威胁猎人团队监控超过2万+黑灰产业开源情报渠道源,监控50万+黑灰产工具;我们系统能够自动识别和跟踪黑灰产业经常出没的渠道,累积并构建了一个庞大的关于风险手机号和相关活动的数据库,为广大行业用户提供覆盖广、精准度高等恶意手机号画像。
2月恶意手机号风险概述
2026年2月期间,威胁猎人团队自黑灰产业作恶工具、恶意手机号交易市场及其他相关作恶服务捕获当前活跃的黑灰产业的恶意手机号367万余例,首次出现的恶意手机号199万余例,新增恶意手机号整体占比为 54.18%。
恶意手机号本月集中应用于社交、软件服务、电商及零售行业。黑灰产手机号主要分布地区于中国大陆、美国、沙特阿拉伯地区。
恶意手机号指被黑灰产利用,攻击企业业务以实现非法获利的手机号码,该号码主要分为两类:
传统接码手机号:手机卡掌握在黑灰产手中,并插在特殊设备上收发短信验证码。
劫持接码手机号:手机卡插在正常人持有的设备上,设备存在后门导致短信验证码被黑灰产拦截使用。
2月恶意手机号变化趋势
趋势1:软件服务行业数据下降,社交服务行业跃至首位
威胁猎人研究人员对2月黑灰产恶意手机号行业分布数据分析发现:
社交行业以 32.65% 的占比位居黑灰产恶意手机号使用领域首位,软件服务行业占比 14.29%、电商和零售行业占比12.24%位列第三。
本月值得特别关注的是:黑灰产恶意手机号行业分布发生明显变动,社交行业占比增长并跃居首位,成为黑灰产作恶的核心活跃行业,软件服务行业占比虽较上个月有所下降,但仍是黑灰产活跃行业。
社交行业中的各类社交软件因可被黑灰产利用海量手机号批量注册养号、引流诈骗、导流灰黑产等作恶行为,成为黑产重点利用工具,黑灰产通过这些社交账号实施各类违法违规活动,威胁猎人将持续密切监测黑灰产在社交软件上的恶意操作动向及潜在攻击风险。
趋势2:美国地区固定电话出现新供给来源,新增数量回升
2026 年 2 月以来,美国地区固定电话卡新增数量由降转增,呈现回升态势。
结合威胁猎人对黑灰产通讯群组的持续监控及对新接码渠道追踪情况,我们发现美国地区固定电话卡出现新的供给来源。
该接码渠道主要提供大量的即将被运营商到期回收、有效期通常小于30天的号码资源。此类号码具备短周期、低成本、可批量获取等特征,正在成为黑灰产开展恶意注册、薅补贴及账号套利等活动的新型物料来源;威胁猎人将持续追踪这一趋势的后续演变情况。
有效期通常小于30天的号码的特点:
能收短信 = 能过验证码 = 能批量注册 / 解封
生命周期极短,天然 “用完即丢”
价格极低、量大、容易批量获取
对黑灰产而言:剩余使用周期越短、临近回收的号码成本越低,更适用于一次性注册、套利等一次性作恶场景。
企业可重点关注自身业务中是否存在批量化、有效期异常偏短的手机号码进入行为,针对“一次性”特征的手机号加强监测与策略校验;企业可结合IP、用户行为、设备指纹等多个维度进行判别,若该类号码批量出现,建议直接拦截。
在实际业务监测中,针对上述类型的短周期临时号码,威胁猎人将其统一标记为 Risk9,并同步推送至企业侧进行风险提示。
2月产品能力提升
威胁猎人画像运营团队对海内外覆盖能力持续新增,进一步加强了对沙特阿拉伯、哥伦比亚、南非、法国等地区的覆盖能力。
截止目前,2026年2月,风险手机号覆盖量级较2025年显著提升。
从覆盖区域数量变化趋势来看;沙特阿拉伯地区的传统接码手机号增速在重点区域中表现最为突出。结合黑灰产行为趋势研判,沙特阿拉伯地区为黑产手机号风险物料的重要来源区域之一。
威胁猎人将持续对该区域的异常动向与物料流通情况进行跟踪监测,动态评估其对相关行业的潜在影响。
三、恶意手机号滥用风险和防范建议
若企业放任黑灰产利用恶意手机号注册虚假账号,黑灰产可利用虚假账号开展营销欺诈攻击,制造无效数据,干扰正常商业运营,直接损耗营销资金;
平台生态也将因虚假账号泛滥而恶化,使得内容质量受损,最终导致用户流失。
此外黑灰产注册虚假账号常被用于诈骗和钓鱼攻击,严重威胁用户财产和隐私安全。企业亦可能因违反数据保护和反欺诈法规面临罚款、诉讼或监管整改要求。
同时黑灰产相关作恶资源和物料不断更新迭代,难以辨别,大幅增加了监测和防范难度。针对黑灰产滥用恶意手机号作恶行为,威胁猎人提供“手机号画像服务服务”,助力企业识别并提前拦截恶意号码,从“被动防范”转向“主动防御”黑灰产攻击行为。
如您的企业也有类似问题
请咨询威胁猎人安全专家
热门跟贴