雖然2020年勒索軟件出盡風(fēng)頭，吸引了防御者大量注意力，但是“傳統(tǒng)”針對(duì)性攻擊例如BEC的腳步絲毫也沒(méi)有放慢。相反，近年來(lái)，BEC已經(jīng)從“小眾”攻擊變得越來(lái)越流行。

根據(jù)FBI互聯(lián)網(wǎng)犯罪合規(guī)中心在2019年發(fā)布的數(shù)據(jù)，當(dāng)年收到的BEC欺詐投訴損失超過(guò)17億美元。與網(wǎng)絡(luò)安全事件總數(shù)相比，向IC3等機(jī)構(gòu)匯報(bào)的案件只是九牛一毛?？紤]到網(wǎng)絡(luò)犯罪世界并沒(méi)有發(fā)生任何戲劇性的變化，可以假設(shè)，2020年和2021年BEC攻擊造成的損失只會(huì)比上面的數(shù)字更加糟糕。

[[382930]]

BEC攻擊在執(zhí)行方式和技術(shù)上有多種變體。大多數(shù)情況下涉及發(fā)票詐騙、欺詐者偽裝成供應(yīng)商，向受害者的CFO或應(yīng)付賬款團(tuán)隊(duì)發(fā)送篡改后的銀行賬戶(hù)信息的付款請(qǐng)求。

視復(fù)雜程度不同，BEC欺詐的手段包括難度較大的供應(yīng)商電子郵件賬戶(hù)劫持、使用模仿供應(yīng)商域名的釣魚(yú)網(wǎng)址/網(wǎng)站，到簡(jiǎn)單有效的針對(duì)性釣魚(yú)郵件設(shè)計(jì)。在所有變體攻擊中，攻擊者的目的都是希望受害者上鉤并匯出資金。

BEC欺詐之所以大行其道，是因?yàn)槿腴T(mén)門(mén)檻低，但其成功率卻很高，至少對(duì)于不太復(fù)雜的攻擊變體而言。BEC成功率如此之高的原因是，大多數(shù)企業(yè)的首席財(cái)務(wù)官和應(yīng)付賬款團(tuán)隊(duì)未接受過(guò)有效的針對(duì)性網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，同時(shí)也缺乏快速簡(jiǎn)便的方法來(lái)驗(yàn)證供應(yīng)商的賬戶(hù)信息是否可信或合法。

隨著近年來(lái)反欺詐行業(yè)開(kāi)始追上威脅的腳步，大量BEC欺詐檢測(cè)解決方案進(jìn)入市場(chǎng)，但很多方案都是面向大型企業(yè)的高端(高價(jià))服務(wù)，而且受特定反欺詐供應(yīng)商的數(shù)據(jù)和可見(jiàn)性限制。對(duì)于越來(lái)越多被BEC攻擊威脅的中小企業(yè)和組織來(lái)說(shuō)，在一個(gè)全球化的經(jīng)濟(jì)體中，面對(duì)來(lái)自世界各國(guó)，數(shù)據(jù)完整性和一致性各不相同的供應(yīng)商，往往需要不同類(lèi)型的BEC欺詐檢測(cè)方案，開(kāi)源方案就是其中一種。

DAIC(分布式賬戶(hù)信息認(rèn)證)是值得關(guān)注的一個(gè)針對(duì)BEC欺詐的免費(fèi)開(kāi)放源解決方案。該解決方案既可以作為私有方案部署在企業(yè)自己的系統(tǒng)中，也可以作為第三方SaaS服務(wù)以云服務(wù)的方式訂閱，可以滿(mǎn)足不同公司對(duì)隱私和控制級(jí)別的要求。DAIC實(shí)際上也是一種標(biāo)準(zhǔn)，它使組織能夠在發(fā)送付款之前快速安全地驗(yàn)證公司的銀行賬戶(hù)信息，同時(shí)還使反欺詐供應(yīng)商能夠針對(duì)正在進(jìn)行的欺詐活動(dòng)收集急需的威脅情報(bào)，這都可以通過(guò)DAIC來(lái)實(shí)現(xiàn)。

DAIC的概念與構(gòu)想

借助DAIC，每家公司都可以將其從客戶(hù)那里收到付款的賬號(hào)放入其選擇的“認(rèn)證服務(wù)器”中。

當(dāng)實(shí)體想要向該公司匯款時(shí)，它可以使用DAIC客戶(hù)端查詢(xún)服務(wù)器，以檢查其存檔的賬戶(hù)信息是否與存儲(chǔ)在服務(wù)器上的“認(rèn)證”賬戶(hù)信息相同。

通過(guò)在發(fā)送付款之前驗(yàn)證賬號(hào)，如果付款是由于從詐騙者那里收到的欺詐性發(fā)票觸發(fā)的，其中包含一個(gè)不同的賬號(hào)，那么它將被識(shí)別并且可以停止付款。

由于DAIC是開(kāi)源的，并且使用標(biāo)準(zhǔn)協(xié)議，因此用戶(hù)可以使用專(zhuān)用的開(kāi)源軟件來(lái)完成此驗(yàn)證過(guò)程，也可以將其嵌入任何付款解決方案中。

DAIC如何運(yùn)行?

DAIC使用在其他安全標(biāo)準(zhǔn)(例如DMARC，基于域的消息身份驗(yàn)證、報(bào)告和一致性)中使用的久經(jīng)考驗(yàn)的驗(yàn)證方法。

每個(gè)公司都在其DNS記錄中添加一條記錄，以標(biāo)注他們選擇的DAIC服務(wù)器。當(dāng)使用客戶(hù)驗(yàn)證賬號(hào)時(shí)，用戶(hù)輸入收款人的賬號(hào)和域名。然后，它將查找提供的域的DAIC DNS記錄，以提取DAIC服務(wù)器的位置。然后查詢(xún)服務(wù)器以驗(yàn)證賬號(hào)是否正確。

DAIC的優(yōu)點(diǎn)

DAIC有以下幾個(gè)優(yōu)點(diǎn)：

• 免費(fèi)：由于BEC欺詐既針對(duì)小型組織也針對(duì)大型組織，因此可以用來(lái)提高每個(gè)用戶(hù)保護(hù)自己免受欺詐的能力，而不會(huì)影響其底線(xiàn)。這也意味著采用該標(biāo)準(zhǔn)應(yīng)該更容易。
• DAIC是一個(gè)標(biāo)準(zhǔn)：由于該解決方案不依賴(lài)于特定供應(yīng)商對(duì)賬戶(hù)信息的可見(jiàn)性，因此，如果采用該解決方案，則可以在各個(gè)地區(qū)和行業(yè)中正常工作。此外，如上所述，它可以嵌入現(xiàn)有的支付管理解決方案中。
• 開(kāi)源：企業(yè)用戶(hù)可以自行決定是否設(shè)置自己的DAIC服務(wù)器(專(zhuān)用于保留其賬戶(hù)信息)還是使用SaaS服務(wù)。從理論上講，反欺詐供應(yīng)商有動(dòng)機(jī)提供此類(lèi)服務(wù)，因?yàn)檫@可以幫助他們捕獲賬號(hào)錯(cuò)誤的任何查詢(xún)，從而生成威脅情報(bào)。
• DAIC不需要各方都采用：企業(yè)用戶(hù)可以要求其供應(yīng)商實(shí)施DAIC，以便從其那里接收付款。即使沒(méi)有大規(guī)模采用，企業(yè)也將受到保護(hù)。
• 不怕DDoS攻擊：攻擊者試圖通過(guò)DDoS攻擊破壞DAIC服務(wù)器執(zhí)行驗(yàn)證過(guò)程的任何嘗試都適得其反，因?yàn)檫@樣他們的付款請(qǐng)求不會(huì)得到驗(yàn)證。

DAIC的局限性

DAIC目前還不是一個(gè)可靠的系統(tǒng)，容易受到某些形式的攻擊，例如獲得公司的DNS管理權(quán)限(例如，通過(guò)惡意軟件獲取注冊(cè)商憑證)，從而使攻擊者能夠?qū)AIC查詢(xún)定向到他們控制的服務(wù)器，或者攻擊者可以接管公司當(dāng)前使用的服務(wù)器，并毒化其數(shù)據(jù)。

盡管存在一些局限性，但實(shí)施DAIC仍然能大大提高BEC欺詐的技術(shù)門(mén)檻，淘汰大量低水平BEC欺詐者，從而大大減少全球BEC欺詐所遭受的總體損失。

DAIC目前處于哪個(gè)階段?

DAIC目前仍處于起步階段，是如何預(yù)防BEC欺詐的思想實(shí)驗(yàn)和概念驗(yàn)證的產(chǎn)物。為了使其成為切實(shí)可行的解決方案，各方應(yīng)該擴(kuò)展概念并定義其細(xì)節(jié)。

DAIC目前已經(jīng)開(kāi)發(fā)了概念驗(yàn)證、服務(wù)器和客戶(hù)端的初始原型，項(xiàng)目的Github地址是：

https://github.com/idanaharoni/daic_poc。

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文