诈骗分子利用虚拟智能手机把金融欺诈的速度给提上来了。智能手机早就成了咱们数字身份的大本营,大家的支付系统和银行账户全靠它在撑着。可据Group IB在周三出的那份报告讲,现在有些表面上合法的云手机平台,早就成了不法分子手里的工具。以前骗子是利用社交媒体来搞鬼,现在他们看上了云手机,就因为这种设备看着很正常,普通人根本看不出它们是假的。比起那些传统的实体智能手机库,维护起来既费钱又麻烦。SIM卡农场虽说用仿真软件在ARM架构上运行ARM程序,可一旦被发现就完蛋了,因为它们发不出真机那种特有的数据信号。反倒是在虚拟环境里跑的云手机占尽了便宜,既不用养耗电的手机库,也不用费劲保持更新。在它们的地盘上跑的软件能把手机行为模仿得特别像,给每台安卓虚拟手机都安上独一无二的设备ID、IP地址,还能把地理位置给伪造出来。它们甚至还能把传感器数据也弄假成真,让每台设备看起来就像是真在现实世界里。搞这种服务的平台给自个儿的技术栈找了个冠冕堂皇的说法,说是为了帮那些需要同时管好多社交媒体账号的人,或者帮那些想避开垃圾邮件限制的卖家用的。说白了,他们确实是正经公司,只是在玩那种大家都不太愿意碰的灰色地带。 这篇报告显示,网络犯罪分子越来越喜欢拿云手机来搞授权推送支付转账这种事。这种诈骗花样不少,但万变不离其宗:都是想骗受害者把钱汇过去。德勤那边在去年10月就发话说,预计美国这块儿的损失会越来越大。他们估摸着美国的授权推送支付欺诈损失可能从2024年估计的83亿美元增加到2028年的149亿美元。对于这帮搞诈骗的人来说,云手机简直就是完美的作案道具。因为云平台模拟出来的手机在金融机构眼里那就是合法的,哪怕钱是从受害者那里被骗过来的,再通过安装了银行应用的云设备转过去给坏人,银行系统也压根察觉不到这是骗局。Group IB解释说:“对银行的欺诈检测系统来说,这就像是那个一直用这账户的老设备——指纹、遥测数据还有行为模式全是一模一样的。”根据他们的研究发现,现在犯罪论坛上经常出现那种预装好金融应用、还有账户登录信息的云手机。这些手机在发几笔交易“热热身”之后就显得特正规。价格也不算高,从50美元到200美元不等。 报告里指出了一个很关键的点:好多没被发现的云手机使用情况,往往就是许多授权推送支付欺诈案子里缺失的那一环。Group IB还给出了几个识别云手机的法子。不过有点可惜的是,要想真的发现这些躲在暗处的设备,可能得逼着金融机构重新思考一下怎么保护账户安全才行。比如说智能手机上装的那些默认应用在云设备上往往都没有了,反倒装上了一套特殊的管理程序。还有一点就是它们的表现特别诡异,经常显示电池电量一直满格状态,用着用着也没什么传感器的动静。对于那些习惯靠设备ID来做人脸识别、或者搞基于知识的身份验证的机构来说,这些奇怪的信号往往都被当成了次要的小问题给忽略掉了。 最后这篇报告总结了一个大道理:“设备指纹识别没失败”,但防范欺诈绝不能光盯着设备是不是真的看。“检测必须超越那种静态的检查”,“得往多层次智能那边转才行”,报告还补充说“设备环境关联、基础设施级别可见性、行为建模还有基于图的分析”,这些才是抓住他们强调的信号的好法子。 给大伙留几个问题咱们对一对: Q1:云手机诈骗到底是怎么玩的? A:它们是在虚拟环境里跑的手机模拟器,能把手机的各种行为学个差不多,给每台虚拟安卓机都配上独特的ID、IP和假位置。骗子利用这种看似正规的东西搞转账诈骗是因为银行分不出来真假手机,自然也不会触发警报。 Q2:为什么说云手机比传统SIM卡农场更难抓? A:因为SIM卡农场是在非ARM硬件上硬跑ARM软件容易被查水表。而云手机把好处全占了不用养实体库也不用操心更新,软件还能把行为学个像甚至把传感器信号也弄得跟真的一样藏在物理世界里。 Q3:银行怎么才能认出并且挡住这种云手机诈骗? A:可以看看设备有没有毛病比如默认应用没了装了管理软件还有电池一直满格或者不用手机传感器的现象。报告建议大家得用那种“多层次智能”的检测方法看看环境关联、看看基础设施、再做做行为建模和图分析。