DAIC:針對BEC欺詐的開源利器
導讀 | 雖然2020年勒索軟體出盡風頭,吸引了防禦者大量注意力,但是“傳統”針對性攻擊例如BEC的腳步絲毫也沒有放慢。相反,近年來,BEC已經從“小眾”攻擊變得越來越流行。 |
根據FBI網際網路犯罪合規中心在2019年釋出的資料,當年收到的BEC欺詐投訴損失超過17億美元。與網路安全事件總數相比,向IC3等機構彙報的案件只是九牛一毛。考慮到網路犯罪世界並沒有發生任何戲劇性的變化,可以假設,2020年和2021年BEC攻擊造成的損失只會比上面的數字更加糟糕。
BEC攻擊在執行方式和技術上有多種變體。大多數情況下涉及發票詐騙、欺詐者偽裝成供應商,向受害者的CFO或應付賬款團隊傳送篡改後的銀行賬戶資訊的付款請求。
視複雜程度不同,BEC欺詐的手段包括難度較大的供應商電子郵件賬戶劫持、使用模仿供應商域名的釣魚網址/網站,到簡單有效的針對性釣魚郵件設計。在所有變體攻擊中,攻擊者的目的都是希望受害者上鉤並匯出資金。
BEC欺詐之所以大行其道,是因為入門門檻低,但其成功率卻很高,至少對於不太複雜的攻擊變體而言。BEC成功率如此之高的原因是,大多數企業的首席財務官和應付賬款團隊未接受過有效的針對性網路安全意識培訓,同時也缺乏快速簡便的方法來驗證供應商的賬戶資訊是否可信或合法。
隨著近年來反欺詐行業開始追上威脅的腳步,大量BEC欺詐檢測解決方案進入市場,但很多方案都是面向大型企業的高階(高價)服務,而且受特定反欺詐供應商的資料和可見性限制。對於越來越多被BEC攻擊威脅的中小企業和組織來說,在一個全球化的經濟體中,面對來自世界各國,資料完整性和一致性各不相同的供應商,往往需要不同型別的BEC欺詐檢測方案,開源方案就是其中一種。
DAIC(分散式賬戶資訊認證)是值得關注的一個針對BEC欺詐的免費開放源解決方案。該解決方案既可以作為私有方案部署在企業自己的系統中,也可以作為第三方SaaS服務以雲服務的方式訂閱,可以滿足不同公司對隱私和控制級別的要求。DAIC實際上也是一種標準,它使組織能夠在傳送付款之前快速安全地驗證公司的銀行賬戶資訊,同時還使反欺詐供應商能夠針對正在進行的欺詐活動收集急需的威脅情報,這都可以透過DAIC來實現。
藉助DAIC,每家公司都可以將其從客戶那裡收到付款的賬號放入其選擇的“認證伺服器”中。
當實體想要向該公司匯款時,它可以使用DAIC客戶端查詢伺服器,以檢查其存檔的賬戶資訊是否與儲存在伺服器上的“認證”賬戶資訊相同。
透過在傳送付款之前驗證賬號,如果付款是由於從詐騙者那裡收到的欺詐性發票觸發的,其中包含一個不同的賬號,那麼它將被識別並且可以停止付款。
由於DAIC是開源的,並且使用標準協議,因此使用者可以使用專用的開源軟體來完成此驗證過程,也可以將其嵌入任何付款解決方案中。
DAIC使用在其他安全標準(例如DMARC,基於域的訊息身份驗證、報告和一致性)中使用的久經考驗的驗證方法。
每個公司都在其DNS記錄中新增一條記錄,以標註他們選擇的DAIC伺服器。當使用客戶驗證賬號時,使用者輸入收款人的賬號和域名。然後,它將查詢提供的域的DAIC DNS記錄,以提取DAIC伺服器的位置。然後查詢伺服器以驗證賬號是否正確。
DAIC的優點
DAIC有以下幾個優點:
- 免費:由於BEC欺詐既針對小型組織也針對大型組織,因此可以用來提高每個使用者保護自己免受欺詐的能力,而不會影響其底線。這也意味著採用該標準應該更容易。
- DAIC是一個標準:由於該解決方案不依賴於特定供應商對賬戶資訊的可見性,因此,如果採用該解決方案,則可以在各個地區和行業中正常工作。此外,如上所述,它可以嵌入現有的支付管理解決方案中。
- 開源:企業使用者可以自行決定是否設定自己的DAIC伺服器(專用於保留其賬戶資訊)還是使用SaaS服務。從理論上講,反欺詐供應商有動機提供此類服務,因為這可以幫助他們捕獲賬號錯誤的任何查詢,從而生成威脅情報。
- DAIC不需要各方都採用:企業使用者可以要求其供應商實施DAIC,以便從其那裡接收付款。即使沒有大規模採用,企業也將受到保護。
- 不怕DDoS攻擊:攻擊者試圖透過DDoS攻擊破壞DAIC伺服器執行驗證過程的任何嘗試都適得其反,因為這樣他們的付款請求不會得到驗證。
DAIC目前還不是一個可靠的系統,容易受到某些形式的攻擊,例如獲得公司的DNS管理許可權(例如,透過惡意軟體獲取註冊商憑證),從而使攻擊者能夠將DAIC查詢定向到他們控制的伺服器,或者攻擊者可以接管公司當前使用的伺服器,並毒化其資料。
儘管存在一些侷限性,但實施DAIC仍然能大大提高BEC欺詐的技術門檻,淘汰大量低水平BEC欺詐者,從而大大減少全球BEC欺詐所遭受的總體損失。
DAIC目前仍處於起步階段,是如何預防BEC欺詐的思想實驗和概念驗證的產物。為了使其成為切實可行的解決方案,各方應該擴充套件概念並定義其細節。
DAIC目前已經開發了概念驗證、伺服器和客戶端的初始原型,專案的Github地址是:
。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69955379/viewspace-2761823/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 企業工商四要素核驗 API:有效應對商業欺詐和惡意交易的利器API
- 如何應對與化解欺詐攻擊?
- 金融欺詐資料分析
- Coremail分享|CTO 教你如何防範BEC郵件詐騙REMAI
- 微軟更新 Microsoft Store 策略:重點“打擊”欺詐付費版的非官方開源程式微軟ROS
- 廣告欺詐:如何應對數字廣告裡分羹者?
- 泰國中央銀行對加密貨幣欺詐案進行澄清加密
- 針對Office 365的新型網路釣魚詐騙之音訊郵件音訊
- 聯邦法官對CFTC提出的加密貨幣欺詐禁令案產生動搖加密
- 金融反欺詐-交易基礎介紹
- 信貸風控全流程-反欺詐
- GroupM:全球83%的廣告欺詐發生在中國
- CHEQ:2019廣告流量欺詐成本報告
- 用深度學習進行欺詐檢測深度學習
- Stripe如何解決信用卡欺詐? - Patrick
- Experian:2021年全球身份和欺詐報告
- 開源監控利器Prometheus初探Prometheus
- 開源專案audioFlux: 針對音訊領域的深度學習工具庫UX音訊深度學習
- FBI:BEC詐騙2018年至2021年已盜取430億美元資金
- 美國總統川普開始整治加密貨幣欺詐問題加密
- 聯邦調查局:2019年BEC詐騙佔網路犯罪損失的一半
- 金融風控反欺詐之圖演算法演算法
- 經典圖模型欺詐檢測系統BotGraph模型OTG
- INTERPOL:全球金融欺詐趨勢評估報告
- 如何及早發現和緩解採購欺詐?
- 程式碼回現 | 如何實現交易反欺詐?
- 知物由學 | 廣告欺詐:如何應對數字廣告裡分羹者?
- 反欺詐中所用到的機器學習模型有哪些?機器學習模型
- TAG:採用TAG標準的廣告欺詐率下降94%
- 騰訊安全聯合釋出《2020中國移動廣告反欺詐白皮書》,深度揭秘三大反欺詐主流模式模式
- 如何使用六西格瑪識別欺詐行為?
- 針對ShotGun的ServerRewindOTGServer
- 騰訊安全釋出《2021年移動廣告反欺詐白皮書》:2021年廣告主因欺詐致損高達220億
- Xcode 小技巧:利用 assets 配置針對不同裝置的資源XCode
- 《饑荒》開發商的卡牌構築沙盒神作《欺詐之地》誕生?
- 帶你上手阿里開源的 Java 診斷利器:Arthas阿里Java
- 金融行業如何應對線上欺詐?騰訊安全天御團隊線上答疑解惑行業
- 614 Group:2020年美國廣告流量欺詐報告