诈骗分子利用虚拟智能手机加速金融欺诈

智能手机已成为我们数字身份的基础，保障着支付系统和银行账户的安全。然而据一家公司研究显示，伪装成真实手机的虚拟设备现已成为金融诈骗分子的重要工具。

安全厂商Group IB在周三发布的一份报告中详细分析了表面合法的云手机平台被犯罪分子滥用，用于实施授权推送支付欺诈的情况。与之前滥用社交媒体的诈骗分子一样，欺诈者选择云手机是因为如果不知道如何检查其遥测数据，这些设备看起来完全合法。

传统的实体智能手机库维护成本昂贵且操作繁琐。而SIM卡农场虽然使用大量仿真软件在非ARM硬件上运行ARM软件，但很容易被检测到，因为它们无法发出真实智能手机特有的数据特征。

在虚拟移动基础设施环境中运行的云手机本质上集合了所有优势。无需维护耗能的手机库或保持更新。在其环境中运行的软件能够密切模拟手机行为，包括为每台虚拟安卓手机提供独特的设备ID、IP地址和伪造的地理位置。它们甚至可以集成虚假传感器数据，使每台设备看起来真实存在于物理世界中。

提供此类服务的平台将其技术栈定位为服务于需要管理多个社交媒体账户的用户、避免平台垃圾邮件限制的经销商，或者用某平台的话说，任何需要"大量推广且'隐秘性'是必需而非奢侈品"的用户。

换句话说，这些确实是"合法"公司，只是在可接受使用政策合规性方面运营在相当灰色的地带。

报告显示，网络犯罪分子越来越多地使用云手机进行授权推送支付转账。授权推送支付欺诈有多种形式，但都有一个共同点：说服受害者向诈骗分子汇款。分析师预计此类诈骗造成的损失将会上升。

德勤在去年10月的一份报告中表示："我们预计美国的授权推送支付欺诈损失可能从2024年估计的83亿美元增加到2028年的149亿美元。"

对于授权推送支付欺诈分子来说，云手机是完美的设备。因为云平台模拟的手机在金融机构看来完全合法，从诈骗受害者到攻击者控制账户的欺诈性资金转移，然后通过安装了银行应用的云设备转发给诈骗分子，永远不会触发欺诈警报。

Group IB解释说："对于银行的欺诈检测系统来说，这看起来就像是一直访问该账户的同一设备——相同的硬件指纹、相同的遥测数据、相同的行为模式。"

根据他们的研究，网络犯罪论坛越来越多地出现预配置金融应用和账户登录详细信息的云手机，这些手机经过几次交易"预热"以显得合法。价格从50美元到200美元不等。

报告指出，在许多情况下，未发现的云手机使用是"许多授权推送支付欺诈案件中缺失的关键环节"。

Group IB表示已识别出几种识别云手机的方法。不幸的是，在这两种情况下，发现这些隐秘设备可能需要重新思考金融机构如何保护账户安全。

例如，智能手机上安装的许多默认应用在云设备上都缺失，而安装了特殊的管理应用程序。他们还注意到需要关注的行为异常，云设备经常显示电池持续充满电，在使用会话期间缺乏传感器运动。

这些类型的设备信号对于传统上依赖基于知识的身份验证和通过设备ID进行指纹识别来确保用户身份的金融机构来说往往是次要考虑因素。

报告总结道："更广泛的教训不是设备指纹识别失败了，而是欺诈检测必须超越静态设备真实性检查，转向多层次智能"，并补充说"设备环境关联、基础设施级别可见性、行为建模和基于图的分析"是捕捉他们强调的一些信号的方法。

Q&A

Q1：云手机欺诈是如何运作的？

A：云手机运行在虚拟移动基础设施环境中，能够密切模拟真实手机行为，包括提供独特的设备ID、IP地址和伪造地理位置。诈骗分子利用这些看似合法的虚拟设备进行授权推送支付转账，因为银行系统无法区分它们与真实手机，所以不会触发欺诈警报。

Q2：为什么云手机比传统SIM卡农场更难检测？

A：传统SIM卡农场使用大量仿真软件在非ARM硬件上运行ARM软件，容易被检测到。而云手机集合了所有优势，无需维护实体手机库，软件能密切模拟手机行为，甚至可以集成虚假传感器数据，使设备看起来真实存在于物理世界中。

Q3：金融机构如何识别和防范云手机欺诈？

A：可以通过检测设备异常来识别，比如许多默认应用缺失而安装了特殊管理应用，电池持续充满电，使用时缺乏传感器运动等。报告建议金融机构采用多层次智能检测，包括设备环境关联、基础设施级别可见性、行为建模和基于图的分析等方法。