过去,“邪恶的移动模拟器农场”从美国和欧盟的银行窃取了数百万美元

2020-12-17 20:54:42

IBM Trusteer的研究人员表示,他们发现了一项大规模的欺诈操作,该操作使用移动设备仿真器网络在几天之内从网上银行帐户中浪费了数百万美元。

手术的规模与研究人员以前所见的不同。在一个案例中,骗子使用了大约20个仿真器来模拟属于移动银行帐户已被盗用的客户的16,000多部电话。在另一种情况下,单个仿真器可以欺骗8100多个设备,如下图所示:

然后,小偷将用户名和密码输入到在模拟器上运行的银行应用程序中,并启动了欺诈性汇票,将汇出的资金从受感染的帐户中窃取。合法的开发人员和研究人员使用模拟器来测试应用程序如何在各种不同的移动设备上运行。

为了绕过银行用来阻止此类攻击的保护措施,骗子使用了与每个受感染帐户持有者相对应的设备标识符以及已知使用该设备的欺骗GPS位置。设备ID可能是从持有者被黑的设备中获得的,尽管在某些情况下,欺诈者还冒充了从新手机访问其帐户的客户。攻击者还能够通过访问SMS消息来绕过多因素身份验证。

IBM Trusteer研究人员Shachar Gritzman和Limor表示:“该移动欺诈操作成功地实现了自动访问帐户,启动交易,接收和窃取第二因素的过程(在这种情况下为SMS),并在许多情况下使用这些代码完成了非法交易。”凯塞姆在一篇文章中写道。 “该团伙创建的数据源,脚本和自定义应用程序以一种自动化流程流动,该流程提供了速度,使他们能够在几天之内从每个受害银行抢走数百万美元。”

骗子每次成功耗尽帐户后,就会撤消访问该帐户的欺骗设备,并用新设备替换。如果银行的反欺诈系统拒绝了攻击者,攻击者还会在设备之间循环。随着时间的流逝,IBM Trusteer看到运营商发起了明显的攻击。结束后,攻击者将关闭该操作,擦除数据跟踪并开始新的操作。

研究人员认为,银行帐户受到恶意软件或网络钓鱼攻击的威胁。 IBM Trusteer报告没有说明骗子如何设法窃取SMS消息和设备ID。这些银行分别位于美国和欧洲。

为了实时监控操作进度,骗子拦截了欺骗设备与银行应用服务器之间的通信。 攻击者还使用日志和屏幕截图跟踪一段时间内的操作。 随着操作的进行,研究人员看到攻击技术随着骗子从以前的错误中学到的知识而发展。 该操作提出了有关使用强密码和学习如何发现网络钓鱼诈骗以及使设备不受恶意软件攻击的常规安全建议。 如果银行通过SMS以外的其他媒介提供多因素身份验证,那很好,但是很少有金融机构这样做。 人们应该每月至少检查一次银行对帐单,以查找欺诈性交易。