1、12目录前言.3一、2021 年黑灰产发展现状.41.1、规模依然庞大，五大风险场景，面临数十万黑灰产攻击.41.2、追求效率为先，黑灰产仍普遍采取各类自动化作恶工具.81.3、利益驱动为主，黑灰产在交易平台进行大量交易.12二、2021 年黑灰产对抗资源变化情况.152.1、资源重新调配，“断卡行动”后，黑手机卡资源以新的方式被利用.152.2、更加善于伪装，使用 IP 方式进行身份绕过.18三、2021 年黑灰产攻击变化情况.213.1、微信授权攻击猖獗一时.213.2、数据泄露问题频发，各个行业均面临威胁.223.3、攻击平面延伸，API 成黑灰产攻击焦点，成数据泄露最大诱因. 25四、

2、2022 年黑灰产走势预测.284.1、因 API 管控不当引发的数据泄露会越来越多，API 安全问题越来越值得被重视.284.2、黑灰产会更多的使用私接的形式进行接码、且国外黑手机卡对平台的攻击会越来越多294.3、黑灰产改机、虚拟定位等工具推陈出新，不断为黑灰产在营销作弊等场景提供支持.294.4、真人众包攻击依然为风控难点，真人代下单成为重点场景.29五、风险对抗思路.30六、甲方最佳防护实践案例.316.1、汽车之家.316.2、58 同城.326.3、小红书.336.4、知乎.343前言永安在线依托于丰富的情报数据，对 2021 年黑灰产行业进行了全面的梳理，我们发现：无论是从行业规

3、模、攻击效率，还是收益变现上，国内黑灰产产业仍然非常成熟和发达。在攻防层面，黑灰产具有顽强的生命力和对抗能力，这一点在其资源的使用上，表现的尤为突出：1、黑手机号“断卡行动”虽然对其造成了有效的打击，但黑灰产已经通过海外卡/拦截卡/私接等方式“死灰复燃”；2、IP 伪装使用秒拨和代理平台“灵活”绕过各平台的风险检测。在攻击变化上，紧密的结合当前风险缺口进行攻击，表现在：微信授权的猖獗使用以及 API 漏洞的使用。在对数据进行全面的分析之后，我们预测出了 2022 年黑灰产走势：因 API 管控不当引发的数据泄露会越来越多，API 安全问题越来越被重视；黑灰产会更多的使用私接形式进行接码，且国外

4、黑手机卡对平台的攻击会越来越多；黑灰产改机、虚拟定位等工具推陈出新，不断为黑灰产在营销作弊等场景提供支持；真人众包攻击依然为风控难点，真人代下单成为重点场景。基于这些发现及趋势研判，我们总结提炼出未来对于黑灰产治理的对抗思路及策略，并对治理已卓有成效的企业进行案例分析、分享最佳实践，期望帮助更多企业/机构了解并有效防控黑灰产攻击带来的风险。4一、2021 年黑灰产发展现状从 2021 年对黑灰产行业的整体监控数据上看，国内的黑灰产产业仍然非常发达，主要表现为：规模的庞大、攻击效率的高效、分销变现的成熟。1.1、规模依然庞大，五大风险场景，面临数十万黑灰产攻击营销活动、刷量作弊、恶意引流、认证绕

5、过、真人众包代下单五大场景，在 2021 年面临大量黑灰产攻击。其中，营销活动场景最为猖獗，每天发生 5 起被攻击事件。除营销场景外，刷量作弊、恶意引流、认证绕过、真人众包代下单场景中，共活跃着数十万黑灰产。1.1.1、2021 年平均每天发生 5 起营销活动相关的黑灰产攻击事件2021 年，永安在线共监控 4.6 亿余条黑灰产相关的舆情，仅在营销活动场景，全年就发生了 1800 多条黑灰产攻击事件，平均每天约发生 5 起。5永安在线对黑灰产营销活动攻击产生的舆情进行分析后，发现：“活动”、“教程”、“接单”、“注册”、“邀请”等词，出现很高频。这说明，黑灰产往往会在各平台举办活动时寻找突破口

6、，一旦有方法突破风控，就会把方法在内部进行传播，或者转卖能力为“接单盈利的模式”，而他们的攻击场景，往往集中出现在新用户注册、邀请拉新等优惠权益较高的活动上面。1.1.2、接码及抹机注册、接单代刷助力，成为 2021 年黑灰产在营销活动场景的主要攻击方式永安在线对 2021 年的黑灰产营销活动攻击事件，进行了攻击方式分析，可以看出TOP5 皆为常见的攻击方式：（1）抹机及接码注册，占比 24.7%；（2）接单代刷助力，占比 21.7%；（3）利用业务规则缺陷，占比 18.8%；（4）虚拟定位改城市，占比 10.6%；（5）真人众包，占比 8.3%。从 TOP5 的数据可见，营销活动场景的黑灰产

7、攻击，并没有改变太多手法，依然普遍采取主流方式。6抹机及接码注册 攻击方式指的是：针对平台开展的邀请好友助力领取奖励类和新用户注册领取奖励类的营销活动，黑灰产会使用抹机工具修改设备参数伪装成一台新设备，再配合联系卡商进行手机号接码，从而达到在同一台设备上注册多个小号给主账号完成助力任务，薅取活动奖励，或者注册多个新号领取奖励的目的。接单代刷助力 攻击方式指的是：针对平台开展的邀请好友助力领取奖励类的营销活动，黑灰产掌握了针对该营销活动的自动化批量助力的技术，由于活动奖励的优惠券、平台权益、商品变现对普通用户也有诱惑，故黑灰产会收取费用帮助这些普通用户刷助力，进而完成任务得到奖励。此攻击方式常出

8、现的场景主要有打车出行行业的助力得打车优惠券、美妆行业的助力得化妆品、电商行业的助力得商品等活动。利用业务规则缺陷 攻击方式指的是：针对平台开展的各类做任务领取奖励的营销活动，当黑灰产发现其中活动的奖励，在业务侧没有得到全方位的防护，比如通过一些特殊动作可以获得，或者只需简单“技巧性操作”即可领取，便会对此活动进行大规模攻击。虚拟定位或修改城市 攻击方式指的是：针对平台开展的限定地区领取权益的营销活动，当黑产发现该权益的优惠力度大且能变现，便会使用修改定位的方式对该活动进行攻击，从而领取活动奖励。此攻击方式常出现的场景主要有支付类、银行类、电商类、出行类平台的特定地区优惠领券活动。1.1.3、

9、营销活动场景外，刷量作弊、恶意引流、认证绕过等场景，共活跃着数十万黑灰产除营销活动外，2021 年常见的作恶场景还有：刷量作弊、恶意引流、认证绕过、真人众包代下单等。黑灰产作恶时，往往会在各大社交平台聚集，用于进行引流维护及同行间的交流，因此，统计各个作恶场景下，这些黑产在各大社交平台的账号数量，可以大致描绘出每个场景的黑产“从业者”规模。7以在各社交平台活跃的账号进行统计的话，刷量作弊、恶意引流、认证绕过、真人众包代下单的账号数分别是：13W+、11W+、10W+、2W+ 。刷量作弊、恶意引流、认证绕过这三类场景，在可监控到的范围内，黑灰产社交平台活跃账号规模都超过了 10W。电商代下单活跃

10、账号规模虽只有 2W+，但却比 2020年增加了两倍。这四大类风险场景的典型手法和造成的主要危害如下：刷量作弊风险场景：刷量作弊，指的是：利用违规方法去提高相关账号功能数值（如：点赞量、关注量等），最终达到伪造虚假流量、炒作热度、增加曝光等目的。这种刷量行为常常扰乱社区秩序、破坏社区生态，不利于优秀内容脱颖而出，并且增加了创作者的成本。2021 年，刷量作弊的攻击形式主要有三种：机器刷量、真人刷量和养高级别账号刷量。其中，机器刷量为最传统的刷量形式，这类刷量的攻击面几乎覆盖了所有主流平台，也是各大平台治理的重点。但机器刷量因特征明显，比较好检测，因此无法有效的在部分检测严格的社区内容平台上作恶

11、。此时，许多黑灰产就会提高作恶手法，开始雇佣真人来提升刷量效果。此外，部分高级黑灰产，还针对一些大型社区平台排名权重的计算规则，推出了高级别账号刷量功能，这类功能的主体往往是黑产长期持有、拥有很高粉丝数、被黑产养着的号，黑灰产利用这些账号，对外提供优化排名、热榜置顶等服务。8恶意引流风险场景：恶意引流，在 2021 年依然是黑灰产典型的作恶场景，他们一般会使用脚本工具，利用平台的私信、评论、留言等功能，批量发布引流信息；也会有黑灰产在社交平台，发布“收粉”、“拉群”任务，他们往往会要求普通用户拉好友进群，达到一定人数后，就以一定的金额收群，然后再把群转给下游的诈骗团伙等。认证绕过风险场景：认证

12、绕过，指的是黑灰产用虚假认证资料通过平台的资格检测环节。例如：用改装后的设备和人脸建模绕过人脸检测，用伪造的证件为账号取得相关认证等。这类作恶行为会造成虚假身份、虚假企业认证等问题，不仅影响平台生态，还有可能会带来引流诈骗等问题。真人众包代下单风险场景：真人众包代下单，指的是黑产雇佣真人远程下单，来批量薅取电商活动限购的优惠商品。该场景下，被雇佣的真人用户按照黑灰产提供的商品链接和地址下单，最后下单用户得到黄牛返还的款项和佣金，黑灰产收到商品并转卖获利。据永安在线监测，2021 年真人众包代下单的作弊量有显著增长，相关黑灰产账号数比2020 年增长了 2 倍。这反映了在平台加强风控后，黑产无法

13、通过单人调用多账号来完成作恶，而是转向真人代下的模式。1.2、追求效率为先，黑灰产仍普遍采取各类自动化作恶工具黑灰产在进行作恶时，会采用各类工具进行批量、自动化攻击，以达到短时间内获得更多收益的目的。主要的黑灰产工具分为定制型和通用型，黑灰产定制型又分为电脑端的协议工具和手机端的脚本工具，通用型主要是各类改机工具、虚拟定位工具等。1.2.1、黑灰产定制型工具中，手机端工具比电脑端工具高13%2021 年，永安在线共监控到 17.59 万款黑灰产定制型工具，其中手机端工具 9.93 万款，占比 56.5%；电脑端工具 7.65 万款，占比 43.5%，手机端黑灰产工具数量高于电9脑端 13 个百

14、分点。电脑端的主要是 E 语言为代表的协议工具，手机端的主要是按键精灵/autojs 为代表的模拟操控工具，两类背后都有大量的工具开发者和使用者；由于协议工具需要对应用进行破解，相比之下，模拟操控工具的门槛更低，因此数量也更多。1.2.2、手机端黑灰产定制型作恶工具中，42%为脚本工具2021 年监控到的手机端黑灰产作恶工具中，主要作恶类型是：按键精灵、autojs、多开/分身、Xposed、代理工具、虚拟定位。其中，占比最高的是按键精灵和 autojs，合计超 42%。可以看出，手机端还是以脚本类型的作恶工具为主。101.2.3、定制型黑灰产作恶工具中，51%攻击账号安全场景在典型的 6 大

15、类风险中，2021 年监控到的黑灰产定制型作恶工具的攻击场景，对应占比分别是：账号安全，51.48%；营销作弊，21.7%；广告引流，11.97%；刷量刷单，8%；内容爬取，6.43%；支付欺诈，0.42%。可见，账号安全和营销作弊，是被攻击的重灾区，尤其是账号安全场景，一旦被攻击成功，则会引起一系列如：虚假注册、信息泄露等问题，对于此场景的风险防护策略不容忽视。111.2.4、通用型黑灰产作恶工具中，4 大类改机工具及云手机平台依然活跃4 大改机工具类型中，安卓端改机工具可以概括为三种，分别是：软改、ROM 改机、硬改，在 2021 年，我们共监控到 10 余种此类工具；苹果端改机工具以佐罗

16、为主，类似的，还有爱伪装、爱新机、爱立思等。此外，依托于改机技术的云手机平台，也逐渐成为了黑灰产使用的工具。黑灰产往往通过会员充值或租赁的形式，借助远程连接获取云手机的使用权限后进行攻击，一次攻击成功后，再借助平台的一键新机功能实现改机。此类云手机平台有：河马云、红手指、多多云手机、雷电云手机、云帅云手机、华云云手机、双子星云手机、NBE 云、点动云手机等。1.2.5、通用型黑灰产作恶工具中，虚拟定位工具主要在银行营销活动中被使用永安在线现已捕获到 90 余个安卓手机端虚拟定位类工具，以及任我行、天下游 2 个主要的苹果手机端虚拟定位类工具，目前在黑灰产侧用于攻击营销活动的主流工具是任我行（苹

17、果手机端虚拟定位）和悟空分身（安卓手机端虚拟定位）。并且，通过对 2021 年的情报数据分析得出，支付类、银行类、电商类平台的特定地区优惠领券活动，最吸引黑灰产使用虚拟定位工具进行攻击，在所有虚拟定位攻击相关的事件中，占比分布是：57%、14%、13%。主要因为此类平台开展的限定地区领12取权益的营销活动优惠力度大，且黑灰产能对领取的权益进行变现，故使用修改定位的方式进行获利。1.3、利益驱动为主，黑灰产在交易平台进行大量交易黑灰产在对各大平台进行攻击后，会将自己的“战利品”分销变现，此时，黑灰产一般会选择在各大发卡网站上进行售卖，以获得收益。发卡平台：类似“淘宝”，黑产特有的交易网站，在上面

18、可以陈列商品进行售卖，特点是伪装性强，一般一个链接对应一个店铺，而链接通常只有“内部人”才知道。1.3.1、共监控到 780+个发卡网站，16W+店铺售卖各类黑灰产资源2021 年，永安在线共监控到 780+个发卡网站，在这些黑灰产交易网站上，共有16W+店铺在售卖各类黑灰产资源，合计 6 大类，30+个商品品类。黑灰产第一大资源交易变现品类为账号类商品，占比近 60%，其次是优惠券类商品，13占比近 15%。1.3.2、内容行业账号交易约占 36%、社交行业账号交易约占 25%2021 年，永安在线监控的黑灰产市场全年的账号资源交易中，主要涉及的 TOP3 行业是：内容行业，35.70%；社

19、交行业，24.58%；电商行业，23.32%。14内容社区行业的黑灰产交易账号，最终被用于引流和刷量，是虚假流量和代写代发的核心资源。社交行业的黑灰产交易账号，主要用于引流和欺诈，此类账号的交易流转，是社交平台上内容风险和用户安全的问题根源。电商行业的黑产交易账号，主要用于薅取优惠权益，批量购买优惠商品。为了提高攻击效率，黑灰产多数情况下会提取这些账号的 cookie 或 token 数据，再配合工具完成自动化批量攻击。因此，电商行业的账号大量交易，会带来平台的巨大资损。1.3.3、除账号类黑灰产资源交易之外，66%为优惠券资源交易黑灰产在对各大平台进行攻击后，会将自己的“战利品”分销变现，此

20、时，黑灰产一般会选择在各大发卡网站上进行售卖。在账号类交易之外的黑灰产资源变现商品品类中，优惠券资源交易占比最高，达 66.03%，其次是会员代充，占比 17.59%。15黑灰产优惠券资源的来源主体还是以各大电商平头为主，占比超 97%；而接近 50%的会员转卖/代充发生在音视频及内容社区行业，其中大部分属于异业合作的特惠会员，黑产往往会从这些平台的合作方渠道获取优惠的会员，之后再以低于官方的价格进行售卖。二、2021 年黑灰产对抗资源变化情况据永安在线观察，“断卡行动”虽然对黑灰产造成了有效的打击，但他们通过海外卡、拦截卡、私接等方式，避开了各类限制，使黑手机卡成功的“死灰复燃”，为各个风险

21、场景的作恶，提供了充足的弹药。这种对抗上的变化，体现出黑灰产顽强的生命力和对抗能力。与此同时，秒拨和代理资源的活跃，也为黑灰产供应着大量的 IP 伪装资源。2.1、资源重新调配，“断卡行动”后，黑手机卡资源以新的方式被利用国家从 2020 年 10 月 10 日开始，对涉嫌违规的手机卡和银行卡实施“断卡行动”，这两种卡都是黑灰产最主要的作恶资源，而在“断卡行动”开展的一年多以来，作为必不可少的一环，黑灰产在手机卡资源的使用上有了新的趋势。162.1.1、“断卡行动”后，传统黑手机卡月活跃量不断下降永安在线发现，在断卡行动的 2020 年 10 月，恰好就是传统黑手机卡月活跃量的拐点：在这之前一

22、直维持着较高的增长水平，在这之后，整体趋势上不断下降。*传统黑手机卡：指非正常实名的手机 SIM 卡，渠道多样，有企业匿名、历史物联网卡、通信虚拟等等，主要特征是“在生命周期内被黑产固定持有”，即在这个期限内无论注册哪个平台，进行什么行为均可判断为恶意。2.1.2、“断卡行动”后，国外传统黑手机卡月活跃量超过国内传统黑手机卡“断卡行动”之后的 14 个月里，国外传统黑手机卡的月活跃量基本上都高于国内传统黑手机卡的月活跃量。这一方面是因为“断卡行动”主要打击的是国内的手机卡，但17另一方面也表明，黑产开始更多的使用国外的传统黑手机卡对于国内公司进行业务攻击。2.1.3、“断卡行动后”，拦截卡月活

23、跃量超过传统黑手机卡月活跃量断卡行动的 2020 年 10 月，恰好也是拦截卡和传统黑手机卡月活跃量占比的拐点：在 2020 年 10 月的“断卡行动”后的 14 个月里，拦截卡月活跃量基本高于传统黑手机卡的月活跃量。可见在“断卡行动”后，黑产更多的使用拦截卡作为作恶资源。拦截卡：指通过设备硬件后门或软件 App 方式植入木马，拦截正常用户手机设备收到的短信内容，利用其进行恶意注册，其主要特征是“手机号为自然人持有”。因这种黑卡采用拦截短信内容的方法进行恶意行为，我们简称其为“拦截卡”。2.1.4、“断卡行动”后，黑灰产更多的采用群接码的方式使用传统黑手机卡18从群接码数据和活跃的接码群上看，

24、在“断卡行动”后，无论是群接码数据还是活跃的接码群都大幅增加，可见，“断卡行动”让大部分卡商感觉到了风险，因此在传播方式上，普遍把传统黑手机卡，从接码平台上转移到了隐蔽性更高、私密性更好的群接码上。群接码：群接码是具有高质量黑卡资源的黑产资源商，为防止被监测，以及汇聚客户资源，通过部署的私有化黑卡资源库，并向消费者定向发送手机号，并在 QQ 群接收验证码的方式进行注册登录的一种接码方式。2.1.5、“断卡行动”后，除群接码方式外，黑灰产也更多的使用项目私接的形式进行接码黑灰产接手机验证码的方式，除了转移到使用群接码之外，还更多的转移成了项目私接的形式：提供专属 API 的形式进行接码，需要单独

25、联系客服才能进行账号注册和充值，并且项目会受到限制，一个平台账号一般只能对接开户的单独项目和号码。而从 2020 年、2021 年两年的，黑手机卡私接验证码舆情变化上看：在断卡行动后，项目私接的舆情有一个很明显的上升，之后的 11 月虽有回落，但依然比 10 月“断卡行动”前高 7 倍。而且，在这之后，项目私接的每月舆情数都在不断增加，在 2021年 10 月达到高峰，之后的 11 月、12 月舆情虽有回落，但依然维持在较高水平，可见“项目私接”形式的手机验证码获取，逐渐成为黑产的主要攻击方式。2.2、更加善于伪装，使用 IP 方式进行身份绕过19黑灰产除了会使用各类工具进行自动化攻击外，还会

26、使用 IP 资源进行身份伪装绕过。2.2.1、风险 IP 日活跃量在 2 亿左右，最高时达 3.2 亿2021 年永安在线监控的风险 IP 日活跃量在 2 亿左右，最高时达 3.2 亿。2.2.2、秒拨及代理平台风险 IP 日活跃量对比，秒拨 IP 日活跃量平稳2021 年，永安在线监控的秒拨 IP 日活跃平稳，它已然成为支撑黑产与甲方在 IP 层面博弈的核心技术，也是当下业务安全行业的痛点之一。秒拨的底层思路就是利用国内家用宽带拨号上网（PPPoE）的原理，每一次断线重连就会获取一个新的 IP。这在与甲方的 IP 策略对抗层面，给予秒拨两个天然的优势：20IP 池巨大：假设某秒拨机上的宽带资

27、源属于 A 地区电信运营商，那么该秒拨机可拨到整个 A 地区电信 IP 池中的 IP，少则十万量级，多则百万量级；难以识别：因为秒拨 IP 和正常用户 IP 取自同一个 IP 池，秒拨 IP 的使用周期（通常在秒级或分钟级）结束后，大概率会流转到正常用户手中，所以区分秒拨 IP 和正常用户 IP 难度很大。秒拨的这两大天然优势，对于黑产而言，是两道天然的屏障，同时也给甲方在风险 IP识别和判定上带来极大的挑战。2.2.3、活跃的风险 IP 类型中，家庭宽带占比最高，达到65%2021 年活跃的风险 IP 类型中，家庭宽带占比最高，达 65%，其次是数据中心，占比达 7%。当前形势下与黑产在 I

28、P 层面上的对抗，依靠传统的积累 IP 威胁情报库的方式，无法直接应用和落地到业务侧，典型的使用效果是：对黑 IP 的检出率很高，但对正常用户IP 的误判率也很高。所以，识别风险 IP 的核心依据应该是，该 IP 是否当下被黑产持有，IP 的黑产使用周21期和时间有效性这两个指标尤为重要，尤其是对于像家庭宽带 IP、数据中心主机 IP 这种“非共享型”的 IP。对于像家庭宽带 IP、数据中心主机 IP 这种“非共享型”的 IP，精准识别出来的风险IP 可以直接进行阻断或限制，针对基站、专用出口等“共享型”的 IP，由于单个 IP 背后会有大量用户，不建议直接阻断或限制，可以参与加权或结合其他维

29、度的数据进行综合判断。三、2021 年黑灰产攻击变化情况2021 年，在黑灰产攻击上也出现了一些突出的现象，如：因小程序高速发展带来的微信授权的大规模泛滥、数字化经济发展衍生的用户信息安全问题、因 API 的管理失控带来的数据泄露问题，都值得大家关注。3.1、微信授权攻击猖獗一时2021 年，黑灰产利用众多因违规被封、不能正常使用支付等重要业务功能，但仍然可以授权各类平台的微信号进行不同业务登录，从而生成新身份的微信登录攻击方式猖獗一时。此类微信授权登录的方式，主要有三种：第一种是，使用 62 或 A16 数据，配合孔雀签或外星人工具进行微信账号登录后扫码授权。a16、62 数据是微信登录后产

30、生的身份凭证数据，有了 a16 或者 62 数据就可以实现免账号密码，免验证登录微信。第二种是，在手机上安装如“柠檬”等的微信授权工具后，唤醒工具跳转登录。第三种是，使用如“利群”类微信授权平台，提供的 API 接口，集成到自动化工具中，进行登录。这三类微信授权的作恶方式，为黑产提供了丰富的攻击弹药，从 2021 年开始，此类微信授权便逐渐规模化，在发展高峰期间，甚至达到了：活跃的授权平台数十家，活跃的授权 APP 数十个的规模，同时，黑产市场上活跃的微信账号也超百万量级。22但后来由于微信对于账号的治理，大量微信授权平台倒闭跑路，而这项黑产“生意”，也如昙花一现，迅速凋零，到如今只有很少一部

31、分存活。除此之外，基于微信授权平台开发的自动化工具数量也在巅峰之后，极速下降：3.2、数据泄露问题频发，各个行业均面临威胁3.2.1、数据泄露事件覆盖各行业，快递/物流行业占比最高，23达 25%2021 年，经过永安在线人工运营和专家分析，共监测到有效数据泄露情报事件共1700 余起，涉及企业近 500 家，涉及 30 多个行业。 其中 11 月份事件数量剧增，较10 月份上涨 2 倍，这主要因为双十一购物节后大量电商网购、物流快递信息泄露导致。其中，快递/物流行业为数据泄露事件数排名第一的行业，占比为 25%；借贷行业排名第二，占比近 21%，证券行业排名第三，占比近 15%。根据永安在线

32、对国内各行业的，数据资产泄露风险监测统计结果显示，快递/物流行业为数据泄露事件数排名第一的行业，占比为 25%；借贷行业排名第二，占比近 21%，证券行业排名第三，占比近 15%。泄露后的数据，通常会被用于诈骗、广告推广和同行竞争等。以诈骗为例，每个行业数据泄露后的诈骗手法都有所区别，以下是 TOP5 行业常见诈骗手法：243.2.2、数据泄露最多的是各平台的客户信息，占比高达98%2021 年泄露的数据中，数据类型主要集中在平台用户信息，占比达 98%；其次是公民个人信息、数据库账号、后台源码信息等。平台用户信息泄露，极有可能会被用于各种类型的营销推广，同时也是诈骗频发的重要原因。253.2

33、.3、数据资产交易的主要渠道仍是 Telegram，交易发生占比达 80%黑产进行数据交易，主要集中在隐蔽性较高的渠道，其中，Telegram 占比近 80%、暗网占比近 19%。3.3、攻击平面延伸，API 成黑灰产攻击焦点，成数据泄露最大诱因数据资产的数字经济时代的重要性不言而喻，在目前已成为一种新型生产要素，推动着各行各业的发展。因此，对数据的窃取变成了黑灰产作恶的重要部分。API 作为承载数据流转和业务功能实现的核心，在 2021 年成为黑灰产攻击的焦点，也是致使数据泄露事件频繁的重要原因。3.3.1、大量黑灰产作恶工具攻击 API 接口，涉及场景丰富，其中账号场景接口数占比高达 63

34、%26永安在线从 2021 年监控的 17.59 万款黑产工具中，提取出了大量被攻击的 API 接口，涉及场景包括：登录场景、验证码场景、注册场景、活动场景、内容场景等。其中，遭受攻击的 API 接口占比最高的是登录场景，达 44%；其次是验证码场景，达22.2%；第三是注册场景，达 19.31%。3.3.2、因 API 管控不当造成的内部安全缺陷，是引发数据泄露的主因2021 年永安在线对监控到的 1700 余起数据泄露事件进行分析后发现，引发数据资产泄露最大的原因有：（1）API 管控不当造成的内部安全缺陷，占比达 45.45%，这主要是企业数据流转节点的不断增多，导致大量无法感知到的 A

35、PI 暴露在外，被黑产利用并进行攻击导致；（2）运营商/短信通道泄露，占比达 36.23%；（3）内部人员泄露，占比达 14.83%。27值得一提的是，在排名第三的原因内部人员泄露中，也有很大的可能是内部人员越权而非法利用了 API，或者是离职员工权限未及时收回导致。因此，实际上因 API管控不当造成的数据泄露风险已超过 50%，这是在当下数据安全管控趋严的环境下，众多平台首先要解决的问题。3.3.3、每个月都有因 API 管控不当导致的数据泄露事件2021 年 7 月，国内某大型教育机构的 40 万条用户信息数据，在暗网被售卖。经验证分析，证实为：数据接口暴露在外，API 被爬取导致；202

36、1 年 8 月，国内某房地产开发商的公司内部员工通讯录、销售合同等机密文件以及客户信息档案明细数据，在暗网被进行售卖。经验证分析，证实为：数据接28口暴露在外，API 被爬取导致；2021 年 9 月，国内头部旅游公司的大量航班订单数据，包括：个人姓名、手机号、飞机起降时间、航班号等敏感信息，在数据交易平台被售卖。经验证分析，证实为：内部系统 API，被内鬼利用获取数据导致；2021 年 10 月，国内头部物流公司后台系统的订单数据，包括：寄件人姓名、手机号、运单编号、产品类型以及配送信息等敏感数据，以每日 5 万条的量级在数据交易平台被售卖。经验证分析，证实为：离职员工数据访问权限，未及时收

37、回导致；2021 年 11 月，国内某大型航空公司的航班数据，包括：航班信息、用户姓名、手机号等内容，在数据交易平台被售卖，量级达 1 千多万条。经验证分析，证实为：内部数据 API，被离职员工利用导致；2021 年 12 月，国内某证券公司的客户信息数据，包括：用户姓名、手机号、开户时间、交易情况等敏感数据，以每日 1 万多条的量级在数据交易平台被售卖。经验证分析，证实为：内部系统数据 API 管控疏忽导致。四、2022 年黑灰产走势预测4.1、因 API 管控不当引发的数据泄露会越来越多，API 安全问题越来越值得被重视随着大数据、微服务、云原生等技术的持续发展，API 发挥着越来越重要的

38、作用，我们当前丰富的数字生活背后，就是成千上万个 API 在工作，因此，承载着企业核心业务逻辑和敏感数据的 API，一旦被攻击，将对企业及其所服务的客户造成巨大的危害。并且，随着中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共和国个人信息保护法等法律法规在 2021 年的施行，无论是政府还是普通大众，对于数据和隐私越来越重视，而作为数据泄露的主要来源之一，API 安全应当被提到重要位置。294.2、黑灰产会更多的使用私接的形式进行接码、且国外黑手机卡对平台的攻击会越来越多“断卡行动”一方面促使卡商选择更加隐秘低调的方式；一方面，让拥有高质量黑卡资源的卡商，更加谨慎的防止被检测，因

39、此最终导致黑产更多的选择以“项目私接”的形式进行接码。与此同时，随着中国互联公司在海外业务的扩展加深，很多公司对于国外的手机号注册等操作，不会进行过多的限制，这也导致黑灰产会越来越多的选择使用国外的传统黑卡进行攻击。4.3、黑灰产改机、虚拟定位等工具推陈出新，不断为黑灰产在营销作弊等场景提供支持黑灰产会使用改机的方式进行新设备的生成，虽然设备风险识别技术在不断地发展，但黑产也一直在对改机工具推陈出新，典型地，以 ROM 包改机的方式，在 2021 年就推出了至少 10 款。以成本的视角进行考虑，一款改机工具，可以帮助黑灰产无限生成新设备，既能实现风险绕过，也能省去买新设备的钱，因此可以预见，在

40、 2022 年黑灰产必定会有新的工具不断推出，其它的，如定位、代理等，作为黑产“武器库”，也会不断地有新工具被推出。4.4、真人众包攻击依然为风控难点，真人代下单成为重点场景真人众包攻击因其“真人”的属性，很难从行为特征等层面检测，长期以来，被黑产在重点营销场景上使用，在 2022 年依然也会延续。在“真人众包”作恶带来的风险之下，黑灰产代下单值得被关注：我们在 2021 监控到的真人代下单活跃黑灰产数，比 2020 年增加了 2 倍，并且在 2021 年的后面几个月，趋势也一直在上升。可以预见，真人代下单将成为 2022 年真人作恶攻击之下的一个30主要风险场景。五、风险对抗思路 以情报为依

41、托，建立风险管理的安全基线无论是传统的黑灰产攻击场景，还是最近愈发严重的因 API 管控不当引发的数据安全问题，都可以以情报为依托，建立风险管理的安全基线。比如，利用永安在线丰富的黑灰产情报数据，可以：在传统黑灰产攻击场景：提炼总结出黑灰产具体动向及使用的工具、物料等信息，进行直接特征匹配防御；在 API 治理场景：匹配企业业务中的异常流量进行全面的风险发现。对于第一点，是因为黑灰产无论是在产业链分工，还是在生命周期，亦或是在工具物料等的使用上，都有明显的特征，因此，此时可以使用情报技术，根据这些特征对黑灰产进行监控并分析，提炼总结出黑灰产具体动向以及攻击信息，从而进行针对性的防御。比如对于黑

42、灰产使用的作恶工具，能够分析出：这个作恶工具访问的接口特征、访问时序特征、请求中固定字符串特征等。然后根据这些特征，直接进行风险定位及修复。对于第二点，是因为黑灰产在发起攻击时必然会用到一些资源，比如 IP、黑产作恶工具等等，因此，这类场景下，同样可以通过情报能力去发现其中是否存在风险特征，之后再匹配企业业务中的异常流量进行全面的风险发现。具体是：利用永安在线丰富的黑灰产情报数据，提取黑产攻击模式及资源特征，匹配企业业务中的异常流量进行全面的风险发现；IP 画像情报：利用威胁情报平台监控到的风险 IP 标签，对客户业务流量进行标记，一方面会监控各业务 API 的风险 IP 访问趋势变化，另一方

43、面使用对比大数据分析出正常用户与风险 IP 在该 API 下的请求行为序列的区别，来确定该 API 是否有被31攻击的风险；针对攻击 IP，提供 IP 画像访问次数、地域、风险等标签信息，以 API 接口的方式实时输出攻击特征 IOC，之后再联动企业其他安全系统及时阻断攻击流量，提高阻断的效率 ，实现多点防御。在实际应用中，以情报为依托的风险发现体系，具备误判率低，可用性高的特点，能够在做到及时全面的感知企业外部黑灰产攻击及 API 风险的同时，精准的预警输出攻击者的 IOC 情报等，然后联动风控系统或 WAF 等快速处置攻击风险，从而帮助企业实现更好的黑灰产治理及 API 风险识别和阻断。六

44、、甲方最佳防护实践案例6.1、汽车之家汽车之家，作为中国领先的汽车消费者在线服务平台，主要在三大风险场景上面临着黑灰产的威胁：营销活动场景：汽车之家每年都会举办大量的营销活动，每场活动都有较大的激励政策，这成为了黑灰产眼中的香饽饽，而他们对活动的攻击，不仅造成了公司损失大量的活动经费，还让活动效果大打折扣，同时产生了大量的虚假购车线索，造成客户投诉现象；刷量作弊场景：各类黑灰产的刷榜行为，导致了大量的虚假流量，这很容易误导用户，让平台的信誉受损；内容风险场景：黑产灌水或发广告产生大量垃圾内容，影响用户体验，造成了用户流失。2021 年 9 月，情报系统发现黑灰产针对汽车之家开发了“汽车之家评论

45、 1.0.exe”、“闪辆 1.1.exe”等作恶工具，这两款工具主要会引起内容和营销活动攻击的风险。这些作恶工具的作恶基本原理是：黑灰产通过对接接码平台，从而获取黑手机号；对接代理平台后自由切换 IP 地址，从而绕过服务器的 IP 风控检测；之后，再导入账号、32密码、目标帖子、评论语句等。这一系列完成之后，黑灰产便可以进行自动化操作，进而批量发布诈骗评论、进行营销活动薅羊毛等操作。汽车之家在获得此情报后，及时根据分析出来的黑灰产的攻击特征，更新了相应接口的加密算法，及时堵住了风险，遏制了进一步的扩大态势。之后，风控团队立即加强了措施，使得黑灰产攻击的活动失效，及时进行了止损，也有效地避免了

46、大量客诉情况的发生。由上例可以看出，汽车之家从用户看车/买车/用车全场景，从设备/IP/手机号等全方位构建了自身风控系统，涵盖了设备指纹、规则引擎、关联网络、情报感知平台、垃圾内容识别、风险接口、风险画像、风控大盘等。另外，借助外部情报系统，还补足了内部风控团队的视角，并与业务部门联动，及时识别出各种黑灰产广告、活动薅羊毛用户、虚假流量、虚假注册用户。整个汽车之家站内产品风控流程由此形成闭环，保障了整体的业务安全。6.2、58 同城据永安在线了解，58 同城安全团队，在 2021 年持续加码打击黑灰产养号，借助大数据、人工智能、外部情报监控等技术，构建出了一套追踪并识别包括黑灰产养号在内的监控

47、系统，此系统可以有效地监控黑灰产团伙养号的动向，进行账号识别后，安全团队联动业务线进行账号层面的治理，以达到有效打击黑灰产团伙养号的效果。从 58 安全团队了解到，在系统监控整治期间，黑灰产团伙养号被识别的概率持续地提高，同时拉黑的比例也在迅速上升，到了 7 月份，就有近 40%的账号处在了拉黑不能操作的状态。33此养号黑灰产团伙感受到风控封禁策略后，在 8 月初时放弃了大规模的养号操作。另外，系统监控到，从 2021 年 8 月 9 号开始，养号团伙控制的账号活跃数量，由一个月前的 4.5 万，直接降到了 0.7 万，降幅近 70%。6.3、小红书根据永安在线统计，情报系统今年共捕获到 21

48、5,983 条与小红书相关的黑灰产舆情，其中高风险舆情为 32,334 条，覆盖 8000 多个群组、论坛等黑产讨论渠道，共捕获到182 款小红书相关工具。34面对如此严峻的黑灰产攻击情况，小红书建立了一套完整的反作弊机制：通过“机审+人审”等多模型作弊算法，对作弊行为进行实时阻拦，并且，结合用户反馈，每天在线巡回检查存量作弊行为，保证检查范围。与此同时，小红书还会针对新的作弊手段和行为，进行算法的升级和迭代，保证模型的长期有效。此套反作弊机制效果明显：在针对虚假流量的对抗上，小红书公布了 2021 年 1 月-2021 年 8 月的社区生态治理信息，数据显示，今年前 8 个月，小红书实时拦截

49、和清理黑灰产刷量等作弊行为超过 15.7 亿次，循环拦截和清理黑灰产刷量行为超过 8.7 亿次，处理涉嫌刷量笔记 814 万篇。此外，对于各类代写代发黑灰产作弊行为，小红书平台也在一直下决心整治。自 2019年小红书设立专业团队以来，对外部黑灰产代写进行持续的治理，通过微信、百度贴吧、豆瓣、淘宝等平台，发现并下架或屏蔽了超过 160 万个黑灰产招募链接。同时，随着小红书业务的不断发展，2021 年下半年，团队配置和加强了风控情报侧的产品和技术投入，持续在黑灰产工具分析、黑灰产价格监控等层面进行情报挖掘。在黑灰产工具情报层面，小红书通过外部情报系统提供的黑灰产工具库，及时捕获了对小红书进行攻击的

50、各类工具，并且通过工具分析，得到了爬虫、刷量等场景的作弊手法、攻击接口，梳理出了黑灰产主要的技术栈，这项工作让团队能够从外部视角了解黑灰产的技术现状，并及时掌握目前防控的薄弱环节，弥补了识别和防控的短板。在黑灰产交易层面，小红书的策略算法团队使用情报系统获得的账号交易、众包交易数据，辅以采集的黑灰产平台的作弊交易信息，进行外部视角的评估，有效地帮助了算法团队对于特定场景打击效果的召回率和精确率的统计。在 2021 年下半年的重大节日活动中，小红书内部还组成了由策略、算法、情报、移动安全构成的联防联动应对小组，通过数据侧捕获异常信息、情报侧提供外部价值信息、移动安全侧掌握不同手法特征等，多方面相