雖然2020年勒索軟件出盡風頭，吸引了防御者大量注意力，但是“傳統(tǒng)”針對性攻擊例如BEC的腳步絲毫也沒有放慢。相反，近年來，BEC已經(jīng)從“小眾”攻擊變得越來越流行。

根據(jù)FBI互聯(lián)網(wǎng)犯罪合規(guī)中心在2019年發(fā)布的數(shù)據(jù)，當年收到的BEC欺詐投訴損失超過17億美元。與網(wǎng)絡安全事件總數(shù)相比，向IC3等機構匯報的案件只是九牛一毛?？紤]到網(wǎng)絡犯罪世界并沒有發(fā)生任何戲劇性的變化，可以假設，2020年和2021年BEC攻擊造成的損失只會比上面的數(shù)字更加糟糕。

[[382930]]

BEC攻擊在執(zhí)行方式和技術上有多種變體。大多數(shù)情況下涉及發(fā)票詐騙、欺詐者偽裝成供應商，向受害者的CFO或應付賬款團隊發(fā)送篡改后的銀行賬戶信息的付款請求。

視復雜程度不同，BEC欺詐的手段包括難度較大的供應商電子郵件賬戶劫持、使用模仿供應商域名的釣魚網(wǎng)址/網(wǎng)站，到簡單有效的針對性釣魚郵件設計。在所有變體攻擊中，攻擊者的目的都是希望受害者上鉤并匯出資金。

BEC欺詐之所以大行其道，是因為入門門檻低，但其成功率卻很高，至少對于不太復雜的攻擊變體而言。BEC成功率如此之高的原因是，大多數(shù)企業(yè)的首席財務官和應付賬款團隊未接受過有效的針對性網(wǎng)絡安全意識培訓，同時也缺乏快速簡便的方法來驗證供應商的賬戶信息是否可信或合法。

隨著近年來反欺詐行業(yè)開始追上威脅的腳步，大量BEC欺詐檢測解決方案進入市場，但很多方案都是面向大型企業(yè)的高端(高價)服務，而且受特定反欺詐供應商的數(shù)據(jù)和可見性限制。對于越來越多被BEC攻擊威脅的中小企業(yè)和組織來說，在一個全球化的經(jīng)濟體中，面對來自世界各國，數(shù)據(jù)完整性和一致性各不相同的供應商，往往需要不同類型的BEC欺詐檢測方案，開源方案就是其中一種。

DAIC(分布式賬戶信息認證)是值得關注的一個針對BEC欺詐的免費開放源解決方案。該解決方案既可以作為私有方案部署在企業(yè)自己的系統(tǒng)中，也可以作為第三方SaaS服務以云服務的方式訂閱，可以滿足不同公司對隱私和控制級別的要求。DAIC實際上也是一種標準，它使組織能夠在發(fā)送付款之前快速安全地驗證公司的銀行賬戶信息，同時還使反欺詐供應商能夠針對正在進行的欺詐活動收集急需的威脅情報，這都可以通過DAIC來實現(xiàn)。

DAIC的概念與構想

借助DAIC，每家公司都可以將其從客戶那里收到付款的賬號放入其選擇的“認證服務器”中。

當實體想要向該公司匯款時，它可以使用DAIC客戶端查詢服務器，以檢查其存檔的賬戶信息是否與存儲在服務器上的“認證”賬戶信息相同。

通過在發(fā)送付款之前驗證賬號，如果付款是由于從詐騙者那里收到的欺詐性發(fā)票觸發(fā)的，其中包含一個不同的賬號，那么它將被識別并且可以停止付款。

由于DAIC是開源的，并且使用標準協(xié)議，因此用戶可以使用專用的開源軟件來完成此驗證過程，也可以將其嵌入任何付款解決方案中。

DAIC如何運行?

DAIC使用在其他安全標準(例如DMARC，基于域的消息身份驗證、報告和一致性)中使用的久經(jīng)考驗的驗證方法。

每個公司都在其DNS記錄中添加一條記錄，以標注他們選擇的DAIC服務器。當使用客戶驗證賬號時，用戶輸入收款人的賬號和域名。然后，它將查找提供的域的DAIC DNS記錄，以提取DAIC服務器的位置。然后查詢服務器以驗證賬號是否正確。

DAIC的優(yōu)點

DAIC有以下幾個優(yōu)點：

• 免費：由于BEC欺詐既針對小型組織也針對大型組織，因此可以用來提高每個用戶保護自己免受欺詐的能力，而不會影響其底線。這也意味著采用該標準應該更容易。
• DAIC是一個標準：由于該解決方案不依賴于特定供應商對賬戶信息的可見性，因此，如果采用該解決方案，則可以在各個地區(qū)和行業(yè)中正常工作。此外，如上所述，它可以嵌入現(xiàn)有的支付管理解決方案中。
• 開源：企業(yè)用戶可以自行決定是否設置自己的DAIC服務器(專用于保留其賬戶信息)還是使用SaaS服務。從理論上講，反欺詐供應商有動機提供此類服務，因為這可以幫助他們捕獲賬號錯誤的任何查詢，從而生成威脅情報。
• DAIC不需要各方都采用：企業(yè)用戶可以要求其供應商實施DAIC，以便從其那里接收付款。即使沒有大規(guī)模采用，企業(yè)也將受到保護。
• 不怕DDoS攻擊：攻擊者試圖通過DDoS攻擊破壞DAIC服務器執(zhí)行驗證過程的任何嘗試都適得其反，因為這樣他們的付款請求不會得到驗證。

DAIC的局限性

DAIC目前還不是一個可靠的系統(tǒng)，容易受到某些形式的攻擊，例如獲得公司的DNS管理權限(例如，通過惡意軟件獲取注冊商憑證)，從而使攻擊者能夠將DAIC查詢定向到他們控制的服務器，或者攻擊者可以接管公司當前使用的服務器，并毒化其數(shù)據(jù)。

盡管存在一些局限性，但實施DAIC仍然能大大提高BEC欺詐的技術門檻，淘汰大量低水平BEC欺詐者，從而大大減少全球BEC欺詐所遭受的總體損失。

DAIC目前處于哪個階段?

DAIC目前仍處于起步階段，是如何預防BEC欺詐的思想實驗和概念驗證的產(chǎn)物。為了使其成為切實可行的解決方案，各方應該擴展概念并定義其細節(jié)。

DAIC目前已經(jīng)開發(fā)了概念驗證、服務器和客戶端的初始原型，項目的Github地址是：

https://github.com/idanaharoni/daic_poc。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文