1、12目录Contents前言.2相关名词定义：.4一、2024 年上半年互联网黑灰产业发展现状.7二、2024 年上半年黑产攻击资源分析.112.1 2024 年上半年风险手机卡资源分析.112.2 2024 年上半年风险 IP 资源分析.192.3 2024 年上半年网络洗钱资源分析.222.4 2024 年上半年风险邮箱资源分析.29三、2024 年上半年黑产通用型攻击技术分析.323.1 黑产利用 LSPatch 技术实现快速抢单作恶，被高频利用于金融社交等平台 APP323.2 黑产利用 HID 设备进行自动化攻击，作恶更加隐蔽、监测难度大幅提升.33四、2024 年上半年黑产攻击场景

2、分析.364.1 营销欺诈场景分析.364.2金融欺诈场景分析.434.3 电信网络诈骗场景分析.484.4 钓鱼仿冒场景分析.514.5 品牌广告欺诈场景分析.554.6数据泄露场景分析.58五、总结.663前言2024 年上半年，黑灰产从业人员人数超过 427 万，威胁猎人监测到国内作恶手机号数量高达 323 万，日活跃风险 IP 数量 1136 万，涉及洗钱银行卡数量 19.5 万。近年来，数字化与实体经济的融合日渐深入，大规模业务线上场景下，黑灰产对企业业务安全的扰乱更加突出，恶意刷量、薅羊毛、金融欺诈等黑产事件层出不穷，逐渐智能化和链条化的网络黑产运作，给企业带来真金白银的经济损失，

3、影响了企业正常运营及长期发展，打击网络黑灰产，加强有效防御成为各行业企业的目标与共识。威胁猎人发布2024 年上半年互联网黑灰产研究报告，从 2024 年上半年互联网黑灰产发展现状、黑灰产攻击资源、黑灰产攻击技术及场景等维度进行全面梳理分析，力求通过客观呈现黑灰产情报数据，帮助更多企业深入直观了解黑灰产业，有效防控各类攻击风险。4相关名词定义：1、风险 IP：业内也称黑 IP，指存在攻击风险（包括代理、秒拨等恶意行为）的 IP；2、风险手机号：存在被滥用盗用等风险的手机号，如被黑产用于接收短信，实施批量恶意攻击的手机号，通常从接码平台或发卡平台捕获；3、风险邮箱：指被黑产用于恶意注册生成的临时

4、邮箱，用以骗取用户重要信息、传播恶意程序等；4、黑手机卡：指未进行实名登记或以假身份进行实名登记的，并被不法分子利用实施违法犯罪活动的电话卡；5、猫池卡：指通过“猫池”这一网络通信硬件，实现同时支持多个号码通话、群发短信等功能的黑手机卡；6、拦截卡：指通过病毒木马控制真实用户手机短信/验证码收发权限的手机卡，通常捕获自拦截卡平台；7、洗钱银行卡：指被黑产用于非法资金清洗（将违法所得收入合法化）的银行卡，例如赌博及诈骗团伙通过银行卡消费、转账等方式转移洗钱资金；8、涉赌卡：指常被用于赌博平台内进行充值收款的银行卡，关联资产涉及到赌博洗钱行为。威胁猎人通过人工和自动化结合的方式，从各类赌博平台中监

5、测用于收款行为的银行卡账号信息；9、跑分卡：指活跃在跑分平台，常被用于各种非法来源资金的流通交易的银行卡。威胁猎人通过自动化的方式，从跑分平台 APP 中获取到跑分订单中的银行卡账号信息；510、涉诈卡：指常被用于社交黑产群聊中进行诈骗资金转移的银行卡，关联资产涉及到诈骗洗钱行为。威胁猎人通过自动化的方式，从各大匿名社交黑产群聊中发送记录中，提取诈骗团伙使用银行卡账号信息；11、洗钱对公账户：指被黑产用于非法资金清洗的银行对公账户，因对公账户具有收款额度大、转账次数多等特点，使得“对公账户”常常作为黑钱转账的集中点及发散点；12、数据泄露事件：威胁猎人安全研究专家针对数据泄露情报的样例等进行分

6、析及验证，确认为真实、有效的数据泄露事件；13、暗网：指隐藏的网络，普通网民无法通过常规手段搜索访问，需要使用一些特定的软件、配置或者授权才能登录；62024 年上半年互联网黑灰产业发展现状012024 年上半年互联网黑灰产业发展现状7一、2024 年上半年互联网黑灰产业发展现状1.1 2024 年上半年互联网黑灰产从业人员达 427 万，较 2023 年下半年下降 6.03%威胁猎人调研统计发现，2024 年上半年互联网黑灰产从业人员数量达到 427 万，较 2023年下半年略有下降 6.03%。1.2 2024 年上半年黑灰产资源概况1.2.1 2024 年上半年新增国内风险手机号总量较