DAIC:针对BEC欺诈的开源利器
| 虽然2020年勒索软件出尽风头,吸引了防御者大量注意力,但是“传统”针对性攻击例如BEC的脚步丝毫也没有放慢。相反,近年来,BEC已经从“小众”攻击变得越来越流行。 |
根据FBI互联网犯罪合规中心在2019年发布的数据,当年收到的BEC欺诈投诉损失超过17亿美元。与网络安全事件总数相比,向IC3等机构汇报的案件只是九牛一毛。考虑到网络犯罪世界并没有发生任何戏剧性的变化,可以假设,2020年和2021年BEC攻击造成的损失只会比上面的数字更加糟糕。
BEC攻击在执行方式和技术上有多种变体。大多数情况下涉及发票诈骗、欺诈者伪装成供应商,向受害者的CFO或应付账款团队发送篡改后的银行账户信息的付款请求。
视复杂程度不同,BEC欺诈的手段包括难度较大的供应商电子邮件账户劫持、使用模仿供应商域名的钓鱼网址/网站,到简单有效的针对性钓鱼邮件设计。在所有变体攻击中,攻击者的目的都是希望受害者上钩并汇出资金。
BEC欺诈之所以大行其道,是因为入门门槛低,但其成功率却很高,至少对于不太复杂的攻击变体而言。BEC成功率如此之高的原因是,大多数企业的首席财务官和应付账款团队未接受过有效的针对性网络安全意识培训,同时也缺乏快速简便的方法来验证供应商的账户信息是否可信或合法。
随着近年来反欺诈行业开始追上威胁的脚步,大量BEC欺诈检测解决方案进入市场,但很多方案都是面向大型企业的高端(高价)服务,而且受特定反欺诈供应商的数据和可见性限制。对于越来越多被BEC攻击威胁的中小企业和组织来说,在一个全球化的经济体中,面对来自世界各国,数据完整性和一致性各不相同的供应商,往往需要不同类型的BEC欺诈检测方案,开源方案就是其中一种。
DAIC(分布式账户信息认证)是值得关注的一个针对BEC欺诈的免费开放源解决方案。该解决方案既可以作为私有方案部署在企业自己的系统中,也可以作为第三方SaaS服务以云服务的方式订阅,可以满足不同公司对隐私和控制级别的要求。DAIC实际上也是一种标准,它使组织能够在发送付款之前快速安全地验证公司的银行账户信息,同时还使反欺诈供应商能够针对正在进行的欺诈活动收集急需的威胁情报,这都可以通过DAIC来实现。
DAIC的概念与构想
借助DAIC,每家公司都可以将其从客户那里收到付款的账号放入其选择的“认证服务器”中。
当实体想要向该公司汇款时,它可以使用DAIC客户端查询服务器,以检查其存档的账户信息是否与存储在服务器上的“认证”账户信息相同。
通过在发送付款之前验证账号,如果付款是由于从诈骗者那里收到的欺诈性发票触发的,其中包含一个不同的账号,那么它将被识别并且可以停止付款。
由于DAIC是开源的,并且使用标准协议,因此用户可以使用专用的开源软件来完成此验证过程,也可以将其嵌入任何付款解决方案中。
DAIC如何运行?
DAIC使用在其他安全标准(例如DMARC,基于域的消息身份验证、报告和一致性)中使用的久经考验的验证方法。
每个公司都在其DNS记录中添加一条记录,以标注他们选择的DAIC服务器。当使用客户验证账号时,用户输入收款人的账号和域名。然后,它将查找提供的域的DAIC DNS记录,以提取DAIC服务器的位置。然后查询服务器以验证账号是否正确。
DAIC的优点
DAIC有以下几个优点:
- 免费:由于BEC欺诈既针对小型组织也针对大型组织,因此可以用来提高每个用户保护自己免受欺诈的能力,而不会影响其底线。这也意味着采用该标准应该更容易。
- DAIC是一个标准:由于该解决方案不依赖于特定供应商对账户信息的可见性,因此,如果采用该解决方案,则可以在各个地区和行业中正常工作。此外,如上所述,它可以嵌入现有的支付管理解决方案中。
- 开源:企业用户可以自行决定是否设置自己的DAIC服务器(专用于保留其账户信息)还是使用SaaS服务。从理论上讲,反欺诈供应商有动机提供此类服务,因为这可以帮助他们捕获账号错误的任何查询,从而生成威胁情报。
- DAIC不需要各方都采用:企业用户可以要求其供应商实施DAIC,以便从其那里接收付款。即使没有大规模采用,企业也将受到保护。
- 不怕DDoS攻击:攻击者试图通过DDoS攻击破坏DAIC服务器执行验证过程的任何尝试都适得其反,因为这样他们的付款请求不会得到验证。
DAIC的局限性
DAIC目前还不是一个可靠的系统,容易受到某些形式的攻击,例如获得公司的DNS管理权限(例如,通过恶意软件获取注册商凭证),从而使攻击者能够将DAIC查询定向到他们控制的服务器,或者攻击者可以接管公司当前使用的服务器,并毒化其数据。
尽管存在一些局限性,但实施DAIC仍然能大大提高BEC欺诈的技术门槛,淘汰大量低水平BEC欺诈者,从而大大减少全球BEC欺诈所遭受的总体损失。
DAIC目前处于哪个阶段?
DAIC目前仍处于起步阶段,是如何预防BEC欺诈的思想实验和概念验证的产物。为了使其成为切实可行的解决方案,各方应该扩展概念并定义其细节。
DAIC目前已经开发了概念验证、服务器和客户端的初始原型,项目的Github地址是:
https://github.com/idanaharoni/daic_poc。
DAIC:针对BEC欺诈的开源利器相关推荐
- 针对Android设备的开源手机银行木马BankBot / Mazain分析
本文讲的是针对Android设备的开源手机银行木马BankBot / Mazain分析,在最近几年,我们开始对那些针对土耳其银行以及其他各种类型的金融机构应用的恶意软件产生了兴趣.据我们观察,在过去两 ...
- 条形码/二维码之开源利器ZXing图文介绍
全文目录: 基本介绍 二维码(比如:QRCode)的编码和解码演示 条形码(比如:EAN-13)的编码和解码演示 [一]. 基本介绍 : 1-1. ZXing是一个开源Java类库用于解析多种格式的条 ...
- 试试这款针对JAVA应用的开源防火墙!
大家好,我是TJ 一个励志推荐10000款开源项目与工具的程序员 很多小伙伴问TJ君,现在开源项目看的越来越多也用的越来越多,还真有点担心! 担心什么?自然是代码项目中有意无意的被别人加入了各种后台访 ...
- 开源利器分享:BitBar 坐看今天你的项目涨了多少star
今天开头我想叨叨几句,我个人最近的感受.在这个信息爆炸,互联网的时代里.我的周遭总是充斥者着各种让人能产生焦虑的信息, 我不知道有没有小伙伴和我一样,看到各种神通广大.游戏人生的大侠,低头看看自己当前 ...
- 【Android开发】greenrobot三大开源利器详解(一)——EventBus
一.greenrobot介绍 greenrobot相关信息较少,可以确信是一个开源组织.官网:http://greenrobot.org/. greenrobot主要开发并维护了3个Android开源 ...
- SteaLinG:一款针对社工的开源安全渗透测试框架
关于SteaLinG SteaLinG是一款功能强大的开源渗透测试框架,该框架专为社会工程学研究人员设计,可以帮助广大研究人员或组织内的安全专家测试目标设备的安全性.该工具基于Python开发,因此具 ...
- 华为云MySQL 8.0正式商用,全新增强版开源利器强势来袭
近日,华为云数据库MySQL8.0正式发布商用,这也使得华为云成为国内最先支持MySQL8.0的云厂商之一.MySQL8.0作为最新的MySQL版本,有许多重大更新:默认utf8mb4,全新 Data ...
- 论坛介绍 | COSCon'22 开源百宝箱(T)
COSCon'22 开源社/KAIYUANSHE 业界最具影响力的开源年度盛会 2022 第七届中国开源年会 (COSCon'22) 来啦!!! 本次年会将于 10月29日-30日由开源社举办.线上共 ...
- 万字长文!Jeff Dean亲笔盘点谷歌AI 2019:纵横16大方向,汇集重要开源算法(附链接)...
本文经AI新媒体量子位(公众号 ID: QbitAI)授权转载,转载请联系出处 本文约12000字,建议阅读20+分钟 本文是Jeff Dean代表Google AI,盘点过去一年AI大趋势. 又一年 ...
最新文章
- 建立一个php 基础类
- C语言中static关键字的作用
- python从键盘获取输入数字_python获取从命令行输入数字的方法
- pwntools解题脚本模板
- 拥抱变化——从Atlas到ASP.NET AJAX(1):下载安装总览
- fastdfs 吗 支持windows_主流开源文件存储系统-fastdfs是否支持windows?你可以选择minio...
- 在.Net项目中使用Redis作为缓存服务
- 复杂度O(n)倒转链表
- caffe学习日记--lesson3:win8系统,VS2013下的caffe工程编译探究
- mongodb排序_MongoDB排序
- Akka的类库和模块《six》译
- ORACLE 树形遍历查询根节点 父节点 子节点
- 代码规范及html5+css3基础知识
- linux释放分区命令,Linux fdisk命令操作磁盘(添加、删除、转换分区等)
- MB/T 2020/4/9-技术创新方法·概述
- 《云边有个小卖部》的优秀读后感作文2100字
- FFMPEG之音频播放
- 1252:走迷宫 2021-01-05
- FPGA--简易DDS信号发生器 (内涵DDS与CORDIC IP核详解)附源码
- 为何PDF转换总出现乱码?迅读PDF转换器,精准复刻