这是一份根据《2025年上半年互联网黑灰产研究报告》(以下简称“报告”)整理的专业文档。文档涵盖了报告中提到的核心黑灰产术语、主要产业名称及其解释,并详细列出了各业务场景及资源的占比数据。

2025年上半年互联网黑灰产行业研究分析文档

一、 核心黑灰产术语及技术解释

根据报告,2025年上半年黑灰产在攻击资源和技术上呈现出智能化、隐蔽化的特征,以下是关键术语:

  • 猫池卡 (Cat Pool Cards):指通过“猫池”网络通信硬件,实现同时控制多个号码通话、群发短信等功能的作恶手机卡。
  • 拦截卡 (Interception Cards):指在手机端植入木马,从而拦截并窃取用户短信、验证码等敏感信息的作恶手段。
  • 链接接码 (Link-based Code Receiving):一种新型接码方式。黑产通过生成唯一的接码链接,使恶意手机号仅服务于单一项目,具备极高的隐私性和反溯源能力。
  • 劫持共用代理 (Hijacked Shared Proxies):黑产通过植入木马恶意占用正常用户的IP。由于该IP大部分时间由正常用户使用(如浏览、充值),短暂的作恶行为极难被风控识别。
  • 挂单充值 (Order-matching Recharge):赌博平台的新型洗钱方式。它实时匹配赌客A的提现需求与赌客B的充值需求,让资金在赌客间点对点流转,使赌客在不知情下成为洗钱通道。
  • 拉码工具 (Code Pulling Tools):一种洗钱技术工具,通过抓包技术抓取正规电商或支付平台的订单链接并转化为二维码,将黑钱清洗入正规交易路径。
  • 提参 (Parameter Extraction):指绕过传统密码验证,通过木马静默提取用户App的登录凭证(如token、cookie),实现远程克隆登录。
  • 职业背债 (Professional Debt Bearing):指黑产团伙通过虚假包装,利用“背债人”的身份向金融机构套取房贷、车贷或企业贷,随后融物套现或直接骗贷。

二、 核心产业场景及所占比重

报告将黑灰产活动划分为多个重点产业场景,其行业分布和影响权重如下:

1. 营销欺诈场景 (Marketing Fraud)

该场景下,黑产利用虚假活动进行引流或盗号。涉赌卡环比上涨 141% 的核心诱因。该模式摒弃了传统的专业跑分人员,转而利用普通赌客的收款能力进行“点对点”资金清洗,极大地提高了资金转移的隐蔽性。
1.svg

  • 行业分布比重

    • 电商行业:27.55%(占比最高)
    • 本地生活:11.99%。
    • 银行:9.07%。
    • 兴趣社交:8.82%。
    • 在线票务:7.88%。

2. 金融欺诈场景 (Financial Fraud)

重点涉及恶意贷款,欺诈规模持续扩张。黑产通过线下摆摊,以“扫码领奖”为诱饵,诱导受害者安装木马 App。该 App 会在后台静默提取受害者在目标 App 中的登录凭证(如 token、cookie),绕过密码验证实现远程克隆登录。
2.svg

  • 恶意欺诈类型占比

    • 职业背债:50.13%(核心攻击手段)
    • 债务优化(含反催收、代理维权):12.91%。
    • 征信修复:9.12%。
    • 违规提额:6.97%。
    • 融车欺诈:6.53%。

3. 网络洗钱产业 (Cyber Money Laundering)

洗钱资源呈现从六大行向城商行、农信社转移的趋势。黑产团伙通过假材料制作、内外勾结(银行内鬼)以及招募“背债人”,利用企业贷、房贷等组合模式骗取高额贷款,并将还款风险完全转嫁给金融机构。
3.svg

  • 洗钱银行卡风险类型占比

    • 涉赌卡:70.25%(环比上涨141%)
    • 涉诈卡:26.29%。
    • 跑分二级卡:3.46%。

  • 对公账户归属银行变化

    • 城市商业银行:占比升至 34%。
    • 农村信用社:占比升至 18%。
    • 六大国有银行:占比从36%降至 20%。

4. 钓鱼仿冒场景 (Phishing & Imitation)

2025年上半年该领域风险总量增长超过3倍。犯罪分子诱导受害人安装伪装 App 并“主动贴卡”,利用 NFC 读卡模块窃取卡片数据并远程传输,随后在异地 POS 机上仿真还原物理卡,实现无感盗刷。
4.svg

  • 攻击行业分布

    • 泛金融领域(消费金融、电商、支付、银行):合计 70.66%
    • 游戏行业(主要涉及私服、外挂):17.01%。

5. API 攻击场景 (API Attacks)

API成为黑产获取数据和实施攻击的首选目标。

  • 受攻击行业分布

    • 金融业(消费金融、银行、证券):合计 41.92%
    • 消费金融(单项最高):17.77%
    • 电商:12.33%。

三、 黑灰产攻击资源统计

资源类别2025年上半年关键数据说明
风险 IP1382万个(日均活跃)环比上升15.02%。
劫持共用代理 IP占风险IP总量 50.37%在6月甚至一度达到63.10%的占比。
猫池卡226万例国内三大运营商占66.51%,虚拟运营商占23.09%。
拦截卡15.5万例山东、河南、四川为归属地前三省份。
洗钱银行卡22.28万张六大国有行洗钱卡占比仍高达73%,深圳为活跃城市TOP 1。
风险邮箱11.68万个高风险临时邮箱占比最大,达79.03%。

专家洞察
互联网黑灰产已形成“敌未至,我先控”的攻防新态势。如果将防御系统比作一座堡垒,黑产现在不再是强攻城门,而是通过AI换脸语音克隆骗取钥匙,利用劫持共用代理化装成平民混入城内,并借助挂单充值拉码工具在城内正规的集市中悄悄完成赃物的转移。因此,依赖单一的防控手段已不足以应对这种系统性的产业链攻击。

威胁猎人发布《2025年上半年互联网黑灰产研究报告》.pdf

最后修改:2025 年 12 月 23 日
© 允许规范转载
如果觉得我的文章对你有用,请随意赞赏