在不斷變化的欺詐環境中,欺詐者已將其策略從使用第三方設備轉向設備上欺詐。
現在,用戶面臨著涉及遠程訪問工具 (RAT) 的日益嚴重的欺詐威脅,而銀行和欺詐檢測供應商則在檢測這種無形威脅方面面臨著新的挑戰。
讓我們來看看欺詐者的作案手法、不同地區的流行率、經典檢測方法以及 TRusteer 通過擊鍵分析進行 RAT 檢測的創新方法。
威脅不斷上升
隨著欺詐檢測方法變得越來越準確,欺詐者已從第三方設備的帳戶接管 (ATO) 轉向設備上的欺詐。這可以通過合法的遠程訪問工具 (RAT) 或欺詐者開發的工具來完成。
Trusteer 的客戶數據分析顯示,RAT 設備接管已成為一種普遍的欺詐形式,在英國和澳大利亞基于瀏覽器的欺詐活動中占很大比例。
這種作案方式始于英語國家,然后轉移到西班牙和拉丁美洲。它最近在法國和日本出現,此前在這兩個國家沒有報道過。
作案手法:經典的技術支持騙局
欺詐者使用的一種流行方法涉及合法的 RAT,例如 Team Viewer 或 AnyDesk,這允許他們遠程訪問受害者的設備。這些欺詐通常涉及社會工程組件,以說服用戶安裝該工具并允許欺詐者訪問他們的設備。
大多數技術支持詐騙都遵循以下步驟:
第 1 步:用戶在線瀏覽時被重定向到惡意網站,并彈出窗口聲稱設備已感染惡意軟件。該彈出窗口包含一個流氓技術支持團隊的電話號碼,可以“協助”“清理”設備。
第 2 步:用戶撥打該電話號碼,并被要求下載 RAT 并授予欺詐者遠程連接其設備的權限。
第 3 步:接下來,合法用戶建立銀行會話來支付服務費用。如果需要一次性密碼來驗證新的目標帳戶標識符,則此操作是由受害者授權的。
典型檢測方法
檢測RAT的典型方法之一是通過降低鼠標移動頻率。
如果設備上的鼠標移動包含許多小的、頻繁的事件,則在傳輸遠程鼠標移動時,其中一些事件會丟失。這會導致可測量的事件減少。
下圖以圖形形式展示了這些運動的外觀。
然而,COVID-19 期間遠程工作的興起推動了遠程通信工具(包括 RAT)的許多改進,改變了舊的檢測模型。
接受挑戰:Trusteer 的創新解決方案
Trusteer 的研究團隊通過探索替代檢測方法應對 RAT 欺詐檢測挑戰。我們已經確定了每種 RAT 所特有的不同行為模式。獨特的行為“指紋”使 Trusteer 的欺詐檢測產品能夠檢測 RAT 的使用并識別攻擊期間使用的特定工具。
例如,下圖顯示了一種獨特的行為模式,利用主要在中歐使用的 RAT 進行欺詐會話中的用戶流數據、按鍵和鼠標元素。
(來源:IBM Trusteer)
大約 20% 的使用 RAT 的欺詐會話中記錄了這些模式,而合法會話中只有 0.01% 記錄了這些模式。這有助于我們的團隊更確定地檢測 RAT 驅動的欺詐行為。
遠離 RAT 欺詐
RAT 欺詐已遍及世界各個角落,同時變得越來越隱蔽,給銀行和安全團隊帶來了挑戰。
然而,Trusteer 的欺詐檢測系統 Pinpoint Detect (PPD) 可以基于行為分析識別涉及 RAT 的欺詐會話,具有出色的覆蓋范圍和準確性。
