У Антидроп-клуба после создания 1 июня 2015 года Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) в составе главного управления безопасности и защиты информации ЦБ РФ существенно сузилось поле деятельности.
Для чего создавался Антидроп-клуб группой энтузиастов из банковской безопасности?
-предотвращение мошеннических операций с использованием систем ДБО;
-поддержка "черных списков" дроперов (физических лиц), распространяемых в рамках межбанковского почтового обмена;
-помощь в возврате несанкционированно переведённых средств.
В лучшие времена Антидроп-клуб насчитывал в своём составе более 500 членов (кредитные организации, операторы связи и др.).
С чего всё начиналось.
Годы 2010-11
Обороты набирают схемы атак на ДБО, формируется объединение банков – клуб "Антидроп". Банки обмениваются сведениями о счетах компаний и физических лиц, созданных с целью транзита или обналичивания средств, похищенных со счетов других банков, данными о специфических особенностях атак, которые можно идентифицировать на стороне банка и приостановить мошенническую транзакцию.
Мошеннические операции зависают на транзитных банковских счетах, в итоге средства возвращаются пострадавшей стороне ввиду оперативного взаимодействия подразделений ИБ, рисков и внутреннего контроля. Уже сложно оценить, сколько же атак было предотвращено за счет этих “простых” объединений специалистов “меча и кинжала”, но сохраненные суммы гарантированно исчисляются сотнями миллионов, а скорее, даже миллиардами рублей. Затраты – десятки/сотни тысяч рублей. Эффективность технологии зашкаливает.
Годы 2013-14
“Фактически межбанковская антифродовая база уже есть, пока она действует на общественных началах”.
“Помимо кредитных организаций, планируется взаимодействие с системой “Антифрод” правоохранительных органов, Банка России и Росфинмониторинга. Такой альянс позволит не только предотвращать мошенничество, но и значительно ускорит процесс поимки преступников. Общая цель создаваемой системы — легализация процесса предотвращения мошенничества и законодательное закрепление такой деятельности”.
Прошли годы...
Год 2015-й
“Хакеры совершили разграбление банков при помощи "писем от ЦБ" и клуба “Антидроп”, объединяющий представителей служб безопасности банков. Обновленная база дропов содержала мошеннический файл, заражающий банковские компьютеры вирусом Buhtrap. Вредоносный код был зашифрован под документ MS Office - отчиталась группа Group-IB. Об этом проинформировала группа главного управления по безопасности и защите информации Банка России (ФинСЕРТ) FinCERT”.
Год 2016-й
20.10.2016 14:26:46 Рассылка фишинговых писем, содержащих вредоносный код типа Dropper, в адрес участников клуба “Антидроп” якобы от компании ЦФТ.
Не пришло ли время прекратить поддаваться искушению поиска аргументации для оправдания необходимости существования Антидроп-клуба в его нынешнем виде?
Не пора ли создателям клуба избавляться от мании величия, связанной с прежним резонансом от своего творения?
Итак, что на текущий момент в остатке?
Предотвращение мошеннических операций с использованием систем ДБО – зачем дублировать FinCERT?
Поддержка "черных списков", распространяемых в рамках межбанковского почтового обмена Антидроп-клуб - ценность этой информации кратковременна и эффективность в последнее время практически нулевая.
Помощь в возврате несанкционированно переведённых средств – многие крупные банки не усматривают юридической возможности досудебного замораживания средств для последующей процедуры их возврата.
Какие риски на текущий момент у существующего Антидроп-клуба?
-обмен информацией в рамках межбанковского взаимодействия осуществляется по открытым каналам связи;
-вредоносное ПО будет и дальше распространяться в “довереннй среде” членов Антидроп-клуба;
-завладев контактной базой Антидроп-клуба, мошенники имеют всё необходимое для персонифицированного фишинга в отношении банковских безопасников (максимально возможный охват банков);
-система обмена данными в клубе “Антидроп” основывается на неформальной договоренности членов клуба и вступает в противоречие с законодательством о персональных данных и банковской тайне;
-использование "черных" антифродовых списков может повлечь репутационные риски для банков;
-не определены критерии, по которым в "черные списки" банков попадают физические лица, причастные к выводу денежных средств с использованием мошеннических схем (велика вероятность ошибки или нанесения вреда клиенту, например, конкурентом).
Что хотелось бы сохранить?
Канал общения и обмена информацией между банковскими безопасниками – тот ценный ресурс, наработанный за годы существования Антидроп-клуба, который должен продолжить существование, например, в рамках Клуб специалистов информационной безопасности .
DISCLAIMER Мнение, высказанное в настоящем сообщении, является личным мнением автора и может не совпадать ни с одной официальной позицией и даже быть ошибочным.
