黑产大数据2024年上半年互联网黑灰产研究报告2024年上半年互联网黑灰产研究报告欺诈洗钱电信网络诈骗黑产

2024年上半年，黑灰产从业人员人数超过427万，威胁猎人监测到国内作恶手机号数量高达323万，日活跃风险IP数量1136万，涉及洗钱银行卡数量19.5万。

近年来，数字化与实体经济的融合日渐深入，大规模业务线上场景下，黑灰产对企业业务安全的扰乱更加突出，恶意刷量、薅羊毛、金融欺诈等攻击事件层出不穷。

逐渐智能化和链条化的网络黑产运作，给企业带来真金白银的经济损失，影响了企业正常运营及长期发展，打击网络黑灰产，加强有效防御成为各行业企业的目标与共识。

1、风险IP：业内也称黑IP，指存在攻击风险（包括代理、秒拨等恶意行为）的IP；

5、猫池卡：指通过“猫池”这一网络通信硬件，实现同时支持多个号码通话、群发短信等功能的黑手机卡；

6、拦截卡：指通过病毒木马控制真实用户手机短信/验证码收发权限的手机卡，通常捕获自拦截卡平台；

8、涉赌卡：指常被用于赌博平台内进行充值收款的银行卡，关联资产涉及到赌博洗钱行为。威胁猎人通过人工和自动化结合的方式，从各类赌博平台中监测用于收款行为的银行卡账号信息；

10、涉诈卡：指常被用于社交黑产群聊中进行诈骗资金转移的银行卡，关联资产涉及到诈骗洗钱行为。威胁猎人通过自动化的方式，从各大匿名社交黑产群聊中发送记录中，提取诈骗团伙使用银行卡账号信息；

11、洗钱对公账户：指被黑产用于非法资金清洗的银行对公账户，因对公账户具有收款额度大、转账次数多等特点，使得“对公账户”常常作为黑钱转账的集中点及发散点；

12、数据泄露事件：威胁猎人安全研究专家针对数据泄露情报的样例等进行分析及验证，确认为真实、有效的数据泄露事件；

一、2024年上半年互联网黑灰产发展现状

1.12024年上半年互联网黑灰产从业人员达427万，较2023年下半年下降6.03%

威胁猎人调研统计发现，2024年上半年互联网黑灰产从业人员数量达到427万，较2023年下半年略有下降6.03%。

1.22024年上半年黑灰产资源概况

1.2.12024年上半年新增国内风险手机号总量较2023年下半年增长8.8%

据威胁猎人风险情报平台数据显示，2024年上半年国内风险手机号数量达到323万，较2022年增长8.8%。

1.2.22024年上半年风险IP总量较2023年下半年增长44.8%

2024年上半年，威胁猎人监测发现日活跃风险IP数量持续上升，风险IP数量达到1136万，较2023年下半年增长44.8%。

1.2.32024年上半年涉及洗钱银行卡较2023年下半年下降28%，主要由跑分卡大幅减少所致

2024年上半年涉及洗钱银行卡数量19.5万，较2023年下半年下降28%。涉及洗钱银行卡主要包括跑分卡、涉赌卡、涉诈卡。

其中，跑分卡新增数量的降幅最大，较2023年下半年下降50.3%，威胁猎人针对黑产团伙的跑分方式深入挖掘发现，2024年上半年跑分团伙逐渐由跑分平台转向通过Telegram进行跑分，使得监测难度大幅提升。

涉赌卡：指常被用于赌博平台内进行充值收款的银行卡，关联资产涉及到赌博洗钱行为。威胁猎人通过人工和自动化结合的方式，从各类赌博平台中采集用于收款行为的银行卡账号信息。

涉诈卡：指常被用于社交黑产群聊中进行诈骗资金转移的银行卡，关联资产涉及到诈骗洗钱行为。威胁猎人通过自动化的方式，从各大匿名社交黑产群聊中发送记录中，提取诈骗团伙使用银行卡账号信息。

二、2024年上半年黑产攻击资源分析

2.12024年上半年风险手机卡资源分析

2.1.12024年上半年猫池卡资源变化趋势

（1）2024年上半年国内猫池卡较2023年下半年增加7.71%

据威胁猎人情报平台数据显示，2024年上半年捕获新增猫池卡309万个，较2023年下半年上升7.71%。

猫池卡：指通过“猫池”这一网络通信硬件，实现同时支持多个号码通话、群发短信等功能的黑手机卡。

经威胁猎人情报专家分析，出现这一趋势的主要原因是：

1、2月因春节期间黑产交易放缓，下游作恶者活跃度降低导致供应量显著下降，节后恢复稳步上涨趋势；

2、6月猫池卡数量下降主要受到高考期间风控加强的影响，高考期间各大平台账号批量注册、恶意引流等监测力度大大加强（如不可修改账号名称、头像、介绍等），多个渠道卡商主动反馈受该原因干扰，黑卡供给存在问题。

（2）2024年上半年新增猫池卡归属最多的三个省份为：上海、山东、辽宁

威胁猎人对2024年上半年新增国内猫池卡进行统计分析，发现上海、山东、辽宁三省（含直辖市）为猫池卡归属地最多的三个省份；针对归属城市分析发现，猫池卡归属地最多的三个城市为上海、重庆、武汉。

由下图可见，2024年上半年上海的猫池卡新增数量远超其他省市，深入分析发现，其主要原因在于2024年3月及5月，国内两大头部发卡平台持有并出售大量归属地在上海的风险手机卡，其数量在新增总量的40%以上。

（3）2024年上半年捕获的猫池卡中，归属国内三大运营商的占76.1%

2024年上半年监测到猫池卡364万张，其中归属国内三大运营商的猫池卡占比76.1%，归属其他运营商的占比23.9%。

2.1.22024年上半年拦截卡资源变化趋势

（1）2024年上半年国内拦截卡较2023年下半年增加42.57%，从新增渠道首次捕获的拦截卡占比高达94%

2024年上半年，威胁猎人捕获新增拦截卡达13.18万，较2023年下半年增加42.57%。

（2）2024年上半年拦截卡归属最多的三个省份为：福建、广东、四川

针对2024年上半年捕获到的国内拦截卡统计分析发现，福建、广东、四川三省为拦截卡归属地最多的三个省份；从归属城市来看，重庆市、三明市（福建）、上海市三城市为拦截卡归属地最多的城市，与猫池卡归属城市存在较大的重合。

（3）2024年上半年捕获的拦截卡中，归属国内三大运营商的占98.29%

2024年上半年威胁猎人情报运营平台捕获拦截卡39.8万张，归属国内三大运营商的拦截卡占比达98.31%。

对比其他境内手机卡，香港手机卡具备如下特点：

1、注册范围广：香港手机卡注册范围广，可注册Telegram、WhatsApp等海内外应用；

3、价格较低：香港手机卡的价格相对境内卡接码价格更低；

2.1.4黑卡物料资源标签更加丰富，提升下游黑产筛卡效率、实现精准作恶

威胁猎人研究发现，2024年上半年，黑产在非法交易中对黑卡物料的筛选及使用更为精细，相较于2023年黑卡商品描述字段，除了会提供黑卡类别，注册情况等信息外，卡商还会标识号码“已筛选”，即卡商在购买后的订单页面中展示号码的历史账户信息，并将信息提供给下游购买方，使其确定是否为目标卡类，减少筛卡成本，大幅提升下游黑产作恶效率。

2.22024年上半年风险IP资源分析

2.2.12024年上半年风险IP资源变化趋势

威胁猎人持续提升国内外风险IP监测能力，为互联网平台优化国内外风控规则提供了有力支持，2024年上半年威胁猎人持续监测国内风险IP5503万个，国外风险IP10273万个，较2023年下半年分别提升18.62%和22.44%。我们对国内及国外两种类型的风险IP分析发现：

（1）2024年上半年国内风险IP归属最多的三个省份：江苏、广东、河南

（2）2024年上半年国内风险IP归属最多的三个城市：重庆、上海、北京

（3）2024年上半年国外风险IP归属最多的三个国家：巴西、印度、美国

（4）2024年上半年国内风险IP类型中，家庭宽带类型占比近90%

（5）2024年上半年海外风险IP类型以家庭宽带、移动网络为主

2.2.22024年上半年“劫持共用代理”IP攻击占总量67%，成为攻击者主要使用IP类型

威胁猎人对代理IP平台持续监测，发现2024年上半年黑产通过植入木马恶意使用正常用户IP的行为更加猖獗，从2024上半年捕获数据来看，“劫持共用代理”IP日均捕获数量达80万，这一标签的IP攻击占比从43.88%（2024年1月）上升至67.41%（2024年6月）。

2.32024年上半年网络洗钱资源分析

2.3.12024年上半年涉及洗钱的银行卡资源变化

（1）涉及洗钱的银行卡数量较2023年下半年下降28%，其中跑分卡数量下降50.3%

2024年上半年涉及洗钱银行卡数量为19.5万，较2023年下半年下降28%。涉及洗钱银行卡主要包括跑分卡、涉赌卡、涉诈卡，其中跑分卡新增数量降幅最大，较2023年下半年下降50.3%，威胁猎人针对黑产团伙的跑分方式深入挖掘发现，2024年上半年跑分团伙逐渐由跑分平台转向Telegaram跑分，使得监测难度大幅提升。

赌博平台跑分的具体流程如下：

（3）银行卡洗钱金额的主要区间为5000元以下

（4）超过65%的洗钱银行卡仅在监测到的当天活跃

2.3.22024年上半年涉及洗钱的对公账户资源变化

洗钱对公账户：对公账户指以公司名义在银行开立的账户，洗钱对公账户指被黑产用于非法资金清洗的银行对公账户，因对公账户具有收款额度大、转账次数多等特点，使得“对公账户”常常作为黑钱转账的集中点及发散点。

（1）2024年上半年监测涉及洗钱的对公账户数量较2023年下半年上升16%

2024年上半年威胁猎人持续监测黑产在洗钱过程中所使用的银行对公账户资源，发现涉及洗钱的对公账户数量持续上升，由3378个上升到4386个，较2023年下半年上升16%。

（2）2024年上半年监测涉及洗钱对公账户的所属银行732家，国有银行占比31%

2024年上半年威胁猎人共捕获到涉及洗钱的对公账户4865个，涉及银行机构732家。洗钱对公账户所属银行中，国有银行占比31.19%。

此外，监测到的地方性银行对公账户数量较2023年下半年上升5.51%，而国有占比下降6.06%，黑产利用对公账户洗钱的过程中，在开户行的选择上，部分开始转向地方性银行进行作恶。

（3）2024年上半年监测涉及洗钱对公账户归属省份中，安徽、江西、陕西首次进入TOP10

涉及洗钱对公账户归属省份TOP5省份较2023年下半年基本不变，而安徽、江西、陕西省份排名首次上升至TOP10行列。

进一步分析发现，这类省份地方性银行对公账户的增长趋势明显，该排名变动背后，一定程度也体现了洗钱团伙逐渐使用农村信用合作社及地方性银行对公账户的趋势。

2.3.32024年上半年色情刷单类型的诈骗洗钱资金占总量70%以上

基于黑产诈骗金额和风险程度，目前监测到的黑产诈骗手法大致可以分为6种类型，其中色情刷单诈骗类型最多，占比超70%。

据研究调查发现，冒充机关诈骗、冒充亲友诈骗、退款网贷诈骗这几类诈骗形式风险较高，诈骗金额较大，色情刷单诈骗相对风险较低，诈骗金额较小，金额一般在5000元以下。

色情刷单诈骗：主要指通过通过色情网站、短信、交友软件等发布虚假信息，诱导受害者完成指定刷单任务的诈骗。

卡号资源买卖诈骗：主要指通过出售或者租借卡号协助黑产洗钱的诈骗，风险大小主要取决于黑产用途。

三、2024年上半年黑产通用攻击技术分析

3.1黑产利用LSPatch技术实现快速抢单作恶，被高频利用于金融、社交、房产等平台APP

威胁猎人研究发现，2024年上半年，不少黑产利用一款名为“LSPatch”的技术工具实现“快速抢单”作恶，同时在金融、社交、房产、本地生活等多个行业的APP发现了利用LSPatch技术快速抢单的恶意行为。

LSPatch本质上是一款免Root使用Hook框架模块的技术，借助该技术，使用者能在非Root手机上使用Hook框架模块，实现hook手机系统函数，并对函数整体执行逻辑进行修改。

通过该工具，黑产将具体的作恶环境及作恶工具打包到被攻击的app，让使用者直接安装注入了恶意工具的虚假app，即可进行快速抢单，极大降低了使用者的工具使用门槛。

在传统的Xposed或Lsposed框架中，用户通常需要获取root权限才能安装和使用各种模块，以实现对手机应用的个性化定制和系统优化，这一过程对于不熟悉技术的用户来说，不仅操作门槛高，还存在“手机变砖”的风险。

Lspatch的出现，无疑为这类用户打开了一扇新的大门，无需root权限，用户便能轻松体验到Xposed模块带来的强大功能。

以本地生活APP为例，黑产通过LSPatch技术在外卖接单APP内嵌入hook模块，从而使该APP具备自动抢单功能，一个外卖小哥只需要向黑产购买“外卖接单APP”，并进行正常安装，即可进行自动抢单，外卖小哥的抢单门槛、花费均出现极大的下降。

利用LSPatch技术的抢单工具与过往抢单工具的对比如下：

3.2黑产利用HID设备进行自动化攻击，作恶更加隐蔽、监测难度大幅提升

威胁猎人研究发现，除了按键精灵、auto.jspro等自动化脚本工具外，2024年上半年黑产利用HID设备进行自动化操作攻击的行为更加频繁。

HID（HumanInterfaceDevice，人机接口设备）是USB设备中常用的设备类型，是直接与人交互的USB设备。键盘、鼠标等设备都是日常生活中最常见的HID设备。由于HID设备在软件层面并无明显的特征，使得使用该类设备进行攻击的行为更加隐秘。

以短视频刷量场景为例：

短视频刷量的第一步是养号，而养号需要帐号进行不断的观看某一类型的视频，让平台的推荐算法完成对帐号的标签标记。

为实现短视频刷量中自动化点击，同时尽量绕过平台风控，黑产团伙除了基于基于手机开发者权限、手机root权限实现自动化点击外，也有不少黑产“基于HID备进行自动化点击”。

以威胁猎人最近分析的一款“基于HID设备实现自动化点击”工具为例，主要运行流程如下：

“基于HID设备实现自动化点击”的方法通过代码控制硬件，硬件发送HID指令，实现具体的点击活动操作，与目前主流的基于代码、ADB操作设备点击的自动化点击实现方法不同；且该方法无需配置特定环境（如开发者权限、root环境），这使得大部分平台已有的自动化点击风控规则在识别该方法上，可能存在失效的情况，进一步增加了平台方的检测成本。

四、2024年上半年黑产攻击场景分析

4.1.1营销活动

（1）营销活动攻击情报408万条，涉及作恶黑产群组8000个

2024年上半年威胁猎人共捕获营销活动攻击情报408万条，监测到活跃的作恶社交群组8000个，涉及作恶黑产人数达6.5万名，整体较2023年下半年均有所下降。2月份情报量下降，主要受春节期间黑产交易放缓的影响，节后攻击情报量逐渐回升。

（2）大量黑产针对电商平台特殊商品进行恶意赔付，有黑产表示“赔付一单够吃半年”

电商平台快速发展之下，不少电商平台通过客户无理由退货等宽松的退货规则，有效提升平台流量及竞争力，这一规则在无形中被黑产发掘并利用，利用平台规则进行恶意赔付的黑灰产群体不断壮大。

为了成功获取赔偿，赔付黑产表示有货源团队、接货检测团队、法务团队等全程陪跑，来招揽愿意付出本金和“上车费”的用户进行教学赔付，这也是“超级维权”赔付玩法升级之处。

主打商品类型包括：

他达拉非（性功能障碍药品）、西布曲明（减肥类）、麻黄碱（减肥类），基本都是需要医生开处方类型药品或为国家食品药品监督管理局禁止添加成分，如产品包含即构成违反法律。

主要赔付流程如下：

（3）黑产利用“锁单”方式联合用户套现银行立减金，作恶行为分工更加精细化

近年来，平台用户与黑灰产针对平台优惠活动联合套现的事件频繁发生，用户正常领取权益，领取权益后黑灰产团伙进行套现，并按比例与用户分配变现利润，减少黑产团伙寻找变现买家或“被迫消费”的额外成本。

这种联合套现进一步体现了对资源的高效利用，以及作恶行为的精细化分工。

2024年上半年，威胁猎人监测到大量黑产利用银行支付规则漏洞，通过“锁优惠”、“锁单”等与用户联合套现，具体流程及手法如下：

1、联合容易抢得银行立减金的商户下单，支付阶段故意输错密码来锁住优惠名额；

2、购买可随时退款商品（如门票或酒店）锁住本单优惠，退款后保留当月立减资格；

4.1.2内容刷量

（1）内容刷量作弊情报51万条，涉及刷量的作恶群组3977个

在2024年上半年，刷量作弊的情况依然严峻，威胁猎人安全团队在此期间监测到涉及直播平台、内容平台、电商平台以及应用下载平台的刷量作弊情报共计51万条。此外，监测到涉及刷量的活跃社交群组3977个，参与这些黑产活动的人数达到9014人。

（2）内容平台、直播平台遭受刷量攻击占比超75%，真人作弊刷量仍是主流刷量方式

（3）“自然流刷量”等直播间新型刷量手法的应用更加普遍

数字媒体快速发展之下，直播带货已成为商业销售的一种重要模式，效果难预测、流量不稳定等问题给许多直播商家带来困扰，由于平台付费推流价格高昂，黑产团伙开始盯上自然流量刷量的商机。

自然流量也称“推荐feed流”，指持续更新并呈现给用户的内容信息流，直播间自然流量的种类包括但不限于：

同城流量：利用同城定位功能，开播时打开同城定位，吸引同城的人刷到你的直播；

2024年上半年，威胁猎人观察到“直播广场刷量”等新型自然流刷量手法的应用更加普遍。以“直播广场刷量”为例，为了有效提升直播间热度，使其成为直播广场推荐流量，黑产利用大量手机账号及云控软件进行直播间刷量，具体行为包括：

1、提前“养号”：提前对刷量账号进行养号，刷同类型内容模拟目标用户群体，使后续直播间流量推荐更加精准；

在云控软件的操作下，几百甚至上千账号瞬时涌入指定直播间，原本无人问津的直播间忽然人气暴涨，顺势吸引更多“野生”流量，整个流程“预判”了系统对用户喜好的推送，实际上大部分是虚假流量。

这类刷量方式流程繁琐、成本较高，威胁猎人深入调研了解到，这类模拟自然流量的刷量方式，其单个账号可在5元以上，是普通真人刷量账号价格至少两倍以上，这也反映了直播行业对“真实流量”的需求日益增长，与此同时平台对各类刷量手法的风控日益增强。

4.2金融欺诈场景分析

（1）2024年上半年信贷欺诈攻击情报46万条，监测到活跃作恶群组2700个

2024年上半年，威胁猎人共捕获信贷欺诈攻击情报46万条，监测活跃的作恶社交群组2700个，涉及作恶黑产1.4万名。

从贷款产品类型来看，2024年银行业信贷欺诈热度TOP5的贷款产品类型分别是：企业贷、车抵贷、房抵贷、公积金贷和信用贷。

从地域分布情况来看，2024年上半年银行业信贷欺诈地区热度排在TOP5的地区是：山东、浙江、河北、重庆、北京。

（2）伪造包装“企业主”等虚假身份进行背债骗贷，伪造手法更加丰富逼真

背债人往往是那些征信记录清白、急需大量资金却没有还款能力的人，通过对这些人进行个人资产情况等虚假包装，从银行套取高额贷款，获取几十甚至上百万的利润，所付出的代价是抛弃自己的征信，面临法律的制裁。

为避免银行风控，确保利益最大化，黑产中介会给背债人包装“工作者、户主、企业主”等各种虚假身份，作为申请贷款的增信条件，具体手段包括给背债人真实缴纳社保、公积金、过户房产/企业、真实开票纳税、真实租赁经营场景等等。

通过一系列包装准备，黑产中介将利用背债人的各项资质，进行“房贷、信用贷、企业贷、车贷”一条龙大额融资，据了解，一个背债人骗贷总额高达500-2000万元不等，实际到手金额为背债总额的40%-60%。

贷款成功后，为避免被发现并被定性为诈骗，不少黑产中介不惜提高骗贷成本，帮助/叮嘱背债人还款半年甚至两年。

黑产操作背债骗贷的具体流程如下：

非标贷款：指客户达不到常规贷款的标准条件，黑产中介通过包装材料、美化数据、关系进行骗贷的行为。

在近几年经济下行的影响下，企业、经营者、个人普遍存在收入降低、高负债等困境，使得一些企业、经营者、个人现有的资质条件不满足金融机构的放款要求。

黑产、中介通过虚假流水（个人、企业）、科技提额、融车套现、虚假装修贷套现、以租代购套现等，以虚假材料、虚假需求通过审批、提额系统，实施欺诈，使得非标业务持续活跃。

4.3电信网络诈骗场景分析

（1）2024年上半年电信诈骗攻击情报29万条，监测到活跃作恶群组10187个

（2）利用各类远程会议软件“共享屏幕”诈骗的事件高发

2024年上半年，利用远程会议软件“屏幕共享”功能进行诈骗的事件频繁发生。

举一个真实的案例：

此时诈骗者利用该功能趁机获取李某个人信息，并以进行身份认证、解绑银行卡为由，要求李某提供自己的银行卡号、密码、手机验证码等信息，并进行人脸识别，最终李某银行卡里的30000元被对方全部转走。

（3）黑产开发各类远控软件并将其伪造成常用APP，大幅提升诈骗成功率

仿冒成各类日常应用的“远程控制”APP，黑产在后台操控受害者手机，使不少受害者完全无法察觉、难以防备，极大提升了黑产团伙的诈骗成功率。

2024年3月，连云港的张某在家中玩手机游戏和平精英时认识一陌生人以送皮肤的方式，被通过“ToDesk”APP控制手机，通过手机银行充值未知游戏账号7次648元和平精英套餐，损失人民币4536元。

为了诱导受害人下载安装远程控制软件，黑产团伙会针对不同人群及心理特点设计不同的手法和话术，受害者往往在毫无戒备心、获取“回报”的情境下完成下载，堕入骗局。部分推广话术如下：

4.4钓鱼仿冒场景分析

2024年上半年，威胁猎人共监测到钓鱼网站及仿冒APP33453例，涉及243家企业，较2023年下半年监测总量下降8.97%，整体保持增长趋势。此类网站及APP都是通过仿冒正常网站及APP，获取用户信任并骗取用户的个人信息及钱财。

（2）遭受钓鱼仿冒情况最为严重的Top3行业：电商、证券、消费金融

从上半年的行业分布数据来看，钓鱼网站仿冒行业占比TOP3为电商、证券行业和消费金融行业，其中电商行业超过金融行业，成为遭受钓鱼仿冒攻击最为严峻的行业，电商行业仿冒案例占总量的50%以上。

1、电商行业的仿冒网站通常以仿冒购物商城平台的形式出现；

2、仿冒电商平台一般会有1-4种仿冒模版，模版完整地仿冒了现购物商城必备的网页端、APP端下载界面、客服系统和商城管理后台，仿冒效果十分逼真；

（3）投资盘诈骗多发，以仿冒“证券”行业网站为主

经济下行时期，不少人想要通过有效投资在短期内快速获益，黑产利用这类人群想要短期获益的心理进行投资盘诈骗，投资盘诈骗类型主要攻击金融行业，其中以仿冒证券行业网站最为普遍。

投资盘：主要指以仿冒投资属性较强的金融行业企业为目标的仿冒网站或APP

“投资盘”主要流程及角色分工如下：

上游黑产搭建仿冒网站：黑产一般会在源码平台购买仿冒网站的源代码，并安排开发人员部署仿冒目标网站的环境；

上游“招商经理”引流获客：通过购买目标人群数据，或者通过主流社交平台及短视频平台进行引流获客；

中游“经理人”联系目标客户：以某公司回馈客户、介绍理财产品、活动邀约等话术联系目标用户。“经理人”一般会在社交软件上打造精英人设，增强可信度来减少受害者的防备心理。

下游“投资平台客服”实施诈骗：即进行诈骗操作的人，证券行业仿冒网站通常涉及资金投入、提现等操作环节。

“投资盘”中，黑产通常会设定具体规则，例如将初始资金投入设定为10万元，封盘资金为50万，在未封盘前用户可以随意在盘口进行操作，如投资、提现等，进一步套取用户信任，待用户投入资金达到50万，黑产将取消用户提现并跑路。

4.6数据泄露场景分析

（1）2024年上半年数据泄露事件共计16011起，较2023年下半年增长59.58%

据威胁猎人数据泄露风险监测平台数据显示，2024年上半年（1-6月）全网监测到的1.1亿条情报中，基于真实性验证引擎及DRRC人工分析验证有效的数据泄露事件共计16011起，较2023年下半年增长59.58%，9539起。

威胁猎人发现，在2024年2月数据泄露事件量出现大幅下降，较2024年1月下降36%（898起），进一步分析了解到，主要有以下两个方面所致：

从数据泄露源头来看，第三方泄露、短信通道泄露等不同原因所引发的数据泄露事件量均在2024年2月出现下降的情况，可以看出主要是受到春节期间黑产放假带来的交易行为放缓的影响。

从贩卖数据（中间商）的黑产团伙数量来看，2024年2月非法数据交易黑产团伙数量出现下降。

（2）银行、电商、消费金融成为数据泄露事件数量Top3行业，银行事件数量2961起位列第一

从行业分布来看，2024年上半年数据泄露事件涉及85个行业，1524家企业，数据泄露事件数量Top5行业分别为银行、电商、消费金融、保险、快递。其中，银行行业数据泄露事件数量高达2961起，成为数据泄露事件数最多的行业。

2024年上半年TOP10行业排名变化情况如下：

排名靠前的数据泄露行业中以金融、电商行业为主，金融行业的数据泄露事件主要体现在银行、消费金融、保险等企业的客户信息倒卖，通常被下游黑产团伙用于精准营销及诈骗，因涉及大量高价值用户数据，且靠近交易环节，成为了个人信息泄露的重灾区。

近年来线上购物发展更加火热，据2024年3月发布的《中国互联网络发展状况统计报告》显示，截至2023年12月，我国网络购物用户规模达9.15亿人，占网民整体的83.8%。

线上购物的持续稳定增长下，电商平台产生了海量购物订单及物流信息，这些购物订单及物流信息由于暴露面较大，成为了黑产团伙的重点目标，同样被用于营销或诈骗。

同时，在公安部近期公布的“十大高发电信网络诈骗类型”中，刷单返利、虚假网络投资理财、虚假购物服务、冒充电商物流客服、虚假征信等10种常见的电信网络诈骗类型发案占比近88.4%。

其中刷单返利类诈骗是发案量最大和造成损失最多的诈骗类型，虚假网络投资理财类诈骗的个案损失金额最大，虚假购物服务类诈骗发案量明显上升，已位居第三位，而金融、电商类用户群体正是此类诈骗案件的受害群体。

威胁猎人安全研究员发现2024年上半年泄露的数据中，“设备信息”字段信息出现频率逐渐增多，尤其是“IOS”类数据字段，从数贩卖黑产团伙与下游数据购买者的聊天记录来看，下数据购买者对于数据的复购要求中多次提及“IOS”设备数据的筛选要求。

（威胁猎人捕获的泄露数据中包含设备信息）

（下游作恶团伙以及数据售卖方反馈需过IOS、FT等要求）

（4）2024年上半年“查档”信息事件共657起，事件数呈现快速上升趋势

常见的查档服务有：轨迹类（人物轨迹、车辆轨迹）、名下财产（名下卡、名下车、名下房）、快递业务（快递地址、物流信息）、个人信息（婚姻、户籍、社保）等。

五、总结

1、在攻击资源方面，2024年上半年黑灰产资源除洗钱银行卡外，其余资源量级均呈现上升趋势

2024年上半年风险IP数量较2023年下半年增长44.8%，国内作恶手机号较2023年增长8.8%，涉及洗钱银行卡新增数量有所下降，较2023年下半年下降28%。

2、在攻击技术方面，不少黑产利用LSPatch技术快速抢单作恶，基于HID设备的自动化攻击更加隐蔽

2024年上半年，不少黑产利用“LSPatch”技术工具实现“快速抢单”作恶，在金融、社交、房产等多个行业的APP发现了利用LSPatch技术快速抢单的恶意行为。

3、在攻击场景方面，黑产作恶手法快速更新，作恶流程上出现精细化分工的趋势

针对层出不穷的作恶事件，企业应及时了解其作恶流程及细节，并结合自身业务场景建立具体的风控规则。与外部黑产的对抗是动态的、持续性的，企业可以依托基于全网多渠道监测的黑灰产情报数据，快速识别风险并进行针对性防御。