互联网黑灰产攻击场景分析

线上业务欺诈

2024年线上业务欺诈风险热度不减，相关攻击情报量近3亿条。线上业务欺诈包括营销欺诈、恶意引流、刷量欺诈、认证绕过等。其中，监测业务欺诈作恶群组12万个，涉及作恶账号223万个。

2024年预警业务欺诈事件达4158起，涉及全行业、全业务。业务欺诈攻击已经渗透到多个行业、多个业务。线上业务欺诈针对不同行业、不同业务环节呈现“无差别攻击”，任何有利可图的地方都是黑灰产的攻击目标。

通过对攻击事件进行热词提取，发现当前业务欺诈攻击不局限于过去专攻注册登录、领券抢单等业务，内容发布、商品管理、订单交易、支付交易、售后支付、企业数据传输等各个环节均可能被黑产攻击获利。

业务欺诈已进入深水区，真人作弊愈发定制化、角色边界更加模糊

随着业务风控能力的不断提升，大多数典型的机器作弊行为已被有效识别。尽管一些高端黑产仍在使用定制化技术进行对抗，但越来越多的黑灰产开始转向真人众包作弊方式进行攻击。2024年，真人作弊行为变得更加定制化，角色多样化，且界限模糊。传统的任务型众包平台，即以“发布任务”和“领取任务”为主的模式，无论是平台数量还是任务数量，都在持续增长。2024年以来，共捕获到889万个众包任务，月均超过63万个，高峰时期甚至达到100万个。

黑灰产采取更加隐蔽的众包组织形式，如通过众包私域群聊、开发专项APP来招募真人执行特定任务，这种模式类似于刷单真人群，很难被风控系统识别。这些专项任务可能包括变相刷单、浏览酒店页面以增加浏览量、或使用真人账号挂机爬取平台商品数据等。例如，黑灰产以兼职名义创建群组，组织、招募真人使用其账号对指定电商平台商品链接进行访问，按要求获取商品对应件数、对应活动条件的到手价格上传表格。这就是一种“真人爬虫”行为。

近几年，各平台层出不穷的多倍赔付、仅退款教程、价保退款攻略，更多反映了在黑灰产“引导”下，以平台真人用户为主的欺诈趋势。例如，羊毛党发现某平台某类商品可领取满减优惠券和支付券（合作银行或平台品类），但二者只能选择其一使用；羊毛党通过支付券购买了这款商品，然后利用商家的保价政策规则申请店铺满减优惠券保价金额（商家看不到用户使用了支付券，因为是不同平台），最终达到0撸或低价购入。

黑产交易市场活跃，售卖商品涉及会员权益、教程工具、代下类服务

黑灰产业链能够持续不断地高效运作离不开上游资源交易和下游套利变现，上游黑产通过特定渠道采购账号、工具、手机号等攻击资源，下游黑产通过各种渠道（发卡网站和二手闲置交易平台等），将持有的上游攻击资源以及攻击所得的优惠券、现金券、会员权益、实体商品等进行变现。自2024年7月正式上线黑灰产交易市场以来，累积捕获到黑灰产交易商品610万起，月均101万，大量活跃交易商品和丰富品类表明黑灰产攻击活动仍处上升期、持续运转。

业务欺诈攻击黑产逐渐向更隐秘的渠道转移，监控难度进一步加大

相比过去主要在普通社交平台发布，现在更多业务欺诈黑产逐渐转向更隐秘的渠道，如在Telegram等匿名群聊渠道上建立大量与业务欺诈相关的讨论频道。2024年，围绕业务欺诈风险的讨论量在匿名渠道上达到了46万起，且每月呈现增长趋势。

对匿名渠道内中活跃的频道发布信息进一步了解，信息涉及攻击业务方活动的活动脚本、羊毛讨论、恶意赔付教程、抢单工具等相关，下半年比上半年增加91.43%。

金融贷款欺诈

金融贷款欺诈已经形成了一条分工明确、利益瓜分的成熟产业链。以“职业背债”为例，其上游操作方、中间黑产、下游中介以及背债人等角色各司其职，通过严密的协作机制组织骗贷活动。这种黑产的存在不仅破坏了金融市场的正常运行，给金融机构造成巨大的损失，还会对社会的稳定和经济的健康发展构成严重威胁。

2024年贷款欺诈风险依旧严峻，欺诈热度持续上涨。

2024年，捕获贷款欺诈攻击情报414万条，监控活跃的作恶社交群组34697个，作恶黑产11.5万名；不管是欺诈情报热度，还是作恶群组数、作恶黑产数，均呈逐渐上升趋势。 

2024年监控活跃的作恶社交群组34697个，下半年比上年增长30%。

官方银行APP虚假流水欺诈

在我国，银行流水是主体资信的重要证明材料。真流水是指通过银行柜台打印出来的流水单。相反，假流水是指通过黑产、中介等渠道虚构出来的流水单。

官方银行APP虚假流水是黑中介通过特定的手机并刷机以逃避银行APP的反监测后，安装黑产提供的指定插件软件，再下载银行官方APP，黑产则利用远程控制该APP上传流水数据，并在该手机APP内生成虚假流水。

手机设备刷机、安装作弊插件后，银行官方APP被修改，一般无法通过肉眼辨别修改特征，但可以通过技术分析发现官方APP某些功能可能被篡改。

官方银行APP虚假流水作恶技术操作流程如下：

1. 手机设备刷机。
2. 安装APatch用于绕过Root检测。
3. 安装Lsposed作为Hook框架。
4. 安装Lsposed插件，该插件用于Hook银行APP流水展示相关函数，实现在APP中展示虚假流水。

以下为黑产劫持官方银行APP展示虚假流水的逻辑流程：

技术逻辑：在设备获取Root后，可以在一定层面上绕过银行APP对设备环境的检测。Lsposed是一个功能丰富的Hook框架，黑灰产基于该框架开发插件，可以在不修改银行APP的情况下，对银行APP的部分代码进行劫持。在该场景中，黑灰产可能通过逆向定位到"获取流水"的代码，通过Lsposed框架，可以强制修改该代码的返回值，即虚假的流水数据，从而实现假流水展示。

网络欺诈

流量欺诈

流量欺诈包括广告欺诈、恶意注册、恶意爬虫、脚本抢购、自动化程序等业务问题，是互联网行业最普遍的欺诈形式，一般要求技术门槛相对较高，产业链分工完善，团伙作案对企业造成危害巨大，需要持续对抗，企业风控投入成本较大。查询、营销、登录仍是欺诈流量场景分布的前三名。

整体风险标签命中占比中薅羊毛标签占比超过50%，其次为疑似虚假号码、垃圾注册。

从风险手机号类型分布来看，虚拟运营商卡占比位居第一。

在风险标签分布中薅羊毛、垃圾注册、垃圾信息占比排名前三，侧面反映出电商行业的高强度对抗现状。

风险设备分布

由于底层生态安全系统和价格因素的不同，且基于Android的开源特点，作弊工具的开发和刷机技术难度低，大部分黑产采用Android设备进行作弊， Android设备不论从黑产保有量还是活跃度都远超于iOS设备，其中安卓系统端，华为、小米、OPPO较低端机型占比较高。

iOS设备风险分布中越狱比例占比最高，因为其本身更加封闭的系统，所以安全性相比安卓设备更加良好，对应的破解方法也屈指可数。

安卓设备风险分布中按键精灵、root、多开占比最高。

市面上针对安卓设备的模拟器有上百款，一般有专业技术人员维护，更新速度快、性能稳定，是黑产提高效率、规模化作业的常用工具，雷电模拟器在黑产使用率上连续两年排名第一。