在不斷變化的欺詐環(huán)境中，欺詐者已將其策略從使用第三方設(shè)備轉(zhuǎn)向設(shè)備上欺詐。

現(xiàn)在，用戶面臨著涉及遠(yuǎn)程訪問工具 (RAT) 的日益嚴(yán)重的欺詐威脅，而銀行和欺詐檢測(cè)供應(yīng)商則在檢測(cè)這種無形威脅方面面臨著新的挑戰(zhàn)。

讓我們來看看欺詐者的作案手法、不同地區(qū)的流行率、經(jīng)典檢測(cè)方法以及 Trusteer 通過擊鍵分析進(jìn)行 RAT 檢測(cè)的創(chuàng)新方法。

威脅不斷上升

隨著欺詐檢測(cè)方法變得越來越準(zhǔn)確，欺詐者已從第三方設(shè)備的帳戶接管 (ATO) 轉(zhuǎn)向設(shè)備上的欺詐。這可以通過合法的遠(yuǎn)程訪問工具 (RAT) 或欺詐者開發(fā)的工具來完成。

Trusteer 的客戶數(shù)據(jù)分析顯示，RAT 設(shè)備接管已成為一種普遍的欺詐形式，在英國(guó)和澳大利亞基于瀏覽器的欺詐活動(dòng)中占很大比例。

這種作案方式始于英語國(guó)家，然后轉(zhuǎn)移到西班牙和拉丁美洲。它最近在法國(guó)和日本出現(xiàn)，此前在這兩個(gè)國(guó)家沒有報(bào)道過。

作案手法：經(jīng)典的技術(shù)支持騙局

欺詐者使用的一種流行方法涉及合法的 RAT，例如 Team Viewer 或 AnyDesk，這允許他們遠(yuǎn)程訪問受害者的設(shè)備。這些欺詐通常涉及社會(huì)工程組件，以說服用戶安裝該工具并允許欺詐者訪問他們的設(shè)備。

大多數(shù)技術(shù)支持詐騙都遵循以下步驟：

第 1 步：用戶在線瀏覽時(shí)被重定向到惡意網(wǎng)站，并彈出窗口聲稱設(shè)備已感染惡意軟件。該彈出窗口包含一個(gè)流氓技術(shù)支持團(tuán)隊(duì)的電話號(hào)碼，可以“協(xié)助”“清理”設(shè)備。

第 2 步：用戶撥打該電話號(hào)碼，并被要求下載 RAT 并授予欺詐者遠(yuǎn)程連接其設(shè)備的權(quán)限。

第 3 步：接下來，合法用戶建立銀行會(huì)話來支付服務(wù)費(fèi)用。如果需要一次性密碼來驗(yàn)證新的目標(biāo)帳戶標(biāo)識(shí)符，則此操作是由受害者授權(quán)的。

典型檢測(cè)方法

檢測(cè)RAT的典型方法之一是通過降低鼠標(biāo)移動(dòng)頻率。

如果設(shè)備上的鼠標(biāo)移動(dòng)包含許多小的、頻繁的事件，則在傳輸遠(yuǎn)程鼠標(biāo)移動(dòng)時(shí)，其中一些事件會(huì)丟失。這會(huì)導(dǎo)致可測(cè)量的事件減少。

下圖以圖形形式展示了這些運(yùn)動(dòng)的外觀。

然而，COVID-19 期間遠(yuǎn)程工作的興起推動(dòng)了遠(yuǎn)程通信工具（包括 RAT）的許多改進(jìn)，改變了舊的檢測(cè)模型。

接受挑戰(zhàn)：Trusteer 的創(chuàng)新解決方案

Trusteer 的研究團(tuán)隊(duì)通過探索替代檢測(cè)方法應(yīng)對(duì) RAT 欺詐檢測(cè)挑戰(zhàn)。我們已經(jīng)確定了每種 RAT 所特有的不同行為模式。獨(dú)特的行為“指紋”使 Trusteer 的欺詐檢測(cè)產(chǎn)品能夠檢測(cè) RAT 的使用并識(shí)別攻擊期間使用的特定工具。

例如，下圖顯示了一種獨(dú)特的行為模式，利用主要在中歐使用的 RAT 進(jìn)行欺詐會(huì)話中的用戶流數(shù)據(jù)、按鍵和鼠標(biāo)元素。

（來源：IBM Trusteer）

大約 20% 的使用 RAT 的欺詐會(huì)話中記錄了這些模式，而合法會(huì)話中只有 0.01% 記錄了這些模式。這有助于我們的團(tuán)隊(duì)更確定地檢測(cè) RAT 驅(qū)動(dòng)的欺詐行為。

遠(yuǎn)離 RAT 欺詐

RAT 欺詐已遍及世界各個(gè)角落，同時(shí)變得越來越隱蔽，給銀行和安全團(tuán)隊(duì)帶來了挑戰(zhàn)。

然而，Trusteer 的欺詐檢測(cè)系統(tǒng) Pinpoint Detect (PPD) 可以基于行為分析識(shí)別涉及 RAT 的欺詐會(huì)話，具有出色的覆蓋范圍和準(zhǔn)確性。