2023 年遠(yuǎn)程訪問檢測(cè)揭露隱形欺詐
在不斷變化的欺詐環(huán)境中,欺詐者已將其策略從使用第三方設(shè)備轉(zhuǎn)向設(shè)備上欺詐。
現(xiàn)在,用戶面臨著涉及遠(yuǎn)程訪問工具 (RAT) 的日益嚴(yán)重的欺詐威脅,而銀行和欺詐檢測(cè)供應(yīng)商則在檢測(cè)這種無形威脅方面面臨著新的挑戰(zhàn)。
讓我們來看看欺詐者的作案手法、不同地區(qū)的流行率、經(jīng)典檢測(cè)方法以及 Trusteer 通過擊鍵分析進(jìn)行 RAT 檢測(cè)的創(chuàng)新方法。
威脅不斷上升
隨著欺詐檢測(cè)方法變得越來越準(zhǔn)確,欺詐者已從第三方設(shè)備的帳戶接管 (ATO) 轉(zhuǎn)向設(shè)備上的欺詐。這可以通過合法的遠(yuǎn)程訪問工具 (RAT) 或欺詐者開發(fā)的工具來完成。
Trusteer 的客戶數(shù)據(jù)分析顯示,RAT 設(shè)備接管已成為一種普遍的欺詐形式,在英國(guó)和澳大利亞基于瀏覽器的欺詐活動(dòng)中占很大比例。
這種作案方式始于英語國(guó)家,然后轉(zhuǎn)移到西班牙和拉丁美洲。它最近在法國(guó)和日本出現(xiàn),此前在這兩個(gè)國(guó)家沒有報(bào)道過。
作案手法:經(jīng)典的技術(shù)支持騙局
欺詐者使用的一種流行方法涉及合法的 RAT,例如 Team Viewer 或 AnyDesk,這允許他們遠(yuǎn)程訪問受害者的設(shè)備。這些欺詐通常涉及社會(huì)工程組件,以說服用戶安裝該工具并允許欺詐者訪問他們的設(shè)備。
大多數(shù)技術(shù)支持詐騙都遵循以下步驟:
第 1 步:用戶在線瀏覽時(shí)被重定向到惡意網(wǎng)站,并彈出窗口聲稱設(shè)備已感染惡意軟件。該彈出窗口包含一個(gè)流氓技術(shù)支持團(tuán)隊(duì)的電話號(hào)碼,可以“協(xié)助”“清理”設(shè)備。
第 2 步:用戶撥打該電話號(hào)碼,并被要求下載 RAT 并授予欺詐者遠(yuǎn)程連接其設(shè)備的權(quán)限。
第 3 步:接下來,合法用戶建立銀行會(huì)話來支付服務(wù)費(fèi)用。如果需要一次性密碼來驗(yàn)證新的目標(biāo)帳戶標(biāo)識(shí)符,則此操作是由受害者授權(quán)的。
典型檢測(cè)方法
檢測(cè)RAT的典型方法之一是通過降低鼠標(biāo)移動(dòng)頻率。
如果設(shè)備上的鼠標(biāo)移動(dòng)包含許多小的、頻繁的事件,則在傳輸遠(yuǎn)程鼠標(biāo)移動(dòng)時(shí),其中一些事件會(huì)丟失。這會(huì)導(dǎo)致可測(cè)量的事件減少。
下圖以圖形形式展示了這些運(yùn)動(dòng)的外觀。
然而,COVID-19 期間遠(yuǎn)程工作的興起推動(dòng)了遠(yuǎn)程通信工具(包括 RAT)的許多改進(jìn),改變了舊的檢測(cè)模型。
接受挑戰(zhàn):Trusteer 的創(chuàng)新解決方案
Trusteer 的研究團(tuán)隊(duì)通過探索替代檢測(cè)方法應(yīng)對(duì) RAT 欺詐檢測(cè)挑戰(zhàn)。我們已經(jīng)確定了每種 RAT 所特有的不同行為模式。獨(dú)特的行為“指紋”使 Trusteer 的欺詐檢測(cè)產(chǎn)品能夠檢測(cè) RAT 的使用并識(shí)別攻擊期間使用的特定工具。
例如,下圖顯示了一種獨(dú)特的行為模式,利用主要在中歐使用的 RAT 進(jìn)行欺詐會(huì)話中的用戶流數(shù)據(jù)、按鍵和鼠標(biāo)元素。
(來源:IBM Trusteer)
大約 20% 的使用 RAT 的欺詐會(huì)話中記錄了這些模式,而合法會(huì)話中只有 0.01% 記錄了這些模式。這有助于我們的團(tuán)隊(duì)更確定地檢測(cè) RAT 驅(qū)動(dòng)的欺詐行為。
遠(yuǎn)離 RAT 欺詐
RAT 欺詐已遍及世界各個(gè)角落,同時(shí)變得越來越隱蔽,給銀行和安全團(tuán)隊(duì)帶來了挑戰(zhàn)。
然而,Trusteer 的欺詐檢測(cè)系統(tǒng) Pinpoint Detect (PPD) 可以基于行為分析識(shí)別涉及 RAT 的欺詐會(huì)話,具有出色的覆蓋范圍和準(zhǔn)確性。