2025年9月全球恶意手机号趋势报告

威胁猎人画像服务覆盖全球179个国家，当前监控超过1亿个黑产恶意手机号码，助力200余家客户提升业务安全能力水平，明显降低欺诈风险。

2025年9月1日至2025年9月30日期间，威胁猎人团队自黑灰产业恶意工具、恶意手机号交易市场及其他相关作恶服务捕获当前活跃的黑灰产业恶意手机号455万余例，首次出现的恶意手机号327万余例，新增恶意手机号整体占比为 71.87%。

其中；当前黑灰产业主要作恶渠道为接码平台；黑灰产使用的恶意手机号主要来自美国地区和中国大陆；黑产使用恶意手机号攻击的集中行业为电商行业和社交娱乐行业。

威胁猎人团队监控超过2万+黑灰产业开源情报渠道源，监控50万+黑灰产工具，通过分析黑灰产资源获取方式，能够及时发现黑灰产业使用的各类作恶渠道。通过部署先进的实时监控算法，对互联网上的黑灰产使用的作恶渠道进行监控。

2025年9月1日至2025年9月30日期间，威胁猎人团队监控发现：

2.1 黑灰产恶意手机号供给趋势

2.1.1黑产作恶活跃，黑卡物料大幅增长

2025年9月，高风险手机号呈持续增长趋势，恶意手机号新增数量环比增长14.68%，威胁猎人画像团队研究人员分析发现，新增的主要来源为低端设备验证码短信劫持号码大幅增长，下文将具体分析低端设备验证码短信劫持号码的作恶情况。

2.1.2 中国大陆：低端设备验证码短信劫持号码大幅增长，传统恶意手机号持续低迷

黑灰产业链使用恶意手机号进行攻击的方式仍保持活跃，其中传统恶意手机号受外部打击仍呈现低迷态势，而“低端设备验证码短信劫持号码”在9月呈现大幅增长的趋势，供给该恶意手机号作恶资源的平台亦呈现高度活跃的态势。

低端设备验证码短信劫持是号卡实体由普通人持有，但用户所用设备被黑产或设备生产厂家植入病毒或后门，导致短信接收权限被窃取，进而使验证码短信遭劫持。此类设备多为老人机、儿童手表等低端设备，其核心特征在于卡本身属于正常用户持有，但被黑产非法操控。

2.1.3 美国地区无线通信服务作恶物料储备增多

通过深入研究发现，美国地区无线通信服务类型号码的新增增多，相比于固定电话线路类型号码增多2.73%；对比之前黑产批量持有恶意手机号特征：以固定电话线路类型号码为主，而9月新增占比的转变可能预示了黑产作恶动态的转移，威胁猎人将持续关注黑产侧的动态变化。

2.2 新增恶意手机号来源

2.2.1美国为主要恶意手机号来源

本周期内美国、印度尼西亚和菲律宾等国家为黑产集中活跃的国家和地区。期间，黑灰产的黑卡物料供给呈现出显著的批次化、批量性上卡特征；

从新增趋势图来看存在部分黑产在9月5号对越南和印尼地区的黑卡物料加大储备量，后期威胁猎人将持续观察该地区黑产活跃现象。

2.3  黑灰产攻击行业项目

2.3.1黑灰产攻击行业项目：集中于电商行业

威胁猎人情报运营人员分析上述数据的捕获情况，注意到黑产在本个周期内黑灰产集中攻击在电商行业、互联网基础服务行业和生活服务行业。

若厂商放任黑灰产利用恶意手机号注册虚假账号，将引发多方面严重后果。黑灰产可利用虚假账号开展营销欺诈攻击，制造无效数据，干扰正常商业运营，直接损耗营销资金；从而导致平台声誉受损，引发广告商撤资等间接损失。平台生态也将因虚假账号泛滥而恶化，使得内容质量受损，最终导致用户流失。

此外黑产注册虚假账号常被用于诈骗和钓鱼攻击，严重威胁用户财产和隐私安全。厂商亦可能因违反数据保护和反欺诈法规面临罚款、诉讼或监管整改要求。

同时黑灰产使用的相关资源和物料不断更新迭代，难以辨别；大幅增加了监测和防范难度。

针对黑灰产滥用恶意手机号作恶，厂商需要及时了解其作恶流程和细节，依托全网多渠道监测恶意手机号情报数据，从“被动防范”转向“主动防御”，威胁猎人提供“手机号画像产品”，基于全面的情报监测体系及特有的蜜罐技术，全面分析手机号的行为及属性，对手机号的风险类别进行综合评价，精确赋予手机号对应的风险标签，有效帮助企业降低业务欺诈的风险。

威胁猎人建议客户结合自身业务场景建立更精准的风控规则进行针对性防御，若标识为“风险标签”的号码进入业务，企业可在黑产开展作恶行为前进行拦截，防范黑灰产攻击行为。

如您的企业也有类似问题

请咨询威胁猎人安全专家