2019网络金融黑产研究报告

　　2019年，数字化转型成为国内银行关注的焦点，在金融科技的创新驱动下，银行正在朝智慧银行、开放银行、生态银行的方向发展。数字化银行的大潮下，银行业务模式更加灵活、开放，在为客户提供更加优质服务体验的同时，也引起了网络黑产更多的关注。

　　工商银行高度重视与网络黑产的对抗，依托蓝军团队，在2019年成立行业首个安全攻防实验室，在严守生产系统安全、保障金融科技战略转型的过程中，积累了大量与黑产斗争的经验，本次编写的《2019网络金融黑产研究报告》，从银行安全从业者的视角出发，对2019年网络金融黑产技术手段、欺诈手法等进行剖析，并结合银行业务特点，对黑产防控思路进行了探讨，希望抛砖引玉，与银行同业共同打好对抗黑产的持久战。

　　一、 2019年网络金融黑产发展趋势

　　随着国家层面对黑产的重拳打击和各类专项治理，传统模式的黑产形势有所收敛，不法分子为了躲避制裁，更多地转向后台，其技术手段也不断升级，手机云控养号、基于人工智能的风控系统绕过等产业链进一步深化，针对金融机构的新型钓鱼、第三方跳板攻击威胁持续增长，互联网金融机构与网络黑产的斗争博弈进入了白热化状态。针对网络黑产的新变化，工商银行金融科技研究院安全攻防实验室(以下简称“工商银行安全攻防实验室”)以银行从业者的视角，结合2019年网络金融业的各类安全事件、安全态势，总结了2019年网络金融黑产呈现出的六大趋势。

　　趋势一：假冒App卷土重来，第五代钓鱼攻击成新威胁

　　近年来，随着国家对钓鱼网站、伪基站的大力打击，传统的钓鱼网站、仿冒App已经得到有效控制，而在2019年，我们发现一种通过仿冒App嵌套诈骗网站的新型钓鱼欺诈模式，钓鱼攻击威胁有抬头趋势。

　　借贷为名，诈骗为实

　　传统的网络钓鱼以骗取用户的账户、密码等身份信息为目标，而新型模式下，不法分子以金融机构的借贷业务为名制作仿冒App，并伪装成人工客服，以“借贷资金解冻”等理由诱导用户转账，实施诈骗。

　　新型钓鱼App特点

　　钓鱼5.0时代

　　根据工商银行安全攻防实验室多年来与钓鱼网站的对抗经验，此类钓鱼手段属于我们观测到的第五代钓鱼手段，其传播方式、特点、目的与之前四代均有所不同：从诈骗手法看，不再以骗取用户密码为目的，而是通过虚假人工客服方式进行欺诈，使得用户自行转账;从技术角度看，部署方式为轻量级仿冒App嵌套诈骗网站的模式，一个诈骗后台可以对应多个不同机构的仿冒App。由于轻量级的仿冒App开发成本很低，在封禁后能够通过快速的复制、扩展“死灰复燃”，而后台诈骗网站不具备假冒网站特征，在定位、举证、封禁方面都存在较大难度。

　　历代钓鱼手法及特征

　　新型钓鱼的传播途径逐渐转向社交App、公众号平台等渠道，较前四代钓鱼模式更为隐蔽，给监管和封禁带来了更大挑战。

　　趋势二：黑产上云，相关产业链进一步深化

　　近几年，黑产从业者已经形成了从信息收集到资金变现的完整黑色产业链闭环。2019年，黑产的资源积累、技术能力和软硬件配置明显提升，甚至与云端结合：上游封装攻击工具，通过API接口访问提供云端服务，下游通过调用群控、IP秒拨、打码、接码等云服务实现攻击工具的无缝集成和快速部署，伴随黑产上下游的高效紧密配合，一条技术更为先进的黑色产业链逐渐建立。

　　黑产供给链

　　云控养号，黑客开办“养殖场”

　　云控系统主要用于黑产批量操作、引流营销，通过在手机上安装接收指令的客户端，利用网络传输云主机的操作指令，达到一人操作成百上千台设备的效果。目前，云控技术最常见的使用场景为“养号”，“养号”是指黑产团伙在账号注册完毕后，不立即进行使用，通过真实设备进行“饲养”，通过机器模拟人工操作，增加账号的可信度，从而绕过企业的各类风控检测及封禁策略。

　　对于各类黑灰产、羊毛党来说，“养号”可以算得上是他们产业链的关键一环，而大规模的云端“养号”，也已经成为网络黑产得以运转的基础。

　　手机云控平台示例

　　云端秒拨，IP封禁已无用武之地