广东
威胁猎人推出《互联网反欺诈年鉴》,并将每年 1 月 6 日 定为“反欺诈年鉴发布日”
本期为 年鉴体系下的第一篇报告——【黑产大数据】2025年互联网黑灰产趋势年度总结
报告关键要点总结
过去一年,互联网黑灰产并未因监管趋严而退场,反而在资源结构、作恶方式与技术路径上发生了显著演化。
威胁猎人基于对黑产情报体系的持续监测发现:2025 年,黑灰产正在从“堆资源、拼人力”的传统模式,转向更隐蔽、更低成本、更接近真实用户行为的“类真人化、智能化作恶”阶段。
攻击资源层面:拦截卡、劫持代理、真人众包等“更像真人”的资源大规模替代传统猫池卡;相较以往高度可识别的黑资源,这类资源更贴近真实用户与真实设备形态,显著提升了攻击隐蔽性与存活周期,也加大了溯源与治理难度。
攻击技术层面:生成式AI与智能体技术的爆发,不仅为业务创新带来了机遇,也为黑灰产提供了低门槛、高效率的自动化作恶工具。同时,在非AI技术方面,自动化工具突破人脸活体检测“三色炫光”防线,传统的基于颜色匹配的防御策略面临挑战
在攻击场景方面:
业务欺诈场景:以高补贴、高流量场景为核心,黑产围绕营销补贴和业务规则进行系统性利用;黑产自动化作恶进入“智能体阶段”。
信贷欺诈场景:职业背债风险舆情量较2024年增长168%,从贷款类型来看,企业贷欺诈风险、信用贷欺诈风险、房贷欺诈风险位列前三;恶意贷款欺诈风险值广东风险值远超其他地区。
钓鱼仿冒场景:从传统的“点链接”进化为“GEO投毒”认知劫持,通过污染AI搜索引用的高权重信息源,诱导主动寻求帮助的用户拨打虚假客服电话。
数据泄露场景:泄露风险高度集中于“泛金融”板块,且黑产已进入利用AI模型对“消金申请”等高价值数据进行清洗与质量控制以提升诈骗转化率的新阶段。
本报告全文约 22,000 字,以下为报告正文内容。
报告目录
一、2025年黑灰产攻击资源分析
二、2025年黑灰产通用型攻击技术分析
三、2025年黑灰产攻击场景分析
一、2025年黑灰产攻击资源分析
1.12025年作恶手机号资源分析
1.1.1 2025年国内作恶手机号新增数量超1100万,较2024年提升30.02%
据威胁猎人情报平台数据显示,2025年,国内作恶手机号新增量级超1100万,较2024年提升30.02%。
黑产作恶的主要手机号资源有两种类型:
猫池卡:手机卡掌握在黑产手中,并插在特殊设备“猫池”上收发短信验证码,属于传统接码手机号。
拦截卡:手机卡插在正常人持有的设备上,设备存在后门导致短信验证码被黑产拦截。
据威胁猎人情报平台数据显示,在2025年全年新增国内作恶手机号资源中,拦截卡资源占比由2024年的39.5%提升至2025年的69.23%。
下文1.1.2 和1.1.3将重点分析“猫池卡”和“拦截卡”资源的变化情况。
1.1.2 2025年国内猫池卡资源变化趋势
(1)2025年国内新增猫池卡349万,较2024年下降33.85%
据威胁猎人情报平台数据显示,2025年国内捕获新增猫池卡349万个,较2024年下降33.85%。
从2025年国内猫池卡数量的变化趋势来看,自4月起,新增国内猫池手机卡数量呈现下滑趋势。
经威胁猎人情报专家分析,出现这一趋势的主要原因是:
1、上游黑卡卡商供给收缩
受监管打击影响,多个卡商机房关停、部分卡商被捕,猫池卡整体供给能力明显收缩,直接导致新增猫池卡数量下降。
威胁猎人监控数据分析,上海卡商近年跃升为猫池卡供应的头部卡源。2025 年 1—4 月期间,上海地区猫池卡新增数量持续上升,并于 3月达到阶段性峰值,当月来自上海的新增猫池卡占国内新增总量的 23.42%。
然而,2025 年 5 月监管集中打击行动中,上海卡商首当其冲受创,多个机房关停、卡商被捕,导致供给端快速收缩,新增猫池卡数量下降,5月份当月国内新增猫池卡中仅有8.32%来自上海。
上海新增黑卡数量在监管打击期间大幅下降,导致全国猫池卡整体数量下滑。
2、某主流接码平台停止运营
某主流接码平台在 2025 年 1—9 月期间累计捕获猫池卡数量超过百万,长期承担着黑灰产的重要接码需求。
然而,年内该平台频繁出现服务器波动,平台稳定性显著下降,导致接码成功率骤降,黑产日常违规操作节奏被持续干扰;进入 9 月后,该平台最终彻底停止运营;这进一步阻断下游黑卡供给链路。
(2)2025年国内新增猫池卡归属省份TOP3:重庆、上海、广东,归属于重庆地区的猫池卡新增数量由2024年第九名上升至2025年第一名
威胁猎人对2025年新增国内猫池卡进行统计分析,发现重庆、上海、广东三省(含直辖市)为猫池卡归属地最多的三个省份。
其中,归属地在重庆的猫池卡数量同比2024年增长了106.63%,对比2024年排名上升了8位。威胁猎人关注到,今年重庆的猫池卡在全年各月均保持较高数量。
威胁猎人研究人员进一步分析发现,重庆地区新增猫池卡的运营商分布呈现出明显的阶段性迁移特征。3—6 月期间,新增猫池卡主要归属于运营商 D,并在6月达到峰值;而进入 7 月后,其运营商来源发生显著转移,并快速集中至运营商 A
(3)2025年国内新增猫池卡归属为三大运营商的占比为71.77%,比去年降低4.65%
威胁猎人情报数据显示,2025年监测到的新增猫池卡中,其中归属于三大运营商的猫池卡占比为71.77%。
1.1.3 2025年国内拦截手机卡资源变化趋势
(1)2025年国内新增拦截卡786万例,较2024年提升127.77%
据威胁猎人情报平台数据显示,2025年,威胁猎人捕获的国内新增拦截卡数量大幅增加,达786万例,较2024年增长127.77%。拦截卡热度暴涨的背后,是越来越多的企业加强了传统接码手机号的风控,加上传统接码手机号数量逐步下滑,黑产只能转向 “更像真人” 的拦截卡。
对黑灰产拦截卡供给情况的进一步分析显示:
拦截卡是黑产利用特定的 “黑卡物料” 实施的作恶行为。号卡实体由普通人持有,但用户所用设备被黑产或设备生产厂家植入病毒或后门,导致短信接收权限被窃取,进而使验证码短信遭劫持。此类设备多为老人机、儿童手表等低端设备。
2024 年以来,拦截卡相关黑产呈现“打击 - 收缩 - 反弹” 的循环态势—— 平台遭受打击后会迅速隐匿,待打击力度减弱后,便快速重启作恶链路,导致该类黑产行为难以从源头根治。
2024 年下半年至 2025 年上半年,主流拦截卡平台持续受到监管力量打击,导致供卡侧规模大幅下降。
2025年1-4 月期间,原本活跃的 6 个拦截卡平台(供卡渠道)中,仅剩余 2 个处于半停滞状态;
而到了 5 月下旬,监测发现新增 4 个供卡渠道,此前处于半停滞状态的 2 个供卡渠道,黑产更换了域名、接码工具后恢复活跃。
黑产完成了前期的筹备工作后,在9月份开始大批量的供卡,市面上活跃的拦截卡平台大幅增加。
拦截卡手机号与猫池卡的优劣势对比:
威胁猎人调研发现,凭借 “真人持卡” 的核心特征,黑产在多个行业的作恶活动中,逐步放弃使用传统猫池卡,转而使用拦截卡手机号进行作恶,其与传统接码手机号的差异如下图所示。
由上述对比可见,拦截卡具备隐蔽度高,和真人用户相仿,企业风控难度大的的特点,使得黑产作恶成功率大幅提高,部分黑产致力于寻求高质量的拦截卡用于作恶击。
(2)2025年国内新增拦截卡归属省份TOP3:广东、河南、四川
针对2025年捕获到的国内拦截卡统计分析发现,广东、河南和四川三省为拦截卡归属地最多的三个省份。
(3)2025年捕获的新增拦截卡中,归属国内三大运营商的占比为97.8%
威胁猎人情报数据显示,2025年捕获新增拦截卡中,归属国内三大运营商的拦截卡占比达97.8%,而传统接码手机号归属三大运营商的占比为71.77%,这也是拦截卡区别于传统接码手机号更像“真人”的原因之一。
1.1.4 2025年出现黑产通过真人众包类型接码平台进行作恶的新手法
威胁猎人通过对真人作弊号码资源研究发现,2025年出现多个真人众包型的接码平台进行作恶,黑产利用真人众包平台进行作恶趋势上涨。
真人作弊是指黑灰产通过众包平台、私域群组或专项 APP 等渠道,招募宝妈、学生等大量真实兼职用户,让这些用户用自己的真实账号和设备,完成各类违规或虚假任务以赚取佣金这些任务。常见的有直播间刷人气、电商平台刷单、短视频刷赞刷评,还包括恶意举报、批量注册账号、模拟用户爬取平台数据等。
真人众包型接码平台以 “低门槛兼职、即时结算佣金” 为诱饵,吸引了大量寻求副业收入的普通人群注册参与,不少参与者在利益驱动下,逐步沦为黑产的 “工具人”,涌入平台开展批量接码、账号注册、验证码倒卖等违规作恶行为。
真人众包型接码平台样例:
相比传统猫池卡平台与拦截卡平台使用专属接码工具接码,这种模式的优势在于:
更高隐蔽性。使用真人手机号能规避多数平台风控监测,令企业更难以识别;
使用更便利。黑产只需发布众包任务,无需批量开卡或寻找卡商供卡;
价格更便宜。真人作弊无需额外硬件投入,只需以佣金形式结算给兼职用户,且佣金可按任务完成效果灵活支付,无需承担设备折旧、卡源失效等隐性损耗。
1.1.5 2025年「非中国大陆地区恶意手机号码」资源分析
非中国大陆地区:指的是中国香港、中国澳门、中国台湾及海外地区
(1)2025年非中国大陆地区新增猫池卡2622万,较2024年提升117.81%
2025年,威胁猎人加强对全球作恶手机号进行的监测,2025年港澳台及海外地区新增猫池卡2622万个,较2024年上升117.81%。
(2)2025年非中国大陆地区新增猫池卡归属地TOP3:美国/加拿大、菲律宾、越南
威胁猎人情报数据统计显示,2025年港澳台及海外地区新增猫池卡归属地主要集中在美国/加拿大、菲律宾和越南。
同时威胁猎人关注到,黑产针对美国/加拿大地区的接码服务,还采用了"链接接码"这种交易模式。
区别于传统接码平台,“链接接码”的显著特征为“一对一”的模式,具体而言,其具备“一号码一项目一链接”的独占性机制。
黑灰产用户在使用链接接码时,每一个手机号在接码每一个项目时,都会分别生成一条专属的链接,并通过专属链接接收对应项目的验证码短信。每个号码仅服务单一项目,每个链接仅展示对应攻击项目的验证码。
链接接码流程如下:
对黑产来说,链接接码具备更高的隐私性与反溯源能力,其有效规避了传统接码中常见的风险:
一是养号成果被窃取,传统接码通常共享对接码或转码房间,导致号码明文或掩码被其他黑产读取,已养成的恶意账户被劫持;
二是易被监管溯源追踪,卡商通常将链接接码使用的接码域名设置为不同于黑产平台的域名,或出售给分销商使用独立域名,难以通过域名溯源到来源平台。
1.22025年作恶IP资源分析
1.2.1 2025年日活跃作恶IP有1498.4万,较2024年提升27.20%
据威胁猎人情报数据显示,近年来,日活跃作恶IP数量持续上升,2025年日活跃作恶IP数量达到1498.4万,较2024年增长27.20%。
1.2.2 2025年国内作恶IP资源分析
(1) 2025年国内作恶IP有8031.6万个,同比2024年下降0.64%
威胁猎人研究发现,2025年国内恶意行为的作恶 IP,其规模与2024年相比无显著波动,作恶IP量级基本维持稳定。
其中,从作恶ip类型来看,在经历 2024 年的快速增长后,“劫持共用代理”IP在2025年发展也逐渐趋于稳定。
数据显示,2025 年共捕获“劫持共用代理” IP 数量超过 4500 万个,占比由 2024 年的 50.77% 提升至 2025 年的 57.23%;其规模与2024年相比无显著波动。
劫持共用代理IP:指被黑产恶意劫持的正常用户IP资源。黑产通过在正常用户设备中植入木马,通过木马在正常用户网络上建立代理通道,且每次使用时间很短,因此普通用户难以感知到自己的IP被盗用。
威胁猎人在2024年1月已把这类IP标记为“劫持共用代理IP”风险标签。
(2)2025年国内作恶IP归属省份TOP3:浙江、广东、江苏
威胁猎人情报数据统计显示,2025年国内活跃的作恶IP归属省份(含直辖市)主要集中在浙江省、广东省和江苏省。
监测数据显示,2025 年浙江省作恶 IP 量级同比增长 14.02%,增长幅度居国内首位,区域排名由 2024 年的第四位跃升至全国第一;
同时,威胁猎人亦观察到,劫持类共用代理平台中浙江 IP 占比的也出现了明显的提升,其占比由此前的 5.42% 增长至 7.13%;后续,威胁猎人将持续对相关区域作恶 IP 活跃度及代理资源分布变化进行监测与跟踪。
1.2.3 2025年国外作恶IP资源分析
(1)2025年捕获国外作恶IP 1.65 亿个,同比2024年增长9.74%
2025年,威胁猎人加强对海外作恶IP进行的监测,2025年共捕获海外作恶IP 1.65 亿个,相比2024年提升了9.74%。
(2)2025年国外作恶IP归属国家TOP3:美国、巴西、印度
威胁猎人情报数据统计显示,2025年国外活跃的作恶IP归属国家主要集中在美国、巴西和印度。
监测数据显示,2025年美国作恶 IP 量级的提升幅度最为显著,较 2024 年提升80.91%。
威胁猎人研究人员分析发现,该增长主要与代理资源的变化有关,具体体现在两个方面:
一方面,本年度新监测到的代理平台,其核心资源均以美国地区的IP 为主,成为该地区恶意 IP 增量的核心贡献来源;
另一方面,此前一直活跃的海外代理平台也在持续扩充代理资源池,监控发现这些平台也在大幅度增加美国地区代理资源。
(3)国内外作恶IP类型占比存在差异,国外移动网络占比远超国内
威胁猎人分析发现,不同国家的黑IP作恶资源也存在一定差异:
国内作恶 IP 以家庭宽带为核心类型,占比超 90%,主要是因为国内作恶的代理 IP、秒拨 IP、劫持共用代理 IP 均依托家庭宽带资源产生;
而国外作恶 IP 虽家庭宽带占比仍居首位,但移动网络占比超 20% 以上。
1.32025年网络洗钱资源分析
1.3.1 2025年涉及洗钱的银行卡资源分析
(1)2025年涉及洗钱的银行卡中,涉赌卡占比最大,占比68.15%
威胁猎人对2025年全年监控到的29万张洗钱银行卡进行分析后发现,风险类型主要集中在涉赌卡与涉诈卡两大类。其中涉赌卡占比最高,占比达到68.15%。
涉赌卡:活跃在赌博平台中,为赌博平台收款使用的银行卡,常被用于赌博平台进行充值收款行为,关联的资产涉及到赌博洗钱行为。威胁猎人通过人工和自动化结合的方式,从各类赌博平台中采集用于收款行为的银行卡账号信息。
涉诈卡:在各类匿名社交黑产群聊中,被诈骗团伙购买用于洗钱的银行卡,常用于诈骗类黑资金转移。威胁猎人通过自动化的方式,从各大匿名社交黑产群聊中发送的记录中,提取出诈骗团伙所使用的银行卡账号信息。
(2)2025年洗钱银行卡中,六大国有银行依旧是占比最多的,占比达到71.29%
(3)2025年涉及洗钱的银行卡归属城市中,TOP3城市分别是:重庆、深圳、广州
其中,涉赌卡和涉诈卡在城市分布上呈现下面2个特点:
1、涉赌卡归属城市主要集中于 重庆、深圳、广州 三地,且量级显著高于其他城市。
2、涉诈卡归属城市主要集中在“南方沿海 + 西南节点”,呈现双集中格局。
1.3.2 2025年涉及洗钱的对公账户资源变化分析
(1)2025年出现黑产假借“优化流水”,实则操纵企业账户洗钱的新手法
威胁猎人发现,黑产团伙通过伪造银行“贷款审批”材料,诱导企业配合开展所谓的“流水包装”,实质是利用企业对公账户实施洗钱。相关黑产已形成较为成熟的操作流程和话术体系,并通过按既定路径快速转账,以掩盖资金真实来源。
黑产骗取企业对公账户并用于洗钱的主要流程如下:
对公账户骗取阶段黑产伪装成金融借贷公司或金融服务人员,以贷款、融资服务为名接触企业,通过专业话术建立信任,进而骗取企业对公账户信息及操作权限。
洗钱实施阶段黑产将获取的对公账户对接诈骗团伙,用于接收诈骗资金。同时以“刷流水、包装流水”为由对企业法人进行话术安抚,诱导其配合完成多笔资金交易,实际完成洗钱操作。
洗钱结束阶段洗钱完成后,黑产立即切断与企业法人的联系。由于其身份信息均为虚假包装,企业难以追责,最终承担损失。
(2)2025年洗钱对公账户变化趋势,环比2024年基本持平
(3)2025年洗钱对公账户所属银行中,城市商业银行占比36.12%,且连续三年保持增长
威胁猎人研究发现,2023年到2025年,洗钱对公账户占比呈现出“从六大行向中小银行系统性转移”的明显趋势:
2023年至2025年,六大国有银行的洗钱对公账户占比逐年下降,从34.03%下降至10.78%;与此同时,城市商业银行、农村信用社快速上升,合计占比从 29.21% 提升至 54.34%。
这一现象揭示了黑产洗钱活动正在将目标从监管更为严格、获取成本更高的六大国有银行,逐步转向城市商业银行和农村信用社。
这或侧面反映出,相比国有大行,城市商业银行和农村信用社的对公账户获取门槛相对较低,且在洗钱风险管控方面可能存在一定的薄弱环节。
(4)2025年洗钱对公账户归属省份中,TOP3省份是广东、山东、江苏
(5)2025年洗钱对公账户归属城市中,TOP3城市是深圳、北京、广州
(6)2025年洗钱对公账户归属行业中,TOP3行业是批发业、零售业、商务服务业
1.3.3 2025年涉及洗钱的商户资源变化分析
“商户”通常指具有合法营业资格的商户及商户账号。近年来,诈骗或洗钱团伙开始利用商户账户收取“黑钱”来洗钱,使用商家资质开通的收款账户基本没有收款额度限制,可支持花呗、信用卡等多种付款方式,相比传统洗钱方式会更隐蔽和高效。
(1)2025年被黑产用来洗钱的商户中,黑商户占比最高,达到85.87%
威胁猎人研究发现,被黑产用来洗钱的商户存在两种情况,一种是“黑商户”,一种是“白商户”。
黑商户:黑产通过伪造材料、资质交易、代办开户等非法手段,以较低成本绕过平台审核,获取并控制商户账户。商户开户成功后被批量出售或租赁给洗钱团伙,用于承接和转移非法资金,这些商户具备明显的工具化特征。
白商户:黑产通过线下“扫街”、线上购物等方式获取到的正常商户收款账号,由于商户本身具备真实经营背景,其账户普遍具有交易频次高、资金流水大、支持多种支付方式等特征。黑产通过看似正常的消费行为,将非法资金混入真实交易流水中,实现资金掩护与转化。商户并未主动参与洗钱,但其账户客观上成为非法资金流转的重要通道。
(2)2025年商户洗钱团伙保持上升趋势,被黑产用来洗钱的商户数量环比上升91.53%
威胁猎人监测显示,2025 年被黑产用于洗钱的商户账户数量环比上涨 91.53%,整体呈现出显著的上升趋势。
该现象表明,商户账户正成为洗钱活动中被高频利用的重要载体。无论是“黑商户”还是“白商户”,增长趋势主要由两方面因素共同推动:商户账户的获取成本较低,以及商户交易特征与洗钱资金流转需求高度契合。
威胁猎人监测数据显示,2025年,活跃的商户洗钱团伙数量环比增长了89.44%。
这一数据反映出商户洗钱风险扩张,该模式正在向组织化、规模化方向演变。
(4)2025年洗钱商户归属城市中,TOP3城市是广州、武汉、成都
(5)2025年洗钱商户归属行业中,TOP3行业是零售业、批发业、餐饮业
1.42025年风险邮箱资源分析
2025年,威胁猎人识别邮箱域名数量13.88万个,其中高风险临时邮箱占比最大,达到69.08%。
其中,2025 年以临时邮箱为代表的高风险邮箱域名数量较2024年环比增长了约 9 倍。
临时邮箱:是一种无需注册、可以短时间使用的邮箱地址。用户通常用它批量生成不同的邮箱账号,来接收验证码或注册信息,使用时间从几分钟到几小时不等,到期后邮箱会自动失效、无法再使用。
由于临时邮箱具备获取成本低、匿名性强、可频繁更换域名后缀等特征,极易被黑产作为批量注册、自动化攻击的基础工具,并通过不断更换域名绕过传统检测手段。
针对这一特点,威胁猎人情报运营团队持续提升对高风险临时邮箱的识别与覆盖能力,通过持续监测临时邮箱服务的最新变化,及时判定邮箱是否属于临时邮箱服务,帮助客户在业务风控、账号注册和交易场景中更快做出风险决策,降低黑产攻击风险。
二、2025年黑产通用型攻击技术分析
2025年,威胁猎人观察到黑灰产的攻击技术存在明显的变化趋势。其中尤以AI技术迭代最为明显,如智能体手机出现、AI生成视频的迭代进化、在线工作流引擎网站的兴起等。此类技术或应用的出现、流行,使得黑产的攻击更加快速、攻击成本大幅度下降。
此外,在非AI技术方面,如人脸炫光绕过工具和方法的出现及流行也使得黑产的攻击更加的隐秘,过往较为安全的场景在今后亦将,面临大规模、常态化的攻击。
2.1手机端智能体的安全围栏与越权风险
2.1.1 风险演进:智能体能力被黑产滥用的风险
2025年,随着手机端智能体(如豆包手机、智谱 AutoGLM)的落地,大模型驱动的自主智能体开始集成至移动操作系统。
此类设备允许用户通过自然语言指令完成订票、转账、社交互动等复杂任务,在提升交互效率的同时,这种深度的系统权限和自主决策能力也引入了新型自动化攻击面,一旦AI智能体与现有黑产基础设施(如接码平台、云手机集群)结合,其自然语言驱动、自适应 UI、类人行为等特性,将显著降低攻击门槛并提升隐蔽性。
2.1.2 防御现状:智能体的双层防护体系
当前主流智能体普遍内置双层风控架构,由系统层与智能体层共同构成安全边界,用于限制其在物理感知与逻辑执行层面的高风险操作能力。
1、系统层限制:
视觉遮蔽:当用户进入银行支付、身份核验等高敏感界面时,系统强制开启防截屏、防录屏标志,使得智能体无法获取隐私图像。
权限锁定:严格限制智能体调用高危自动化接口,防止其未经授权自主操作手机。
2、智能体层限制:
意图拦截:在 AI 发起操作指令前,安全模型会进行语义过滤。一旦识别出如“转账”、“发送验证码”等敏感关键词或高危意图,将直接阻断任务。
强交互确认:规定所有涉及资产和隐私的关键动作,必须由用户手动点击确认,无法实现全自动运行。
(双层安全边界架构)
2.1.3 攻击风险:从语义绕过到系统劫持
但需要引起重视的是,当前部署的双层安全边界在实际运行中仍存在可被利用的技术突破点,在特定条件下,黑灰产仍有可能对整体防护体系形成系统性绕过风险。
(安全边界架构的突破)
风险一:智能体侧检测存在被规避的风险
尽管智能体侧部署了敏感词过滤、多模态风控等机制,但由于大语言模型(LLM)在本质上是基于语义推断而非硬性代码执行,攻击者可利用其深度语义理解与上下文联想特性,实现对智能体侧安全策略的柔性绕过。
风险二:系统侧安全边界存在被突破的风险
AI 智能体的多模态感知能力(视觉 + 文本)高度依赖对屏幕内容的实时捕获,通过切断 AI 智能体的视觉输入,使其无法识别 UI 元素并继续自动化操作,但该机制仍存在可被利用的薄弱点,攻击者可以通过技术手段,使屏幕内容重新可被截取或录制,从而使大模型代理能够成功获取 UI 信息并完成自动化操作,实现对系统测安全防护的绕过。
综上,当前手机智能体的安全防护体系虽已初步构建,但在面对具备自主决策与跨应用操作能力的 AI 智能体时,其边界仍显脆弱。系统隔离与语义管控的双重防线尚未形成无缝协同,存在被系统性绕过的现实风险。
在3.1的第二节业务欺诈场景部分,威胁猎人也将用具体的案例展现上述案例,以更直观地呈现 AI 智能体能力被滥用后可能带来的实际影响。
2.2AI换脸技术升级:从“单点工具”到“AI工作流”,黑产攻击成本呈指数级下降
2.1.1 演进路径:由“单点工具”到"AI工作流”
回顾AI人脸攻击技术的发展历程,我们清晰地看到一条从“简易动画”到“深度伪造”,再到如今“AIGC工作流化”的演变路径:
这一演变体现了攻击技术的四大关键变化:
生成质量跃升:视觉效果从“僵硬”走向“毛孔级真实”。
内容生成自由:从依赖原视频动作,转变为可由文本/音频驱动的无限制生成。
操作流程极简:复杂的代码训练被封装为可视化的“一键式”式操作。
硬件门槛归零:从依赖昂贵的本地显卡工作站,转向浏览器即可调用的云端算力。
时间线对比:AI 换脸攻击在 2025 年的技术演进分水岭
2025年上半年(单点工具时代):
威胁猎人的监测数据显示,在这一时期,制作AI攻击素材(如名人带货视频)是一项高门槛、高投入的工程。由于当时缺乏整合性的工具,攻击者必须像“拼积木”一样分散操作:
硬件烧钱:运行这些早期AI模型需要配置极高的高端显卡(GPU),设备成本高昂;
流程割裂: 攻击者无法一次性生成成品。他们必须先用一个AI工具生成“假脸视频”,再换另一个AI工具生成“假声音”;
人工繁琐:最后,还需要像专业视频剪辑师一样,手动将视频和音频放入剪辑软件中,一帧一帧地对齐口型和声音。制作短短几十秒的视频,往往需要耗费数小时的人工与算力。
2025年下半年(工作流时代):
随着ComfyUI等能够串联多种AI模型的工作流引擎普及,攻击效率发生质变。
案例A(带货视频):
攻击者仅需 “1张图片 + 1段音频 + 1个动作参考视频”,即可在工作流中一键生成口型同步、动作自然的带货视频。
案例B(身份绕过):
攻击者利用工作流将 “1张证件照” 转化为标准头像,随即生成动态人脸视频,直接用于绕过人脸认证系统。
2.2.2 核心对比:全维度的能力跃升
下表通过六个关键维度,详细对比了从早期工具到当前AIGC工作流的技术跨越:
2.2.3 现状升级:在线SaaS引擎降低攻击成本
尽管本地工作流引擎降低了操作难度,但高质量生成仍依赖高性能显卡(GPU),然而,在线工作流引擎(SaaS) 的出现彻底击穿了这一壁垒。
与本地部署相比,在线引擎具备以下显著特征:
(1) 算力云端化,硬件零门槛
特点:用户无需购买昂贵的显卡(如NVIDIA 4090),只需通过浏览器即可调用云端集群(通常配备24G/48G显存的高端显卡)。
影响:攻击者只需一台能上网的手机或轻薄本,即可在云端完成高算力推理。
(2) 模型社区化,攻击成本极低
特点:会员订阅制低至每月百元级别。平台支持用户上传与分享训练好的工作流(Workflow),攻击者可直接“一键复用”他人的高阶攻击模型。
影响:即使是不懂技术的“小白”攻击者,也能以极低成本获取顶级的攻击能力。
(3) 典型威胁案例:LivePortrait 的滥用
目前,威胁猎人已监测到大量黑产利用 LivePortrait 这类先进的驱动模型进行人脸视频生成。
攻击链路:攻击者在在线SaaS平台选择现成的LivePortrait工作流 ——〉上传受害者照片 ——〉 云端极速生成视频 ——〉 下载视频并注入摄像头。
后果:此类视频被大量打包售卖,用于人脸认证绕过攻击进行非法牟利。由于生成质量高且具备微表情(眨眼、注视),传统防御手段极难识别。
2.3自动化工具突破“三色炫光”防线,黑产攻击门槛降低
2.3.1 攻击演变:从“手工预制视频”到“自动化实时渲染”
在人脸活体检测领域,“主动式色彩闪烁活体检测”(在国内常被称为“炫彩”或“三色”验证)曾被视为一道坚固的防线。
什么是“色彩闪烁活体检测”?这是一种常见的活体防御技术。系统会让手机屏幕快速闪烁不同的颜色(如红、绿、蓝),并通过摄像头捕捉人脸上的光线反射变化。只有真实的人脸才会随着屏幕颜色的变化产生自然的实时反光,而照片或普通视频则无法做到这一点。
长期以来,由于这种技术要求光线产生实时、动态的变化,黑产难以通过简单的照片或预录视频进行破解。
然而,在2025年7月,威胁猎人监测到某主流人脸认证绕过工具发布了重大更新,新增了“自动化炫光模拟”功能。这一功能的出现,彻底击穿了这道曾经难以逾越的技术防线。
在此次更新之前,黑产面对色彩闪烁验证时往往束手无策,或只能通过极其繁琐的手工编辑来碰运气;而工具更新后,攻击者实现了“傻瓜式”的自动化通关。
以下是技术迭代前后的具体对比:
2.3.2 技术复盘:黑产工具是如何“欺骗”验证算法的?
经威胁猎人实验室深度逆向分析,该工具的炫光绕过功能并非简单的滤镜叠加,而是一套基于屏幕交互的实时渲染机制。
其核心逻辑可拆解为三个步骤:
步骤一:预设取色坐标
步骤二:实时采样
步骤三:动态渲染
2.3.3 风险研判:防御体系的全面降级
该工具的出现具有里程碑式的破坏意义:
防御失效:意味着“炫光/三色验证”这一曾经能拦截90%以上传统视频攻击(如纸张、简单翻拍、普通Deepfake)的风控措施,在新型工具面前已不再安全。
攻击常态化:由于工具将技术门槛降为零,针对金融、信贷、社交等高价值场景的炫光验证攻击将呈现大规模、自动化的爆发趋势。
对抗升级:传统的基于颜色匹配的防御策略面临挑战·,企业安全团队需被迫转向更底层的对抗(如检测注入软件特征、分析光线在面部曲面的物理反射合理性等)。
三、2025年黑产攻击场景分析
3.1业务场景分析
2025年线上业务欺诈风险热度不减,相关攻击情报量超13亿
2025 年,威胁猎人反欺诈情报平台共捕获线上业务欺诈相关攻击情报约 13.1 亿条。
从全年走势来看,黑产攻击强度整体维持在高位运行:上半年攻击量持续走高,并在 6 月 受年中促销与暑期活动叠加影响达到全年峰值;下半年虽有所波动,但整体仍处于高位水平,至年底出现小幅回落。
2025年预警业务欺诈风险事件达4271起
2025 年威胁猎人共预警业务欺诈风险事件 4271 起,同比上涨约 2.7%。全年事件分布呈现阶段性特征,上半年数量较高,下半年整体回落,年末节点出现反弹。
黑产攻击行业分布主要集中在高频交易、高补贴、高流量的互联网业务场景
根据威胁猎人反欺诈情报平台监测数据,2025年黑产攻击事件主要集中在高频交易、高补贴、高流量的互联网业务场景。
从行业分布来看,电商行业仍是风险最为集中领域,占比20.5%,其次为银行(11.99%)、旅游服务(12.03%)、本地生活(12%)等行业;
全年捕获作恶黑产群组&论坛数量月均超50万个
根据威胁猎人反欺诈情报平台监测数据,2025年全年平均每月捕获涉及营销活动的黑产作恶群组约为50万个。
全年捕获作恶黑产账号数量月均超130万个
2025 年全年,威胁猎人反欺诈情报平台捕获业务欺诈活跃作恶账号数月均超130万个。
3.1.1 AI时代的风控新风险:自动化作恶进入“智能体阶段”
随着AI、手机智能体等能力的日渐成熟,黑灰产以及羊毛党正逐步将其引入业务作弊与自动化操作中。相较传统脚本工具,AI能够识别界面元素、模拟真实用户操作,并在多个 App 间连续执行任务,使原本依赖人工的复杂流程具备规模化复制条件。
同时,AI 的广泛应用使得作恶的使用门槛和成本持续下降;威胁猎人监测发现,市面已出现“一键部署”的智能体服务,仅需简单安装即可将普通设备转化为“可操作智能体”,进一步放大黑灰产的规模化作恶能力,对现有风控体系形成新的挑战。
3.1.2 AI 已被用于辅助电商套利相关操作,正在改变部分作恶方式
威胁猎人情报监测发现,随着生成式 AI 工具的普及,黑灰产及羊毛党已开始将 AI 引入电商套利相关操作中,已在评价、售后、返利等典型营销场景中表现出明显渗透迹象。
威胁猎人识别到3类高发欺诈行为:
1、利用 AI 生成评价内容参与电商返利套利
在部分羊毛论坛及黑产交流渠道中,威胁猎人监测到有关利用 AI 生成评价内容参与电商返利套利的操作分享。
相关作恶方式主要围绕电商平台的“评价返利”“晒单返券”等营销机制展开;
也就是在未实际获取商品的情况下,通过使用 AI 自动生成评价文字,或生成与商品高度相关的配图内容,伪装成真实买家评价提交,从而触发平台返现、返券或积分奖励。
在此场景下,黑产并非真实购买,而是通过虚假评价套取平台补贴资源;在获取补贴后,黑产会进行退货操作;但此时已经获取到的补贴平台不会收回。
2、 通过 AI 生成虚假图片材料实施“仅退款”套利
在评价返利之外,黑灰产已开始将 AI 能力进一步延伸至售后与赔付环节。2025 年,威胁猎人捕获多起通过 AI 生成虚假图片材料骗取退款或赔付的案例。
相关作恶方利用 AI 生成商品损坏、质量瑕疵、包装破损等图片,作为售后或申诉凭证提交,成功触发平台“仅退款”“先用后付退款”等流程。
在部分案例中,AI 生成的图片在清晰度、构图逻辑及细节呈现上已足以通过平台的初步审核,尤其在缺乏人工复核或依赖规则判定的场景下,更容易被系统判定为“合理凭证”。
该类行为进一步削弱了平台对“实物交付—问题发生—材料举证”链路真实性的判断能力,使售后赔付环节成为 AI 套利的高风险入口。
3、利用 AI 智能体完成电商下单与履约全流程操作
威胁猎人监测发现,在部分社交媒体与技术分享渠道中,已出现利用 AI 自动下单 的操作演示与经验分享。
结合实际测试结果,目前在特定条件下,可通过驱使 AI 智能体在电商 App 内完成包括商品浏览、比价、加购、下单、确认收货在内的全链路操作流程,部分场景中还可唤起第三方支付 App,执行免密支付或输入指定密码等敏感操作。
该类能力一旦被黑产规模化利用,可能被引入刷单、虚假交易、营销资源套利等作恶场景。相较传统脚本或真人众包方式,AI 智能体在操作节奏、行为路径及页面交互上更接近真实用户,若与模拟器等工具结合使用,将显著降低人工参与成本,提升风控识别难度。
3.1.3 AI智能体滥用对金融行业产生的风险点
随着 AI 智能体逐步具备在移动端 App 内执行连续操作的能力,其在金融场景中的潜在风险正从“理论可能”进入“可验证阶段”。
威胁猎人通过内部测试与研究发现,在特定条件下,AI 智能体已具备在金融类 App 中执行部分敏感操作的能力,一旦被黑产利用,可能对账户安全与资金安全造成实质性影响。
1、AI 智能体在金融类 App 中可执行“查询余额、查看交易明细、自动输入账密”等敏感操作
威胁猎人研究人员在内部测试与验证过程中发现,在已登录状态下,AI 智能体已具备在部分金融类 App 中执行查询与交互操作的能力,包括查询账户余额、交易明细等敏感信息,以及参与平台内的营销活动。
需要关注的是,当前市面上的智能体产品中大多数采用开源架构。若被黑产加以利用并植入后门程序,相关智能体在执行正常操作的同时,可能将账户余额、交易记录等敏感信息通过“后门”回传至黑产侧,从而引发账户信息泄露甚至资金损失风险,对用户及金融机构均可能造成严重影响。
2、安全策略被规避后存在被组合绕过的可能
在进一步测试中,威胁猎人发现,在特定指令组合与执行路径下,AI 智能体可能对金融APP内置的安全策略进行重新解释或规避判断,从而绕过原本用于限制高风险操作的安全约束。
在安全策略被规避后,智能体仍可继续执行包括转账、签约等金融高风险操作流程的后续步骤。
尽管大多数厂商已经限制了AI在金融领域的能力,但是威胁猎人研究发现,在通过对提示词的绕过以及安装插件获取原本被限制的截图权限后,AI智能体依旧可以模拟正常人进行转账、签约等需要银行取款密码才能执行的高度敏感操作。
以下是威胁猎人研究人员的相关测试情况:
(安全策略被规避后,AI 可执行银行转账流程)
(好旺担保迁移全过程时间线)
该测试现象反映出:
基于提示词或策略约定的安全机制,本质上仍属于“软约束”;
当智能体被允许“重解释规则”时,其安全边界将高度依赖使用者意图;
金融机构的“黑屏风控”策略并非坚不可破,可以依赖外部的插件进行破解。
威胁猎人内部测试表明,AI 智能体在金融场景中已具备理解并执行部分敏感操作流程的技术可行性,在特定条件下对安全策略的约束依赖存在不确定性。
尽管尚未发现相关能力被实际滥用的案例,但其对以人工操作为前提的传统风控假设已构成潜在冲击,金融机构值得提前评估与应对。
3.1.4 “国补”欺诈产业现状
2025年,在“国补”政策监管下,威胁猎人情报平台仍监测到黑灰产利用国补漏洞获利。黑灰产通过联合快递员违规验收、资格转卖、违规核验操作、伪造回收刷单套利、招募个人回收国补等多种手法套取国补优惠。
这些手法涉及多个角色,包括黑灰产、商家和个人用户,具体涉及作弊用户、转卖资格用户、商家、代销商、黄牛、快递员等。这些角色相互配合,通过代买、转寄、代激活等方式绕过国补地区和用户监管,形成了一个复杂的利益链条。
多角色协同牟利点及手段如下:
1、数码家电产品成为国补商品贩卖重灾区
威胁猎人对交易市场黑灰产贩卖国补相关商品的种类数据进行统计,交易热度TOP的商品类别分别为:数码类产品、家电类产品、以及生活类产品,占比分别为53.32%、30.42%和13.56%。
2、售卖国补商品的黑灰产主要分布地区TOP3:上海市、北京市、深圳市
威胁猎人研究人员根据监测到的各大交易平台中贩卖国补商品的个体黑灰产店铺注册地分析发现,售卖国补商品的黑灰产主要分布在上海、北京、深圳、广州等经济发达地区。
3、售卖国补产品来源渠道主要来源国内两大头部电商平台
注:以下报告内容已做脱敏处理(电商平台用A、B、C等代称)
威胁猎人从捕获周期样本数据中对黑灰产售卖的国补产品来源渠道信息进行统计,其中87.1%的国补产品来源国内两大头部电商平台。
4、黑灰产在论坛和社媒进行广告发布后引流到私域完成交易
威胁猎人监测到,围绕国补“代购、转寄、返现、回收”相关的风险的讨论渠道中,黑产常伪装成“省钱攻略”,在社交媒体、论坛和即时通讯软件等渠道发布、引流以及交易。
5、国补产业链各类角色套取国补优惠手法分析
2025上半年,威胁猎人通过多渠道监控发现,黑灰产围绕“国补”形成了多种作弊手法,主要包括以下五类:
黄牛在社交平台招募,快递员成违规帮凶
黄牛通过社交平台召集用户并引导其通过微信群填写个人信息、选择商品下单,再通过快递员违规验收设备回收国补资格。这一手法利用了社交平台和快递员协作的漏洞。
商家远程非本人异地代激活
部分商家通过微信视频远程让购买者激活设备,绕过了线下门店要求的身份证核验和设备核验,直接通过快递将设备送达购买者。
代销商利用三重优惠贩卖国补
代销商通过三重优惠(国补补贴、以旧换新、平台优惠)低价销售国补商品,并通过虚假回收旧品方式绕过以旧换新的规定,进一步降低成本。
社交平台招募转卖国补资格,线下违规核验与邮寄交易
用户将国补资格转卖给他人,并通过家人或朋友在门店代为购买设备、核验后通过邮寄完成交易,绕过了国补的资格和地域限制。
快递员协助转寄绕过国补地区限制
用户通过与快递员协商,将设备转寄到异地完成交易,绕过了国补的地域限制,继续套取补贴。
该部分详情可阅读:
6、近期新增:两类“异地套取国补”手法拆解
2025年下半年,随着传统模式被持续打击,传统手法的活跃度在2025年下半年有所减少;
黑灰产不断创新,研究出新的“异地套取国补”手法,近期威胁猎人发现了以下两种新型手法:
1)利用发券平台和支付平台校验链路解耦漏洞
这一手法主要利用了发券平台与支付平台校验链路解耦,即发券平台和支付平台之间的补贴领取和支付环节缺乏严格的核查与验证,使得黑灰产可以“在A城市的发券平台领取国补,在B城市的支付平台完成支付”,绕过双方风控措施,实现了跨地区国补领取。
2)虚拟环境+定位伪装型
这一手法主要利用“安卓端虚拟环境和定位伪装”技术,修改设备地理位置实现异地补贴领取,再切回真实环境或者用另一台设备完成支付,最终完成国补套取。
3.2金融信贷欺诈分析
威胁猎人观察到,因2025年8月腾讯微信平台响应 “清朗行动” 的专项治理,聚焦黑灰产与违规群组实施相关风控政策,以及2025年下半年以来,公安部和国家金融监管总局联合部署开展金融黑灰产打击活动,2025年下半年金融贷款舆情量较2025年上半年有所下降,但其中恶意贷款欺诈风险舆情整体仍有所上升。
相关名词定义:
恶意贷款欺诈:是指从事冒充银行名义进行虚假宣传贷款业务、包装骗贷、违规提额、违规转贷、违规套现、诱导性贷款、收取客户高额手续费、卷款跑路、诈骗客户谋利、发放高利贷等违规业务以谋取私利的金融欺诈行为。如背债、融车套现、科技提额、美容贷骗贷、债务重组、AB贷、制作假流水、征信修复、债务优化等业务行为。
债务优化:通常指通过代理投诉、代理维权等手段,对债务人的债务结构、还款方式、利息成本等进行调整和优化,以减轻债务人的还款压力、改善财务状况的过程。债务优化与逃废债存在关联,主要表现为通过黑产代理投诉等方式,实现分期还款、延期分期、减免结清等,从而达到缓还、少还债务的目的。
融车套现:也称 套车 或 融车 ,是指急需用钱的客户主动找到黑产或黑产招募客户贷款购车后将车辆转卖套现的行为。
职业背债:是指完全没有贷款资质(如征信为纯白、小白、小花,文化程度较低)或资质较低且有背债意愿的人在黑产的包装下,申请银行大额贷款。职业背债以高额利益为目的,不打算偿还债务。职业背债主要分为 2 类: 一类是 “包装贷”, 另一类是 “背坏账”
包装贷 :通过捏造身份伪造材料骗取银行高额贷款的行为,比如 “房”、“信”、“企”、“车” 贷款
背坏账 :企业名下有坏账或不良资产影响企业经营或声誉,企业通过股权转让、资产处置、抵押等方式,背债人独自背负企业债务的行为,比如 “企业直背”、“银行直背”
3.2.1 2025年金融贷款恶意欺诈舆情和黑灰产规模保持高速增长
3.2.1.1 2025年下半年金融恶意欺诈舆情较2025年上半年增长32%
2025年威胁猎人监控捕获金融贷款风险舆情达680万条,其中恶意贷款欺诈舆情189万条,占总量27%。
2025年下半年金融贷款舆情较2025年上半年下降12%,2025年下半年恶意贷款欺诈风险舆情较2025年上半年增长32%。
3.2.1.2 2025年威胁猎人共监控到活跃金融贷款群组3.7万个,其中恶意欺诈群组1.8万个,占总量50%
3.2.1.3 2025年恶意贷款欺诈账户数占金融贷款帐户的30%
2025年威胁猎人共监控捕获活跃贷款服务账户33万个,其中提供恶意贷款服务的欺诈账户(信贷黑中介/黑产)10万个,占总量30%。
3.2.1.4 2025年恶意贷款主要欺诈类型TOP3:职业背债、债务优化、征信修复
2025年数据显示,恶意贷款主要涉及职业背债、债务优化、征信修复、材料造假、融车欺诈、债务重组等超过9类欺诈行为。
其中职业背债占比高达37%,居首位,成为黑产核心攻击手段;债务优化、征信修复分别位列第二、第三位,其中债务优化代理投诉类业务占比,出现成倍增长。
注意:债务优化包含:反催收、代理维权、代理投诉、退息退费等债务处理场景。
3.2.1.5 2025年恶意贷款欺诈风险地区TOP5:广东、四川、山东、江苏、浙江
威胁猎人情报数据显示,2025年恶意贷款欺诈活跃热度TOP5的省份(含直辖市)是广东、四川、山东、江苏、浙江,其中广东地区风险值远高于其他地区。
3.2.1.6 2025年恶意贷款欺诈风险城市TOP5:重庆、深圳、成都、上海、北京
威胁猎人情报数据显示,2025年恶意贷款欺诈活跃热度TOP5的城市(含直辖市)是重庆、深圳、成都、上海、北京。
3.2.2 2025年职业背债风险舆情仍保持较快增速
3.2.2.1 2025年每月职业背债风险舆情量持续增长,下半年较上半年增长59%
2025年威胁猎人监控捕获职业背债风险舆情量达37万条,从整体来看,每月风险舆情持续增长,2025年下半年较上半年增长59%
3.2.2.2 2025年背债地区热度TOP5省份:广东、四川、山东、河南、重庆
威胁猎人情报数据显示,2025年背债相关的贷款欺诈,活跃热度TOP5的省份(含直辖市)是广东、四川、山东、河南、重庆。
3.2.2.3 2025年背债城市热度TOP5城市:重庆、广州、成都、上海、深圳
威胁猎人情报数据显示,2025年背债相关的贷款欺诈,活跃热度TOP5的城市(含直辖市)是重庆、广州、成都、上海、深圳。
3.2.2.4 2025年职业背债黑产策略升级与贷款场景风险分化
2025年,职业背债黑产的运作策略进行全面升级:操作模式从单打独斗转向黑产间的资源共享与利益最大化合作;目标客群从重点挑选征信“纯白户”转向拥有良好信贷记录的“优质小白”;攻击场景则从“房信企车”的全覆盖,转为根据背债人资质精准挑选最优场景。
从背债攻击的风险舆情增速看,不同场景在2025年下半年呈现显著分化。其中,消费贷与企业贷场景风险高涨,下半年环比增长率均超过80%,是主要的增长领域;相较而言,房贷与车贷场景增速相对平缓,环比增长率分别为46.2%和13.1%。
2025年消费贷背债风险舆情激增,下半年较上半年翻倍增长达103%;
2025年企业贷背债风险舆情高位运行,下半年环比增长87.8%
3.2.3 金融贷款不同场景中的典型欺诈风险类型介绍
当前,房贷、车贷、消费贷及企业贷作为核心信贷场景,已成为黑产的重点攻击目标。不同贷款场景因产品特性与风控逻辑各异,不仅受攻击程度不同,其欺诈风险类型存在差异。
以下是各贷款场景中当前面临的主流欺诈方式:
围绕这一领域,威胁猎人将于后续发布《2025 年中国信贷欺诈风险趋势报告》,对上述相关问题进行更为系统、深入的研究与解读。
3.3钓鱼仿冒场景分析
3.3.1 风险事件类型分布:仿冒网站风险占比三成,社媒与客服仿冒风险增长明显
2025年全年,威胁猎人共捕获到钓鱼仿冒风险事件 17W 例,涉及 237 家企业,整体呈现出显著的季节性爆发与手段更替趋势。
从风险事件的类型来看:
仿冒网站风险稳居“基石”地位,Q1 爆发明显:2025 年共捕获仿冒网站攻击 5 万起(占比 33.2%)。尽管下半年增速放缓,但其在第一季度占据绝对主流。作为诈骗链路的基础设施,搭建虚假站点套取敏感数据仍是攻击者的核心手段。
社媒与客服仿冒风险增长明显:
值得关注的是,仿冒社交媒体与仿冒客服电话相关攻击事件在第三季度出现明显增长,并与“暑期经济”带来的社会活跃度提升高度相关,反映出黑产团伙对阶段性流量热点的快速响应能力。
仿冒社交媒体(分布式裂变传播):
针对暑期游戏市场的热潮,黑产团伙采取了“自持高权重号+分布式裂变”的组合手段。除了传统的自运营账号矩阵外,利用大量看似普通用户的账号在社交平台发布高度同质化的仿冒诱导内容(如虚假福利、高比例返利等)。这种模式极大地提升了违规内容绕过平台审核机制的存活率,其核心目的在于将官方流量精准拦截并导流至非法游戏私服,实现快速套现。
仿冒客服电话(GEO 投毒):
2025年第三季度期间,攻击团伙针对借贷类 APP 的“客服、退息、解冻”等高频搜索词,利用搜索引擎算法漏洞进行区域性霸屏,直接将虚假客服电话嵌入搜索结果的显眼位置。这种技术手段不再依赖被动的短信广撒网,而是实现对主动寻求帮助用户的精准流量“截杀”,极高的攻击触达率直接推动该时段风险数据的爆发式增长。
3.3.2 金融行业为黑产攻击的主要目标
2025 年监测数据显示,钓鱼仿冒风险呈现出“高度金融化、金融内广谱覆盖”的特征,黑产攻击策略由聚焦少数头部机构,转向对金融行业的规模化覆盖与分层收割。
从行业分布来看,金融领域(证券、银行、消费金融、基金等)合计占比高达 76.28%。
其中,银行、证券及消费金融等可直接导向资金损失或账户接管的核心业务场景,仍是黑产优先攻击的重点目标;
但与此同时,黑产攻击范围不再局限于少数头部机构,而是通过域名批量注册、模板化站点复用及脚本化投放等方式,将大量中小金融机构系统性纳入仿冒范围。
而非金融交易场景,则聚焦引流与变现:如电商行业(10.31%)主要作为支付与退款诱导的入口;而区块链行业(4.64%)与游戏行业(4.12%)则利用资产高波动的特性,实施空投或充值拦截。
总体来看,攻击者系统性利用金融品牌信任与用户对“官方通知、账户异常、合规验证”的心理预期,推动仿冒从“做得更像”升级为“覆盖更广、触达更频繁”,并在登录、转账、验证码/授权等关键环节形成闭环变现。
3.3.3 AI 大模型时代的新型品牌风险:仿冒客服电话的 GEO 投毒
3.3...
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
