在刚刚结束FightFraudCon2025上,威胁猎人情报运营总监郭良超以《全球化视角下的黑灰产攻击:看见海外异同,情报指导防御》为题,系统解析了黑灰产在全球范围内的分布特征、行业风险与应对思路。
郭良超指出:在全球视角下,黑灰产攻击“看似不同”,但本质相同。要想实现有效防御,我们需要依托“情报+蓝军”,把发现、研判、处置、提升,打通并闭环,从而提升整体防御水平。
一、全球黑灰产的差异与挑战
1.1 全球各区域风险画像基本概括
先看分布:全球区域,中国以外,东南亚/北美/拉美/欧洲/中东,黑灰产攻击均高发;语种, 英/西/葡/印尼/越南/俄/日 也多语种并行。
再看渠道:各区域黑灰产虽然惯常使用的渠道不一样,但是都会遵循着一个特点,那就是:全球性渠道负责扩散与引流,本地化渠道承接成交与交付。
再看整体的攻击场景:各区域都可以用“场景丰富、且手法演化很快”来概括:各区域的 电商、金融、出行、外卖、视频社交等行业 等均存在风险,无一例外,攻击场景也丰富多样,包括:支付欺诈、KYC欺诈、物流欺诈、营销欺诈等。
1.2 全球各区域黑灰产攻击的差异与挑战
看完整体的画像后,我们再看差异和挑战:
首先,因为禀赋与环境场景的不同,各区域黑产的“手法”、“变现路径”等存在着差异。比如,当下,东南亚KYC高发,拉美盗刷套利高发,欧美恶意退款行为高发,等等,这些差异,也带来了“出海进入不同的区域,需要同时面对不同组合打法,同一套规则难以复用”的挑战。
其次,因为数字基础、平台成熟度度等的不同,造成了各区域风控基础存在差异。比如,很多区域,存在着稳定的设备指纹采集不足,没有可依赖的画像信誉库,等情况。这也带来了诸多挑战:“风控模型迁移衰减、关键信号不对称、成本与复杂度提高”。
继而,在惯常使用的渠道方面,每个区域也存在不同,虽然几乎都是“全球性渠道重点用来广告和引流”,但在进行成交和交付时,基本上都是本地化平台的或本地化习惯建立的私域渠道。
比如,东南亚地区会使用zalo、WhatsApp私域群、拉美会使用本地交易平台等。这种语言、黑话、社区生态的不同,使得情报获取和理解困难,从而导致我们与本地黑灰产存在巨大的信息鸿沟,应对被动。
最后,在文化层面,全球不同区域也存在差异,比如,不同的关键词,在不同区域可能有不同的含义,相反,在不同区域,相同的场景,也会有不同的黑话。这带来了“高理解成本,边界和处置难统一的挑战”。
以上这些差异和挑战分析完成后,我们还观察到,可以被称为“时光机”效应的现象,即:一种打法在成熟市场跑通后,会被模块化的复用到其他的新兴市场。
比如,典型的,在中国被研究和使用的很成熟的“改机、群控、自动化、云手机”等,在东南亚、欧美等区域,被进行适配后,在电商、直播等场景进行攻击。
“时光机”效应,启发着我们两点:
①、我们可以用 中国/成熟 市场的经验,为新市场做提前的规划;
②、“时光机”之所以有效,在于黑产有着相同的本质。
二、全球黑灰产相同的本质
那么,是什么本质呢?我们观察,最终可以总结为4个:
第一个本质:逐利性(ROI驱动):
ROI模型,其实就是 收益/成本 的模型,这里的收益,是作恶变现的收益,成本,则是黑产作恶时的物料成本等。比如,礼品卡套利,黑产会小批量测试折扣和可用率,如果收益高就会放量,但因为存在着平台对抗,会逐渐使得收益比变小,此时,黑产就会转移到其他场景、平台或区域。
第二个本质:高度分工与供应链
黑产的运作,在利益的驱动下,早已像工厂一样运转,并且,跨区域协作也已然是常态,形成全球供应链。
比如,东南亚“KYC”绕过,会以成品号、代办、教程等形式,流向欧美、拉美等区域作恶。再如:德国的恶退会服务东南亚的黑产。
第三个本质:短板利用
在攻击时,黑产往往会先“扫描”整条业务链路,找到单位收益最高或者最薄弱的点,然后集中性进行攻击。
比如,恶意退款,黑产会利用社工形式,测试出最有可能成功的话术,然后将其“模板化”,甚至衍生出服务,集中性的攻击平台。
第四个本质:“强烈依赖信息交流”
无论是“逐利”、“高度分工/供应链”,还是“短板利用”,都无法靠单个的黑产去完成所有攻击,因此其背后都需要黑产和黑产之间的高度交流。黑产,从“公开引流层”到“私域成交层”到“黑市的即买即用层”,所有的层级信息,都在以“逐利”、“分工撮合”、“短板利用”、“变现”为驱动展开。
上述的四个本质,发生在各个区域,各个行业,接下来,将以“电商”、“金融信贷”、“视频/社交”、“出行”,为例,具体说明。
三、全球黑灰产风险场景
3.1 电商行业风险
全球电商行业,面临的风险基本一致:买家/卖家端,风险共存,风险场景多,并且演化很快。
以黑产主攻场景“代下”、“恶意退款”、“物流作弊”为例,每个场景,今年此消彼长的攻击手法基本上都是3个以上。
3.2 金融信贷行业风险
在全球各区域,金融信贷行业,因为“依赖个人验证、且世界各区域证件/资料/基础设施不同,并且离钱近,ROI高,是黑产研究的重点,当然也是黑产最常攻击的行业”。
比如最常见的一个场景,就是使用虚假资料,绕过KYC验证后,直接骗取贷款金额。
我们团队曾对某个区域的一个主流金融信贷平台,进行的情报分析,首先,使用虚假资料,然后结合一些技术手段后,能够成功进行贷款,并获得金额;其次,我们计算了当时测试时的ROI:物料投入30人民币,当时申请的获得的金额是420人民币,整体的ROI就是1400%,黑产的获利很丰厚,而且这还是我们测试的贷款比较低的平台。
再来看,另外一个平台,黑产在它上面,每月的获利就直接达7~8W人民币。
3.3 出行/外卖行业风险
出行/外卖 行业的特点是 强履约、强空间/时间属性;攻击会集中在账号/位置/支付三个要素节点上,再加上近期的补贴的持续加强,进一步拉高了黑产的ROI,使得 套利、骗补 等风险,高频发生。举例子,我们在巴西、中东、东南亚等区域,就发现黑产店铺虚假入驻的情况,投资不高,但也是收益颇丰。
拿巴西的虚假入驻案例举例:物料投入是524人民币,以黑产骗取20个人,单价是50R$的情况计算,黑产的收入就是1310人民币,ROI就是250%,但其实此类方法下,黑产能骗取的人数远不止20,也就是其ROI会更高。
3.4 视频社交行业风险
视频社交行业的特点是“强账号、强流量、强虚拟资产”,因此,攻击也往往集中在“提高流量”、“账号矩阵”、“虚拟支付”等上,而且因为平台的打击,其手法迭代也很快。
比如,无人直播的作弊手法,从OBS工具,到后来的硬改一体机内置虚拟摄像头,再到增加AI智能互动,再到近期的AB直播,新的对抗手法出现高频。
四大行业虽然表现各异,但是本质同源,黑产攻击逻辑一致:所有风险都遵循“ROI驱动 + 快速演化 + 短板攻击”,并且黑产分工明确、依赖交流、演化也很快。
四、情报指导防御,蓝军提升水位
那么,面对如此快速的黑产攻击,企业如何才能从被动挨打转变为主动防御呢?
关键在于,用情报指导防御,并配合蓝军提升防御水位,打通“发现-研判-处置-提升”的闭环 :战略情报定方向、战术情报给打法、技术情报落拦截,蓝军持续提升。
4.1 战略情报:看全局,定优先
战略情报的作用是:看全局,定优先。威胁猎人通过行业/区域研究和黑产交易市场动态分析,帮助企业识别风险生态和趋势,明确防御优先级,支撑业务决策和调整。
举两个真实的案例
在为欧洲某头部二手电商平台服务时,威胁猎人通过对目标市场的黑产及竞品风险分析,研判出目标区域的风险全貌和热度排名,帮助客户制定进军新市场的防御优先级。
在服务一家世界头部电商平台时,情报发现摩洛哥地区的代下热度异常走高。分析后确定原因:摩洛哥高关税导致本地溢价高,消费者选择通过私人代理转运套利。客户基于此情报调整运营策略后,资损相应减少。
4.2 战术情报:看行动,出打法
战术情报的作用是:看行动、出打法。 威胁猎人持续追踪黑产的最新手法、工具和攻击链路,并沉淀为可落地的检测规则和防御步骤,持续迭代直至交付风控落地。
举一个真实的案例
以“怼屏”绕过KYC人脸识别的新型攻击手法为例,威胁猎人从2025年5月发现海外头部工作室开始发布该手法及专用屏幕售卖,到6月黑产在TG群中深度研究和绕过海外金融平台,8月该手法渗透至国内,成功绕过头部交易所。直到最近几天,“怼屏”已经渗透到了国内,国内的头部手机厂商、头部银行、头部电商平台等,都遭受了此类攻击。
这个手法的演化,说明了黑产的攻击手法普遍是从高级到普通、从区域到全球的普及路径。对于企业而言,提前感知黑产的行动,并预先布控防御,是将潜在风险降到最低的关键。
4.3 技术情报:看特征,做拦截
技术情报的作用是:看特征、做拦截。威胁猎人技术情报能力,可以从情报中提取黑产的手机号、恶意账号、业务标识等关键特征,直接帮助客户进行实时拦截。
举一个真实的案例
威胁猎人与一家全球头部电商平台合作,将监控到的黑产渠道中关于该平台的恶意订单号进行识别、清洗和去重,并以API形式持续推送给客户。
从2025年4月至8月底,威胁猎人累计推送了2121条黑产发布的风险单号信息,客户通过这些信息关联并打击了大量黑产团伙。
4.3 技术情报蓝军攻防:持续提升防御的最高水位
蓝军攻防,它的作用是:通过持续的蓝军攻防,把企业防御提升到最高水位。它不是单次绕过测试,而是威胁情报驱动的周期性、定制化对抗与评估。当然,所有效果能持续是要有前提的,这个前提就是:
全球性情报引擎的输入:它代表着能沉淀最全面的手法,同时也能掌握最新的手法;
攻防矩阵的输出:它代表着当次攻击时的全面性;
量化度量:它代表着科学和有理有据的量化评估和指导;
修复方案:它代表着根据实际结果制定的改善方案;
复测和基线管理:它代表着可管理的迭代方式,背后是科学和高效防御。
举一个真实的案例
我们针对KYC蓝军的攻击矩阵,纵向上,每个节点都会有全面的攻防,横向上,从源头到终点都有所包含,保证这个关键场景下的防御是全面的。
并且在执行上,我们会针对所有的可能性,制定攻击方案,并且给出成功率、攻击成本、综合风险等级等,保证蓝军攻防能够帮助客户做到有理有据、有优先级参考、有不断的基线提升。
再来看一个客户的案例
以KYC蓝军服务为例,威胁猎人与某头部金融机构合作,为其进行了三次蓝军测试,每次都成功发现不足。客户针对性修复后,其防御水平肉眼可见地提升至极高位置,后续再测试时,攻击难度和成本显著提高。
五、总结
通过以上全球视角的对比,在分享的最后,郭良超总结:黑灰产虽在不同区域“打法各异”,但本质规律始终一致。相似的挑战,相同的本质,ROI驱动的黑产攻击,打击的核心围绕着:在有限的资源下集中核心能力,精准击破黑产。
这对企业的启示是:
单点的防御技术无法抵御全球化风险;
我们面临的问题是,如何利用好有限的资源,去精准防御和打击黑产;
唯有将情报转化为可指导和落地性的策略,才能真正发挥价值。
这正是威胁猎人持续强调的方向:
战略层面,用情报看清全局、定好防御优先级;
战术层面,用情报看清黑产行动、定好防御打法;
技术层面,把情报看清黑产特征、转化为可执行的拦截;
蓝军层面,通过持续验证、拉升防御基线。
2025年9月17日,由威胁猎人主办的FightFraudCon2025 · 互联网黑灰产攻防技术沙龙在北京成功举办。在议题分享环节,多位嘉宾从趋势研判、法律治理、企业实战与技术对抗等角度对黑灰产攻防现状及趋势进行深度解读,详情见FightFraudCon2025议题分享,从AI欺诈到全球风控最新趋势解读