上分离ღღ◈◈，也能执行如POS机支付等操作ღღ◈◈。

　　黑产将国内信用卡信息远程传输至国外设备ღღ◈◈，利用这些信息进行POS机消费B站的老司机都从这里上车了ღღ◈◈，购买奢侈品ღღ◈◈、珠宝等ღღ◈◈，从而绕过信用卡交易的地理限制ღღ◈◈，完成洗钱行为ღღ◈◈。

　　① 该软件介绍“不受时间及国界限制ღღ◈◈，无论何时何地都能完成交易”ღღ◈◈、“可实体ღღ◈◈，可虚拟ღღ◈◈，支持所有钱包”ღღ◈◈；

　　威胁猎人在2023年发布的《互联网黑灰产研究年度报告》中指出ღღ◈◈，云手机平台的配套服务日益丰富ღღ◈◈，黑产技术呈现出集成化ღღ◈◈、服务化的特点ღღ◈◈。2024年ღღ◈◈，我们继续跟踪观察发现ღღ◈◈，云手机平台不仅集成化ღღ◈◈、服务化趋势愈发明显ღღ◈◈，定制化趋势也愈发成熟ღღ◈◈。

　　服务化主要提供完善的基础攻击工具ღღ◈◈，让用户基于这些工具实施攻击ღღ◈◈。而定制化则是云手机平台针对特定app进行风控绕过ღღ◈◈、开发对应的作恶脚本ღღ◈◈，并集成到云手机系统中ღღ◈◈，供用户直接使用ღღ◈◈。

　　黑产为其定制开发的云手机系统涵盖了注册ღღ◈◈、养号ღღ◈◈、引流变现等完整攻击流程的自动化实现ღღ◈◈。这不仅降低了攻击者的准入门槛ღღ◈◈，使新手也能进行傻瓜式操作ღღ◈◈，还让攻击者无需关注风控层面的对抗ღღ◈◈，从而极大提升了攻击效率ღღ◈◈。

　　本报告中的线上业务欺诈场景不局限于传统营销活动欺诈攻击ღღ◈◈，只要是所有干扰业务正常运营ღღ◈◈，从正常的业务开展中牟利的恶意行为ღღ◈◈，都被称之为“业务欺诈攻击”ღღ◈◈，如营销欺诈ღღ◈◈、恶意引流ღღ◈◈、刷量欺诈ღღ◈◈、认证绕过等ღღ◈◈。

　　ღღ◈◈。2024年12月业务欺诈相关情报出现暴涨现象ღღ◈◈，威胁猎人情报人员进一步分析发现ღღ◈◈，12月增长量中超过一半源自匿名群聊上的情报信息ღღ◈◈，这一现象主要是因为一些大型赌博黑产团伙线上赌博活动频繁ღღ◈◈，以及跑分洗钱团伙通过多账号进行广告“招商”和暴力引流所导致ღღ◈◈。

　　2024年ღღ◈◈，威胁猎人捕获业务欺诈活跃作恶网站/论坛（暗网除外）月均163个ღღ◈◈，全年作恶帖子总量926万例ღღ◈◈：

　　威胁猎人风险情报平台为客户提供风险情报挖掘和事件预警服务ღღ◈◈，支持将黑灰产原始线索深入分析并结构化为有效的攻击事件ღღ◈◈。

　　ღღ◈◈。通过对这些攻击事件进一步分析ღღ◈◈，我们发现业务欺诈攻击已经渗透到多个行业ღღ◈◈、多个业务ღღ◈◈。也就是说ღღ◈◈，线上业务欺诈针对不同行业ღღ◈◈、不同业务环节呈现“无差别攻击”ღღ◈◈，任何有利可图的地方都是黑灰产的攻击目标ღღ◈◈。

　　通过对攻击事件进行热词提取ღღ◈◈，我们发现当前业务欺诈攻击不局限于过去专攻注册登录ღღ◈◈、领券抢单等业务ღღ◈◈，

　　随着业务风控能力的不断提升ღღ◈◈，大多数典型的机器作弊行为已被有效识别ღღ◈◈。尽管一些高端黑产仍在使用定制化技术进行对抗ღღ◈◈，但越来越多的黑灰产开始转向真人众包作弊方式进行攻击ღღ◈◈。

　　从威胁猎人捕获到的情报信息来看ღღ◈◈，2024年ღღ◈◈，真人作弊行为变得更加定制化ღღ◈◈，角色多样化ღღ◈◈，且界限模糊ღღ◈◈。主要体现在以下几方面ღღ◈◈：

　　2024年以来ღღ◈◈，威胁猎人共捕获到889万个众包任务ღღ◈◈，月均超过63万个ღღ◈◈，高峰时期甚至达到100万个ღღ◈◈。

　　这些专项任务可能包括变相刷单ღღ◈◈、浏览酒店页面以增加浏览量j9九游会 - 真人游戏第一品牌ღღ◈◈，ღღ◈◈、或使用真人账号挂机爬取平台商品数据等ღღ◈◈。

　　参与者按照APP提供的教程ღღ◈◈，针对指定的入住平台ღღ◈◈、日期ღღ◈◈、地区和酒店名称ღღ◈◈，截取酒店页面的价格信息并上传ღღ◈◈。APP会自动通过OCR技术识别并提取价格信息ღღ◈◈，参与者随后可以领取相应的佣金ღღ◈◈。

　　黑灰产以兼职名义创建群组ღღ◈◈，组织ღღ◈◈、招募真人使用其账号对指定电商平台商品链接进行访问ღღ◈◈，按要求获取商品对应件数ღღ◈◈、对应活动条件的到手价格上传表格ღღ◈◈。

　　欺诈角色边界逐渐模糊ღღ◈◈，越来越多的真人用户通过研究和利用平台业务的“正当”规则进行恶意牟利ღღ◈◈。

　　近几年ღღ◈◈，各平台层出不穷的多倍赔付ღღ◈◈、仅退款教程ღღ◈◈、价保退款攻略ღღ◈◈，更多反映了在黑灰产“引导”下ღღ◈◈，以平台真人用户为主的欺诈趋势ღღ◈◈。案例ღღ◈◈：威胁猎人捕获了一起羊毛用户利用平台保价政策结合支付券识别漏洞ღღ◈◈，“0撸”或低价购买平台商品ღღ◈◈，该类攻击短时间内对平台和开通价保的商家造成了大额的损失和退款ღღ◈◈。

　　羊毛党发现某平台某类商品可领取满减优惠券和支付券（合作银行或平台品类）ღღ◈◈，但二者只能选择其一使用ღღ◈◈；羊毛党通过支付券购买了这款商品ღღ◈◈，然后利用商家的保价政策规则申请店铺满减优惠券保价金额（商家看不到用户使用了支付券ღღ◈◈，因为是不同平台）ღღ◈◈，最终达到0撸或低价购入ღღ◈◈。

　　威胁猎人情报人员针对这类型漏洞攻击进行分析ღღ◈◈，发现羊毛党主要利用了两个方面的漏洞ღღ◈◈：首先ღღ◈◈，他们利用了保价政策中对店铺优惠券的补偿机制ღღ◈◈，该机制原本是为了在短时间内对用户发放补偿ღღ◈◈；其次ღღ◈◈，他们利用了保价政策无法识别已使用支付券优惠的漏洞ღღ◈◈。这使得黑产分子能够同时“享受”两种优惠券的优惠ღღ◈◈。这种行为在短时间内对平台和开通价保的商家造成了大额的损失和退款ღღ◈◈。

　　黑灰产业链能够持续不断地高效运作离不开上游资源交易和下游套利变现ღღ◈◈，上游黑产通过特定渠道采购账号ღღ◈◈、工具ღღ◈◈、手机号等攻击资源ღღ◈◈，下游黑产通过各种渠道（发卡网站和二手闲置交易平台等）ღღ◈◈，将持有的上游攻击资源以及攻击所得的优惠券ღღ◈◈、现金券ღღ◈◈、会员权益ღღ◈◈、实体商品等进行变现ღღ◈◈。

　　ღღ◈◈，大量活跃交易商品和丰富品类表明黑灰产攻击活动仍处上升期ღღ◈◈、持续运转ღღ◈◈。商品交易市场的流动ღღ◈◈，实则破坏了平台用户和玩家的平等权益ღღ◈◈，缩减ღღ◈◈、损害了业务方的预期收益ღღ◈◈。

　　各商品大类下存在多个细分丰富商品ღღ◈◈，如会员权益类包含合作平台联合权益的会员转卖ღღ◈◈、等级vip权益ღღ◈◈；优惠券类包含平台红包ღღ◈◈、优惠券ღღ◈◈、折扣券转卖ღღ◈◈；教程工具类则是包含了一体机ღღ◈◈、绕过人脸验证ღღ◈◈、改定位ღღ◈◈、抢购ღღ◈◈、抢单等自动化ღღ◈◈、批量化作弊工具ღღ◈◈、搬砖项目教程等ღღ◈◈；代下单服务类型包含了收取使用费ღღ◈◈，使用业务方折扣账号ღღ◈◈、会员权益ღღ◈◈、补贴名额进行代下单和抢单等ღღ◈◈；代理服务类型与代注册ღღ◈◈、资质绕过相关ღღ◈◈，其中有大量商品触及违规ღღ◈◈。

　　违规绕过服务ღღ◈◈，如利用信息差和内部渠道等手段ღღ◈◈，为申请资质不合规的商家店铺AI应用ღღ◈◈，ღღ◈◈、司机等ღღ◈◈，直接入驻平台运营ღღ◈◈。

　　各类低价卡券代下和自助下单商品ღღ◈◈，通过代下服务和上游搭建的自助对接下单系统ღღ◈◈，黑产将回收的券出售套利ღღ◈◈，羊毛党低于原价获取商品ღღ◈◈。

　　威胁猎人关注到ღღ◈◈，相比过去主要在普通社交平台发布ღღ◈◈，现在更多业务欺诈黑产逐渐转向更隐秘的渠道ღღ◈◈，如在Telegram等匿名群聊渠道上建立大量与业务欺诈相关的讨论频道ღღ◈◈。

　　2024年ღღ◈◈，威胁猎人监测到围绕业务欺诈风险的讨论量在匿名渠道上达到了46万起ღღ◈◈，且每月呈现增长趋势ღღ◈◈。

　　威胁猎人研究发现ღღ◈◈，金融贷款欺诈已经形成了一条分工明确ღღ◈◈、利益瓜分的成熟产业链ღღ◈◈。以“职业背债”为例ღღ◈◈，其上游操作方ღღ◈◈、中间黑产ღღ◈◈、下游中介以及背债人等角色各司其职ღღ◈◈，通过严密的协作机制组织骗贷活动ღღ◈◈。这种黑产的存在不仅破坏了金融市场的正常运行ღღ◈◈，给金融机构造成巨大的损失ღღ◈◈，还会对社会的稳定和经济的健康发展构成严重威胁ღღ◈◈。3.2.1 2024年贷款欺诈风险依旧严峻ღღ◈◈，欺诈热度持续上涨

　　2024年ღღ◈◈，威胁猎人共捕获贷款欺诈攻击情报414万条ღღ◈◈，监控活跃的作恶社交群组34697个ღღ◈◈，作恶黑产11.5万名ღღ◈◈；不管是欺诈情报热度ღღ◈◈，还是作恶群组数ღღ◈◈、作恶黑产数（包括恶意贷款中介）ღღ◈◈，均呈逐渐上升趋势ღღ◈◈。

　　随着社会经济大环境的不断变化ღღ◈◈、金融消费文化的转变ღღ◈◈，越来越多消费者开始崇尚“卖征信换钱”ღღ◈◈，“背债”热度持续上涨ღღ◈◈。

　　2024年ღღ◈◈，威胁猎人捕获“背债”相关攻击情报呈上升趋势ღღ◈◈，背债热度上升ღღ◈◈，并在9月达到峰值九游会j9ღღ◈◈。ღღ◈◈，下半年比上半年增长56%ღღ◈◈。

　　威胁猎人情报数据显示ღღ◈◈，2024年“背债”相关的贷款欺诈ღღ◈◈，活跃热度TOP3的省份（含直辖市）是广东ღღ◈◈、四川ღღ◈◈、重庆ღღ◈◈。

　　威胁猎人情报数据显示ღღ◈◈，2024年“背债”相关的贷款欺诈ღღ◈◈，活跃热度TOP3的城市（含直辖市）是重庆ღღ◈◈、深圳ღღ◈◈、长沙ღღ◈◈。

　　威胁猎人研究发现ღღ◈◈，黑产在选择背债人选的时候ღღ◈◈，逐渐更偏向于选择征信条件好ღღ◈◈、资质好ღღ◈◈、外貌条件好的客户ღღ◈◈。很多金融机构现有的反欺诈模型ღღ◈◈、评分卡等很难识别这类优质的高风险客户B站的老司机都从这里上车了ღღ◈◈，自动化审批通过的背债人占比也越来越高ღღ◈◈。

　　的旗号ღღ◈◈，召集一些无法通过正常贷款融资但有资金需求的人群ღღ◈◈，如征信为白户ღღ◈◈、花户ღღ◈◈、黑户等ღღ◈◈，通过身份包装后进行“假购车ღღ◈◈、真套现”的合同诈骗ღღ◈◈、贷款诈骗ღღ◈◈。

　　威胁猎人研究发现ღღ◈◈，黑产通过召集一些自身无贷款资质但有资金需求的人群ღღ◈◈，在黑产链的组织ღღ◈◈、垫资ღღ◈◈、包装及客户配合下ღღ◈◈，一人可以办理多笔车贷ღღ◈◈、一辆汽车也可以办理多家金融机构贷款ღღ◈◈。

　　威胁猎人研究发现ღღ◈◈，有些人因资质不符ღღ◈◈、缺乏条件等问题无法正常申请贷款ღღ◈◈，会通过虚假工作信息ღღ◈◈、虚假流水等“假数据”来达到借贷目的ღღ◈◈。

　　3.3.1 遭受欺诈的品牌广告主中ღღ◈◈，食品饮料类成为遭受广告欺诈占比最大的广告主威胁猎人基于广告暗刷流量监测捕获到大量广告欺诈数据ღღ◈◈，涉及到多个行业ღღ◈◈，涉及到食品饮料ღღ◈◈、电子消费品等多个行业ღღ◈◈，食品饮料行业依旧是遭受欺诈占比最大的广告主ღღ◈◈。

　　设备暗刷伪造并上报的广告中ღღ◈◈，大部分都是完整播放完毕的ღღ◈◈，100%播完的占比达到70.02%ღღ◈◈，这一数据明显不符合正常用户的行为ღღ◈◈，现实情况下有耐心将广告看完的用户并不多ღღ◈◈。

　　视频广告包括开始播放ღღ◈◈、播放中ღღ◈◈、完成播放等阶段ღღ◈◈，不同阶段都会进行广告追踪j9九游会官方登录ღღ◈◈，并将流量上报至广告监测平台ღღ◈◈，实际上这些广告并未播放ღღ◈◈，仅仅是通过设备暗刷伪造了虚假的广告播放情况ღღ◈◈，并将虚假追踪情况上报

　　在广告欺诈刷量的作弊链路中ღღ◈◈，上报的作弊广告流量往往会包含动态变化的伪造设备参数信息ღღ◈◈，模拟真实的设备信息及其展现广告的数据情况ღღ◈◈，以欺骗广告主ღღ◈◈。

　　威胁猎人针对伪造的广告播放数据进行分析发现ღღ◈◈，伪造并上报的虚假广告数据里ღღ◈◈，覆盖了三大类终端ღღ◈◈：移动端ღღ◈◈、OTT端ღღ◈◈、PC端ღღ◈◈。

　　ღღ◈◈，包含了智能电视ღღ◈◈、电视盒子ღღ◈◈、智慧屏ღღ◈◈、智能音箱（带屏）ღღ◈◈、唱歌机ღღ◈◈、投影仪等ღღ◈◈，覆盖多个OTT终端品牌ღღ◈◈。

　　数字化与线上化趋势下ღღ◈◈，API接口作为应用连接ღღ◈◈、数据传输的重要通道ღღ◈◈，近年来大规模增长ღღ◈◈。API应用的增速与其安全发展的不平衡ღღ◈◈，使其成为恶意攻击的首选目标ღღ◈◈，围绕API安全的攻防较量愈演愈烈ღღ◈◈。威胁猎人情报数据显示ღღ◈◈，2024年遭受攻击的API数量超过了250万ღღ◈◈，涉及音视频ღღ◈◈、软件应用ღღ◈◈、汽车ღღ◈◈、电商ღღ◈◈、政务等多个行业ღღ◈◈。

　　从2024年API攻击的行业分布数据来看ღღ◈◈，音视频行业受攻击热度最高ღღ◈◈。黑产利用音视频平台有安全缺陷的API非法爬取内容ღღ◈◈、用户信息等数据ღღ◈◈，通过贩卖音视频内容或用户信息获取高额利益ღღ◈◈，如非法分发ღღ◈◈、转售ღღ◈◈、侵犯版权ღღ◈◈，以及利用用户信息进行钓鱼攻击ღღ◈◈、诈骗等ღღ◈◈。

　　发起批量登陆攻击ღღ◈◈，使用历史版本的登录API接口获取用户凭证ღღ◈◈，再访问“当前版本应用”利用积分免费兑换商品业务ღღ◈◈，给企业带来损失ღღ◈◈。从威胁猎人蜜罐捕获的攻击流量发现ღღ◈◈，从2024年9月至11月ღღ◈◈，攻击者使用代理IPღღ◈◈，对该历史版本的登录API发起攻击超13万次ღღ◈◈，超10W左右的账号使用积分兑换商品ღღ◈◈。

　　如下图所示ღღ◈◈，该登录API接口中账号密码参数并未进行加密ღღ◈◈，均为明文传输ღღ◈◈，且缺失简单的人机验证方式ღღ◈◈，导致成为了黑产发起批量登录攻击的主要对象ღღ◈◈。

　　2024年6月ღღ◈◈，威胁猎人风险情报平台监测到攻击者对国内某银行发起扫号攻击ღღ◈◈。经过流量分析与复现ღღ◈◈，发现该银行资产接口存在

　　ღღ◈◈，黑产可大量验证手机号信息是否为平台注册用户ღღ◈◈，导致有效账号暴露ღღ◈◈，用户隐私泄露ღღ◈◈，威胁系统安全ღღ◈◈。从威胁猎人蜜罐捕获的攻击流量发现ღღ◈◈，在2024年6月J9九游ღღ◈◈，攻击者在一周内ღღ◈◈，对该银行资产接口发起攻击超24万次ღღ◈◈，导致大量有效账号暴露ღღ◈◈。

　　如下图所示ღღ◈◈，黑产对请求体进行构造ღღ◈◈，使用不同的手机号ღღ◈◈，而其他鉴权参数信息特征保持不变ღღ◈◈，如验证码idღღ◈◈、操作记录变量等ღღ◈◈，如果手机号码为

　　ღღ◈◈，如果手机号码为有效账号ღღ◈◈，平台回显“没有找到对应短信验证码信息”ღღ◈◈，黑产可通过回显来判断手机号是否为有效账号ღღ◈◈。

　　进行批量注册ღღ◈◈，注册后访问医生挂号信息并进行抢号ღღ◈◈，抢占医疗资源ღღ◈◈。通过对威胁猎人蜜罐捕获的流量进行分析ღღ◈◈，发现攻击者使用大量的黑卡进行批量注册ღღ◈◈，并伪装为正常病人ღღ◈◈，后续使用注册的账号进行登录ღღ◈◈，登录后开始不断访问医生挂号信息并进行预约抢号ღღ◈◈。

　　如下图所示j9九游会官方登录ღღ◈◈，由于挂号接口没有限制访问频率ღღ◈◈，攻击者可以不断的获取医生挂号信息并在第一时间进行抢号ღღ◈◈。

　　3.5.1 2024年全年年监测钓鱼仿冒风险事件超4万ღღ◈◈，波及数百家企业2024年ღღ◈◈，威胁猎人共监测到钓鱼仿冒风险事件 44640 例ღღ◈◈，涉及 671 家企业ღღ◈◈，较 2023 年监测总量增长 150%ღღ◈◈，整体呈现持续增长趋势ღღ◈◈。

　　相较去年ღღ◈◈，威胁猎人今年进一步加强对仿冒社媒的监控力度ღღ◈◈，新增了多个主流平台ღღ◈◈，从渠道多样性ღღ◈◈、监测深度和覆盖面等角度全面提升监控能力ღღ◈◈，为企业提供更广泛的风险防护支持ღღ◈◈。

　　从2024年钓鱼仿冒事件的行业分布数据来看ღღ◈◈，钓鱼仿冒行业占比TOP3的行业为电商ღღ◈◈、证券行业和消费金融行业ღღ◈◈，其中电商行业成为钓鱼仿冒最为严重的行业ღღ◈◈，电商行业仿冒相关的风险案例占总量的46.41%ღღ◈◈。

　　随着跨境贸易的火热ღღ◈◈，海外电商平台为吸引新手卖家推出低门槛政策ღღ◈◈，导致大量缺乏经验的卖家涌入ღღ◈◈，成为骗子的目标ღღ◈◈。

　　“海外商城盘”就是其中一种以“开网店创业”为幌子的骗局ღღ◈◈，诈骗者冒用知名海外电商平台身份ღღ◈◈，以“零成本开店”和“高收益分销”吸引受害者注册仿冒电商平台进行诈骗ღღ◈◈，这种行为不仅给商家带来直接经济损失ღღ◈◈，还严重损害电商平台品牌资产ღღ◈◈；破坏了平台的商家准入机制ღღ◈◈，影响品牌公信力ღღ◈◈。

　　骗子通过分享网店创业经验ღღ◈◈、用“零成本开店”和“高收益分销”为诱饵ღღ◈◈，让受害者注册仿冒电商平台ღღ◈◈。

　　在受害者注册后ღღ◈◈，诈骗者引导开设店铺并通过虚拟订单和伪造盈利截图ღღ◈◈，营造生意兴隆的假象j9九游会官方登录ღღ◈◈，诱导受害者不断充值垫资发货ღღ◈◈，逐步加大资金投入ღღ◈◈。

　　当受害者投入大量资金后ღღ◈◈，诈骗者以延迟物流ღღ◈◈、冻结账户等为借口ღღ◈◈，进一步要求缴纳违约金或保证金ღღ◈◈，直到受害者资金被完全掏空ღღ◈◈。整个骗局伪装成合法创业ღღ◈◈，利用受害者对快速赚钱的渴望逐步完成诈骗闭环ღღ◈◈。

　　3.6.1 2024年监测数据泄露事件37575起ღღ◈◈，涉及金融ღღ◈◈、电商ღღ◈◈、快递等行业2598家企业威胁猎人数据泄露风险监测平台数据显示ღღ◈◈，2024年1月至12月全网监测了3.03亿条关于数据泄露的情报ღღ◈◈，基于威胁猎人真实性验证引擎以及DRRC专业人工分析验证出有效的数据泄露事件共计37575起ღღ◈◈，涉及金融ღღ◈◈、电商ღღ◈◈、快递等行业2598家企业ღღ◈◈。

　　从行业分布来看ღღ◈◈，2024年1月至12月数据泄露事件中涉及88个行业ღღ◈◈，前五行业分别是银行ღღ◈◈、电商ღღ◈◈、消费金融ღღ◈◈、保险以及快递ღღ◈◈。其中银行行业数据泄露事件数量高达6333起ღღ◈◈，连续两年为数据泄露事件数最多的行业ღღ◈◈。

　　此外ღღ◈◈，今年本地生活行业数据泄露事件行业排名相比2023年有所上升ღღ◈◈，从之前的Top14上升至Top10ღღ◈◈。数据显示ღღ◈◈，2024年本地生活行业共发现700多起数据泄露事件ღღ◈◈，较2023年大幅上涨7.22倍ღღ◈◈。进一步分析发现ღღ◈◈，

　　威胁猎人在2024年发现了一种新的查档类型——“强登”ღღ◈◈，泄露信息主要涉及用户的网购订单ღღ◈◈、外卖配送订单ღღ◈◈、出行打车订单ღღ◈◈、快递订单信息等ღღ◈◈，涵盖了电商ღღ◈◈、快递B站的老司机都从这里上车了ღღ◈◈、本地生活服务（主要是外卖行业）和出行服务等多个行业的头部平台ღღ◈◈。

　　自2024年6月起ღღ◈◈，通过“强登”获取数据的方式开始出现ღღ◈◈，到12月底已累计超过6600起ღღ◈◈。最初主要集中在电商头部平台ღღ◈◈，随后逐渐蔓延至外卖和快递等多个平台九游会j9官方网站ღღ◈◈，ღღ◈◈。

　　指黑灰产通过多种复杂手法强行登录用户的平台账号ღღ◈◈，获取账号下的具体订单等敏感信息ღღ◈◈，再把这些信息提供给下游数据购买者ღღ◈◈，在中游数据售卖时售卖广告会标注【强登】ღღ◈◈。

　　信息获取ღღ◈◈：首先ღღ◈◈，攻击者通过手机号在其他渠道（如查档或社工库等）获取用户的身份证号和证件照等信息ღღ◈◈。

　　最后ღღ◈◈，通过平台的忘记密码或找回密码等接口ღღ◈◈，绕过平台的校验机制ღღ◈◈，强行登录用户的账号ღღ◈◈，从而获取账号中的订单内容等敏感信息ღღ◈◈。

　　上游团伙通过“强登”方式获取到电商ღღ◈◈、外卖ღღ◈◈、快递ღღ◈◈、出行服务等行业订单信息后ღღ◈◈，再由中游团伙在各种匿名群聊ღღ◈◈、社交媒体等发布售卖广告ღღ◈◈，吸引更多下游需求人群ღღ◈◈。

　　近年来ღღ◈◈，“隐私面单”技术不断发展ღღ◈◈，通过隐藏用户真实手机号来保护个人信息安全ღღ◈◈。过去一年ღღ◈◈，在物流行业监管加强和企业的共同努力下ღღ◈◈，隐私面单的推广有效减少了快递面单泄露事件ღღ◈◈，整体治理效果明显（见下图）ღღ◈◈。但道高一尺魔高一丈ღღ◈◈，2024年黑产推出了新的查档服务——“解密”来破解隐私面单ღღ◈◈，最近一年ღღ◈◈，“解密”相关数据泄露事件逐渐增多ღღ◈◈。

　　威胁猎人研究发现ღღ◈◈，从2023年下半年开始至2024年第一季度ღღ◈◈，泄露的数据字段中ღღ◈◈，“IOS”字段增多ღღ◈◈。从数贩卖黑产团伙与下游数据购买者的聊天记录来看ღღ◈◈，下游数据购买者对于数据的复购要求中多次提及“IOS”设备数据的筛选要求ღღ◈◈。

　　但从4月份开始ღღ◈◈，“IOS”字段相关的风险事件呈下降趋势ღღ◈◈，2024年下半年相比上半年下降了59.90%

　　威胁猎人情报人员针对下半年下降现象进一步分析原因j9九游会官方登录ღღ◈◈，下半年“IOS”相关数据下降主要是因为苹果官方针对Facetime诈骗出台相关打击措施导致的ღღ◈◈。

　　2024年3月ღღ◈◈，苹果官方升级iOS系统至iOS17.4.1版ღღ◈◈，推出对陌生Facetime号码来电拒接的功能ღღ◈◈，并在5月推送IOS 17.5版本ღღ◈◈，增强了Facetime通话功能ღღ◈◈。威胁猎人情报人员测试后确认ღღ◈◈，该功能已实现对陌生来电的拒接ღღ◈◈。

　　3.7.1 2024年诈骗形势依旧严峻ღღ◈◈，活跃作恶群组超10000个2024年ღღ◈◈，威胁猎人风险情报平台共监测到电信网络诈骗相关情报77万条ღღ◈◈，活跃作恶社交群组10032个ღღ◈◈。

　　电信网络诈骗已形成了成熟的产业链条ღღ◈◈，电诈团伙内部有不同的角色和分工ღღ◈◈，成员之间紧密配合ღღ◈◈，共同开展诈骗活动ღღ◈◈：

　　目标筛选ღღ◈◈：筛选容易受骗的目标客群ღღ◈◈，如老年人ღღ◈◈、投资者ღღ◈◈、求职者等ღღ◈◈，并制定相应的诈骗策略（剧本）ღღ◈◈。

　　推手引流ღღ◈◈：“推手”指那些为诈骗活动提供帮助或支持的人员或团体ღღ◈◈，虽然不直接参与诈骗行为ღღ◈◈，但通过与受害者联系ღღ◈◈，将受害者引流至微信ღღ◈◈、QQ等社交渠道供其他诈骗人员进行诈骗ღღ◈◈，即“推手引流”ღღ◈◈。

　　前期就是诈骗团伙在微信群发布名为颜十六选角导演的试戏通知ღღ◈◈，利用泰国著名娱乐公司的名义向王星发出试戏邀请ღღ◈◈，

　　（可见前期诈骗团伙对王星的信息ღღ◈◈，特别是职业及工作经历掌握非常细致）ღღ◈◈，以泰国拍戏的工作机会为诱饵ღღ◈◈，诱使王星前往泰国ღღ◈◈。除了“王星事件”外ღღ◈◈，威胁猎人还监控到多种类型的剧本ღღ◈◈，分别利用不同人群的特定心理活动ღღ◈◈，精心制作匹配人物特性和心理的诈骗剧本ღღ◈◈，具体案例如下ღღ◈◈：

　　近年来ღღ◈◈，互联网黑灰产通过不断提升攻击技术ღღ◈◈、挖掘隐蔽性更强的攻击资源等确保攻击的成功率ღღ◈◈，这使得企业在感知和防御上面临更大压力和滞后性ღღ◈◈。

　　对企业而言ღღ◈◈，应该认识到与外部黑产的对抗是动态ღღ◈◈、持续的ღღ◈◈，及时依托基于全网多渠道监测的黑灰产情报数据ღღ◈◈，

　　从黑产攻击准备阶段就开始溯源追踪ღღ◈◈，知道攻击者正准备利用什么资源或工具ღღ◈◈，这些资源或工具有什么特征ღღ◈◈、攻击者会采用什么手段来攻击企

　　说明ღღ◈◈：本报告所提供的数据信息系威胁猎人依据大样本数据抽样采集ღღ◈◈、小样本调研ღღ◈◈、外部情报数据采集ღღ◈◈、数据模型预测及其他研究方法估算ღღ◈◈、分析得出ღღ◈◈，由于统计分析领域中的任何数据来源和技术方法均存在局限ღღ◈◈。