2022网络金融黑产研究报告 报告作者： 中国工商银行金融科技研究院安全攻防实验室 2023年02月 目录 一、序言 二、2022数说黑产 三、2022网络金融黑产攻击手法演变趋势 1、黑产云化升级，“云手机”成为黑产作案新武器 2、“反催收”黑产野蛮生长，碰瓷式逃废债成金融行业新挑战 3、隐藏在身边的洗钱，“慢充”或被利用成为黑产洗钱新途径 4、生物识别受到黑产关注，新型认证并非固若金汤 5、 AI觉醒，自然语言预训练大模型成黑产新绝招 四、2022黑产防护对抗实践与思考 1、 框架研究，构建黑产防护全景视图 2、队伍建设，打造对抗黑产的专职“业务蓝军” 3、标准先行，建设行业身份认证体系 4、相得益彰，人工智能赋能传统安全防护 5、 技术革命，大模型引发金融反欺诈新思考 五、结束语 01 序 言 多年来，金融机构在反欺诈等黑产对抗工作上的投入不断增加，面对黑产不断的 花样翻新，金融机构的防护难度也不断攀升。中国工商银行作为金融行业的先行 者，持续关注黑产发展，其下属金融科技研究院安全攻防实验室（以下简称 “实 验室”）多年来持续面向社会发布黑产动向及防护技术的研究报告，从黑产攻防 技术研究、黑产团伙溯源反制、智能柔性风控等多维度开展了黑产的对抗防护工 作。在2023年的开年之际，实验室继续从金融安全从业者的角度，为大家带来 2022年黑产的趋势与变化，希望能够为全社会带来黑产防护的新思路。 02 2022数说黑产 为了数字化展示一年来的黑产趋势变化，实验室结合黑产数据分析，从黑产的诈骗 类型、传播趋势、攻击类型等方面对 2022年黑产形势进行总结分析。 2022年全国公安机关持续加强针对黑产团伙的打击，结合“云剑”、“净边”等 一系列专项行动，对黑产进行了有效遏制，截至 11月底，全国共破获电信网络诈骗案件39.1万起，立案数同比下降 17.3%，造成财产损失数额同比下降 1.3%[1]。 各类欺诈事件数量较 2021年有较大幅度下降。 2022年针对金融行业的黑产攻击目标主要包含两大类，一是对个人用户的资金欺 诈，二是对金融企业的薅羊毛、活动作弊。 针对个人用户的资金欺诈方面：根据相关数据统计，去年针对普通个人用户的欺诈 类型仍以虚假兼职、交友诈骗、身份冒充、金融理财为主，分别占所有类型的 29.5%、25.6%、12.5%和10.7%，占所有举报类型的 70%以上，且此四类诈骗危害结 果也较高，涉案金额占所有类型 涉案总额的 95%以上。相较 2021年，虚假兼职及 交友诈骗占比变化不大，但身份冒充类案件数量在 2022年有所上升，由 2021年的 第四位（ 9.4%），上升到第三位（ 12.5%）。 图1：2022年个人用户相关欺诈案件数量及金额占比情况 [2] 针对金融企业的欺诈方面，黑产对银行业务的关注度在 2022年持续攀高，银行业 欺诈事件整体呈高发态势，从针对银行业攻击消息数量的统计中可以看出，针对银 行业的攻击多集中发生在下半年，与这期间银行业务活动较多、整体营销力度较大 有关。 图2：2022年银行业攻击消息数量 [3] 由于不同业务类型的攻击成本不同，因此黑产针对不同类型营销活动的关注度也呈 现出不同分布，其中用户注册、抢优惠券等业务由于容易受到云手机、自动化脚 本、接码平台的攻击，攻击损耗 [4]比较低，整体遭受的攻击最为严重，分别占比 54.49%和32.57%，总占比近九成。答题、助力等活动由于需要真人参与作 弊，诈 骗成本较高，因此总体攻击占比较小。 图3:2022年银行业受攻击的活动类型占比 [5] 从针对金融行业攻击的黑产 IP分布来看，黑产 IP主要集中在部分重点地区，以江 苏、浙江、辽宁、福建、 安徽五地为主，黑产 IP数量占比超过 70%。 图4：针对金融行业网络攻击的 IP资源所在地 [6] 从黑产使用的工具来分析， 2022年黑产使用工具主要分 为三类：开发者工具、自 研类工具和辅助通讯类工具。开发者工具，主要包括开源类应用、模拟器、测试包 等应用；自研类工具多为从业者定向使用的工具，如洗钱 -免签、跑分平台等特殊 应用；辅助类工具是指物料提供环节使用的应用，如 GOIP、远控类等应用。从数 据统计中可以看出， 2022年度黑产各类工具传播量整体呈增长趋势，黑产工具传 播量在3月、7至8月、11月出现3个明显峰值，这与暑期、“双 11”等电商推 出促销活动强相关，说明重点活动期间，黑产活跃性也同步增强。 图5：2022年黑产APP传播月度趋势 [7] 03 2022网络金融黑产攻击手法演变趋势 随着新一轮科技革命和产业变革的深入发展，数字化转型已经成为当前银行业提升 服务效能的主流趋势，然而伴随着企业数字化转型，企业业务的边界愈发模糊，黑 产的攻击手段也愈发多元化。 为了进一步提升整个行业的黑产防护水平，实验室选取了年内黑产研究对抗中最典 型、最具代表性的黑产攻击手法，为大家进行介绍，希望全社会共同关注，实现对 相关手法的预防： 1、 黑产云化升级，“云手机”成为黑产作案新武器 随着云计算、云服务等新技术在互联网的应用和发展，黑产也逐步将攻击技术向云 化发展。年内实验室监测到，使用云手机进行作案已经逐渐成为新的趋势，相比于 传统的“手机农场”，云手机高性能、易维护、可扩展的特性使其在黑色产业链中 呈现快速传播的趋势。 图6：云手机示例 • “云手机” 历经四代技术发展 “云手机”是指构建在云计算能力之上的云端仿真手机，除了无法插入 SIM卡、 拨打电话之外，基本上具有真实手机的所有功能。根据实现原理，“云手机”大 致经历了四代的发展，包括真机云手机、模拟器云手机、容器云手机、 ARM阵列 云手机。相较于前几代云真机， 2022年最新一代基于 ARM阵列的“云手机”在功 能、性能方面的表现无限接近真机，可基于云技术提供监控和迁移能力，稳定性 表现优秀，除此之外也具备极强的拓展性。 图7：云手机发展历程 • “黑产专用云手机”涉及多个作案场景 黑产在云手机技术的基础上，开发了“黑产专用云手机”，集成了 HOOK攻击框 架、自动化操作、虚拟定位、虚拟相机、一键改机等一系列黑产常用功能及组 件，实现了 BTaaS（黑产工具即服务），并逐渐替代真机成为了黑产首选设备资 源，目前已应用到多类黑产活动中，主要包括群控、定位伪造、改机、协议破 解、人脸识别绕过等场景。 群控场景：云手机场景下，黑产可实现低成本、高性能的设备模拟，利用群控功能 同时操作大量设备，借助脚本工具完成批量注册、自动领券、商品秒杀、自动下单 等功能。 定位伪造场景：商家在业务推广活动中，往往会部署 基于地理位置的风控策略，避 免黑产进行跨地域薅羊毛，黑产专用云手机通过集成虚拟定位功能，使得黑产可快 速伪造地理位置，从而突破商家的风控限制。 改机场景：商家在业务推广活动中，往往会限制单台设备的活动参与次数，黑产可 利用云手机的改机组件，快速修改 IMEI等硬件参数，仿冒大量全新设备重复参与 活动领取补贴，薅取商家羊毛。 协议破解场景：黑产利用黑产云手机中嵌入的 HOOK框架、ROOT隐藏等工具，开展 针对APP防护协议的攻击及破解，绕过证书钢钉、报文签名等安全防护手段，实现 针对业务接口的攻击。 人脸识别绕过场景：黑产通过诱骗用户在其手机中安装云相机 APP，安装后可将用 户手机的视频流实时推送至黑产掌握的云手机中，在黑产使用云手机进行人脸识别 流程时，通过欺诈话术要求用户配合进行动作活检，即可实时绕过人脸识别。此类 攻击手法具有隐蔽性强、仿真度高的特点，迅速成为人脸识别攻击中最难被防护的 一种攻击手法。 黑产利用云手机进行作案，大幅 度降低了黑产的作案成本，也使得传统基于单一设 备特征进行风控的防护方式逐渐失效，增加了金融行业反欺诈风控的难度，因此需 要加强对云手机类设备识别的建模研究。 2、 “反催收”黑产野蛮生长，碰瓷式逃废债成金融行业新挑战 2022年名为“反催收”的黑产模式开始广泛传播，通过互联网平台向恶意欠款人 提供服务，利用金融服务行业一贯对于服务质量的高标准要求，以伪造证据、虚假 恶意投诉等手法进行勒索，向金融机构施加压力，达到减免贷款的目的。 • 短视频平台快速传播，从“教学”到“服务”一条龙 “反催收”黑产一般通过互联网平台招揽客源，活跃于各个短视频平台、社交平 台、投诉平台等，期间黑产会雇用大批专职或兼职的代理、中介人员，仿冒律师法 务、财务顾问，甚至是“上岸”的过来人，来游说客户进行“逃废债”行为。此类 黑产往往摆出正义的姿态，视频中充斥 着对催收、贷款方的指责。 当有客户联系反催收黑产后，反催收黑产会收取客户高昂的手续费作为佣金，随后 提供套路化的逃废债教程，包括教唆并协助用户伪造虚假材料，如疾病证明、死亡 证明、多头债务等一系列内容，通过虚假证明要求银行进行分期免息或本金减免。 图8：短视频平台相关视频内容 此外，针对银行的催收电话，反催收黑产会教导客户“专业应对话术”，包括挑衅 或诱导催收人员使用过激言语，然后再凭借这些言语录音威胁举报银行恶意催收， 或者向监管部门投诉，迫使银行接受用户提出的不合理条件。 • 榨取价值，