23 октября 2016 г.

Антидроп-клуб или дроп-сервис?

У Антидроп-клуба после создания 1 июня 2015 года Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) в составе главного управления безопасности и защиты информации ЦБ РФ существенно сузилось поле деятельности.
Для чего создавался Антидроп-клуб группой энтузиастов из банковской безопасности?
-предотвращение мошеннических операций с использованием систем ДБО;
-поддержка "черных списков" дроперов (физических лиц), распространяемых в рамках межбанковского почтового обмена;
-помощь в возврате несанкционированно переведённых средств.
В лучшие времена Антидроп-клуб насчитывал в своём составе более 500 членов (кредитные организации, операторы связи и др.).
С чего всё начиналось.
Годы 2010-11
Обороты набирают схемы атак на ДБО, формируется объединение банков – клуб "Антидроп". Банки обмениваются сведениями о счетах компаний и физических лиц, созданных с целью транзита или обналичивания средств, похищенных со счетов других банков, данными о специфических особенностях атак, которые можно идентифицировать на стороне банка и приостановить мошенническую транзакцию.
Мошеннические операции зависают на транзитных банковских счетах, в итоге средства возвращаются пострадавшей стороне ввиду оперативного взаимодействия подразделений ИБ, рисков и внутреннего контроля. Уже сложно оценить, сколько же атак было предотвращено за счет этих “простых” объединений специалистов “меча и кинжала”, но сохраненные суммы гарантированно исчисляются сотнями миллионов, а скорее, даже миллиардами рублей. Затраты – десятки/сотни тысяч рублей. Эффективность технологии зашкаливает.
Годы 2013-14
“Фактически межбанковская антифродовая база уже есть, пока она действует на общественных началах”.
“Помимо кредитных организаций, планируется взаимодействие с системой “Антифрод” правоохранительных органов, Банка России и Росфинмониторинга. Такой альянс позволит не только предотвращать мошенничество, но и значительно ускорит процесс поимки преступников. Общая цель создаваемой системы — легализация процесса предотвращения мошенничества и законодательное закрепление такой деятельности”.
Прошли годы...
Год 2015-й
“Хакеры совершили разграбление банков при помощи "писем от ЦБ" и клуба “Антидроп”, объединяющий представителей служб безопасности банков. Обновленная база дропов содержала мошеннический файл, заражающий банковские компьютеры вирусом Buhtrap. Вредоносный код был зашифрован под документ MS Office - отчиталась группа Group-IB. Об этом проинформировала группа главного управления по безопасности и защите информации Банка России (ФинСЕРТ) FinCERT”.
Год 2016-й
20.10.2016 14:26:46 Рассылка фишинговых писем, содержащих вредоносный код типа Dropper, в адрес участников клуба “Антидроп” якобы от компании ЦФТ.
Не пришло ли время прекратить поддаваться искушению поиска аргументации для оправдания необходимости существования Антидроп-клуба в его нынешнем виде?
Не пора ли создателям клуба избавляться от мании величия, связанной с прежним резонансом от своего творения?
Итак, что на текущий момент в остатке?
Предотвращение мошеннических операций с использованием систем ДБО – зачем дублировать FinCERT?
Поддержка "черных списков", распространяемых в рамках межбанковского почтового обмена Антидроп-клуб - ценность этой информации кратковременна и эффективность в последнее время практически нулевая.
Помощь в возврате несанкционированно переведённых средств – многие крупные банки не усматривают юридической возможности досудебного замораживания средств для последующей процедуры их возврата.
Какие риски на текущий момент у существующего Антидроп-клуба?
-обмен информацией в рамках межбанковского взаимодействия осуществляется по открытым каналам связи;
-вредоносное ПО будет и дальше распространяться в “довереннй среде” членов Антидроп-клуба;
-завладев контактной базой Антидроп-клуба, мошенники имеют всё необходимое для персонифицированного фишинга в отношении банковских безопасников (максимально возможный охват банков);
-система обмена данными в клубе “Антидроп” основывается на неформальной договоренности членов клуба и вступает в противоречие с законодательством о персональных данных и банковской тайне;
-использование "черных" антифродовых списков может повлечь репутационные риски для банков;
-не определены критерии, по которым в "черные списки" банков попадают физические лица, причастные к выводу денежных средств с использованием мошеннических схем (велика вероятность ошибки или нанесения вреда клиенту, например, конкурентом).
Что хотелось бы сохранить?
Канал общения и обмена информацией между банковскими безопасниками – тот ценный ресурс, наработанный за годы существования Антидроп-клуба, который должен продолжить существование, например, в рамках Клуб специалистов информационной безопасности.

DISCLAIMER Мнение, высказанное в настоящем сообщении, является личным мнением автора и может не совпадать ни с одной официальной позицией и даже быть ошибочным.

8 комментариев:

  1. Ну, основной плюс клуба - возможность оперативно и по звонку решать многие вопросы... Да и эффективность высокая, ты же сам об этом пишешь?!

    ОтветитьУдалить
  2. Этот комментарий был удален автором.

    ОтветитьУдалить
  3. Статья ради пиара? Вы, простите, кто? В смысле, кто есть, что бы заявлять/утверждать о невозможности досудебного замораживания?

    ОтветитьУдалить
  4. Прочитал Вашу статью. Выдам свою критику:
    1) Автор статьи далёк от темы понимания процесса дропа, а также механизмов раннего оповещения и детекта.
    2) Автор статьи явно не понимает темы AML. Информация в клубе служит для разработки и определению новых сценарий защиты.
    3) Клуб не дублирует FinCert, простите но это детище ЦБ далеко от реалиев. У них разные определения по видам информации
    4) Автор статьи говорит о мании величия у основателей клуба и пиарит своё детище. Некоторые формулировки в данной статьи, с моей точки зрения, являются оскорблением.

    Теперь по существу: Автор при определённом умении письма будут приходить от вашего имени по рассылке форума. Это к делу о фишинг письмах.

    Резюме:
    1) Фишинг письма доказывают что клуб, пусть неформальный, предоставляет реальную угрозу.
    2) FinCert явно не справляется с своими задачами (умные кофеварки и холодильники их кредо)
    3) Появление данной статьи на этом ресурсе говорит о том что кое кто хочет вылезти на чужом горбу..

    ОтветитьУдалить
    Ответы
    1. Спасибо за критику. Никуда не хочу "вылезать". Надо думать как обезопасить общение в рамках клуба, например, прикрутить ЭП.

      Удалить
  5. автор сильно хочет работать в цб? про инциндент с рассылкой от якобы финсерта что-то забылось да?

    Да, действительно это какой-то "взгляд снизу"...

    На всякий случай, открою страшную тайну: клуб антидроп - это на самом деле просто список контактов. А те пункты что перечислены - дело навесное, вторичное. Кто не хочет, контакты не дает, почту не открывает, как то так..

    ОтветитьУдалить
  6. Главная проблема антидропа - открытый список контактов, который постоянно сливается. Та же рассылка якобы от финцерта была осуществлена по списку антидропа. А когда такие инциденты становятся не единичными, то встает выбор: стоит ли находиться в составе это клуба, али лучше выйти.

    ОтветитьУдалить
    Ответы
    1. Ну так никто насильно не держит. Такое ощущение, что каждому банку ставят условие быть членом антидропа.

      Яро плюсую: 3) Появление данной статьи на этом ресурсе говорит о том что кое кто хочет вылезти на чужом горбу.

      Удалить