威胁猎人黑话词典2.0｜打击欺诈行为，快速了解黑灰产黑话（数据泄露篇）

“黑话”最早兴起于中国封建社会时期，指由民间各个帮派、团体创制的一套复杂的隐语体系，其目的是方便内部沟通而不被外人发现。随着黑灰产业的发展，犯罪团伙为了规避审查，创造了黑灰产团伙之间的“黑话”，且不同作恶场景的黑话不尽相同。

作为长期扎根黑灰产攻防一线的威胁情报安全厂商，威胁猎人积累沉淀了大量与黑灰产作恶相关的黑话，并发布业内首个黑灰产《黑话词典》，对黑灰产常见黑话进行系统化梳理与揭秘，获得广泛关注。

此基础上，内容持续升级迭代至黑灰产《黑话词典2.0》，在原有基础上进一步扩展，覆盖更多典型欺诈场景与语义变体。除词义释义外，本次内容更加侧重还原黑话在真实作恶场景中的使用语境，从“词汇识别”走向“场景理解”，为企业风控识别、情报分析及反诈实践提供更具实战价值的参考。

数据泄露场景

本文主要整理“数据泄露场景”相关的黑灰产黑话，揭示了在非法数据交易活动中，黑产交易的数据类型、资源获取手段及其内部运作模式。

01 非法数据交易场景

数据交易规则与角色与分工类

保真不保漏

【释义】

在非法数据交易中，是查档服务中的一种交易条款，指非法查档服务商承诺数据真实，但不保信息完整，是其免责条款之一。

挂米报单

【释义】

在非法数据交易中，指在数据需求订购前，先支付押金（“米”），并提交定制数据需求，属于预付款机制。

「黑灰产使用样例」

“无盲流水私户收单1个月180 3个月280 6个月360 所有流水一律挂米报单禁止扯皮 全网0手”

收单

【释义】

在非法数据交易中，指黑产服务方接收数据查询需求，如根据客户要求进行查档服务。

「黑灰产使用样例」

“收单，当天必回”

回单

【释义】

在非法数据交易中，同出单，指黑产服务方交付数据查询结果的行为，代表交易完成。

「黑灰产使用样例」

“源头直出，价格:200人民币，十分钟左右回单，实惠便宜”

担保机构

【释义】

在非法数据交易中，指“中间人”的角色，负责验证交易双方的资质、监督交易过程并确保交易的顺利完成。这种模式提高了交易双方的信任度、非法数据交易流程更加“规范”，一定程度上保障了非法数据交易的顺利进行。

「黑灰产使用样例」

“防骗温馨提示 交易请注意防骗,建议走头部担保机构”

【关联报告】

威胁猎人对担保团伙进一步分析，在当前众多担保团伙中，前三大担保团伙分别是“好旺担保”（原汇旺担保）、“新币担保”和“春江担保”。其中，“好旺担保”在担保团伙中占据主导地位，由其担保的非法数据交易事件量占比高达94.34%，可谓“一家独大”。

担保双压

【释义】

在非法数据交易中，指交易双方互相担保交易真实性，以继续获取高价数据或高等级服务。是黑产中上下游利益保障机制的一种变形。

「黑灰产使用样例」

“补数据找我,走屠夫担保双压”

02 非法数据交易场景

黑灰产数据获取渠道与技术手段类

强登

【释义】

在非法数据交易中，指通过技术手段强制登录用户账号，获取用户账号中的隐私信息。

「黑灰产使用样例」

“强登数据 出过的都知道 源头直出 需要来谈价”

【关联报告】

威胁猎人在2024年发现了一种新的查档类型——“强登”，泄露信息主要涉及用户的网购订单、外卖配送订单、出行打车订单、快递订单信息等，涵盖了电商、快递、本地生活服务（主要是外卖行业）和出行服务等多个行业的头部平台。

埋点

【释义】

在非法数据交易中，指在APP或网站中植入恶意代码以窃取用户输入的敏感信息（如密码、验证码、银行卡号）的一种技术手段。

微提

【释义】

在非法数据交易中，指可以通过技术工具导出”大众社交平台“聊天记录、联系人等私有数据的一种非法操作。

「黑灰产使用样例」

“独家强提 微提不带备注 自带所有“大众社交平台”号不用转换 带头像 文档回单 敏感别报”

过库

【释义】

在非法数据交易中，指黑产搭建的个人信息数据库，黑产会定期会对新提供的数据在这个数据库中进行比较去重处理，避免重复或历史数据的一种行为。

「黑灰产使用样例」

“直收数据,男女混25岁上,单价15,过库,交数据时间晚上12点,次日下午8点结,能打的手子看过来”

私域群

【释义】

在非法数据交易中，指非公开群聊，一般指需通过邀请链接/管理员同意后才能进入的群组，其他人员无法进入该群聊。

【关联报告】

“私域群”、“担保”模式快速发展，非法数据交易更隐蔽且“规范化”。

2024年“私域群”、“担保”模式快速发展，在私域群中累计发现数据泄露风险事件4193起，黑产团伙数量突破500个，且超过一半的“私域群”由担保机构运作。

无盲

【释义】

在非法数据交易中，指出单率高或无失败，一般来说都是通过警方（公安）内鬼对数据进行查询，在实际黑产交涉过程中通常用无盲来代指这个渠道获取的数据。

「黑灰产使用样例」

“无盲对公个人,银行流水 2年、三年、开卡 周四发车,散,批量来”

猎魔/lm

【释义】

在非法数据交易中指一种在社工库中常见的模糊查询方式。通常用于定位并提取特定目标的敏感信息。

补齐

【释义】

在数据交易场景中，是查档服务中的一种类型，指黑产可以通过技术手段或者社工库将缺失的身份号码和姓名以及地址补充完整的一种行为。

库主

【释义】

通常指掌握并运营社工库、撞库数据、泄露数据库的关键人物。这些人通过非法渠道获取、整理和管理大量敏感数据，提供查询、售卖、订阅等服务，构建起地下数据交易的核心生态。

「黑灰产使用样例」

“银行卡流水 任何银行 稳定 快线周日也就是今晚晚上发车 周2周3回单”

剩菜

【释义】

在非法交易场景中，指在一次性查档后获取的部分数据，被称为“剩余信息”，这一部份数据常被中游转售至社工库。

柜台

【释义】

在数据泄露查档场景中，黑产主要是通过该名词来代指“银行内部人员”等，从而体现渠道可靠性，数据真实性，通常涉及金融黑灰产内鬼滥用公权力。

「黑灰产使用样例」

“柜台 全系列 周日回 价格超低 拿单砍我”

快线

【释义】

在非法数据交易中，快线是上游获取数据来源信息的方式之一，主要指是数据查询速度快（几分钟内反馈），来源可能为公权系统或高效渠道。

「黑灰产使用样例」

“银行卡流水 任何银行 稳定 快线周日也就是今晚晚上发车 周2周3回单”

慢线

【释义】

在非法数据交易中，慢线是上游获取数据来源信息的方式之一，主要指是数据查询速度慢（1天或数天），来源可能为特殊渠道，如企业内鬼。

水果

【释义】

在非法数据交易中，同“数据”，一般是贴吧等公开社交平台用于代指“数据”的隐语，旨在规避内容审查。

「黑灰产使用样例」

“出各种一手水果客户信息齐全，一条对不上全赔”

手工打扶贫粉

【释义】

在非法数据交易中，指黑产团伙通过人工方式在社交媒体等渠道大规模收集扶贫对象的个人信息。

【关联报告】

威胁猎人情报人员通过对非法数据交易产业链各环节深入研究发现，非法交易市场中兜售的“扶贫料”有来自资金盘APP、手工打扶贫粉等。

资金盘APP数据采集

【释义】

在非法数据交易中，指黑产团伙通过对一些“投资项目”相关资金盘进行数据采集获取到“投资人”个人信息，这些投资人一般都会有银行卡，售卖给下游团伙实施骗卡跑分。

「黑灰产使用样例」

“大量出传销料扶贫料，资金盘app数据采集 对口的老板来! 骗子绕道!”

03 非法数据交易场景

涉及个人敏感信息查询类

查档

【释义】

在非法数据交易中，指黑产团伙可提供指定人员的资料档案，如通过一个手机号，可以查询这个手机号相关的身份信息，如地址、银行卡号、名下资产等。查档服务包含查询类服务、解密服务、强登类服务等。

【关联报告】

近年来，威胁猎人陆续关注到非法数据交易产业链中游频繁出现的“查档”数据泄露情况，例如通过一个手机号，就可以查询这个手机号相关的所有身份信息，如地址、银行卡号、名下资产等等。

常见的查档服务有：轨迹类（人物轨迹、车辆轨迹）、名下财产（名下卡、名下车、名下房）、网购订单、快递业务（快递地址、物流信息）、个人信息（婚姻、户籍、社保）等。

个户

【释义】

在非法数据交易中，指包含身份证大头照、姓名与身份证号（二要素）及详细住址的个人基础档案信息。

「黑灰产使用样例」

“个户,身份正反,晚上6点前秒”

神父

【释义】

在非法数据交易中，指公民身份证正反面高清照片或扫描件，包含姓名、住址、证件号等核心身份信息，用于伪造证件或身份冒用。

「黑灰产使用样例」

“全国神父 真实有效期 6u 全天都在 有多少来多少”

单头全户

【释义】

在非法数据交易中，是查档服务中的一种类型，单头全户指可以查到户主身份证照片及信息，是仅能查询到户口本户主页信息内容。

「黑灰产使用样例」

“此版单头全户25u一天一车”

全头全户

【释义】

在非法数据交易中，是查档服务中的一种类型，全头全户指可以查到户口本所有直系亲属身份证照片及信息，全头指的是全部头像照片。

文全

【释义】

在非法数据交易中，指在查档场景里，可以查询到户口本成员信息的完整文字描述，包括亲属姓名、身份证号等。

「黑灰产使用样例」

“文全带关系，支持春江担保”

接口po/库po

【释义】

在非法数据交易中，“po”指配偶，接口po指通过API漏洞获取目标人物的配偶信息；库po指从社工库查询配偶数据。

「黑灰产使用样例」

“全国文字po带离结，送双方常用号，带日期，秒”

电百

【释义】

在非法数据交易中，是查档服务中的一种类型，指数据查询中，只要提供手机号，即可百分百输出姓名信息。

机主

【释义】

在非法数据交易中，指一个手机号码实际使用者或实名登记者的个人信息，包括姓名、身份证号及关联账户。

「黑灰产使用样例」

“机主4u一个,工号出单,支持任何担保,有群的先单子”

三网

【释义】

指移动、电信、联通三大运营商。具体是指这几个运营商的手机号用户信息数据。

「黑灰产使用样例」

“三网名下手机号接批量，冰点价格”

四要素

【释义】

在非法数据交易中，指银行卡持卡人姓名、身份证号码、银行卡号及银行预留手机号四项核心金融信息。

「黑灰产使用样例」

“银行四要素 传说中内鬼料,手慢拍大腿”

卡反

【释义】

在非法数据交易中，是查档服务中的一种类型，指可以通过银行卡号反查户主姓名、身份证号及预留手机号的一种黑产行为。

码反

【释义】

在非法数据交易中，是查档服务中的一种类型，指在查档场景里通过软件账号二维码可以查询对应的用户手机号信息。

「黑灰产使用样例」

“接码反，接一切反查效率高速度快没有任何套路”

证归

【释义】

在非法数据交易中，指在查档场景里，黑产可以查询到身份证号对应户籍归属地（依据前6位编码）。

「黑灰产使用样例」

“可以筛选地区，证归手归，过实名 下单联系”

手归

【释义】

在非法数据交易中，指在查档场景里，可以查询到手机号码归属运营商和地域，一般用于关于某人的精准定位或关联分析。

「黑灰产使用样例」

“可以筛选地区，手归，过实名 下单联系”

名电时

【释义】

在非法数据交易中，指数据格式为姓名、手机号和时间的数据。

「黑灰产使用样例」

“名电时每天都在出，有需要的老板请提前下单预定”

04 非法数据交易场景

涉及资产及位置信息查询类

真地址

【释义】

在非法数据交易中，是查档服务中的一种类型，黑产从身份证或户籍系统获取的完整详细住址信息（含门牌号），区别于模糊地址。

「黑灰产使用样例」

“个户真地址 2版随机出 当天回”

假地址

【释义】

在非法数据交易中，指在查档场景里，黑产只可以提供仅包含省、市、区三级行政区划的模糊地址信息，无法定位到具体位置。

「黑灰产使用样例」

“全国假地址个户12r，继续秒 欢迎咨询”

大关联

【释义】

在非法数据交易中，是查档服务中的一种类型，大关联则是包含与目标人物的具体关联关系，如同住址、同机构、同婚姻、同乘机、同出入境等关联条件信息。

小关联

【释义】

在非法数据交易中，指在查档场景里，可以查询到人物社会关联人信息，小关联为人物社会关联系姓名及身份证号。

「黑灰产使用样例」

“十年飞火➕出入境 单开房 开同 人鬼 小关联”

查同住

【释义】

在非法数据交易中，是查档服务中的一种类型，指通过非法手段获取某人同住人员的信息，通常用于追查债务人或进行其他非法活动。

开同

【释义】

在非法数据交易中，指可以查询酒店开房记录及同住人信息的一种黑产服务。

「黑灰产使用样例」

“五年开房同住记录，寻有量代理 ，有量有价， 私信问价 ，批量能低， 两到三天回单， 只做开同 ，只有五年， 支持担保”

名下车

【释义】

在非法数据交易中，指黑产可以查询个人名下登记的所有车辆信息（含车牌号、车型、车主信息）。

「黑灰产使用样例」

“源头车务 一页 三页 名下车 过户记录 违章处理人 车管所车务 当天回”

车大档

【释义】

在非法数据交易中，是查档服务中的一种类型，车大档指包含车主姓名、身份证号等三要素；这些数据来源多为车管所内部泄露。

车小档

【释义】

在非法数据交易中，是查档服务中的一种类型，车小档指车辆基本信息（车牌、车型），这些数据来源多为车管所内部泄露。

飞火

【释义】

在非法数据交易中，是查档服务中的一种类型，指通过航班、火车票等出行记录数据，追踪个人出行轨迹的一种黑产服务。

「黑灰产使用样例」

“飞火+出入境记录 价格不高/回单快”

人鬼

【释义】

同人轨，在非法数据交易中，是查档服务中的一种类型，指通过交通、住宿等数据追踪个人出行轨迹的一种黑产服务。

05 非法数据交易场景

金融借贷与消费场景信息查询类

借条料

【释义】

这里主要是指高利贷的用户信息数据，又称JT，实际上是指高利贷或私人借贷类型，会与借款人签订“借条”或电子签，而“借条料”，实际上就是指私人借贷或高利贷所签订“借条”的用户信息数据。

「黑灰产使用样例」

“出实时借条料,风控料,有量,保一手,价格优”

风控料

【释义】

在非法数据交易场景中，指从各类平台（尤其是金融、信贷、大型电商平台）的风控系统或第三方风控服务商处泄露出的，已经过平台初步处理、分析和标记的用户数据集合。通常用于定向营销、诈骗等非法活动。

「黑灰产使用样例」

“出实时借条料,风控料,有量,保一手,价格优。”

多头借贷

【释义】

是指一种专门侦测借款人“多头借贷”行为的风控机制，实际上是由第三方数据服务商与多家网贷公司共同建立的数据共享系统。当一个借款人向其中一家机构发起贷款申请时，这个"申请行为"本身会像一个信号一样，被系统捕捉到并记录下来。实际上就是指借款人多头借款的记录信息数据。

【关联报告】

公民多头借贷数据泄露事件较2024年下半年大幅上升，涨幅超6倍；

威胁猎人持续监测发现，在2025年上半年所捕获的泄露数据中，一类名为“多头借贷”的贷款信息数据泄露事件共计117起，相较于2024年下半年新增101起，涨幅高达631.25%。

助贷料

【释义】

在非法数据交易中，指从网贷平台泄露的贷款申请人全套资料（含身份证、银行卡、征信报告、联系人信息），通过用于中游团伙按信用等级分类包装后，售卖给诈骗组织用于“贷款保证金”骗局等非法活动。

「黑灰产使用样例」

“各种助贷料,欢迎来撩”

融担

【释义】

在非法交易场景里，又称“融单”、“融蛋”、“RD”、融担指的是网贷平台的一个系列，该系列主要为诸多小型或微型的网贷APP，这类平台申请流程简单，通过率高。因此“融担料”，实际上就是指小型网贷平台的用户信息数据。

【关联报告】

【黑产大数据】2025年上半年数据泄露风险态势报告

威胁猎人注意到在社交平台上，存在大量黑产宣传可协助中下游黑产团伙搭建相应的作恶平台，如“融担系统”、“租赁系统”、“风控系统”、“征信查询系统”、“借条查询系统”等多种类型。这些系统通常声称功能全面，风控完善，支持逾期上报征信、赋强公证等“一站式服务”，并提供“全程陪跑、流量扶持”。

黄金料

【释义】

又称黄金商城料，与租机套现的数据相似，实际上就是一些可以支持购买黄金并分期还款的平台，一般都是一些小型平台，黄金商城料则是在这些平台办理套现的用户信息数据。

【关联报告】

【黑产大数据】2025年上半年数据泄露风险态势报告

威胁猎人注意到在社交平台上，存在大量黑产宣传可协助中下游黑产团伙搭建相应的作恶平台，如“融担系统”、“租赁系统”、“风控系统”、“征信查询系统”、“借条查询系统”等多种类型。这些系统通常声称功能全面，风控完善，支持逾期上报征信、赋强公证等“一站式服务”，并提供“全程陪跑、流量扶持”。

扶贫料

【释义】

在非法数据交易中，指和扶贫补贴对象相关的个人信息或数据，这些数据被黑产非法获取后，通常会转售给第三方，用于精准诈骗、洗钱等非法活动。

「黑灰产使用样例」

“需要传销料、扶贫料、快递料的老板找我! 西装大头 v推 电销 数据 sdk现抓日活跃高质量数据!”

【关联报告】

威胁猎人数据泄露风险监测平台情报数据显示，2024年“扶贫”相关的非法数据交易情报数量显著上涨，尤其是第四季度。

机票料

【释义】

指航空订票系统泄露的完整机票订单数据（含乘机人姓名、身份证号、航班号、票号、联系电话），常售卖给诈骗团伙实施机票退改签精准诈骗。

「黑灰产使用样例」

“出未起飞机票料”

租机料

【释义】

在非法数据交易中，指从手机租赁平台泄漏的用户订单数据信息，（含手机型号、租期、还款记录、身份证号、联系方式），下游黑产购买后通常用于定向营销、诈骗等非法活动。

「黑灰产使用样例」

需租机料 隔天实时下机 数据 能测的联系

卡券料/E卡料

【释义】

指即一些支持购买E卡或卡券红包等平台并允许分期还款的平台，一般都是一些小型平台，卡圈料则是在这些平台办理购买套现的用户信息数据。

黑五类

【释义】

在非法数据交易中，指从电商平台泄露的五类敏感商品消费者数据（药品/医疗器械/丰胸产品/减肥产品/增高产品），通常用于定向营销、诈骗等非法活动。

「黑灰产使用样例」

“出减肥祛斑丰胸等黑五类数据 实时下单用户 效果嘎嘎猛!!”

免责声明：本文相关数据信息基于抽样采集、调研分析、模型测算等研究方法得出，仅供参考。受数据来源和研究方法限制，威胁猎人不对其精确性、完整性、适用性及非侵权性作任何保证。任何机构或个人基于本文内容采取的行动及其后果，由行为方自行承担。

威胁猎人（Threat Hunter）成立于 2017 年，核心团队来自腾讯安全，拥有超 10 年黑产攻防实战经验。围绕企业业务安全场景，构建了覆盖风险数据画像、反欺诈情报、数据泄露监测、钓鱼仿冒监测、业务安全蓝军、API 安全等多个产品与服务体系，帮助企业提前识别潜在风险，减少欺诈损失。

威胁猎人产品体系全景图

专注黑灰产情报和反欺诈技术研究

如您的企业有关于该场景类似问题

请咨询威胁猎人安全专家