在不斷變化的欺詐環(huán)境中，欺詐者已將其策略從使用第三方設(shè)備轉(zhuǎn)向設(shè)備上欺詐。

現(xiàn)在，用戶面臨著涉及遠(yuǎn)程訪問工具 (RAT) 的日益嚴(yán)重的欺詐威脅，而銀行和欺詐檢測供應(yīng)商則在檢測這種無形威脅方面面臨著新的挑戰(zhàn)。

讓我們來看看欺詐者的作案手法、不同地區(qū)的流行率、經(jīng)典檢測方法以及 Trusteer 通過擊鍵分析進(jìn)行 RAT 檢測的創(chuàng)新方法。

威脅不斷上升

隨著欺詐檢測方法變得越來越準(zhǔn)確，欺詐者已從第三方設(shè)備的帳戶接管 (ATO) 轉(zhuǎn)向設(shè)備上的欺詐。這可以通過合法的遠(yuǎn)程訪問工具 (RAT) 或欺詐者開發(fā)的工具來完成。

Trusteer 的客戶數(shù)據(jù)分析顯示，RAT 設(shè)備接管已成為一種普遍的欺詐形式，在英國和澳大利亞基于瀏覽器的欺詐活動中占很大比例。

這種作案方式始于英語國家，然后轉(zhuǎn)移到西班牙和拉丁美洲。它最近在法國和日本出現(xiàn)，此前在這兩個國家沒有報道過。

作案手法：經(jīng)典的技術(shù)支持騙局

欺詐者使用的一種流行方法涉及合法的 RAT，例如 Team Viewer 或 AnyDesk，這允許他們遠(yuǎn)程訪問受害者的設(shè)備。這些欺詐通常涉及社會工程組件，以說服用戶安裝該工具并允許欺詐者訪問他們的設(shè)備。

大多數(shù)技術(shù)支持詐騙都遵循以下步驟：

第 1 步：用戶在線瀏覽時被重定向到惡意網(wǎng)站，并彈出窗口聲稱設(shè)備已感染惡意軟件。該彈出窗口包含一個流氓技術(shù)支持團(tuán)隊的電話號碼，可以“協(xié)助”“清理”設(shè)備。

第 2 步：用戶撥打該電話號碼，并被要求下載 RAT 并授予欺詐者遠(yuǎn)程連接其設(shè)備的權(quán)限。

第 3 步：接下來，合法用戶建立銀行會話來支付服務(wù)費(fèi)用。如果需要一次性密碼來驗證新的目標(biāo)帳戶標(biāo)識符，則此操作是由受害者授權(quán)的。

典型檢測方法

檢測RAT的典型方法之一是通過降低鼠標(biāo)移動頻率。

如果設(shè)備上的鼠標(biāo)移動包含許多小的、頻繁的事件，則在傳輸遠(yuǎn)程鼠標(biāo)移動時，其中一些事件會丟失。這會導(dǎo)致可測量的事件減少。

下圖以圖形形式展示了這些運(yùn)動的外觀。

然而，COVID-19 期間遠(yuǎn)程工作的興起推動了遠(yuǎn)程通信工具（包括 RAT）的許多改進(jìn)，改變了舊的檢測模型。

接受挑戰(zhàn)：Trusteer 的創(chuàng)新解決方案

Trusteer 的研究團(tuán)隊通過探索替代檢測方法應(yīng)對 RAT 欺詐檢測挑戰(zhàn)。我們已經(jīng)確定了每種 RAT 所特有的不同行為模式。獨(dú)特的行為“指紋”使 Trusteer 的欺詐檢測產(chǎn)品能夠檢測 RAT 的使用并識別攻擊期間使用的特定工具。

例如，下圖顯示了一種獨(dú)特的行為模式，利用主要在中歐使用的 RAT 進(jìn)行欺詐會話中的用戶流數(shù)據(jù)、按鍵和鼠標(biāo)元素。

（來源：IBM Trusteer）

大約 20% 的使用 RAT 的欺詐會話中記錄了這些模式，而合法會話中只有 0.01% 記錄了這些模式。這有助于我們的團(tuán)隊更確定地檢測 RAT 驅(qū)動的欺詐行為。

遠(yuǎn)離 RAT 欺詐

RAT 欺詐已遍及世界各個角落，同時變得越來越隱蔽，給銀行和安全團(tuán)隊帶來了挑戰(zhàn)。

然而，Trusteer 的欺詐檢測系統(tǒng) Pinpoint Detect (PPD) 可以基于行為分析識別涉及 RAT 的欺詐會話，具有出色的覆蓋范圍和準(zhǔn)確性。