Антидроп-клуб или дроп-сервис?

У Антидроп-клуба после создания 1 июня 2015 года Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) в составе главного управления безопасности и защиты информации ЦБ РФ существенно сузилось поле деятельности.

Для чего создавался Антидроп-клуб группой энтузиастов из банковской безопасности?

-предотвращение мошеннических операций с использованием систем ДБО;

-поддержка "черных списков" дроперов (физических лиц), распространяемых в рамках межбанковского почтового обмена;

-помощь в возврате несанкционированно переведённых средств.

В лучшие времена Антидроп-клуб насчитывал в своём составе более 500 членов (кредитные организации, операторы связи и др.).

С чего всё начиналось.

Годы 2010-11

Обороты набирают схемы атак на ДБО, формируется объединение банков – клуб "Антидроп". Банки обмениваются сведениями о счетах компаний и физических лиц, созданных с целью транзита или обналичивания средств, похищенных со счетов других банков, данными о специфических особенностях атак, которые можно идентифицировать на стороне банка и приостановить мошенническую транзакцию.

Мошеннические операции зависают на транзитных банковских счетах, в итоге средства возвращаются пострадавшей стороне ввиду оперативного взаимодействия подразделений ИБ, рисков и внутреннего контроля. Уже сложно оценить, сколько же атак было предотвращено за счет этих “простых” объединений специалистов “меча и кинжала”, но сохраненные суммы гарантированно исчисляются сотнями миллионов, а скорее, даже миллиардами рублей. Затраты – десятки/сотни тысяч рублей. Эффективность технологии зашкаливает.

Годы 2013-14

“Фактически межбанковская антифродовая база уже есть, пока она действует на общественных началах”.

“Помимо кредитных организаций, планируется взаимодействие с системой “Антифрод” правоохранительных органов, Банка России и Росфинмониторинга. Такой альянс позволит не только предотвращать мошенничество, но и значительно ускорит процесс поимки преступников. Общая цель создаваемой системы — легализация процесса предотвращения мошенничества и законодательное закрепление такой деятельности”.

Прошли годы...

Год 2015-й

“Хакеры совершили разграбление банков при помощи "писем от ЦБ" и клуба “Антидроп”, объединяющий представителей служб безопасности банков. Обновленная база дропов содержала мошеннический файл, заражающий банковские компьютеры вирусом Buhtrap. Вредоносный код был зашифрован под документ MS Office - отчиталась группа Group-IB. Об этом проинформировала группа главного управления по безопасности и защите информации Банка России (ФинСЕРТ) FinCERT”.

Год 2016-й

20.10.2016 14:26:46 Рассылка фишинговых писем, содержащих вредоносный код типа Dropper, в адрес участников клуба “Антидроп” якобы от компании ЦФТ.

Не пришло ли время прекратить поддаваться искушению поиска аргументации для оправдания необходимости существования Антидроп-клуба в его нынешнем виде?

Не пора ли создателям клуба избавляться от мании величия, связанной с прежним резонансом от своего творения?

Итак, что на текущий момент в остатке?

Предотвращение мошеннических операций с использованием систем ДБО – зачем дублировать FinCERT?

Поддержка "черных списков", распространяемых в рамках межбанковского почтового обмена Антидроп-клуб - ценность этой информации кратковременна и эффективность в последнее время практически нулевая.

Помощь в возврате несанкционированно переведённых средств – многие крупные банки не усматривают юридической возможности досудебного замораживания средств для последующей процедуры их возврата.

Какие риски на текущий момент у существующего Антидроп-клуба?

-обмен информацией в рамках межбанковского взаимодействия осуществляется по открытым каналам связи;

-вредоносное ПО будет и дальше распространяться в “довереннй среде” членов Антидроп-клуба;

-завладев контактной базой Антидроп-клуба, мошенники имеют всё необходимое для персонифицированного фишинга в отношении банковских безопасников (максимально возможный охват банков);

-система обмена данными в клубе “Антидроп” основывается на неформальной договоренности членов клуба и вступает в противоречие с законодательством о персональных данных и банковской тайне;

-использование "черных" антифродовых списков может повлечь репутационные риски для банков;

-не определены критерии, по которым в "черные списки" банков попадают физические лица, причастные к выводу денежных средств с использованием мошеннических схем (велика вероятность ошибки или нанесения вреда клиенту, например, конкурентом).

Что хотелось бы сохранить?

Канал общения и обмена информацией между банковскими безопасниками – тот ценный ресурс, наработанный за годы существования Антидроп-клуба, который должен продолжить существование, например, в рамках Клуб специалистов информационной безопасности.

DISCLAIMER Мнение, высказанное в настоящем сообщении, является личным мнением автора и может не совпадать ни с одной официальной позицией и даже быть ошибочным.