Шахрайство з міжнародним трафіком, або Вакцина для операторів

1. прості приклади
2. Методи боротьби: необхідність і достатність

28 серпня 2014 Jet Info №7 , Липень 2014 р Антіфрод: все таємне стає явним Автор: Василь Сергацков

Будь-якого оператора зв'язку можна порівняти з людським організмом - в ньому є органи, що відповідають за підтримання життєдіяльності, фільтруючі «кров», він же трафік, і т.д. відповідно, телеком-оператори можуть «хворіти» , Якщо їх імунітет - функції протидії шахрайству і гарантування доходів (FMRA, Fraud Management & Revenue Assurance) - ослаблений. Негативний вплив на реалізацію FMRA надає недосконалість структурної та організаційної складової. ТОП 10 джерел втрат і ризиків виникнення шахрайства виглядає наступним чином:

• шахрайство з інтерконектом (взаєморозрахунки між операторами зв'язку за приземлення трафіка);
• втрата CDR (Call Detail Records) - записів про виклики, передачі даних, SMS і т.п .;
• некоректна тарифікація послуг і списання абонентської плати внаслідок помилок, аварій і внутрішнього шахрайства;
• шахрайство, пов'язане з винагородою (комісія, бонуси і виконання планів) доларів і агентів по підключенню і продажу МГ / МН-трафіку;
• соціальні види шахрайства, спрямовані на клієнтів оператора зв'язку (SMS-спам, ботнет-мережі і т.п.);
• шахрайство з використанням послуг роумінгу;
• шахрайство з використанням мобільного комерції;
• шахрайство у власній роздрібній мережі;
• некоректне надання швидкостей доступу в інтернет;
• внутрішнє шахрайство.

Мал. 1. Потенційні об'єкти шахраїв

прості приклади

Шахрайство з інтерконектом є найбільшою загрозою і призводить до суттєвих втрат у операторів. Тому ми докладніше розглянемо його види, причому мало описані у відкритих джерелах. Однак ми не будемо наводити найнебезпечніші способи з міркувань безпеки.

Для початку опишемо схему взаєморозрахунків між операторами за голосовий трафік: коли абонент оператора А дзвонить абоненту оператора В, за кожну хвилину оператор А платить оператору В від 0,2 до 3,5 руб., І навпаки. У разі викликів на номери міжнародних операторів собівартість однієї хвилини може доходити до 300 руб. Це відбувається, наприклад, коли дзвінок йде на так звані преміум-номери - аналоги наших коротких (чотиризначних), за своїм виглядом вони нічим не відрізняються від звичайних іноземних номерів в міжнародному форматі, тобто складаються з 11-12 цифр.

Як же шахраї можуть тут «заробляти»?

Мал. 2. Нелегальна генерація трафіку з роумінгу

Нелегальна генерація трафіку з роумінгу. Шахрай оформляє на компанію-одноденку або на «ліві» дані фізичної особи комплект з декількох десятків SIM-карт з postpaid тарифним планом. Більшість послуг на цих тарифних планах тарифікуються в офлайн-режимі, тобто мінімум через 10 хвилин з моменту завершення виклику. Потім шахрай безкоштовно оформляє кілька міжнародних преміум-номерів. Тепер досить просто вивезти SIM-карти в міжнародний роумінг і генерувати вихідні дзвінки на оформлення номера (одночасно по 5 викликів з 1 SIM-карти) (див. Рис. 2). Як наслідок, на балансі SIM-карт утворюється дебіторська заборгованість, а шахрай отримує прибуток: чим більше скоєно викликів, тим більше він «заробляє» (до 25 руб. За 1 хвилину). У роумінгу ця схема працює через особливості взаємодії між операторами зв'язку: абонент одного оператора може обслуговуватися іншим, і тарифікація відбувається зі значною затримкою. Розмір збитку стає відомий «рідному» оператору тільки в момент виставлення рахунку від його колег, у мережі яких обслуговувався абонент. До слова, 2 роки тому через цієї схеми великий російський оператор втратив більш ніж 9 млн рублів.

Мал. 3. «Легальна» генерація трафіку

«Легальна» генерація трафіку. Першим кроком до заповітної мети шахрая є порівняльний аналіз дохідної та видаткової частин за хвилину на преміум-номери. Для цього здійснюється добірка вартості дзвінків на міжнародні преміум-номери у PRS (Premium Rate Services) і в операторів, які надають послуги зв'язку за цим напрямком. Припустимо, 1 хвилина вихідного дзвінка на преміум-номер Литви у оператора коштує 5 руб. (Видаткова частина шахрая - Х1 на рис. 3), а входить хвилина у PRS - 7 руб. (Дохідна частина шахрая - Х3 на рис. 3). У підсумку за кожну хвилину вхідного дзвінка шахрай може легально «заробити» різницю - 2 руб. Зловмиснику залишається підключитися до оператора зв'язку, орендувати преміум-номери і почати генерацію викликів.

Мал. 4. Петлі

Петлі. Шахрай - маленький оператор зв'язку - перенаправляє вхідний трафік від оператора-жертви назад на себе з підміною А-номера. Перенаправлення проводиться через третього оператора або через самого оператора-жертву. Тим самим один виклик перетворюється в кільце, що складається з двох і більше операторів зв'язку. В результаті шахрай штучно збільшує кількість вхідних в свою мережу викликів і заробляє на різниці цін за хвилину вхідного дзвінка.
Можна припустити, що впровадження систем оптимальної маршрутизації трафіку відправило подібну схему в небуття, але тим не менше вона продовжує жити і процвітати. Практикуються в основному складні петлі з використанням 3-х і більше операторів зв'язку, що знаходяться в змові. Як правило, збитки обчислюються сотнями тисяч рублів за кожен інцидент, в місяць у великого оператора набігає від 5 до 10 випадків «петляння».

Мал. 5. Wangiri

Wangiri. Спочатку в бій іде відпрацьована схема оренди міжнародних преміум-номерів. Але тут вже інша мета - не генерація викликів на них, а провокування жертви на вчинення одного і більше дзвінків. Шахрай за допомогою підміни А-номера генерує пропущені виклики на номери звичайних людей, найчастіше за принципом килимового бомбардування (послідовний перебір). Абонент передзвонює і оплачує дорогий дзвінок, а зловмисник отримує прибуток з вхідного трафіку.

На перший погляд, схема нежиттєздатна або малоефективна, адже практично кожен вже стикався з подібним і розуміє, що це обман. Але шахраї знають слабкі місця абонентів. Прозвон може проводитися, наприклад, вночі, коли пильність в прямому сенсі слова спить. Зустрічаються і оригінальні випадки: у 2011 році шахрай орендував номери з діапазону супутникової мережі Ellipso Satellite, яка має ємність +8812, і почав посилено прозванивать мобільні номери, що відносяться до Санкт-Петербургу і Ленінградської області. Пітер має схожий код міста, різниця лише в тому, що він починається з коду РФ - «7». Складно уявити людину, яка не передзвонив б на визначився номер свого регіону. Вартість кожної хвилини для абонента становила до 300 руб., А прибуток шахрая з неї - до 25 руб. Кількість постраждалих обчислювалася тисячами, а втрати - декількома мільйонами рублів.

Ми розглянули лише 4 шахрайські схеми, але якщо уявити, скільки різних сервісів, послуг, тарифів і т.п. існує у операторів зв'язку, можна зрозуміти, що нараховується кілька сотень відомих сценаріїв і тисячі їх варіацій.

Методи боротьби: необхідність і достатність

У багатьох телеком-операторів існують окремі підрозділи з протидії / управління Фродо і гарантування доходів. Як і у співробітників правоохоронних органів, у фродоборцев є свою зброю і амуніція, так би мовити, на всі випадки життя. Безліч ділянок, де можуть «відвести» грошові кошти, вимагає наявності маси різнотипних систем захисту. Ось деякі з них:

FMS - Fraud Management System. Назва говорить сама за себе. Існує безліч систем цього класу, але всі вони влаштовані ідентично і мають схожі ключові функції: збір даних (дії абонентів, біллінгові дані, платежі, коригування), нормалізація і насичення інформації, виявлення випадків шахрайства шляхом аналізу відповідно до налаштованої логікою, Case Management.

RAS - Revenue Assurance System. Системи гарантування доходів призначені для проведення перевірок коректності завантаження даних в білінг (відповідно до нього виставляються рахунки абонентам). Набір основних звірок включає звірку даних про виклики з комутатора і білінгу для виявлення викликів, що не потрапили з білінг, розбіжностей в тривалості викликів і т.д .; звірку статусів абонентів і послуг для виявлення розбіжностей і невідповідностей (наприклад, на комутаторі абонент діючий, але в биллинге відсутня) і т.д.

LCR - Least Cost Routing. Рішення дозволяє в автоматичному режимі вибирати маршрути передачі виклику з мінімальною для оператора вартістю або передавати виклик, спираючись не на ціну, а на якість зв'язку (мова йде про окремі тарифах). LCR-системи можуть мати і додатковими модулями протидії шахрайству, пов'язаного з міжнародними та міжміськими викликами, причому можливо вжиття заходів в режимі реального часу.

SMS Antispam System. Аналог антиспам-систем для електронної пошти, який працює і в режимі реального часу. Завдяки подібним системам абоненти можуть самостійно управляти чорними і білими списками номерів, відправляти і отримувати SMS-повідомлення через ПК.

Генератор тестових подій. Система дозволяє імітувати використання різних послуг зв'язку та передачі даних на тестових SIM-картах як в домашній мережі, так і в роумінгу. Далі в автоматичному режимі проводиться перевірка коректності тарифікації, тривалості викликів, обсягу сесій і т.д.

Генератор тестових міжнародних викликів. Мета генерації викликів - виявлення випадків нелегальної термінації міжнародного трафіку. Для цього система генерує виклики на тестові номери мережі з боку міжнародних операторів мобільного та фіксованого зв'язку, карт міжнародного зв'язку, VoIP-операторів. У разі нелегальної термінації визначається номер шахрая, а не реальний іноземний тестовий номер, або виклик надходить через місцеве, а не через МГ / МН приєднання.

Шахрайство з інтерконектом є найбільшою загрозою і призводить до суттєвих втрат у телеком-операторів

Відзначимо, що перераховані нами інструменти не покривають усіх потреб оператора в умовах наявності мобільного комерції та інших подібних сервісів. Тому розвиток систем захисту від шахрайства має йти не просто в ногу з часом, а випереджати його. Це дозволить не тільки боротися з відомими видами шахрайства, а й забезпечить захищеність компанії і її абонентів від майбутніх протизаконних схем.

Безумовно, розрізнене управління перерахованими інструментами не може забезпечити необхідну оперативність виявлення фактів шахрайства і втрат доходів. Наприклад, виявлення точок нелегальної термінації міжнародного трафіку найбільш ефективно при аналізі непрямих ознак (кількість вихідних дзвінків, співвідношення вхідних і вихідних дзвінків, число використовуваних IMEI, базових станцій, відсоток унікальності По-номерів і ін.), Але цей механізм частково втрачає свою ефективність без підтримки генератора тестових міжнародних викликів. Тому управління описаними системами, прийняття відповідних заходів та складання звітності (тим більше в режимі, наближеному до online) можуть проводитися тільки в рамках комплексного рішення, що об'єднує в собі перераховані інструменти.

У FMRA-систем є і ряд недоліків. Це часта відсутність можливості роботи в режимі online, аналізу вхідного трафіку до Скоп'є всіх подій від зовнішніх А-номерів, побудови складної логіки для виявлення шахрайства в дилерському каналі, в рітейл-сегменті і т.д. Звичайно, частина недоліків може бути знята в ході доробок, але на жаль, фундаментальна архітектура деяких поширених і популярних FMRA-систем вже вичерпана і не дозволяє відповідати новим вимогам. У ряді випадків вартість масштабних доробок порівнянна з вартістю нового рішення.

На завершення розглянемо основні фактори, які можуть негативно вплинути на функцію гарантування доходів і управління Фродо у оператора зв'язку.

Роздробленість функції на кілька підрозділів, що знаходяться в підпорядкуванні у різних департаментів, наприклад, протидія Фродо відноситься до безпеки, а гарантування доходів - до фінансового департаменту. Виходить, що питаннями класичного шахрайства (SMS-спам, внутрішнє шахрайство, мобільна комерція і т.п.) займається безпеку, а виявлення втрат доходів і недоотриманої виручки (нелегальна термінація трафіку, виявлення спотворених і втрачених даних) курирують грамотні фінансисти. З першого погляду все логічно, кожен займається своєю справою, але більшість видів шахрайства і втрат доходів вимагають функціонування FMRA як єдиного цілого, часто необхідно залучати і технологічні служби.

Сильна вертикаль і велика ієрархічна драбина тягнуть за собою додаткові витрати часу на узгодження тих чи інших дій і документів (службові записки / накази), на підготовку звітності на кожному вертикальному рівні і т.п. У разі формування єдиного комплексу боротьби з шахрайством з'явиться реальна перспектива заміни регламентів взаємодії підрозділів на автоматизовані інструменти реагування. Вони підвищать ефективність і швидкість прийнять конпенсаціонних заходів за фактами шахрайства та знизять навантаження на людські ресурси.

Відсутність фахівців, які обслуговують і підтримують системи FMRA. Це істотно знижує ефективність роботи підрозділу FMRA, підвищує ризик форс-мажорних ситуацій з програмно-апаратним комплексом і збільшує час, що витрачається на усунення неполадок.

Територіальна розрізненість підрозділів FMRA. Найчастіше істотна віддаленість співробітників підрозділу один від одного негативно впливає на його централізоване управління, оперативність прийняття рішень, а також на взаємодію з іншими підрозділами. Наприклад, якщо у оператора 2 і більше філій / дочірніх компаній, але при цьому цілодобова чергова зміна знаходиться лише в одному регіоні, це може призвести до затримки в прийнятті рішень по відношенню до інцидентів або до некоректних дій (фахівці чергової зміни не завжди можуть знати специфіку окремих тарифних планів, послуг або маркетингових кампаній, що відносяться до аналізованого регіону).

Відсутність єдиної методології визначення схем шахрайства, втрат доходів, розрахунку KPI по виявленим інцидентів, бази знань. Наприклад, історично сформовані методології розрахунку KPI закріплюються в окремих, «рідних» регіонах, це призводить до того, що кожен регіон розраховує збиток, запобігли і відновлені втрати різними методами.

Відсутність єдиного центру взаємодії між підрозділами FMRA різних операторів. Подібний центр дозволив би не допускати до роботи раніше скомпрометували себе співробітників, включаючи персонал рітейлових мереж операторів. Не менш важливим є обмін чорними списками B-номерів, IMEI і т.п.

Вплив з боку комерційних підрозділів. Виникає одвічне питання «Що важливіше: комерційна складова або безпеку?». На жаль, у бізнесу завжди є додаткова гиря для своєї шальки терезів у вигляді прогнозованої виручки, особливо якщо планується введення нового потенційно небезпечного тарифу або послуги. Часто слова з боку FMRA про можливі ризики втрат сприймаються тільки за фактом їх настання.

Як висновок визначимо верхнеуровневую стратегію створення / модернізації організаційної структури FMRA:

• Об'єднання функції FMRA в єдиний підрозділ по Трійкова принципом (ІБ, фінанси, технологічні компетенції).
• Розвиток горизонтальної організаційної структури.
• Розвиток технічної компетенції.
• Підвищення незалежності.
• Підвищення цілісності.
• Систематизована методологія визначення інцидентів FMRA, розрахунку KPI, ведення єдиної бази знань.
• Створення Центру взаємодії між FMRA-підрозділами різних операторів Росії.
• Модернізація процедур взаємодії з іншими підрозділами.

Що ж ми отримуємо на виході в разі ефективного і оперативного використання FMRA-систем при наявності якісної організаційної структури? В середньому оператори стільникового зв'язку перестають втрачати близько 2-5% від загального обороту. В окремих випадках рівень втрат може знижуватися в 10 разів, це дозволяє повністю окупити FMRA-систему протягом 6-12 місяців.