2威脅獵人ThreatHunter（深圳永安在線科技有限公司）成立于2017年，以黑灰產(chǎn)情報能力和反欺詐技術(shù)為核心，專注于及時、精準(zhǔn)、有效的業(yè)務(wù)欺詐風(fēng)險的發(fā)現(xiàn)和響應(yīng)。公司圍繞不同行業(yè)在數(shù)字化發(fā)展過程中面臨的業(yè)務(wù)欺詐、數(shù)據(jù)泄露、釣魚仿冒、API攻擊等風(fēng)險場景，提供成熟多樣的產(chǎn)品與服務(wù)，并多次入選Gartner技術(shù)成熟度曲線報告、IDC威脅情報領(lǐng)域代表廠商。公司總部在深圳，在北京、上海、重慶、新加坡等地設(shè)有分公司，并在深圳和重慶兩地建立數(shù)字風(fēng)險應(yīng)急響應(yīng)中心（DRRC為客戶提供7*24小時全天候數(shù)字風(fēng)險應(yīng)急響應(yīng)和及時、優(yōu)質(zhì)的服務(wù)支持。截至目前，公司已為金融、政務(wù)、物流、互聯(lián)網(wǎng)、科技、零售等行業(yè)的300多家客戶提供安全服務(wù)，覆蓋85%頭部互聯(lián)網(wǎng)企業(yè)，每年幫助客戶減少數(shù)十億資金損失。3在數(shù)字化浪潮持續(xù)推進(jìn)的2025年上半年，數(shù)據(jù)作為企業(yè)核心資產(chǎn)，其安全問題愈發(fā)受到各方關(guān)注。數(shù)據(jù)泄露事件數(shù)量持續(xù)高位運行，攻擊方式與交易鏈條也愈發(fā)復(fù)雜隱蔽，已成為威脅企業(yè)合規(guī)經(jīng)營與業(yè)務(wù)增長的重大風(fēng)險點。威脅獵人《2025年上半年數(shù)據(jù)泄露風(fēng)險態(tài)勢報告》聚焦當(dāng)前數(shù)據(jù)泄露風(fēng)險的變化趨勢，從事件規(guī)模、行業(yè)分布、交易渠道到典型案例，系統(tǒng)剖析數(shù)據(jù)黑產(chǎn)產(chǎn)業(yè)鏈條的最新動向，全面展現(xiàn)2025年上半年國內(nèi)數(shù)據(jù)泄露風(fēng)險態(tài)勢全貌。報告內(nèi)容關(guān)鍵點總結(jié)：1.數(shù)據(jù)泄露事件數(shù)量維持高位，短期波動后快速回升2025年上半年共監(jiān)測到57,092起有效數(shù)據(jù)泄露事件，較2024年下半年增長1.54%。其中，4月受Telegram“封群行動”影響，事件量短暫下降近30%，但6月因黑產(chǎn)團(tuán)伙重組活躍，事件量快速反彈。2.高價值行業(yè)成為重點攻擊目標(biāo)，跨境電商泄露增長顯著電商、消費金融、銀行三大行業(yè)仍為重災(zāi)區(qū)，TOP3行業(yè)事件總量為其余TOP10行業(yè)的1.32倍。電商行業(yè)中，跨境電商事件量環(huán)比增長超10倍，呈現(xiàn)明顯國際化趨勢。3.暗網(wǎng)泄露事件增長35.2%，中文論壇活躍度大幅提升暗網(wǎng)渠道共監(jiān)測到18,106起泄露事件，環(huán)比增長35.2%。“長安**城”“D***Chinese”等中文暗網(wǎng)論壇用戶快速增長，新注冊用戶貢獻(xiàn)事件占比超過一半，泄露數(shù)據(jù)以境外平臺信息為主。44.“好旺擔(dān)?！钡瓜?，“土豆擔(dān)?！毖杆傺a位，擔(dān)保平臺替代性強Telegram頭部擔(dān)保平臺“好旺擔(dān)?！庇?月被重點打擊后業(yè)務(wù)癱瘓，但6月“土豆擔(dān)?！钡刃缕脚_快速填補空缺，反映黑產(chǎn)市場供需兩端高度活躍，交易鏈條具備強“自愈能力”。5.BF關(guān)停后多平臺接棒，黑產(chǎn)交易遷移性顯著BF在停運前貢獻(xiàn)了暗網(wǎng)14.5%的泄露事件。平臺關(guān)停后，核心用戶快速遷移至X*S、D**s等替代平臺，數(shù)據(jù)交易行為持續(xù)延續(xù)，顯示出黑產(chǎn)用戶強適應(yīng)性與遷移效率。6.信貸風(fēng)控數(shù)據(jù)“多頭借貸”類泄露事件激增，構(gòu)建完整產(chǎn)業(yè)鏈以“多頭借貸”為代表的信貸風(fēng)控類數(shù)據(jù)泄露事件半年內(nèi)增長6倍，形成覆蓋數(shù)據(jù)竊取、平臺搭建、精準(zhǔn)詐騙的完整黑產(chǎn)生態(tài)。多個風(fēng)控系統(tǒng)平臺如“扶搖”“鑫辰”等已被黑產(chǎn)用作數(shù)據(jù)中轉(zhuǎn)站。7.銀行“掃碼申請”類型數(shù)據(jù)泄露上漲超4倍，關(guān)聯(lián)第三方營銷工具“掃碼申請”類貸款信息泄露事件上半年達(dá)111起，關(guān)聯(lián)超80家銀行。風(fēng)險核心源自某金融科技營銷平臺，涉及銀行客戶經(jīng)理業(yè)務(wù)系統(tǒng)，疑因內(nèi)鬼或系統(tǒng)漏洞導(dǎo)致高意向客戶數(shù)據(jù)流入黑市。免責(zé)聲明：威脅獵人所提供的數(shù)據(jù)信息系依據(jù)大樣本數(shù)據(jù)抽樣采集、小樣本調(diào)研、數(shù)據(jù)模型預(yù)測及其他研究方法估算、分析得出。由于統(tǒng)計分析領(lǐng)域中的任何數(shù)據(jù)來源和技術(shù)方法均存在局限性，威脅獵人也不例外。威脅獵人依據(jù)上述方法所估算、分析得出的數(shù)據(jù)信息僅供參考，威脅獵人不對上述數(shù)據(jù)信息的精確性、完整性、適用性和非侵權(quán)性做任何保證。任何機構(gòu)或個人援引或基于上述數(shù)據(jù)信息所采取的任何行動所造成的法律后果均與威脅獵5關(guān)于威脅獵人 2前言 3一、2025年上半年數(shù)據(jù)泄露風(fēng)險概況 71.12025年上半年數(shù)據(jù)泄露事件共57092起，較2024年下半年上升1.54% 71.22025年上半年Top3行業(yè)數(shù)據(jù)泄露事件量為其余Top10行業(yè)的1.32倍，攻擊團(tuán)伙更偏好高凈值、高活躍度數(shù)據(jù)目標(biāo)事件 81.3電商行業(yè)成為數(shù)據(jù)泄露事件數(shù)量Top1行業(yè)，事件量達(dá)3,465起，跨境電商泄露事件環(huán)比增長超10倍 91.42025年上半年暗網(wǎng)數(shù)據(jù)泄露活躍度持續(xù)攀升，事件量環(huán)比上升35.2% 二、2025年上半年數(shù)據(jù)交易市場動向分析 2.1頭部擔(dān)保團(tuán)伙遭打擊，新?lián)Ｑ杆傺a位 2.2黑產(chǎn)平臺可打擊，交易需求難根除 18三、2025年上半年數(shù)據(jù)泄露交易市場研究新趨勢 243.1信貸風(fēng)控審批場景下數(shù)據(jù)泄露風(fēng)險態(tài)勢與產(chǎn)業(yè)生態(tài)解析 243.2銀行“掃碼申請”貸款信息泄露趨勢與產(chǎn)業(yè)生態(tài)解析 四、威脅獵人數(shù)據(jù)泄露風(fēng)險情報服務(wù) 數(shù)據(jù)泄露風(fēng)險概況71.12025年上半年數(shù)據(jù)泄露事件共57092起，較2024年下半年上升1.54%據(jù)威脅獵人數(shù)據(jù)泄露風(fēng)險監(jiān)測平臺數(shù)據(jù)顯示，2025年1月至6月期間，全網(wǎng)共監(jiān)測到1.8億條情報線索。經(jīng)真實性驗證引擎與DRRC人工分析，其中確認(rèn)為有效的數(shù)據(jù)泄露事件共計57,092起。威脅獵人觀察發(fā)現(xiàn)，2025年1月至3月，數(shù)據(jù)泄露事件量呈現(xiàn)逐漸上升態(tài)勢。然而，4月份事件量較3月驟降29.93%，減少了3,882起。5月達(dá)到最低點，僅為7,609起，隨后在6月開始回升。威脅獵人發(fā)現(xiàn)，本次波動的主要原因主要源于Telegram平臺在2025年4月發(fā)起的針對非法團(tuán)伙的“封群行動”，導(dǎo)致大量非法數(shù)據(jù)交易群聊被封禁（詳見本報告2.1章節(jié)）。從數(shù)據(jù)泄露源頭進(jìn)一步分析了解發(fā)現(xiàn)：82025年4月，威脅獵人監(jiān)測到數(shù)據(jù)泄露事件數(shù)量出現(xiàn)明顯下降，共計9,0起）下降29.93%。與之對應(yīng)，活躍的非法數(shù)據(jù)交易團(tuán)伙數(shù)量也從1,943個下降至1,477個，降幅為23.98%。同時，在3月份活躍的非法數(shù)據(jù)交易團(tuán)伙中，有33.71%的非法交易團(tuán)伙在4月遭遇封禁。受此影響，數(shù)據(jù)泄露事件數(shù)量出現(xiàn)明顯下降。然而，由于Telegram平臺的封禁難以徹底，且非法團(tuán)伙具備極強的“再生能力”，大量新群或替代群在短時間內(nèi)重新活躍，推動了2025年6月數(shù)據(jù)泄露事件數(shù)量重新回升。1.22025年上半年Top3行業(yè)數(shù)據(jù)泄露事件量為其余Top10行業(yè)的1.32倍，攻擊團(tuán)伙更偏好高凈值、高活躍度數(shù)據(jù)目標(biāo)事件從行業(yè)分布來看，2025年上半年全網(wǎng)數(shù)據(jù)泄露事件共涉及76個行業(yè)，TOP3行業(yè)是電商、消費金融、銀行。9其中，以電商、金融為代表的高敏感度、高變現(xiàn)率行業(yè)，仍然是數(shù)據(jù)泄露的重災(zāi)區(qū)。2025年上半年TOP10行業(yè)排名變化情況如下：1.3電商行業(yè)成為數(shù)據(jù)泄露事件數(shù)量Top1行業(yè)，事件量達(dá)3,465起，跨境電商泄露事件環(huán)比增長超10倍威脅獵人數(shù)據(jù)泄露風(fēng)險監(jiān)測平臺數(shù)據(jù)顯示，2025年上半年電商行業(yè)共發(fā)生3,465起數(shù)據(jù)泄露事件，較2024年下半年增加184起，增長5.60%。其中，跨境電商領(lǐng)域的數(shù)據(jù)泄露事件尤為突出，事件量較2024年下半年增加394起，漲幅超過10倍。泄露事件涉及全球多個國家和地區(qū)，主要集中在東南亞一帶，TOP3國家為越南、美國和泰國。威脅獵人近期監(jiān)測發(fā)現(xiàn)，暗網(wǎng)上有黑產(chǎn)團(tuán)伙正在出售某跨境電商平臺的用戶網(wǎng)購信息數(shù)據(jù)。該發(fā)布者提供了部分?jǐn)?shù)據(jù)樣本，并聲稱數(shù)據(jù)覆蓋東南亞、北美等多個國家和地區(qū)。威脅獵人研究人員通過分析泄露數(shù)據(jù)中的“快遞標(biāo)簽”“商品標(biāo)簽”等字段，推斷該數(shù)據(jù)疑似來源于同一家國際快遞物流公司。結(jié)合此前在暗網(wǎng)中文論壇監(jiān)測到的該公司相關(guān)泄露事件，進(jìn)一步確認(rèn)應(yīng)為該企業(yè)系統(tǒng)存在安全防護(hù)缺陷，被外部黑產(chǎn)團(tuán)伙利用該漏洞實施攻擊并獲取了相關(guān)用戶信息。1.42025年上半年暗網(wǎng)數(shù)據(jù)泄露活躍度持續(xù)攀升，事件量環(huán)比上升35.2%威脅獵人統(tǒng)計數(shù)據(jù)顯示，2025年上半年，匿名群聊與暗網(wǎng)仍是數(shù)據(jù)泄露的主要渠道。值得關(guān)注的是，暗網(wǎng)渠道共計發(fā)生18,106起數(shù)據(jù)泄露事件。與2024年下半年監(jiān)測到的13,389起相比，事件總量增長了35.2%。威脅獵人進(jìn)一步分析發(fā)現(xiàn)，“長安**城”論壇是暗網(wǎng)渠道中數(shù)據(jù)泄露事件量增長最多的平臺。2025年上半年其貢獻(xiàn)的數(shù)據(jù)泄露事件較2024年下半年增長81.7%，1,493起。與此同時，另一中文論壇“中**壇(D***Chinese)”的事件量也從2024年的272起增長至560起，漲幅超過一倍，達(dá)到105.9%。這兩個中文暗網(wǎng)論壇在2025年共有271名用戶發(fā)布數(shù)據(jù)交易貼，其中新注冊用戶達(dá)166人，占比達(dá)61.3%；這些新用戶發(fā)布的內(nèi)容共計涉及1,961起數(shù)據(jù)泄露事件，占兩大論壇的整體事件數(shù)一半以上。這些新增的數(shù)據(jù)泄露事件多數(shù)為境外平臺或用戶的數(shù)據(jù)信息泄露，其中“長安**城”單個平臺就涉及來自全球超過20個國家和地區(qū)的用戶數(shù)據(jù)。2025年上半年數(shù)據(jù)交易市場動向分析以下是非法數(shù)據(jù)交易產(chǎn)業(yè)鏈：其中，中游的數(shù)據(jù)中間商活躍于暗網(wǎng)、黑產(chǎn)論壇、Telegram、Potato等平臺，負(fù)責(zé)對泄露數(shù)據(jù)進(jìn)行清洗、分類、打包與撮合交易，是整個交易鏈條的關(guān)鍵樞紐。盡管監(jiān)管壓力持續(xù)加大，但下游詐騙團(tuán)伙、灰產(chǎn)電商等對高質(zhì)量數(shù)據(jù)的需求始終旺盛，促使數(shù)據(jù)交易市場持續(xù)活躍。2.1頭部擔(dān)保團(tuán)伙遭打擊，新?lián)Ｑ杆傺a位“好旺擔(dān)保”（前身為“匯旺擔(dān)?！保┰L期活躍于Telegram等匿名社交平臺，憑借第三方信用中介服務(wù)，成為數(shù)據(jù)交易、詐騙、洗錢等黑產(chǎn)活動的核心擔(dān)保平臺，在2025年上半年以前處于市場主導(dǎo)地位。詳情可查看：然而，在2025年5月，好旺擔(dān)保遭遇重創(chuàng)：l5月1日，美國金融犯罪執(zhí)法網(wǎng)絡(luò)（FinCEN）將其母公司Huione集團(tuán)列為“首要洗錢關(guān)注”機構(gòu)，切斷其國際金融通道。隨后Telegram官方于5月初集中封禁其交易群組及賬號。l5月9日，好旺官方發(fā)布公告稱“交易員賬號被大量注銷”，至此，其運營體系全面崩潰，公群業(yè)務(wù)中斷率達(dá)到100%。威脅獵人監(jiān)測發(fā)現(xiàn)，自“好旺擔(dān)保”停運后，其相關(guān)數(shù)據(jù)泄露事件量從3月的832件直線下降，至6月基本歸零。但黑產(chǎn)市場的需求并未消失?！昂猛鷵?dān)保”倒下后，以“土豆擔(dān)?！睘榇淼牡刃缕脚_迅速崛起。數(shù)據(jù)顯示，土豆擔(dān)保涉及的相關(guān)的數(shù)據(jù)泄露事件從4月的12起暴增至6月的358起，增幅接近30倍。在非法數(shù)據(jù)交易市場中，數(shù)據(jù)供給端和需求端都高度活躍，形成了強烈的供需關(guān)系，也催生了完整的黑產(chǎn)交易鏈條。然而，由于交易本身存在高風(fēng)險與高不確定性，買賣雙方難以建立直接信任關(guān)系。因此，黑產(chǎn)生態(tài)中逐漸出現(xiàn)了“擔(dān)保平臺”這一中介角色，中間商的存在不僅撮合交易，還承擔(dān)著托管資金、仲裁糾紛的職能，是整個黑產(chǎn)交易能夠持續(xù)運轉(zhuǎn)的重要支點。正因如此，哪怕某個平臺被打擊清除，新的中間商也會迅速補位、變換馬甲再次出現(xiàn)，只要交易存在，市場對這類“黑產(chǎn)服務(wù)商”的需求就不會消失，使得他們很難被徹底根除。2.2黑產(chǎn)平臺可打擊，交易需求難根除2.2.1頭部論壇遭打擊，供給量驟降；關(guān)停前貢獻(xiàn)暗網(wǎng)渠道近15%數(shù)據(jù)盡管黑產(chǎn)平臺面臨持續(xù)高壓打擊，但數(shù)據(jù)交易的市場需求始終未見減弱。以頭部暗網(wǎng)論壇BF為例，2025年上半年，該平臺依然是全球范圍內(nèi)最主要的數(shù)據(jù)泄露供給節(jié)點之一。威脅獵人監(jiān)測數(shù)據(jù)顯示，2025年1月至6月，暗網(wǎng)渠道共計貢獻(xiàn)數(shù)據(jù)泄露事件15,096起，其中BF平臺貢獻(xiàn)2,190起，占暗網(wǎng)事件總量的14.5%。尤其是在停運前的前三個月，BF平臺活躍度持續(xù)上升，2025年3月更是達(dá)到月度峰值657起。然而，隨著BF于4月15日突遭關(guān)停，其相關(guān)數(shù)據(jù)泄露事件量迅速下滑，4月僅監(jiān)測到393起，環(huán)比下降43.2%，5月事件量歸零；平臺供給能力出現(xiàn)明顯斷崖式下跌。盡管如此，BF關(guān)停并未打擊黑產(chǎn)的整體活躍度，而是迅速轉(zhuǎn)移至其他暗網(wǎng)平臺與私密通信工具。以威脅獵人觀察到的以下平臺數(shù)據(jù)為例：lD**s論壇：4月事件量即突破100起，5月飆升至275起（較3月增長374%6月更暴漲至1,095起，較關(guān)停前增長近20倍；lR**d論壇：雖在4月受BF影響短暫下滑，但5-6月強勢反彈，6月泄露事件量較4月增長138%；lX*S論壇：此前活躍度極低（1-3月月均僅13起數(shù)據(jù)泄露事件5-6月激增至48起和67起，環(huán)比增長超400%；lE**t論壇：4月事件量升至70起（較3月增長169%6月達(dá)到110起，呈現(xiàn)穩(wěn)步上升趨勢。上述數(shù)據(jù)表明，黑產(chǎn)生態(tài)具備強烈的“自我修復(fù)”能力，平臺雖然被打擊，但流量、資源與參與者很快在新平臺重建，市場熱度恢復(fù)迅速。威脅獵人追蹤發(fā)現(xiàn)，BF前十大核心發(fā)布者（貢獻(xiàn)平臺14.6%的事件量）在平臺關(guān)停后迅速轉(zhuǎn)移至其他平臺繼續(xù)活躍。以BF上半年最活躍用戶K***t為例：“K***t”自BF停運后無縫轉(zhuǎn)移至XSS論壇，繼續(xù)發(fā)布境外用戶數(shù)據(jù)、購物訂單、CRM系統(tǒng)信息等，數(shù)據(jù)類型豐富，覆蓋多國多行業(yè)；其發(fā)帖頻率高、數(shù)據(jù)結(jié)構(gòu)標(biāo)準(zhǔn)化，疑似具備較強的數(shù)據(jù)清洗與分發(fā)能力，是典型的“職業(yè)數(shù)據(jù)搬運者”，顯示出對黑市交易平臺極強的適應(yīng)能力與遷移效率。該趨勢表明：黑產(chǎn)核心從業(yè)者具備極強的遷移性與復(fù)原力，只要數(shù)據(jù)交易需求存在，他們即可迅速重建交易渠道，保持黑產(chǎn)市場活躍。BF的案例印證了黑灰產(chǎn)市場的核心規(guī)律：當(dāng)主要交易平臺被打擊時，用戶和需求會迅速遷移至現(xiàn)有或新興替代品。數(shù)據(jù)交易市場具備極強的適應(yīng)能力，即使頭部平臺被摧毀，黑產(chǎn)從業(yè)者仍能依托其他渠道維持業(yè)務(wù)運轉(zhuǎn)。數(shù)據(jù)泄露交易市場研究新趨勢3.1信貸風(fēng)控審批場景下數(shù)據(jù)泄露風(fēng)險態(tài)勢與產(chǎn)業(yè)生態(tài)解析倍一類名為“多頭借貸”的貸款信息數(shù)據(jù)泄露事件共計117起，相較于2024年下半年新增101起，漲幅高達(dá)631.25%。針對信貸“多頭借貸”類風(fēng)險情報的捕獲數(shù)據(jù)顯示，自2024年11月以來，此類數(shù)據(jù)泄露事件基本呈現(xiàn)持續(xù)上升的趨勢。多頭借貸：是指一種專門偵測借款人“多頭借貸”行為的風(fēng)控機制，實際上是由第三方數(shù)據(jù)服務(wù)商與多家網(wǎng)貸公司共同建立的數(shù)據(jù)共享系統(tǒng)。當(dāng)一個借款人向其中一家機構(gòu)發(fā)起貸款申請時，這個"申請行為"本身會像一個信號一樣，被系統(tǒng)捕捉到并記錄下來。實際上就是指借款人多頭借款的記錄信息數(shù)據(jù)。數(shù)據(jù)泄露情報：威脅獵人通過TG群、暗網(wǎng)等渠道捕獲到的“未授權(quán)個人/組織敏感信息被公開交易或使用”的情報信息，可能包含歷史數(shù)據(jù)、重復(fù)數(shù)據(jù)等，往往量級巨大；數(shù)據(jù)泄露事件：威脅獵人安全研究專家針對數(shù)據(jù)泄露情報的樣例等進(jìn)行分析及驗證，排除歷史虛假數(shù)據(jù)、確認(rèn)有效的數(shù)據(jù)泄露事件；通過深入分析，威脅獵人了解到黑產(chǎn)中所稱的“多頭借貸”數(shù)據(jù)，其核心內(nèi)容主要涵蓋貸款用戶的還款履約情況及逾期記錄。在當(dāng)下信貸風(fēng)控場景中，“多頭借貸”數(shù)據(jù)扮演著關(guān)鍵角色，它能夠反映借款人的“多頭借貸”行為，即用戶在不同平臺申請或持有貸款的情況。這種數(shù)據(jù)被非法利用時，會對信貸機構(gòu)的決策造成嚴(yán)重影響，可能導(dǎo)致風(fēng)險評估失真，同時也會導(dǎo)致用戶個人隱私信息泄露，遭遇精準(zhǔn)營銷或詐騙等情況。根據(jù)威脅獵人深入調(diào)查研究發(fā)現(xiàn)，一個以“借款記錄信息”類數(shù)據(jù)為核心的地下信貸風(fēng)控黑產(chǎn)產(chǎn)業(yè)鏈已然形成，其運作模式涵蓋了數(shù)據(jù)竊取、平臺搭建、數(shù)據(jù)售賣，以及下游的精準(zhǔn)營銷、詐騙等一系列非法活動。具體產(chǎn)業(yè)鏈情況如下所示：1.上游：來源主要以征信機構(gòu)、第三方持牌風(fēng)控數(shù)據(jù)商為主通過深入分析，威脅獵人了解到黑產(chǎn)中所稱的“多頭借貸”數(shù)據(jù)，其核心內(nèi)容主要涵蓋貸款用戶的還款履約情況及逾期記錄。在當(dāng)下信貸風(fēng)控場景中，“多頭借貸”數(shù)據(jù)扮演著關(guān)鍵角色，它能夠反映借款人的“多頭借貸”行為，即用戶在不同平臺申請或持有貸款的情況。這種數(shù)據(jù)被非法利用時，會對信貸機構(gòu)的決策造成嚴(yán)重影響，可能導(dǎo)致風(fēng)險評估失真，同時也會導(dǎo)致用戶個人隱私信息泄露，遭遇精準(zhǔn)營銷或詐騙等情況。同時，威脅獵人針對黑產(chǎn)提供的風(fēng)控數(shù)據(jù)查詢系統(tǒng)進(jìn)行深入分析，其中所有用戶的授權(quán)書均涉及國內(nèi)某征信機構(gòu)。2.中游：催生多個風(fēng)控數(shù)據(jù)查詢服務(wù)平臺以及平臺搭建服務(wù)威脅獵人觀察到，受“多頭借貸”類數(shù)據(jù)的影響，存在大量黑產(chǎn)出現(xiàn)宣傳風(fēng)控數(shù)據(jù)查詢系統(tǒng)服務(wù)，或直接售賣貸款逾期用戶信息數(shù)據(jù)。這些數(shù)據(jù)查詢系統(tǒng)服務(wù)通常涵蓋“多頭借貸””、“三要素驗證”等多種數(shù)據(jù)查詢校驗功能。威脅獵人所觀察到的典型平臺系統(tǒng)包括“扶*風(fēng)控查詢”、“億*風(fēng)控系統(tǒng)”、“鑫*風(fēng)控查詢系統(tǒng)”等。同時，威脅獵人也注意到在微信等社交平臺上，存在大量黑產(chǎn)宣傳可協(xié)助中下游黑產(chǎn)團(tuán)伙搭建相應(yīng)的作惡平臺，如“融擔(dān)系統(tǒng)”、“租賃系統(tǒng)”、“風(fēng)控系統(tǒng)”、“征信查詢系統(tǒng)”、“借條查詢系統(tǒng)”等多種類型。這些系統(tǒng)通常聲稱功能全面，風(fēng)控完善，支持逾期上報征信、賦強公證等“一站式服務(wù)”，并提供“全程陪跑、流量扶持”。3.下游：助力精準(zhǔn)營銷、詐騙、洗錢等違法犯罪活動升級據(jù)威脅獵人觀察，下游接收并利用此類用戶貸款資質(zhì)信息記錄的人群主要集中于以下幾種類型：1.財務(wù)：主要指中小型貸款平臺的貸款審批人員，他們利用這些非法數(shù)據(jù)查詢用戶的資質(zhì)情況，進(jìn)行綜合審批，或篩選出目標(biāo)群體用戶，從而進(jìn)行精準(zhǔn)營銷；2.跑分人員：主要為洗錢人員，在獲取到數(shù)據(jù)后，通過獲取用戶信任后利用其銀行卡進(jìn)行非法資金流轉(zhuǎn)，即所謂的“跑分”行為；3.詐騙人員：實施“殺魚”（或稱“鯊魚”）行為，主要通過電信詐騙（包括貸款詐騙、冒充公檢法等）對用戶進(jìn)行精準(zhǔn)詐騙，利用非法獲取的數(shù)據(jù)提高詐騙成功率。4.查檔人員：在數(shù)據(jù)交易查檔場景中，有提供這種針對性查詢開盒個人征信情況的業(yè)務(wù)，主要是通過提供用戶姓名+身份證+手機號信息去調(diào)用上游數(shù)據(jù)查詢，并返還對應(yīng)的征信報告信息。附錄：相關(guān)黑話詞釋義威脅獵人針對“多頭借貸”相關(guān)風(fēng)險情報進(jìn)行了深度調(diào)研與跟蹤，以下是與“探針”相關(guān)的黑產(chǎn)常用黑話詞匯釋義財務(wù)：又稱“cw”，實際上是指高利貸/私人借貸平臺人員。融擔(dān)：又稱“融單”、“融蛋”、“RD”、融擔(dān)指的是網(wǎng)貸平臺的一個系列，該系列主要為諸多小型或微型的網(wǎng)貸APP，這類平臺申請流程簡單，通過率高。因此“融擔(dān)料”，實際上就是指小型網(wǎng)貸平臺的用戶信息數(shù)據(jù)。借條：又稱JT，實際上是指高利貸或私人借貸類型，會與借款人簽訂“借條”或電子簽，而“借條料”，實際上就是指私人借貸或高利貸所簽訂“借條”的用戶信息數(shù)據(jù)。高炮：指高利貸平臺或機構(gòu)，高炮料則是指在高利貸平臺進(jìn)行貸款的用戶信息數(shù)據(jù)。租機：主要是指用戶在租機平臺進(jìn)行分期租機的行為，這里面會涉及到用戶辦理租機貸業(yè)務(wù)，并且后續(xù)繼續(xù)套現(xiàn)的行為。而租機料，實際上就是在租機平臺辦理分期業(yè)務(wù)的用戶信息數(shù)據(jù)。黃金：全稱黃金商城，與租機套現(xiàn)的數(shù)據(jù)相似，實際上就是一些可以支持購買黃金并分期還款的平臺，一般都是一些小型平臺，黃金商城料則是在這些平臺辦理套現(xiàn)的用戶信息數(shù)據(jù)。E卡/卡券：與租機、黃金商城情況相似，即一些支持購買E卡或卡券紅包等平臺并允許分期還款的平臺，一般都是一些小型平臺，E卡料則是在這些平臺辦理購買套現(xiàn)的用戶信息數(shù)據(jù)。3.2銀行“掃碼申請”貸款信息泄露趨勢與產(chǎn)業(yè)生態(tài)解析威脅獵人持續(xù)監(jiān)測發(fā)現(xiàn)，在2025年上半年所捕獲的泄露數(shù)據(jù)中，還有另一類名為“銀行掃碼申請料”的貸款信息泄露事件，共計111起，相較于2024年下半年新增89起，漲幅高達(dá)404.55%。銀行掃碼申請：是指用戶通過掃描銀行客戶經(jīng)理提供的貸款活動二維碼，申請辦理貸款業(yè)務(wù)的信息數(shù)據(jù)。通過深入分析，威脅獵人了解到黑產(chǎn)中所稱的“掃碼申請隔夜”數(shù)據(jù)，其主要集中在銀行“貸款”業(yè)務(wù)上。主要包含貸款用戶的手機號、城市地區(qū)以及申請貸款審批結(jié)果等信息；同時，根據(jù)黑產(chǎn) 提供的銀行貸款平臺篩選上來看，共超過80家銀行貸款業(yè)務(wù)，基本上以地方性銀行或商業(yè)銀行為 主。威脅獵人通過對泄露數(shù)據(jù)涉及到的銀行二維碼進(jìn)行分析溯源，發(fā)現(xiàn)其均指向同一家知名金融科技服務(wù)商開發(fā)的“xx營銷助手”平臺。結(jié)合黑產(chǎn)發(fā)布的銀行貸款平臺名單來看，可以確認(rèn)影響范圍超過80家銀行機構(gòu)?；谠擃愊嚓P(guān)事件涉及多家銀行，根據(jù)威脅獵人針對具體細(xì)節(jié)進(jìn)行深入還原發(fā)現(xiàn)：1、用戶在申請貸款的過程中，是通過掃描銀行客戶經(jīng)理所提供的貸款業(yè)務(wù)活動二維碼進(jìn)行辦理；2、這一類銀行貸款業(yè)務(wù)的二維碼信息是攜帶客戶經(jīng)理信息，去跳轉(zhuǎn)到銀行官方的小程序上；3、然后用戶在銀行官方小程序具體的貸款業(yè)務(wù)上操作提交貸款申請；威脅獵人了解到客戶經(jīng)理所提供的貸款二維碼信息，實際上是通過第三方金融科技公司開發(fā)的銷售工具進(jìn)行制作的。（基于該工具頁面較為敏感，此處不做具體展示）威脅獵人針對該第三方金融科技公司進(jìn)行分析后發(fā)現(xiàn)，該公司不僅為銀行提供應(yīng)用系統(tǒng)軟件開發(fā)，還提供智能風(fēng)控策略。針對不同資質(zhì)的貸款用戶提供不同的風(fēng)控策略，用于配合銀行客戶經(jīng)理進(jìn)行跟進(jìn)。主要為銀行提供業(yè)務(wù)數(shù)字化，推動銀行貸款業(yè)務(wù)發(fā)展。用戶在銀行官方小程序提交地貸款申請后，銀行會將用戶相關(guān)信息同步至銷售工具上，便于銀行客戶經(jīng)理業(yè)績統(tǒng)計以及跟進(jìn)，與此同時也帶來了數(shù)據(jù)泄露的風(fēng)險。用戶在銀行官方小程序提交地貸款申請后，銀行會將用戶相關(guān)信息同步至銷售工具上，便于銀行客戶經(jīng)理業(yè)績統(tǒng)計以及跟進(jìn)，與此同時也帶來了數(shù)據(jù)泄露的風(fēng)險。據(jù)威脅獵人針對黑產(chǎn)發(fā)布的信息進(jìn)行跟進(jìn)以及分析后發(fā)現(xiàn)，在此類型事件開始宣傳時，黑產(chǎn)聲稱，數(shù)據(jù)是來源于“內(nèi)鬼”，即內(nèi)部員工泄露的。結(jié)合上文中涉及到超過80家銀行機構(gòu)，80家銀行機構(gòu)內(nèi)部員工泄露的概率極低，初步推斷為第三方金融科技公司內(nèi)部員工。根據(jù)威脅獵人調(diào)研發(fā)現(xiàn)，此類信息數(shù)據(jù)