2024年,互联网黑灰产攻击依旧严峻。不管是在黑灰产团伙规模,还是攻击资源、攻击技能的应用以及攻击场景的演变,均出现了较大的变化。
在攻击资源方面,2024年威胁猎人捕获环球新增作恶手机号1600多万例,日活泼作恶IP1170万例,较2023年大幅提拔。为躲避风控监测,黑灰产不断升级技能寻找更加潜伏的攻击资源,如通过在正常用户设备植入木马将其IP作为攻击资源、“商户洗钱”产业链快速发展等。
在攻击技能方面,2024年黑产团伙对通用技能的应用也有新的发展,如滥用“子母机”绕过身份认证、利用“NFC长途传输软件”举行境外洗钱、定制化云手机系统提拔攻击效率等等。
在攻击场景方面,线上业务诓骗、金融贷款诓骗、品牌广告诓骗、API攻击、钓鱼仿冒、数据泄露、电信网络诈骗等场景热度连续高涨。线上业务诓骗已进入深水区,全行业、全业务环节无差别攻击;“王星事件”更是进一步提拔了公众对电信网络诈骗的关注度。
威胁猎人发布《2024年互联网黑灰产趋势年度总结》,基于对2024年互联网黑色产业链的深入研究,从2024年黑灰产攻击资源、攻击技能、攻击场景等维度举行分析,客观呈现2024年互联网黑灰产的整体发展态势,旨在从情报维度资助各行各业企业提拔对黑灰产的认知,从而进一步完善风控策略。
陈诉目录
一、2024年互联网黑灰产攻击资源分析
二、互联网黑灰产通用型攻击技能分析
三、2024年互联网黑灰产攻击场景分析
3.1 线上业务诓骗
3.2 金融贷款诓骗
3.3 品牌广告诓骗
3.4 API攻击风险
3.5 钓鱼仿冒风险
3.6 数据泄露风险
3.7 电信网络诈骗
一、2024年互联网黑灰产攻击资源分析
1.1 2024年作恶手机号资源分析
1.1.1 2024国内作恶手机号新增数量超800万,较2023年提拔30%
据威胁猎人情报数据显示,近年来国内作恶手机号数量连续上涨,2024年新增量级超800万,较2023年增长30%。
作恶手机号资源中,“猫池卡”和“拦截卡”占比最高,下文1.1.2 和1.1.3将重点分析2024年“猫池卡”和“拦截卡”资源的变化环境。
1.1.2 2024年「猫池卡」资源分析
(1)2024年国内新增猫池卡615万,较2023年增长4.86%
据威胁猎人情报数据显示,2024年国内新增猫池卡615万个,较2023年上升4.86%。
猫池卡:指通过“猫池”网络通信硬件实现同时多个号码通话、群发短信等功能的作恶手机卡。
从2024年国内猫池卡数量的变化趋势来看,2月、6月到9月期间,新增国内猫池手机卡数量呈现下滑趋势。
经威胁猎人情报专家分析,出现这一趋势的重要原因是:
1、2月因春节期间黑产生意业务放缓,攻击者活泼度降低导致数量明显降落,节后恢复稳步上涨趋势;
2、6-9月期间,由于监管机构增强打击,多个发卡平台被关停,部分卡商被捕,造成供应镌汰,导致新增猫池卡数量降落。
(2)2024年国内新增猫池卡归属省份TOP3:上海、北京、辽宁
威胁猎人情报数据统计显示,2024年国内新增猫池卡归属地省份(含直辖市)重要集中在上海、北京和辽宁省。
此中,归属地在上海的猫池卡数量同比2023年增长了87.86%。威胁猎人关注到,本年上海的猫池卡在全年各月均保持较高数量,活泼在发卡平台的头部卡商本年也连续提供上海猫池卡。
通过对上海本年新增的猫池卡泉源渠道分析,发现来自发卡平台的猫池卡数量占比凌驾一半:
2024年国内新增猫池卡归属地TOP10对比2023年变化环境:
2024年归属地为中国香港的作恶手机号连续增长,全年捕获78.25万例
值得关注的是,威胁猎人情报数据显示,自2024年3月起,归属地为中国香港的风险手机卡生意业务数量大幅增长,9月份达到峰值。
由于下游诈骗黑产需求旺盛,中国香港手机号因可注册国表里应用、成本低、可用时间长等特点,仍被黑产大量需求。
对比其他境内手机卡,中国香港手机卡具备如下特点:
1、注册范围广:香港手机卡注册范围广,可注册Telegram、WhatsApp等国表里应用;
2、在线使用时间长:香港手机卡接码服务的在线使用时间相对其他境内卡更长,一样平常可包管一个月重复使用,而其他境内手机卡一样平常为数日;
3、价格较低:香港手机卡的价格相对其他境内卡接码价格更低;
4、支持多种接码形式:香港卡支持多种接码形式,目前威胁猎人在接码平台、发卡网站、私域接码均发现了香港相关手机卡的作恶记载。
(3)2024年国内新增猫池卡归属为三大运营商的占比为76.42%,比去年提拔14.51%
威胁猎人情报数据显示,本年国内新增猫池卡的归属运营商重要为基础运营商,占比高达76.42%,相比去年提拔了14.51%。
威胁猎人情报人员通过调研发现,本年三大运营商占比提拔,重要是很多企业进一步提拔对假造运营商手机卡的风险控制,导致黑产对国内三大运营商的手机卡资源需求增长。
(4)2024年猫池卡发卡平台数量增长了39.37%,但平台生存周期缩短
威胁猎人连续监控黑灰产作恶资源泉源渠道变化趋势,发现作为猫池卡重要贡献渠道的发卡平台在2024年纪量大幅增长,但生存周期缩短:
2024年新出现了171个猫池卡发卡平台,同步2023年增长39.37%,但此中有24%的猫池卡发卡平台运营时间不足一周。威胁猎人进一步调研发现,本年发卡平台遭受了较强的监管压力,多个发卡平台以及活泼的猫池卡卡商因遭受监管打击而制止运营或活泼。
此外,威胁猎人对目前还存活的猫池卡相关发卡平台举行测试发现,一些黑灰产为了防止被监管打击,会采取一些较高的安全措施,包括但不限于周期性订单删除、使用加密货币付出、频仍修改接码地址、限制异常访问和付出等。
1.1.3 2024年「拦截卡」资源分析
(1)2024年国内新增拦截卡196万例,较2023年增长405.50%
据威胁猎人情报数据显示,2024年国内新增拦截卡大幅增长,共有196.64万例,较2023年增长405.50%。
威胁猎人研究发现,一月份拦截卡数量大幅提拔是由于去年年底新出现的一个拦截卡渠道,投放了大量拦截卡资源,2024年该渠道贡献拦截卡数量近百万余例,占本年整体数量的48.82%。但该渠道在2024年6月到7月期间暂停活泼,终极在2024年12月制止运营。
(2)2024年国内新增拦截卡归属省份TOP3:广东、山东、四川
威胁猎人情报数据统计显示,2024年国内新增拦截卡归属地省份(含直辖市)重要集中在广东、山东和四川。
2024年国内新增拦截卡归属地TOP10对比2023年变化环境:
(3)2024年国内新增拦截卡归属为三大运营商的占比为98.99%
威胁猎人情报数据显示,本年国内新增拦截卡的归属运营商98.99%为基础运营商,归属其他运营商的占比1.01%。
(4)“群接码”模式简化黑产使用拦截卡的流程,并使拦截卡真实平台更潜伏
威胁猎人研究发现,拦截卡的接码方式也渐渐从传统的拦截卡平台接码模式转变为“群接码”模式 。
这种模式下,拦截卡卡商隐藏真实号码,仅展示打码号码,只有黑卡购买者可获取完整号码完成接码作恶。
传统的拦截卡平台接码样例:
“拦截卡”的群接码模式接码样例:
相比传统拦截卡平台使用专属接码工具接码,这种模式的优势在于:
1、使用更便利,卡商只需提供号码和接码链接,无需为下游代理或黑卡使用者开设账户或配置权限;
2、更高潜伏性,卡商可通过“群接码”模式潜伏真实的平台信息,不将平台的敏感信息暴露于使用者。
目前,通过“群接码”渠道日均捕获作恶短信记载1269例,作恶记载最高峰为11月,捕获作恶短信记载近6万例:
1.2 2024年作恶IP资源分析
1.2.1 2024年日活泼作恶IP有1178万,较2023年提拔95.68%
据威胁猎人情报数据显示,近年来日活泼作恶IP数量连续上升,2024年日活泼作恶IP数量达到1178万,较2023年增长95.68%。
1.2.2 2024年国内作恶IP资源分析
(1) 2024年国内作恶IP有7794万个,同比2023年增长31.96%
2024年,威胁猎人共捕获国内作恶IP7794万个,同比2023年增长31.96%。
威胁猎人研究发现,2024年国内作恶IP的大幅增长重要是挟制共用代理IP数量急剧增长导致。2024年,国内挟制共用代理平台发展迅速,威胁猎人捕获挟制共用代理IP数量超4000万,占比从去年14.91%提拔至本年的51.47%,且凌驾普通代理IP的占比。
挟制共用代理IP:指被黑产恶意挟制的正常用户IP资源。黑产通过在正常用户设备中植入木马,通过木马在正常用户网络上创建代理通道,且每次使用时间很短,因此普通用户难以感知到自己的IP被盗用。
威胁猎人在2024年1月已把这类IP标记为“挟制共用代理IP”风险标签。
(2)2024年国内作恶IP归属省份TOP3:江苏、广东、河南
威胁猎人情报数据统计显示,2024年国内活泼的作恶IP归属省份(含直辖市)重要集中在江苏省、广东省和河南省。此中,河南省量级提拔最大,提拔了54.45%,排名也从23年的第六到了第三。
(3)黑产IP资源获取技能升级,利用正常用户的IP资源规避风控检测
随着网络安全监管及企业风控策略的增强,为规避风控检测和追踪,黑产也在升级技能实验挖掘更加潜伏的IP攻击资源。
近年来,威胁猎人陆续发现正常用户与非法分子混合使用的作恶IP类型,并对其举行深入研究,于2024年推出「挟制共用代理IP」、「云服务IP」、「云手机IP」等风险标签。
1、2024年挟制共用代理IP占比过半,成为攻击者重要使用的攻击资源
挟制共用代理IP是指被黑产恶意挟制的正常用户IP资源。威胁猎人发现,黑产通过在正常用户设备中植入木马,通过木马在正常用户网络上创建代理通道,且每次使用时间很短,因此普通用户难以感知到自己的IP被盗用。
挟制共用IP大部分时间是正常用户的常规举动,仅少数时间被黑产挟制用于短暂恶意举动,因此平台风控会直接将其视为正常用户,忽视其短暂作恶举动,这就使得黑产使用挟制共用IP的乐成率往往高于普通代理IP,导致越来越多的平台转向挟制共用代理IP资源。
这类挟制共用代理IP在2023年底出现,2024年快速发展、数量急剧增长,2024年威胁猎人捕获挟制共用代理IP超4000万,同比增长341.81%,且凌驾了普通代理IP的数量。
2、黑产滥用云技能:云函数与云手机群控技能成黑产IP作恶新本领
云服务技能为各行业带来便利的同时,也在被黑产滥用。一些黑产将云技能结果转为作恶工具,如借助云服务搭建代理IP资源池、利用云手机的群控设置向企业发起攻击等。
威胁猎人发现,一些攻击者为了掩盖真实源IP,会利用云盘算平台的云函数IP搭建代理IP池执行攻击,或者利用云手机的群控配置执行批量攻击,威胁猎人将这两种方式产生的IP定义为「云服务IP」、「云手机IP」。
不管是云服务IP还是云手机IP,都是广泛服务浩繁正常用户,因此平台风控一样平常会直接将其视为正常用户,忽视了它们的作恶举动。
1.2.3 2024年国外作恶IP资源分析
(1)2024年捕获国外作恶IP4479万个,同比2023年增长102.14%
2024年,威胁猎人增强对海外作恶IP举行的监测,2024年共捕获海外作恶IP4479万个,相比2023年提拔了102.14%。
(2)2024年国外作恶IP归属国家TOP3:巴西、美国、印度
(3)国表里作恶IP类型占比存在差别,国外移动网络占比远超国内
威胁猎人情报人员对国内和国外作恶IP类型举行分析,发现二者存在差别:
国内作恶IP重要以家庭宽带IP为主,占比快要90%,国内作恶代理IP、秒拨IP和挟制共用代理 IP都与家庭宽带密切相关;
国外作恶IP固然家庭宽带占比也是最大,但移动网络占比也比较高,凌驾40%,进一步分析发现,这些IP重要来自流量卡,通过频仍切换飞行模式来实现IP变化。
1.3 2024年网络洗钱资源分析
1.3.1 2024年涉及洗钱的银行卡资源分析
威胁猎人对捕获到的33.6万张参与洗钱的银行卡举行分析,重要分为涉赌卡、跑分卡和涉诈卡三种类型,此中涉诈卡占比最大,达到42.03%。
涉赌卡:活泼在赌博平台中,为赌博平台内收款使用的银行卡,常被用于赌博平台内举行充值收款举动,关联的资产涉及到赌博洗钱举动。威胁猎人通过人工和自动化结合的方式,从各类赌博平台中采集用于收款举动的银行卡账号信息。
跑分卡:活泼在跑分平台,为跑分份子使用的银行卡,常被用于各种非法泉源资金的流通生意业务。威胁猎人通过自动化的方式,从跑分平台APP中获取到跑分订单中的银行卡账号信息。
涉诈卡:在各类匿名社交黑产群聊中,被诈骗团伙购买用于洗钱的银行卡,常用于诈骗类黑资金转移。威胁猎人通过自动化的方式,从各大匿名社交黑产群聊中发送的记载中,提取出诈骗团伙所使用的银行卡账号信息。
(2)2024年参与洗钱的银行卡归属银行分布:六大国有银行占比最高
威胁猎人通过对三类洗钱卡的监测数据发现,归属为六大国有银行的洗钱卡占比最大。这重要是由于其覆盖范围广、客户基数大,因此也更容易被黑产利用作为洗钱工具。
*其他银行包括:民营银行、开发性金融机构及其他金融机构
(3)2024年参与洗钱的银行卡归属地域分布:广东省数量最多
威胁猎人研究发现,三种类型的洗钱银行卡归属地域分布上有相似也有差别:
「雷同点」
1、三种类型的洗钱银行卡归属省份TOP10(排名有先后)都是广东、广西、江苏、湖北、山西、河南、重庆、四川、山东、云南,且TOP1都是广东省;
2、三种类型的洗钱银行卡归属城市TOP10(排名有先后)都是深圳、广州、重庆、东莞、上海、武汉、晋城、郑州、成都;且TOP3(排名有先后)都是深圳、广州、重庆。
「差别点」
1、河南、山西、四川、云南和山东等地的涉诈卡数量均高于跑分卡和涉赌卡;
2、重庆的涉诈卡和涉赌卡最多,深圳和广州的跑分卡最多。
(4)参与洗钱的银行卡凌驾50%活泼周期不到1天
威胁猎人研究发现,2024年参与洗钱的银行卡,凌驾50%的卡只在1天内活泼,此中涉诈卡在1天内活泼的占比达到84.03%,高于跑分卡的66.33%,和涉赌卡的52.58%。
这也说明,洗钱场景下,黑产更倾向于快速完成生意业务,具有明显的短期、高频操作特点,尤其是在诈骗洗钱场景下更明显。
1.3.2 2024年对公洗钱账户资源变化分析
洗钱对公账户:对公账户指以公司名义在银行开立的账户,洗钱对公账户指被黑产用于非法资金洗濯的银行对公账户,因对公账户具有收款额度大、转账次数多等特点,使得“对公账户”经常作为陋规转账的集中点及发散点。
(1)2024年新增参与洗钱的对公账户8059个,较2023年上涨58.05%
2024年,威胁猎人连续监测黑产在洗钱过程中所使用的银行对公账户资源,根据威胁猎人情报监测洗钱对公账户数据显示,2024年,新增洗钱对公账户数量大幅上涨,同比2023年增长了58.05%。
(2)2024年涉及洗钱的对公账户所属银行中,城市商业银行排行第一
威胁猎人情报数据显示,参与洗钱的对公账户归属银行类型分布中,城市商业银行排行第一,占比30.63%。
进一步分析发现,本年城商行对公账户数量较2023年上升8.13%,农信社和农商行的对公数量较比2023年分别上升5.48%和3.48%,而六大国有占比降落11.21%。
按照此趋势,黑产利用对公账户洗钱的过程中可能开始转向地方性银行,威胁猎人将保持关注。
(3)2024年涉及洗钱的对公账户归属省份TOP3:广东省、山东省、河南省
(4)2024年监测到涉及洗钱对公账户归属地域最多的三个城市:北京市、深圳市、上海市
1.3.3 2024年参与洗钱的商户资源变化分析
威胁猎人研究发现,洗钱团伙除了使用个人银行卡、对公账号等举行洗钱外,也会利用“商户账号”举行洗钱。
“商户”通常指具有合法业务资格的商户商家及商户账号。近年来,诈骗或洗钱团伙开始利用商户账户收取“陋规”来洗钱,使用商家资质开通的收款账户根本没有收款额度限制,可支持花呗、信用卡等多种付款方式,相比传统洗钱方式会更潜伏和高效。
威胁猎人在2024年针对“商户洗钱”产业链举行重点研究,发现目前已出现了“商户代收”(商家码)、“扫街码”、“商户反扫”、“商户代付”(核销码)等多种商户洗钱方式。
(1)“商户洗钱”成上升趋势,2024年参与洗钱的商户及黑产团伙连续增多
威胁猎人情报数据显示,2024年参与洗钱的商户数量连续增多,下半年相比上半年增长了141.42%。
2024年下半年,活泼的洗钱黑产团伙数量明显增长,同比上半年增长81.91%。
(2)2024年参与洗钱的商户归属地TOP3省份:广东省、浙江省、四川省
(3)2024年参与洗钱的商户归属地TOP3城市:深圳市、成都市、广州市
(4)2024年参与洗钱的商户所属行业分布TOP3:零售业、批发业、餐饮业
威胁猎人情报人员对参与洗钱的商户进一步分析发现,这些商户涉及80多个行业,此中零售业商户占比最多,凌驾了40%,其次是批发业、餐饮业。这类行业具备资金活动频率高、生意业务对象多、资金结算快等特征,这些特征正符合黑产洗钱的要求,黑产利用此类商户洗钱更不容易触发风控。
(5)2024年金融行业收单机构洗钱风险排名
威胁猎人研究发现,在“商户洗钱”产业链中,有一个核心的角色——收单机构。收单机构既有企业性子的第三方收单机构,也有银行自身作为收单机构角色。
在威胁猎人监控的300多家涉及商户洗钱风险的收单机构中,银行自身作为收单机构的占比最多,达到84.17%。
威胁猎人按照洗钱生意业务次数排名,将2024年涉及洗钱的收单机构整理输出TOP50排名:
注:相关企业或金融机构如需相识详情,请与威胁猎人接洽
1.4 2024年风险邮箱资源分析
2024年捕获高风险邮箱(临时邮箱)域名数量9334个,占总量4.57%。
从2024年不同类型邮箱数量来看,2024年捕获邮箱20.41万个,此中低风险企业邮箱占总量76.58%,高风险邮箱(临时邮箱)占比4.57%,本年新增邮箱重要集中在企业邮箱。
二、2024年互联网黑灰产通用型攻击技能分析
威胁猎人研究发现,由于各企业拥有不同的业务环境和风险控制措施,黑产构造针对这些企业所接纳的恶意工具、攻击服务也呈现出多样性,但通过深入分析这些工具的底层技能特征,我们可以将攻击服务划分为“过身份”、“多身份”、“批量化”三大模块,此中每个模块涉及到多种底层攻击技能,这些技能是实现各类详细攻击举动的关键所在。
2.1 身份绕过技能演化:黑产利用“子母机”绕过认证,无资质人员也可平台接单
威胁猎人研究发现,2024年黑灰产利用“子母机”技能,可使两台手机同时登录同一平台账号,利用这一技能,黑产可实现两个人同时共用一个平台账户完成平台相关操作。
“子母机”的应用逻辑是:黑产先用母手机登录账号完成身份认证,在通过代码挟制获取账号的Cookie、设备环境等信息,再将这些信息复制到子设备上,替换其原始文件,并让子设备读取新信息。
目前,出行、外卖等行业已出现此类工具的售卖,可能导致未经培训或资质不符的司机/外卖员违规上岗,不但影响平台的服务质量,还可能危及平台用户的人身安全,给平台带来更大的损失和名誉受损。
【出行平台“子母机”示例】
「以出行行业某APP为例」
① 首先,在A手机上登录并认证完成了A师傅的平台账号;
② 然后,通过挟制等方式把A手机上的cookie和设备环境信息等,复制到B手机上;
③ B手机此时把握在B师傅上,但B手机上的信息,是A师傅的账号信息;
④ 每次人脸认证时,只必要在A手机上举行认证,即可在两台手机上都生效,A、B师傅都可继承使用账号举行业务操作。
详细流程如下:
2.2 黑产利用“NFC”长途传输软件举行境外洗钱,达到转移违法资金的目的
NFC(近场通信)是一种短隔断无线通信技能,有效隔断通常在10cm以内,广泛应用于移动付出(如Apple Pay、Google Pay)、门禁卡、数据交换等范畴。
所谓NFC长途传输,指的是先通过NFC技能读取设备信息,再借由网络长途传输这些信息。比方,设备A读取IC卡信息后,通过特定应用将信息发送至服务器或设备B,设备B即可模拟该IC卡使用。
黑灰产正是利用这一技能,实现IC卡信息的长途读取与复原。即使手机设备B与IC卡物理上分离,也能执行如POS机付出等操作。
最典型的攻击案例便是洗钱:黑产将国内信用卡信息长途传输至国外设备,利用这些信息举行POS机消耗,购买奢侈品、珠宝等,从而绕过信用卡生意业务的地理限制,完成洗钱举动。
「以威胁猎人发现的某款传输APP为例」
① 该软件介绍“不受时间及国界限制,无论何时何地都能完成生意业务”、“可实体,可假造,支持所有钱包”;
② 国内(传卡方)、国外(吸取方)两部手机都下载这个软件;
③ 使用国内的手机,去碰实体银行卡,此时会将银行卡的信息传到了国内的手机上;
④ 国内手机吸取到到银行卡信息后,会通过手机上安装的软件把银行卡信息传输到国外的手机上;
⑤ 国外手机通过软件吸取到银行卡信息后,即可正常刷卡使用。
图1:国内手机(传卡方)去碰银行卡
图2:国内/国外手机都收到了银行卡信息
图3:国外手机举行付出了操作
详细流程如下:
2.3 定制化云手机系统,进一步提拔黑产攻击效率
威胁猎人在2023年发布的《互联网黑灰产研究年度陈诉》中指出,云手机平台的配套服务日益丰富,黑产技能呈现出集成化、服务化的特点。2024年,我们继承跟踪观察发现,云手机平台不但集成化、服务化趋势愈发明显,定制化趋势也愈发成熟。
服务化重要提供完善的基础攻击工具,让用户基于这些工具实施攻击。而定制化则是云手机平台针对特定app举行风控绕过、开发对应的作恶脚本,并集成到云手机系统中,供用户直接使用。
「以某社交app为例」
黑产为其定制开发的云手机系统涵盖了注册、养号、引流变现等完整攻击流程的自动化实现。这不但降低了攻击者的准入门槛,使新手也能举行傻瓜式操作,还让攻击者无需关注风控层面的对抗,从而极大提拔了攻击效率。
三、2024年互联网黑灰产攻击场景分析
3.1 线上业务诓骗场景
本陈诉中的线上业务诓骗场景不局限于传统营销活动诓骗攻击,只要是所有干扰业务正常运营,从正常的业务开展中牟利的恶意举动,都被称之为“业务诓骗攻击”,如营销诓骗、恶意引流、刷量诓骗、认证绕过等。
3.1.1 2024年线上业务诓骗风险热度不减,相关攻击情报量近3亿
2024年,威胁猎人共捕获业务诓骗攻击相关情报2.72亿条,监测业务诓骗作恶群组12万个,涉及作恶账号223万个。
2024年12月业务诓骗相关情报出现暴涨现象,威胁猎人情报人员进一步分析发现,12月增长量中凌驾一半源自匿名群聊上的情报信息,这一现象重要是由于一些大型赌博黑产团伙线上赌博活动频仍,以及跑分洗钱团伙通过多账号举行广告“招商”和暴力引流所导致。
2024年,威胁猎人捕获业务诓骗活泼作恶群组数月均3.2万:
2024年,威胁猎人捕获业务诓骗活泼作恶网站/论坛(暗网除外)月均163个,全年作恶帖子总量926万例:
2024年,威胁猎人捕获业务诓骗活泼作恶账号数月均32万:
3.1.2 2024年预警业务诓骗事件达4158起,涉及全行业、全业务
威胁猎人风险情报平台为客户提供风险情报挖掘和事件预警服务,支持将黑灰产原始线索深入分析并结构化为有效的攻击事件。在2024年,该平台已为合作客户预警了4158起明白的攻击事件,平均每月约346起。
通过对这些攻击事件进一步分析,我们发现业务诓骗攻击已经渗透到多个行业、多个业务。也就是说,线上业务诓骗针对不同行业、不同业务环节呈现“无差别攻击”,任何有利可图的地方都是黑灰产的攻击目的。
通过对攻击事件举行热词提取,我们发现当前业务诓骗攻击不局限于已往专攻注册登录、领券抢单等业务,内容发布、商品管理、订单生意业务、付出生意业务、售后付出、企业数据传输等各个环节均可能被黑产攻击赢利。
3.1.3 业务诓骗已进入深水区,真人作弊愈发定制化、角色边界更加含糊
随着业务风控本领的不断提拔,大多数典型的机器作弊举动已被有效辨认。只管一些高端黑产仍在使用定制化技能举行对抗,但越来越多的黑灰产开始转向真人众包作弊方式举行攻击。
从威胁猎人捕获到的情报信息来看,2024年,真人作弊举动变得更加定制化,角色多样化,且界限含糊。重要表现在以下几方面:
(1)传统的使命型众包平台,即以“发布使命”和“领取使命”为主的模式,无论是平台数量还是使命数量,都在连续增长。
2024年以来,威胁猎人共捕获到889万个众包使命,月均凌驾63万个,高峰时期乃至达到100万个。
(2)黑灰产采取了更加潜伏的众包构造形式,如通过众包私域群聊、开发专项APP来招募真人执行特定使命,这种模式雷同于刷单真人群,很难被风控系统辨认。这些专项使命可能包括变相刷单、欣赏旅馆页面以增长欣赏量、或使用真人账号挂机爬取平台商品数据等。
案例1:以“旅馆截图”众包项目为例,黑产开发了一款名为“指尖xx”的APP,通过该APP构造兼职人员完成旅馆截图使命。
参与者按照APP提供的教程,针对指定的入住平台、日期、地域和旅馆名称,截取旅馆页面的价格信息并上传。APP会自动通过OCR技能辨认并提取价格信息,参与者随后可以领取相应的佣金。
案例2:黑灰产以兼职名义创建群组,构造、招募真人使用其账号对指定电商平台商品链接举行访问,按要求获取商品对应件数、对应活动条件的得手价格上传表格。这就是一种“真人爬虫”举动。
(3)诓骗角色边界渐渐含糊,越来越多的真人用户通过研究和利用平台业务的“正当”规则举行恶意牟利。
近几年,各平台层出不穷的多倍赔付、仅退款教程、价保退款攻略,更多反映了在黑灰产“引导”下,以平台真人用户为主的诓骗趋势。
案例:威胁猎人捕获了一起羊毛用户利用平台保价政策结合付出券辨认漏洞,“0撸”或低价购买平台商品,该类攻击短时间内对平台和开通价保的商家造成了大额的损失和退款。
羊毛党发现某平台某类商品可领取满减优惠券和付出券(合作银行或平台品类),但二者只能选择其一使用;羊毛党通过付出券购买了这款商品,然后利用商家的保价政策规则申请店肆满减优惠券保价金额(商家看不到用户使用了付出券,由于是不同平台),终极达到0撸或低价购入。
威胁猎人情报人员针对这类型漏洞攻击举行分析,发现羊毛党重要利用了两个方面的漏洞:首先,他们利用了保价政策中对店肆优惠券的补偿机制,该机制原本是为了在短时间内对用户发放补偿;其次,他们利用了保价政策无法辨认已使用付出券优惠的漏洞。这使得黑产分子可以大概同时“享受”两种优惠券的优惠。这种举动在短时间内对平台和开通价保的商家造成了大额的损失和退款。
3.1.4 黑产生意业务市场更加活泼,月均售卖商品101万,涉及会员权益、教程工具、代下类服务
黑灰产业链可以大概连续不断地高效运作离不开上游资源生意业务和下游套利变现,上游黑产通过特定渠道采购账号、工具、手机号等攻击资源,下游黑产通过各种渠道(发卡网站和二手闲置生意业务平台等),将持有的上游攻击资源以及攻击所得的优惠券、现金券、会员权益、实体商品等举行变现。
自2024年7月正式上线黑灰产生意业务市场以来,累积捕获到黑灰产生意业务商品610万起,月均101万,大量活泼生意业务商品和丰富品类表明黑灰产攻击活动仍处上升期、连续运转。商品生意业务市场的活动,实则粉碎了平台用户和玩家的同等权益,缩减、损害了业务方的预期收益。
基于7月份以来捕获的黑灰产生意业务商品数据,生意业务热度TOP的商品种别分别为:会员权益类、教程工具类和代下单服务类型,分别占生意业务商品总量的22.16%、17.63%和13.94%。
各商品大类下存在多个细分丰富商品,如会员权益类包罗合作平台联合权益的会员转卖、等级vip权益;优惠券类包罗平台红包、优惠券、折扣券转卖;教程工具类则是包罗了一体机、绕过人脸验证、改定位、抢购、抢单等自动化、批量化作弊工具、搬砖项目教程等;代下单服务类型包罗了收取使用费,使用业务方折扣账号、会员权益、补贴名额举行代下单和抢单等;代理服务类型与代注册、资质绕过相关,此中有大量商品触及违规。
教程工具类商品:网约车子母机,受众为资质未通过审核、欲多账号接单扩大收益的作弊司机群体。
代理服务商品:违规绕过服务,如利用信息差和内部渠道等本领,为申请资质不合规的商家店肆、司机等,直接入驻平台运营。
代下单服务商品:各类低价卡券代下和自助下单商品,通过代下服务和上游搭建的自助对接下单系统,黑产将接纳的券出售套利,羊毛党低于原价获取商品。
3.1.5 业务诓骗攻击黑产渐渐向更隐秘的渠道转移,监控难度进一步加大
威胁猎人关注到,相比已往重要在普通社交平台发布,现在更多业务诓骗黑产渐渐转向更隐秘的渠道,如在Telegram等匿名群聊渠道上创建大量与业务诓骗相关的讨论频道。
2024年,威胁猎人监测到围绕业务诓骗风险的讨论量在匿名渠道上达到了46万起,且每月呈现增长趋势。
对匿名渠道内中活泼的频道发布信息进一步相识,信息涉及攻击业务方活动的活动脚本、羊毛讨论、恶意赔付教程、抢单工具等相关,下半年比上半年增长91.43%。
涉及案例包罗但不限于打假项目、活动自动薅取、出行行业抢单工具生意业务频道:
3.2 金融贷款诓骗场景
威胁猎人研究发现,金融贷款诓骗已经形成了一条分工明白、利益瓜分的成熟产业链。以“职业背债”为例,其上游操作方、中央黑产、下游中介以及背债人等角色各司其职,通过严密的协作机制构造骗贷活动。这种黑产的存在不但粉碎了金融市场的正常运行,给金融机构造成巨大的损失,还会对社会的稳固和经济的健康发展构成严峻威胁。
3.2.1 2024年贷款诓骗风险依旧严峻,诓骗热度连续上涨
2024年,威胁猎人共捕获贷款诓骗攻击情报414万条,监控活泼的作恶社交群组34697个,作恶黑产11.5万名;不管是诓骗情报热度,还是作恶群组数、作恶黑产数(包括恶意贷款中介),均呈渐渐上升趋势。
(1)2024年捕获恶意贷款诓骗情报414万条,每月连续上涨
(2)2024年监控活泼的作恶社交群组34697个,下半年比上半年增长30%
(3)2024年捕获贷款诓骗作恶黑产11.5万名,下半年作恶黑产数比上半年增长51%
(4)2024年贷款诓骗恶意中介4.3万名,下半年恶意贷款中介数比上半年增长50%
3.2.2 2024年贷款诓骗产物类型热度TOP3:企业贷、信用贷、房抵贷
从贷款产物类型来看,2024年信贷诓骗热度TOP5的贷款产物类型分别是:企业贷、信用贷、房抵贷、车抵贷、和公积金贷。
3.2.3 2024年贷款诓骗地域热度TOP3:广东、重庆、山东
从地域分布环境来看,2024年信贷诓骗地域热度排在TOP5的地域是:广东、重庆、山东、浙江、四川。
3.2.4 职业背债:“卖征信换钱”现象加剧,黑产瞄准高信用、高资质客户
随着社会经济大环境的不断变化、金融消耗文化的转变,越来越多消耗者开始崇尚“卖征信换钱”,“背债”热度连续上涨。
(1)2024年“背债”热度连续上升,下半年相关情报数量比上半年增长56%
2024年,威胁猎人捕获“背债”相关攻击情报呈上升趋势,背债热度上升,并在9月达到峰值,下半年比上半年增长56%。
(2)2024年背债地域热度TOP3省份:广东、四川、重庆
威胁猎人情报数据显示,2024年“背债”相关的贷款诓骗,活泼热度TOP3的省份(含直辖市)是广东、四川、重庆。
(3)2024年背债地域热度TOP3城市:重庆、深圳、长沙
威胁猎人情报数据显示,2024年“背债”相关的贷款诓骗,活泼热度TOP3的城市(含直辖市)是重庆、深圳、长沙。
(4)黑产更倾向于选择征信条件好、资质好、外貌条件好的客户
威胁猎人研究发现,黑产在选择背债人选的时候,渐渐更偏向于选择征信条件好、资质好、外貌条件好的客户。很多金融机构现有的反诓骗模子、评分卡等很难辨认这类优质的高风险客户,自动化审批通过的背债人占比也越来越高。
2024年黑产对背债人属性的选择性变化重要表现为以下环境:
以下是背债黑产招募的一些广告信息:
3.2.5 融车诓骗:车贷诓骗热度连续上涨,“买车套现”日益放肆
近年来,汽车金融市场连续扩大,汽车贷款诓骗也日益放肆。威胁猎人调研发现,非法黑产打着“融车”、“0首付购车”、“买车套现”的旗号,召集一些无法通过正常贷款融资但有资金需求的人群,如征信为白户、花户、黑户等,通过身份包装后举行“假购车、真套现”的合同诈骗、贷款诈骗。
(1)2024年融车相关攻击情报呈上升趋势,下半年融车风险舆情比上半年增长62%。
(2)2024年融车诓骗情报热度TOP3城市:深圳、重庆、保定
(3)融车诓骗手法和表现方式
威胁猎人研究发现,黑产通过召集一些自身无贷款资质但有资金需求的人群,在黑产链的构造、垫资、包装及客户共同下,一人可以办理多笔车贷、一辆汽车也可以办理多家金融机构贷款。
汽车贷款诓骗更多详情可查看:【黑产大数据】汽车贷款诓骗产业链解构
3.2.6 非标贷款:材料包装借贷诓骗盛行
威胁猎人研究发现,有些人因资质不符、缺乏条件等题目无法正常申请贷款,会通过卖弄工作信息、卖弄流水等“假数据”来达到借贷目的。
(1)2024年材料包装诓骗热度呈上升趋势,下半年热度比上半年增长148%
(2)材料包装诓骗类型和方式
3.3 品牌广告诓骗场景
3.3.1 遭受诓骗的品牌广告主中,食品饮料类成为遭受广告诓骗占比最大的广告主
威胁猎人基于广告暗刷流量监测捕获到大量广告诓骗数据,涉及到多个行业,涉及到食品饮料、电子消耗品等多个行业,食品饮料行业依旧是遭受诓骗占比最大的广告主。
遭到广告诓骗的广告主品牌排名如下:
3.3.2 从诓骗广告形式来看,100%播完诓骗广告占比达到70.02%
从捕获数据中的诓骗广告形式来看,诓骗广告中以15秒的视频广告为主,这类广告占捕获诓骗广告总量的99%以上。
从诓骗广告的播放环境来看,设备暗刷伪造并上报的广告中,大部分都是完整播放完毕的,100%播完的占比达到70.02%,这一数据明显不符合正常用户的举动,现真相况下有耐烦将广告看完的用户并不多。
视频广告包括开始播放、播放中、完成播放等阶段,不同阶段都会举行广告追踪,并将流量上报至广告监测平台,实际上这些广告并未播放,仅仅是通过设备暗刷伪造了卖弄的广告播放环境,并将卖弄追踪环境上报
3.3.3 品牌广告伪造的终端以移动端为主
在广告诓骗刷量的作弊链路中,上报的作弊广告流量往往会包罗动态变化的伪造设备参数信息,模拟真实的设备信息及其显现广告的数据环境,以诱骗广告主。
威胁猎人针对伪造的广告播放数据举行分析发现,伪造并上报的卖弄广告数据里,覆盖了三大类终端:移动端、OTT端、PC端。
进一步分析发现,广告伪造的移动端中包罗了手机及平板,此中以手机为主,覆盖多个手机品牌。
广告伪造的OTT终端中,包罗了智能电视、电视盒子、智慧屏、智能音箱(带屏)、唱歌机、投影仪等,覆盖多个OTT终端品牌。
3.4 API攻击场景
数字化与线上化趋势下,API接口作为应用连接、数据传输的重要通道,近年来大规模增长。API应用的增速与其安全发展的不平衡,使其成为恶意攻击的首选目的,围绕API安全的攻防比力愈演愈烈。
威胁猎人情报数据显示,2024年遭受攻击的API数量凌驾了250万,涉及音视频、软件应用、汽车、电商、政务等多个行业。
3.4.1 2024年平均每月遭受攻击的API数量超21万
威胁猎人情报数据显示,2024年全年平均每月遭受攻击的API数量凌驾21万。
3.4.2 2024年API攻击行业分布重要分布在音视频、政务机构、互联网软件应用
从2024年API攻击的行业分布数据来看,音视频行业受攻击热度最高。黑产利用音视频平台有安全缺陷的API非法爬取内容、用户信息等数据,通过贩卖音视频内容或用户信息获取高额利益,如非法分发、转售、侵占版权,以及利用用户信息举行钓鱼攻击、诈骗等。
3.4.3 2024年值得关注典型API攻击典型事件
(1)营销诓骗:某互联网平台登录API存在安全隐患,企业营销产物被薅羊毛
2024年9月,威胁猎人风险情报平台监测到攻击者对国内某互联网平台发起批量登岸攻击,使用历史版本的登录API接口获取用户凭证,再访问“当前版本应用”利用积分免费兑换商品业务,给企业带来损失。
从威胁猎人蜜罐捕获的攻击流量发现,从2024年9月至11月,攻击者使用代理IP,对该历史版本的登录API发起攻击超13万次,超10W左右的账号使用积分兑换商品。
如下图所示,该登录API接口中账号密码参数并未举行加密,均为明文传输,且缺失简单的人机验证方式,导致成为了黑产发起批量登录攻击的重要对象。
2)数据爬取:某银行线上业务遭受黑灰产扫号攻击,大量用户信息被泄露
2024年6月,威胁猎人风险情报平台监测到攻击者对国内某银行发起扫号攻击。颠末流量分析与复现,发现该银行资产接口存在“错误提示不合理漏洞”,黑产可大量验证手机号信息是否为平台注册用户,导致有效账号暴露,用户隐私泄露,威胁系统安全。
从威胁猎人蜜罐捕获的攻击流量发现,在2024年6月,攻击者在一周内,对该银行资产接口发起攻击超24万次,导致大量有效账号暴露。
如下图所示,黑产对请求体举行构造,使用不同的手机号,而其他鉴权参数信息特征保持不变,如验证码id、操作记载变量等,假如手机号码为无效账号,回显“账号不存在,请注册后登岸”,假如手机号码为有效账号,平台回显“没有找到对应短信验证码信息”,黑产可通过回显来判断手机号是否为有效账号。
(3)黄牛抢号:医院线上挂号业务被黄牛抢号,医疗资源被抢占
2024年10月,威胁猎人风险情报平台监测到攻击者对某大型医院举行批量注册,注册后访问大夫挂号信息并举行抢号,抢占医疗资源。
通过对威胁猎人蜜罐捕获的流量举行分析,发现攻击者使用大量的黑卡举行批量注册,并伪装为正常病人,后续使用注册的账号举行登录,登录后开始不断访问大夫挂号信息并举行预约抢号。
如下图所示,由于挂号接口没有限制访问频率,攻击者可以不断的获取大夫挂号信息并在第一时间举行抢号。
3.5 钓鱼仿冒场景
3.5.1 2024年全年年监测钓鱼仿冒风险事件超4万,波及数百家企业
2024年,威胁猎人共监测到钓鱼仿冒风险事件 44640 例,涉及 671 家企业,较 2023 年监测总量增长 150%,整体呈现连续增长趋势。
相较去年,威胁猎人本年进一步增强对仿冒社媒的监控力度,新增了多个主流平台,从渠道多样性、监测深度和覆盖面等角度全面提拔监控本领,为企业提供更广泛的风险防护支持。
3.5.2 电商平台沦为钓鱼仿冒重灾区,事件量占比46.41%
从2024年钓鱼仿冒事件的行业分布数据来看,钓鱼仿冒行业占比TOP3的行业为电商、证券行业和消耗金融行业,此中电商行业成为钓鱼仿冒最为严峻的行业,电商行业仿冒相关的风险案例占总量的46.41%。
3.5.3 “海外商城盘”诈骗频发,“仿冒电商平台”是重要推手
随着跨境贸易的火热,海外电商平台为吸引新手卖家推出低门槛政策,导致大量缺乏履历的卖家涌入,成为骗子的目的。
“海外商城盘”就是此中一种以“开网店创业”为幌子的骗局,诈骗者冒用着名海外电商平台身份,以“零成本开店”和“高收益分销”吸引受害者注册仿冒电商平台举行诈骗,这种举动不但给商家带来直接经济损失,还严峻损害电商平台品牌资产;粉碎了平台的商家准入机制,影响品牌公信力。
“海外商城盘”重要流程及角色分工如下:
仿冒平台引流阶段:骗子通太过享网店创业履历、用“零成本开店”和“高收益分销”为诱饵,让受害者注册仿冒电商平台。
诱导开店运营阶段:在受害者注册后,诈骗者引导开设店肆并通过假造订单和伪造盈利截图,营造生意兴隆的假象,诱导受害者不断充值垫资发货,逐步加大资金投入。
杀鱼诈骗阶段:当受害者投入大量资金后,诈骗者以延迟物流、冻结账户等为借口,进一步要求缴纳违约金或包管金,直到受害者资金被完全掏空。整个骗局伪装成合法创业,利用受害者对快速赚钱的渴望逐步完成诈骗闭环。
3.6 数据泄露场景
3.6.1 2024年监测数据泄露事件37575起,涉及金融、电商、快递等行业2598家企业
威胁猎人数据泄露风险监测平台数据显示,2024年1月至12月全网监测了3.03亿条关于数据泄露的情报,基于威胁猎人真实性验证引擎以及DRRC专业人工分析验证出有效的数据泄露事件共计37575起,涉及金融、电商、快递等行业2598家企业。
3.6.2 银行业数据泄露风险连续两年排行第一,本地生活首次进入前十
从行业分布来看,2024年1月至12月数据泄露事件中涉及88个行业,前五行业分别是银行、电商、消耗金融、保险以及快递。此中银行行业数据泄露事件数量高达6333起,连续两年为数据泄露事件数最多的行业。
此外,本年本地生活行业数据泄露事件行业排名相比2023年有所上升,从之前的Top14上升至Top10。数据显示,2024年本地生活行业共发现700多起数据泄露事件,较2023年大幅上涨7.22倍。进一步分析发现,本地生活数据泄露大幅上涨的原因是新型泄露类型“强登”导致。
本地生活:重要指提供外卖、餐饮、电影票、买菜等与生活痛痒相关的服务平台。
3.6.3 新型数据泄露类型“强登”出现,涉及电商、外卖、快递等行业头部平台
威胁猎人在2024年发现了一种新的查档类型——“强登”,泄露信息重要涉及用户的网购订单、外卖配送订单、出行打车订单、快递订单信息等,涵盖了电商、快递、本地生活服务(重要是外卖行业)和出行服务等多个行业的头部平台。
自2024年6月起,通过“强登”获取数据的方式开始出现,到12月尾已累计凌驾6600起。最初重要集中在电商头部平台,随后渐渐蔓延至外卖和快递等多个平台。
强登:指黑灰产通过多种复杂手法强行登录用户的平台账号,获取账号下的详细订单等敏感信息,再把这些信息提供给下游数据购买者,在中游数据售卖时售卖广告会标注【强登】。
那么,“强登”数据是怎么来的呢?
威胁猎人情报人员对“强登”进一步挖掘和分析,发现上游团伙针对“强登”的重要作案手法如下:
信息获取:首先,攻击者通过手机号在其他渠道(如查档或社工库等)获取用户的身份证号和证件照等信息。
绕过验证:接着,利用获取到的证件照生成AI视频或模拟人脸,以此绕过平台的视频验证环节。
强行登录:最后,通过平台的忘记密码或找回密码等接口,绕过平台的校验机制,强行登录用户的账号,从而获取账号中的订单内容等敏感信息。
上游团伙通过“强登”方式获取到电商、外卖、快递、出行服务等行业订单信息后,再由中游团伙在各种匿名群聊、社交媒体等发布售卖广告,吸引更多下游需求人群。
3.6.4 物流行业“解密”服务兴起,近一年相关数据泄露事件渐渐增多
近年来,“隐私面单”技能不断发展,通过隐藏用户真实手机号来保护个人信息安全。已往一年,在物流行业监管增强和企业的共同积极下,隐私面单的推广有效镌汰了快递面单泄露事件,整体治理效果明显(见下图)。但道高一尺魔高一丈,2024年黑产推出了新的查档服务——“解密”来破解隐私面单,最近一年,“解密”相关数据泄露事件渐渐增多。
订单解密重要是通过“快递单号+假造号码(或前三后四打码的手机号)”举行解密,获取完整手机号。
3.6.5 “IOS”字段相关风险事件下半年共发现496起,较上半年降落59.90%
威胁猎人研究发现,从2023年下半年开始至2024年第一季度,泄露的数据字段中,“IOS”字段增多。从数贩卖黑产团伙与下游数据购买者的谈天记载来看,下游数据购买者对于数据的复购要求中多次提及“IOS”设备数据的筛选要求。
但从4月份开始,“IOS”字段相关的风险事件呈降落趋势,2024年下半年相比上半年降落了59.90%
威胁猎人情报人员针对下半年降落现象进一步分析原因,下半年“IOS”相关数据降落重要是由于苹果官方针对Facetime诈骗出台相关打击措施导致的。
2024年3月,苹果官方升级iOS系统至iOS17.4.1版,推出对生疏Facetime号码来电拒接的功能,并在5月推送IOS 17.5版本,增强了Facetime通话功能。威胁猎人情报人员测试后确认,该功能已实现对生疏来电的拒接。
数据泄露更多详情陈诉可查看:【黑产大数据】2024年纪据泄露风险态势陈诉
3.7 电信网络诈骗场景
3.7.1 2024年诈骗形势依旧严峻,活泼作恶群组超10000个
2024年,威胁猎人风险情报平台共监测到电信网络诈骗相关情报77万条,活泼作恶社交群组10032个。
3.7.2 电诈团伙精密协作,依托精密脚本布局多样诈骗陷阱
(1)电诈团伙的高效运作离不开团伙内部精密分工合作
电信网络诈骗已形成了成熟的产业链条,电诈团伙内部有不同的角色和分工,成员之间精密共同,共同开展诈骗活动:
信息获取:诈骗团伙通过各种非法渠道获取到各种人员资料,资料越详细,诈骗乐成率越高。
技能搭建:诈骗团队伪造仿冒网站、开发仿冒软件、伪造生意业务记载等,用于后续诈骗使用。
目的筛选:筛选容易被骗的目的客群,如老年人、投资者、求职者等,并制定相应的诈骗策略(脚本)。
推手引流:“推手”指那些为诈骗活动提供资助或支持的人员或团体,固然不直接参与诈骗举动,但通过与受害者接洽,将受害者引流至微信、QQ等社交渠道供其他诈骗人员举行诈骗,即“推手引流”。
高薪引诱:发布高薪职位,承诺丰厚的报酬或表示能赚到巨额资金,诱使受害人对职位产生兴趣。
人口绑架:将受害人诱骗至目的地,并绑至电诈园区,逼迫受害人从事诈骗工作。
(2)形形色色的骗局均离不开黑产举行筹划的“脚本”
近期闹得沸沸扬扬的“王星事件”前期就是诈骗团伙在微信群发布名为颜十六选角导演的试戏关照,利用泰国著名娱乐公司的名义向王星发出试戏邀请,经心筹划了一个为王星“量文体衣”的诈骗脚本(可见前期诈骗团伙对王星的信息,特别是职业及工作经历把握非常过细),以泰国拍戏的工作时机为诱饵,诱使王星前去泰国。
除了“王星事件”外,威胁猎人还监控到多种类型的脚本,分别利用不同人群的特定生理活动,经心制作匹配人物特性和生理的诈骗脚本,详细案比方下:
写在最后
近年来,互联网黑灰产通过不断提拔攻击技能、挖掘潜伏性更强的攻击资源等确保攻击的乐成率,这使得企业在感知和防御上面临更大压力和滞后性。
对企业而言,应该认识到与外部黑产的对抗是动态、连续的,实时依托基于全网多渠道监测的黑灰产情报数据,从黑产攻击准备阶段就开始溯源追踪,知道攻击者正准备利用什么资源或工具,这些资源或工具有什么特征、攻击者会接纳什么本领来攻击企业……先于攻击方达到被攻击方的防御前沿,让攻防对抗达到“敌方未攻我先控”的局面。这就是情报的价值所在,也是威胁猎人的价值所在。
说明:本陈诉所提供的数据信息系威胁猎人依据大样本数据抽样采集、小样本调研、外部情报数据采集、数据模子预测及其他研究方法估算、分析得出,由于统计分析范畴中的任何数据泉源和技能方法均存在局限性,依据上述方法所估算、分析得出的数据信息仅供参考。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
