IBM Trusteer的研究人员表示，他们发现了一个大规模的诈骗行动，利用移动设备仿真网络在几天内从网上银行账户中窃取了数百万美元。

这次手术的规模与研究人员以前见过的任何手术都不一样。在一个案例中，骗子使用了大约20个模拟器模拟了超过1.6万部手机，这些手机的客户的移动银行账户已经被盗。在一个单独的案例中，一个模拟器能够欺骗超过8100个设备，如下图所示:

IBM受托人

然后，窃贼在模拟器上运行的银行应用程序中输入用户名和密码，发起欺诈性的汇款单，将资金从被盗账户中抽走。合法的开发者和研究人员使用仿真器来测试应用程序如何在各种不同的移动设备上运行。

为了绕过银行用来阻止此类攻击的保护措施，沐鸣开户测速骗子们使用了与每个被攻破的账户持有者对应的设备标识符，并伪造了已知设备使用的GPS位置。这些设备的id很可能是从被窃用户的设备上获得的，不过在某些情况下，欺诈者假装他们是用新手机访问自己账户的客户。攻击者还能够通过访问SMS消息绕过多因素身份验证。

自动化欺诈

IBM Trusteer研究员Shachar Gritzman和Limor Kessem在一篇帖子中写道:“这种移动欺诈操作试图自动化访问账户、发起交易、接收和窃取第二因素(在这种情况下是短信)的过程，在许多情况下使用这些代码完成非法交易。”“该团伙创建的数据源、脚本和定制应用程序在一个自动化过程中流动，提供的速度使他们能够在几天内从每个受害银行抢劫数百万美元。”

每当骗子成功地掏空一个账户时，他们就会关闭访问该账户的欺骗设备，并用一个新设备替换它。如果被银行的反欺诈系统拒绝，沐鸣开户测速攻击者还会对设备进行循环检查。随着时间的推移，IBM Trusteer看到操作员启动了不同的攻击分支。在一个操作结束后，攻击者将关闭操作，擦除数据跟踪，并开始一个新的操作。

研究人员认为，银行账户被恶意软件或网络钓鱼攻击侵入。IBM Trusteer的报告没有解释骗子是如何设法窃取短信和设备id的。这些银行位于美国和欧洲。

为了实时监控业务进展，这些骗子截获了被欺骗的设备与银行应用服务器之间的通信。攻击者还使用日志和屏幕截图来跟踪操作时间。随着行动的进展，研究人员看到攻击技术的发展，骗子从以前的错误中吸取了教训。

这次行动提出了一些常见的安全建议，包括使用强密码、学习如何识别钓鱼诈骗，以及让设备免受恶意软件的侵害。如果银行通过短信以外的媒介提供多因素认证，那就太好了，但很少有金融机构这样做。人们应该至少每个月检查一次银行对账单，以查找欺诈交易。