© 1995-2021 Компания «Инфосистемы Джет»
Вакцина для телеком-операторов
Информационная безопасность

Любого оператора связи можно сравнить с человеческим организмом – в нем есть органы, отвечающие за поддержание жизнедеятельности, фильтрующие «кровь», он же трафик, и т.д.

Информационная безопасность Тема номера

Вакцина для телеком-операторов

Автор
Василий Сергацков Aрхитектор FMRA-решений Центра информационной безопасности компании «Инфосистемы Джет»

28.08.2014

Посетителей: 140

Просмотров: 135

Время просмотра: 0

Любого оператора связи можно сравнить с человеческим организмом – в нем есть органы, отвечающие за поддержание жизнедеятельности, фильтрующие «кровь», он же трафик, и т.д. Соответственно, телеком-операторы могут «заболевать», если их иммунитет – функции противодействия мошенничеству и гарантирования доходов (FMRA, Fraud Management & Revenue Assurance) – ослаблен. Негативное влияние на реализацию FMRA оказывает несовершенство структурной и организационной составляющей.

 

 

ТОП 10 источников потерь и рисков возникновения мошенничества выглядит следующим образом:

 

  • мошенничество с интерконнектом (взаиморасчеты между операторами связи за приземление трафика);
  • потеря CDR (Call Detail Records) – записей о вызовах, передаче данных, SMS и т.п.;
  • некорректная тарификация услуг и списание абонентской платы вследствие ошибок, аварий и внутреннего мошенничества;
  • мошенничество, связанное с вознаграждением (комиссия, бонусы и выполнение планов) дилеров и агентов по подключению и продаже МГ/МН-трафика;
  • социальные виды мошенничества, направленные на клиентов оператора связи (SMS-спам, ботнет-сети и т.п.);
  • мошенничество с использованием услуг роуминга;
  • мошенничество с использованием мобильной коммерции;
  • мошенничество в собственной розничной сети;
  • некорректное предоставление скоростей доступа в интернет;
  • внутреннее мошенничество.

Рис. 1. Потенциальные объекты мошенников

 

Простые примеры

 

Мошенничество с интерконнек­том представляет наибольшую угрозу и приводит к существенным потерям у операторов. Поэтому мы подробнее рассмотрим его виды, причем мало описанные в открытых источниках. Однако мы не будем приводить самые опасные способы из соображений безопасности.

 

Для начала опишем схему взаиморасчетов между операторами за голосовой трафик: когда абонент оператора А звонит абоненту оператора В, за каждую минуту оператор А платит оператору В от 0,2 до 3,5 руб., и наоборот. В случае вызовов на номера международных операторов себестоимость одной минуты может доходить до 300 руб. Это происходит, например, когда звонок идет на так называемые премиум-номера – аналоги наших коротких (четырехзначных), по своему виду они ничем не отличаются от обычных иностранных номеров в международном формате, т.е. состоят из 11–12 цифр.

 

Как же мошенники могут здесь «зарабатывать»?

 

Рис. 2. Нелегальная генерация трафика из роуминга

 

Нелегальная генерация трафика из роуминга. Мошенник оформляет на компанию-однодневку или на «левые» данные физического лица комплект из нескольких десятков SIM-карт с postpaid тарифным планом. Большинство услуг на этих тарифных планах тарифицируются в офлайн-режиме, т.е. минимум через 10 минут с момента завершения вызова. Затем мошенник бесплатно оформляет несколько международных премиум-номеров. Теперь достаточно просто вывезти SIM-карты в международный роуминг и генерировать исходящие вызовы на оформленные номера (одновременно по 5 вызовов с 1 SIM-карты) (см. рис. 2). Как следствие, на балансе SIM-карт образуется дебиторская задолженность, а мошенник получает прибыль: чем больше совершено вызовов, тем больше он «зарабатывает» (до 25 руб. за 1 минуту). В роуминге эта схема работает из-за особенностей взаимодействия между операторами связи: абонент одного оператора может обслуживаться другим, и тарификация происходит со значительной задержкой. Размер ущерба становится известен «родному» оператору только в момент выставления счета от его коллег, в сети которых обслуживался абонент. К слову, 2 года назад из-за этой схемы крупный российский оператор потерял более чем 9 млн рублей.

 

Рис. 3. «Легальная» генерация трафика

 

«Легальная» генерация трафика. Первым шагом к заветной цели мошенника является сравнительный анализ доходной и расходной частей за минуту на премиум-номера. Для этого осуществляется подборка стоимости звонков на международные премиум-номера у PRS (Premium Rate Services) и у операторов, которые предоставляют услуги связи по этому направлению. Допустим, 1 минута исходящего вызова на премиум-номер Литвы у оператора стоит 5 руб. (расходная часть мошенника – Х1 на рис. 3), а входящая минута у PRS – 7 руб. (доходная часть мошенника – Х3 на рис. 3). В итоге за каждую входящую минуту мошенник может легально «заработать» разницу – 2 руб. Злоумышленнику остается подключиться к оператору связи, арендовать премиум-номера и начать генерацию вызовов.

 

Рис. 4. Петли

 

Петли. Мошенник – маленький оператор связи – перенаправляет входящий трафик от оператора-жертвы обратно на себя с подменой А-номера. Перенаправление проводится через третьего оператора или через самого оператора-жертву. Тем самым один вызов превращается в кольцо, состоящее из двух и более операторов связи. В результате мошенник искусственно увеличивает количество входящих в свою сеть вызовов и зарабатывает на разнице цен за входящую минуту.


Можно предположить, что внедрение систем оптимальной маршрутизации трафика отправило подобную схему в небытие, но тем не менее она продолжает жить и процветать. Практикуются в основном сложные петли с использованием 3-х и более операторов связи, находящихся в сговоре. Как правило, убытки исчисляются сотнями тысяч рублей за каждый инцидент, в месяц у крупного оператора набегает от 5 до 10 случаев «петляния».

 

Рис. 5. Wangiri

 

Wangiri. Сначала в бой идет отработанная схема аренды международных премиум-номеров. Но здесь уже другая цель – не генерация вызовов на них, а провоцирование жертвы на совершение одного и более звонков. Мошенник с помощью подмены А-номера генерирует пропущенные вызовы на номера обычных людей, чаще всего по принципу ковровой бомбардировки (последовательный перебор). Абонент перезванивает и оплачивает дорогостоящий звонок, а злоумышленник получает прибыль с входящего трафика.

 

На первый взгляд, схема нежизнеспособна или малоэффективна, ведь практически каждый уже сталкивался с подобным и понимает, что это обман. Но мошенники знают слабые места абонентов. Прозвон может проводиться, к примеру, ночью, когда бдительность в прямом смысле слова спит. Встречаются и оригинальные случаи: в 2011 году мошенник арендовал номера из диапазона спутниковой сети Ellipso Satellite, которая имеет емкость +8812, и начал усиленно прозванивать мобильные номера, относящиеся к Санкт-Петербургу и Ленинградской области. Питер имеет схожий код города, разница лишь в том, что он начинается с кода РФ – «7». Сложно представить человека, который не перезвонил бы на определившийся номер своего региона. Стоимость каждой минуты для абонента составляла до 300 руб., а прибыль мошенника с нее – до 25 руб. Количество пострадавших исчислялось тысячами, а потери – несколькими миллионами рублей.

 

Мы рассмотрели всего 4 мошеннические схемы, но если представить, сколько различных сервисов, услуг, тарифов и т.п. существует у операторов связи, можно понять, что насчитывается несколько сотен известных сценариев и тысячи их вариаций.

 

Методы борьбы: необходимость и достаточность

 

У многих телеком-операторов существуют отдельные подразделения по противодействию/управлению фродом и гарантированию доходов. Как и у сотрудников правоохранительных органов, у фродоборцев есть свое оружие и амуниция, так сказать, на все случаи жизни. Множество участков, где могут «увести» денежные средства, требует наличия массы разнотипных систем защиты. Вот некоторые из них:

 

FMS – Fraud Management System. Название говорит само за себя. Существует множество систем этого класса, но все они устроены идентично и имеют схожие ключевые функции: сбор данных (действия абонентов, биллинговые данные, платежи, корректировки), нормализация и насыщение информации, выявление случаев мошенничества путем анализа в соответствии с настроенной логикой, Case Management.

 

RAS – Revenue Assurance System. Системы гарантирования доходов предназначены для проведения проверок корректности загрузки данных в биллинг (в соответствии с ним выставляются счета абонентам). Набор основных сверок включает сверку данных о вызовах с коммутатора и биллинга для выявления вызовов, не попавших с биллинг, расхождений в длительности вызовов и т.д.; сверку статусов абонентов и услуг для выявления расхождений и несоответствий (к примеру, на коммутаторе абонент действующий, но в биллинге отсутствует) и т.д.

 

LCR – Least Cost Routing. Решение позволяет в автоматическом режиме выбирать маршруты передачи вызова с минимальной для оператора стоимостью или передавать вызов, опираясь не на цену, а на качество связи (речь идет об отдельных тарифах). LCR-системы могут обладать и дополнительными модулями противодействия мошенничеству, связанному с международными и междугородними вызовами, причем возможно принятие мер в режиме реального времени.

 

SMS Antispam System. Аналог антиспам-систем для электронной почты, который работает и в режиме реального времени. Благодаря подобным системам абоненты могут самостоятельно управлять черными и белыми списками номеров, отправлять и получать SMS-сообщения через ПК.

 

Генератор тестовых событий. Система позволяет имитировать использование различных услуг связи и передачи данных на тестовых SIM-картах как в домашней сети, так и в роуминге. Далее в автоматическом режиме проводится проверка корректности тарификации, длительности вызовов, объема сессий и т.д.

 

Генератор тестовых международных вызовов. Цель генерации вызовов – выявление случаев нелегальной терминации международного трафика. Для этого система генерирует вызовы на тестовые номера сети со стороны международных операторов мобильной и фиксированной связи, карт международной связи, VoIP-операторов. В случае нелегальной терминации определяется номер мошенника, а не реальный иностранный тестовый номер, либо вызов поступает через местное, а не через МГ/МН присоединение.

 

Мошенничество с интерконнектом представляет наибольшую угрозу и приводит к существенным потерям у телеком-операторов

 

Отметим, что перечисленные нами инструменты не покрывают всех потребностей оператора в условиях наличия мобильной коммерции и других подобных сервисов. Поэтому развитие систем защиты от мошенничества должно идти не просто в ногу со временем, а опережать его. Это позволит не только бороться с известными видами мошенничества, но и обеспечит защищенность компании и ее абонентов от будущих противозаконных схем.

 

Безусловно, разрозненное управ­­ление перечисленными инструментами не может обеспечить необходимую оперативность выявления фактов мошенничества и потерь доходов. К примеру, выявление точек нелегальной терминации международного трафика наиболее эффективно при анализе косвенных признаков (количество исходящих вызовов, соотношение исходящих и входящих вызовов, число используемых IMEI, базовых станций, процент уникальности В-номеров и др.), но этот механизм частично теряет свою эффективность без поддержки генератора тестовых международных вызовов. Поэтому управление описанными системами, принятие соответствующих мер и составление отчетности (тем более в режиме, приближенном к online) могут проводиться только в рамках комплексного решения, объединяющего в себе перечисленные инструменты.

 

У FMRA-систем есть и ряд недостатков. Это частое отсутствие возможности работы в режиме online, анализа входящего трафика в скопе всех событий от внешних А-номеров, построения сложной логики для выявления мошенничества в дилерском канале, в ритейл-сегменте и т.д. Конечно, часть недостатков может быть снята в ходе доработок, но увы, фундаментальная архитектура некоторых распространенных и популярных FMRA-систем уже исчерпана и не позволяет отвечать новым требованиям. В ряде случаев стоимость масштабных доработок сопоставима со стоимостью нового решения.

 

В завершение рассмотрим основные факторы, которые могут негативно повлиять на функцию гарантирования доходов и управления фродом у оператора связи.

 

Раздробленность функции на несколько подразделений, находящихся в подчинении у разных департаментов, к примеру, противодействие фроду относится к безопасности, а гарантирование доходов – к финансовому департаменту. Получается, что вопросами классического мошенничества (SMS-спам, внутреннее мошенничество, мобильная коммерция и т.п.) занимается безопасность, а выявление потерь доходов и недополученной выручки (нелегальная терминация трафика, выявление искаженных и потерянных данных) курируют грамотные финансисты. С первого взгляда все логично, каждый занимается своим делом, но большинство видов мошенничества и потерь доходов требуют функционирования FMRA как единого целого, зачастую необходимо привлекать и технологические службы.

 

Сильная вертикаль и обширная иерархическая лестница влекут за собой дополнительные временные затраты на согласование тех или иных действий и документов (служебные записки/приказы), на подготовку отчетности на каждом вертикальном уровне и т.п. В случае формирования единого комплекса борьбы с мошенничеством появится реальная перспектива замены регламентов взаимодействия подразделений на автоматизированные инструменты реагирования. Они повысят эффективность и скорость принятий конпенсационных мер по фактам мошенничества и снизят нагрузку на человеческие ресурсы.

 

Отсутствие специ­алистов, обслужи­вающих и поддерживающих системы FMRA. Это существенно снижает эффективность работы подразделения FMRA, повышает риск форс-мажорных ситуаций с программно-аппаратным комплексом и увеличивает время, затрачиваемое на устранение неполадок.

 

Территориальная разрозненность подразделений FMRA. Зачастую существенная удаленность сотрудников подразделения друг от друга негативно влияет на его централизованное управление, оперативность принятия решений, а также на взаимодействие с другими подразделениями. К примеру, если у оператора 2 и более филиалов/дочерних компаний, но при этом круглосуточная дежурная смена находится лишь в одном регионе, это может привести к задержке в принятии решений в отношении инцидентов либо к некорректным действиям (специалисты дежурной смены не всегда могут знать специфику отдельных тарифных планов, услуг или маркетинговых кампаний, относящихся к анализируемому региону).

 

Отсутствие единой методологии определения схем мошенничества, потерь доходов, расчета KPI по выявленным инцидентам, базы знаний. Например, исторически сложившиеся методологии расчета KPI закрепляются в отдельных, «родных» регионах, это приводит к тому, что каждый регион рассчитывает ущерб, предотвращенные и восстановленные потери различными методами.

 

Отсутствие единого центра взаимодействия между подразделениями FMRA разных операторов. Подобный центр позволил бы не допускать к работе ранее скомпрометировавших себя сотрудников, включая персонал ритейловых сетей операторов. Не менее важным является обмен черными списками B-номеров, IMEI и т.п.

 

Влияние со стороны коммерческих подразделений. Возникает извечный вопрос «Что важнее: коммерческая составляющая или безопасность?». К сожалению, у бизнеса всегда есть дополнительная гиря для своей чаши весов в виде прогнозируемой выручки, особенно если планируется ввод нового потенциально опасного тарифа или услуги. Часто слова со стороны FMRA о возможных рисках потерь воспринимаются только по факту их наступления.

 

В качестве вывода определим верхнеуровневую стратегию создания/модернизации организационной структуры FMRA:

 

  • Объединение функции FMRA в единое подразделение по троичному принципу (ИБ, финансы, технологические компетенции).
  • Развитие горизонтальной организационной структуры.
  • Развитие технической компетенции.
  • Повышение независимости.
  • Повышение целостности.
  • Систематизированная методология определения инцидентов FMRA, расчета KPI, ведение единой базы знаний.
  • Создание Центра взаимодействия между FMRA-подразделениями различных операторов России.
  • Модернизация процедур взаимодействия с другими подразделениями.

 

Что же мы получаем на выходе в случае эффективного и оперативного использования FMRA-систем при наличии качественной организационной структуры? В среднем операторы сотовой связи перестают терять порядка 2–5% от общего оборота. В отдельных случаях уровень потерь может снижаться в 10 раз, это позволяет полностью окупить FMRA-систему в течение 6–12 месяцев.

 

 

Уведомления об обновлении тем – в вашей почте

Аудит функции Fraud Management & Revenue Assurance

На современном этапе развития телекоммуникационных операторов уже не подвергается сомнению тезис о необходимости особого контроля собираемой ими выручки. Функция контроля выручки у операторов связи реализуется в виде Fraud Management & Revenue Assurance (далее, FM&RA).

Внутреннее мошенничество и каналы ДБО созданы друг для друга?

Мошенничество в каналах дистанционного банковского обслуживания (ДБО) как юридических, так и физических лиц актуально последние 6–7 лет

Пилотирование FMS-системы ДБО – факты и цифры

Наиболее объективную оценку работы системы противодействия мошенничеству, конечно, за исключением этапа ее промышленной эксплуатации, может дать только пилотный проект, во время которого потенциальное решение предварительно настраивается и апробируется на реальных операциях сервиса ДБО.

Взгляд со стороны

О том, какова сегодня ситуация на рынке фрода, чего стоит опасаться больше всего и могут ли предпринимаемые государством действия исправить ситуацию, мы побеседовали с Павлом Крыловым, product-менеджером одной из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничества Group-IB.

Уход от «трубы»

Текущее состояние дел на телеком-рынке имеет негативный оттенок. Это перманентная конфронтация: идет борьба телеком-операторов со сторонними поставщиками специализированных сервисов за долю в структуре потребления абонентов

Обеспечение защиты сервисов ДБО Банка Москвы от мошенничества

Банк Москвы и компания «Инфосистемы Джет» запустили в работу систему борьбы с мошенничеством в каналах дистанционного банковского обслуживания (ДБО) юридических лиц

Интервью с Игорем Ляпуновым, директором Центра информационной безопасности компании «Инфосистемы Джет»

Не так давно центр информационной безопасности компании «Инфосистемы Джет» подвел итоги своей работы за прошлый год. И сегодня нашим собеседником стал Игорь Ляпунов, директор ЦИБ, который рассказал, какими результатами завершился 2009 г. для центра информационной безопасности.

Аналитическая информация без человеческого фактора

Рассматриваются варианты подготовки аналитической информации для руководства компании до и после внедрения BI-решения

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня