FightFraudCon2025议题分享，从AI欺诈到全球风控最新趋势解读

2025年9月17日，由威胁猎人主办的FightFraudCon2025 · 互联网黑灰产攻防技术沙龙在北京成功举办。作为业内首个聚焦黑灰产攻防与反欺诈的专业交流平台，本次大会吸引了来自检察机关、vivo千镜、58集团、翼支付等单位的安全专家及研究人员，以及数百位风控、反欺诈从业者，共同探讨黑灰产的发展趋势与应对策略。

在议题分享环节，多位嘉宾从趋势研判、法律治理、企业实战与技术对抗等角度对黑灰产攻防现状及趋势进行深度解读：

法律视角：涉企网络犯罪的治理路径

来自检察机关的安全专家白磊在《涉企网络犯罪治理路径》中，从法律条文切入，解析了罪名构成要件、调证要点与刑事诉讼流程，帮助企业厘清合规边界。他提醒，从业者在应对网络犯罪时，技术对抗与法律协同必须双管齐下。

蓝军视角：业务安全的主动对抗

58集团业务安全蓝军负责人田志鲔分享了《业务蓝军的攻防实战与反制思路》。他指出，业务蓝军并非“表演型红队”，而是以攻击者思维验证业务逻辑、风控体系和数据安全的实战力量。通过持续演练与复盘，蓝军能够帮助企业发现制度性缺陷，推动从被动防御走向主动对抗。更重要的是，蓝军能促进业务、安全、风控团队的协同，把安全从单点技术提升为整体文化。

AI欺诈：人脸绕过的治理实践

中国电信翼支付黑产实验室负责人任睿智聚焦近年来迅速蔓延的AI人脸欺诈，带来《从情报到防线：黑灰产AI人脸欺诈的治理实践》。他结合真实案例，介绍了AI人脸欺诈在实战中的表现，并分享了翼支付在防控上的探索路径：通过人脸检测、质量检测、活体检测与比对等模块化能力，构建情报驱动的闭环防御体系。

他强调，面对AI滥用，企业必须以 AI对抗AI，依靠多维度检测与持续情报输入不断提升防御力，守护金融业务与用户安全。

移动安全：金融木马与应用变脸

来自vivo千镜安全实验室的高级攻防工程师赵紫如在《移动业务安全对抗实战：金融木马、应用变脸与广告陷阱》中指出，移动业务面临着来自上层业务逻辑、应用层到底层设备环境的多维黑灰产安全威胁。

金融木马诱导用户开启无障碍权限并结合界面覆盖实现精准窃密；“合规马甲”游戏应用利用云控手法完成博彩变脸；小游戏生态沦为黑灰产流氓广告的新容器。赵紫如结合案例剖析了黑灰产攻击正向规模化、云端化和智能化升级，防御方需要构建纵深防御与协同治理的对抗体系才能在动态博弈中保持优势。

海外业务欺诈：全球化视角下的黑灰产攻击

威胁猎人情报运营总监郭良超在《全球化视角下的黑灰产攻击：看见海外异同，情报指导防御》中指出，黑灰产在不同区域虽打法各异，但本质高度相似：逐利驱动、分工协作、短板利用与强依赖信息交流。

他通过全球黑产地图剖析了东南亚、欧美、拉美、中东的风险差异：东南亚 KYC 绕过高发，拉美盗刷套利严重，欧美恶意退款频繁。不同市场的“打法组合”给出海企业带来更高的合规与风控挑战。他提出要依托情报与蓝军构建 “发现—研判—处置—提升” 的闭环，才能形成动态防御能力。

下面将详细分享威胁猎人首席安全官邓欣在FightFraudCon2025上的议题分享：

趋势解读：2025互联网黑灰产产业链发展现状和趋势

邓欣从攻击资源、攻击技术与攻击场景三个维度剖析了2025年黑灰产的最新动向。

一、黑灰产攻击资源

在资源层面，他提到，猫池卡整体供给出现下降，但拦截卡在打击后“死灰复燃”，劫持型代理 IP 占比持续上升，逐渐取代传统秒拨机成为黑产的核心资源。

猫池卡治理见效：2025年起，猫池卡供给出现持续明显下降（一般来说，每年过年期间量级会有所下降，但年后会很快恢复到一个稳定的量级），尤其5月后卡商普遍反映无法稳定开卡，部分猫池设备遭到公安查封，可以说对于猫池卡的治理，2025年起到了更明显的效果。

拦截卡死灰复燃：2024年，威胁猎人配合警方打掉国内最大的两个拦截卡团伙后，拦截卡出现了断崖式下跌，但在2025年6月起，在利益的驱使下，拦截卡出现了死灰复燃的趋势，并衍生出更隐蔽的代理人模式和“卡密接码”等新方式。通过购买卡密进行接码，使用到的软件，功能相比拦截卡平台要简单粗糙许多，使用也无明显限制，初步判断是卡商为了尽快恢复供给，仓促推出的替代品。拦截卡平台恢复营业之后，卡密接码也仍然有效，目前两者处于共存的状态。

小结：过去一年监管机构对黑手机卡的治理和打击是非常有效的，但在巨大的利益驱使下，很长一段时间内都难以根除，因此我们仍然需要做好持久战的准备。

黑IP格局变化：劫持型代理IP已成为主流，2025年数量和占比持续上升，攻击流量更分散、更隐蔽，作恶场景也扩展至爬虫、撞库、虚假注册等多类型攻击。

二、黑灰产攻击技术

在技术层面，他聚焦于近年来备受关注的AI欺诈与远程诈骗，分析了AI过人脸、AI无人直播、NFC远程盗刷的运作逻辑及危害。

2.1 AI过人脸及无人直播

通过AI技术进行换脸、绕过APP的人脸识别，已成为黑灰产滥用 AI 的典型手段。我们在多次公开分享中都有讨论，威胁猎人蓝军实验室的“黑产武器库”也常以演示形式呈现相关案例。根据我们的观察，随着 AI 技术的日趋成熟，黑灰产滥用该类技术的门槛不断降低、生成效果愈发逼真。具体变化体现在：

生成时长：早期换脸需要对模型进行数小时乃至更长时间的训练，而目前许多工具已能实现接近实时的生成。

生成效果：过去即便经训练能绕过部分应用的人脸识别，但合成痕迹肉眼可见；现阶段成熟工具生成的人脸在视觉上已无明显违和感，尤其在脸型相近时可达到以假乱真的程度。

素材要求：此前要获得较好效果，需要尽可能多角度的受害者照片或一段视频；而现在只需一张照片即能实现高质量换脸。

AI合成的视频和音频愈发逼真，黑产也将其扩展到更多作恶场景，例如AI无人直播。自2024年下半年起，威胁猎人已陆续监测到黑产在售卖相关自动化工具。

相比早期依赖录播推流的方式，AI无人直播通过伪造真人视频与音频实现实时互动，功能丰富、使用便捷，但对平台生态造成了直接破坏。

可以预见，随着AI技术持续发展，未来与黑产的对抗难度将不断加大，因此必须加大相关研究与能力储备。

2.2 NFC远程传卡盗刷

近一年我们持续关注的一类新型作恶手段是 NFC 远程传卡盗刷。相关技术并非新生事物，最早可追溯到 2019–2020 年的学术研究（如 NFCGate），但长期停留在研究层面，未被大规模利用。

自 2024 年底起，威胁猎人在犯罪群体中发现了基于该研究的二次开发软件开始交易，出售形式按天、按周或按月计费，且标称可实现“全球远程扫货”；我们对该软件分析后确认其为对 NFCGate 的改造与商业化。

2025 年上半年也有公安实案披露，犯罪分子借助手机“复制”芯片卡并在异地支持 NFC 的终端上盗刷，说明该类攻击已进入实战阶段。

技术上需要强调的是，NFC 远程传卡并非真正意义上的“复制”芯片卡（IC 卡因动态加密且密钥不可提取，无法被完整克隆）。

其本质是一种中继攻击：受害者在不知情或被引导的情况下将银行卡贴近“传卡方”手机建立 NFC 通信，该手机通过网络与攻击者的“接收方”手机建立远程链路，后者再贴近刷卡设备完成交易。实现该链路只需双方安装传卡软件，并在接收方手机上启用 HCE（Host-based Card Emulation），而 HCE 自 Android 4.4 起即被支持，使得实施门槛并不高。

目前我们仍能监控到不少跟NFC远程传卡相关的情报，预计在未来一段时间内，如何有效应对这类威胁，如何更好地平衡便利性和资金安全，会是一个不小的挑战。

三、黑灰产攻击场景

在场景层面，他重点分享了数据泄露和洗钱两类风险的最新发展趋势，并对 106拓展码数据泄露、挂单充值洗钱等案例进行了深度解析。

3.1 数据泄露风险场景

在数据泄露风险方面，我们的监测显示，2025 年的事件数量相比 2024 年有明显增长，平均每月约 1 万起。这一方面源于我们重庆 7×24 小时应急中心在 Telegram 等渠道持续加大投入，发现能力提升；另一方面也说明黑产对数据的需求持续旺盛——数据就是它们的第一生产力。

从趋势来看，4 月和 5 月出现过短暂下降，主要因为两个头部交易平台被打击：暗网论坛 BF 被关停，好旺担保因洗钱问题被封禁。但很快，新平台如“土豆担保”迅速崛起，6 月起数据交易量快速恢复。总体上，金融等与资金高度相关的行业依然是泄露的重点目标。

此外，2025 年还出现了一种新的短信数据泄露形式——“106 拓展码”。这种数据自 5 月开始在黑产群出现，最大特点是提取的短信需经过实名，往往自带企业 Logo。相比以往短信数据，它在提取方式、价格和时效性上都有明显不同，我们也基本判定其泄露源头与传统渠道不同。

这一现象与监管要求运营商落实 106 短信实名制几乎同步。实名制本意是为了抑制骚扰短信、帮助识别诈骗，但也带来了新的数据暴露面。黑产正是利用这一点，推出了所谓的 106 拓展码。这个案例再次提醒我们：在数字化建设的每一个环节，都必须重视数据保护，否则新的安全隐患就可能随之而生。

3.2 洗钱风险场景

对比 2024 年下半年，2025 年上半年我们监测到的涉诈卡与跑分卡数量都有显著下降，但涉赌卡却明显上升。涉赌卡增长的主因是部分头部赌博平台新增了“挂单充值”这一充值模式，通过对该模式的监控，我们捕获到了更多参与赌博洗钱的银行卡。

涉诈卡下降主要归因于最大担保平台“好旺担保”被封停——大量诈骗与洗钱交易曾集中在担保平台上进行，因此在其倒闭后涉诈卡一度下降；但从 6 月起，随着新担保平台出现，诈骗洗钱渠道恢复，涉诈卡又开始回升。跑分卡的下降则因为几个大型跑分平台相继“跑路”，5 月以后我们监测到的跑分卡几乎归零。

再来看“挂单充值”。我们在 2024 年 11 月首次监测到这种方式：在一些主流赌博网站的充值页，平台默认推荐“挂单充值”，提款页对应“挂单提款”。

其运作逻辑是将提现方与充值方的需求在第三方挂单平台上撮合匹配——例如，赌客 A 提现 500 元在挂单平台生成订单，赌客 B 选择充值 500 元后看到该订单并完成转账，二者互相匹配完成资金流转。对于赌博平台而言，挂单充值可以把资金在用户之间点对点分流，减少对传统跑分或洗钱渠道的依赖，从而在一定程度上规避反洗钱监管，这也是其打出“零风控”宣传的原因。

无论是挂单充值、106 拓展码，还是 NFC 远程传卡，这些新手段都说明黑灰产在不断创新以获取利益或规避风险。若不能及时发现并应对这些新模式，防御方始终会处于被动。这正凸显了持续情报监测与快速响应在实战防御中的必要性与价值。

在分享的最后，邓欣指出这些现象共同反映出黑灰产的特点——资源、技术与场景的动态耦合与快速迭代。这不仅要求行业持续研究和体系化对抗，更需要让情报真正转化为业务价值。

他强调，未来情报价值必须在客户侧落地：一方面深化与客户的合作关系，建立信任；另一方面通过 AI 技术重构情报产品与能力，让情报成果更直观、更高效地服务客户，实现业务与安全的双赢。

FightFraudCon2025议题PPT获取

方式1：请直接找对接的威胁猎人销售；

方式2：已参会人员，我们会在9月23日18:00前将PPT发送到您预留的企业邮箱（不包含个人邮箱），请留意您的企业邮箱，如果没有收到，可通过公众号后台留言告知我们；

方式3：未参会人员，如您是甲方安全风控/运营人员，请通过下方二维码填写您的企业邮箱信息，我们会在9月24日16:00前将PPT发送到您的邮箱。

再次感谢所有客户及合作伙伴的支持！