1.4　黑产攻击规模

据互联网上一些公开的统计信息，各类黑产每年给互联网公司带来的经济损失已经超过百亿元，黑产从业人员高达数十万人。这些信息的数量级基本是符合的，我们从SaaS服务调用数据也可以对黑产的规模有一个直观的认识，如图1.4所示。

图1.5是各类事件中风险事件占比，一般为10%～15%。这个数值与行业、场景、时间有直接的关系。其中，电商平台在“双11”、“双12”和“6·18”等大规模的促销活动时段，优惠力度比较大，欺诈事件会比其他时段要多。黑产团伙一般也不打无准备之仗，往往在活动之前一到两个月就开始筹备，注册账号、养号、开发和测试作弊工具等行为都会提前进行。

从不同业务场景来看，注册登录场景中的风险占比是最高的，可以高达40%。因为对于绝大部分的业务流程来说，注册登录是所有后续业务的门槛。黑产必须迈过这个门槛，才能执行交易、支付等行为。因此，如果能够在注册登录场景中做好风控，把绝大部分的黑产拒之门外，在后续的其他环节中，风险就会降低很多。

从地域上看，如图1.6所示，欺诈攻击的来源主要集中在华东地区，占比为45.72%。这并不代表黑产真实的所在地，而是通过IP归属地、手机号归属地、设备定位等信息综合得出来的。

通过对参与欺诈活动的IP地址进行分析，发现近10%的欺诈行为都来自家用宽带IP地址。

通过知识图谱关联分析，我们把使用相同手机号、设备的黑产进行聚合，可以对黑产团伙进行识别和深入挖掘。在这些关联数据中，聚集成簇的就被定义为“团伙”，团伙中出现的手机号和设备就可以被视为“成员”。我们累计发现并标记了超过8万人的“超大规模”团伙，涉及的手机号、设备节点数量总计超过10万个，其规模分布如图1.7所示。