МОШЕННИКИ В «ПАУЧЬИХ» СЕТЯХ

Журнал «Connect! Мир связи», №5, 2007
МОШЕННИКИ В «ПАУЧЬИХ» СЕТЯХ
Юлия СЕДОВА, менеджер проектов Спайдер-FMS, НПП «Телда»
Развитие технологий ТфОП, сетей подвижной связи, появление
NGN-решений
и
широкого
спектра
услуг
в
сфере
телекоммуникаций
привлекают
к
себе
все
больше
недобросовестных пользователей и организаций. По данным
международной ассоциации CFCA (Communications Fraud Control Association), в
мире потери от мошенничества у операторов связи за 2003 -2005 гг. увеличились
на 50%. Сегодня телекоммуникационные компании, предоставляющие услуги
связи, теряют до 25% суммарной годовой прибыли. За этот же период их доходы
возросли всего на 12%. А в 2006 г. по сравнению с 2005 г. общие потери от фрода
(fraud – мошенничество) повысились с 2,7 до 2,9% от суммы общего оборота
операторов связи.
Подсчитывая убытки от фрода на сетях связи, большинство телекоммуникационных
компаний задаются вопросами: как идентифицировать мошенничество? Как с ним
бороться? Не находя ответа, многие предпочитают закрывать глаза на проблему. Это
поощряет мошенников на продолжение своей деятельности и изобретение новых все
более изощренных вариантов сетевого хищения, результатом которых могут стать не
только увеличение потерь от фрода, но и ухудшение репутации компании,
дополнительные убытки, отток пользователей.
Найти и обезвредить
По определению УК РФ ст. № 159, «мошенничество есть хищение чужого имущества
или приобретение права на чужое имущество путем обмана или злоупотребления
доверием». Когда речь заходит о мошенничестве на сетях связи, то подразумевается
совершение умышленных действий, направленных на несанкционированное
использование ресурсов сети связи оператора либо использование услуг связи, без
надлежащей оплаты с целью получения прибыли.
Для идентификации мошенничества необходимо выявить его источники, от которых
исходит угроза. В настоящее время насчитывается около 55 различных приемов
хищений на сетях связи. К основным видам мошенничества относятся:
• абонентское – со стороны пользователей услуг;
• операторское – со стороны смежных операторов;
• внутреннее – со стороны сотрудников компании.
Рассмотрим подробнее, какую угрозу представляет каждый из названных источников
мошенничества.
Абонентское мошенничество
К наиболее распространенным в России проявлениям действий злоумышленниковпользователей относятся:
• имитация сигнализации, с применением специализированных устройств,
позволяющих
осуществлять
неоплачиваемые
абонентом
междугородные/международные вызовы и вызовы с таксофонов;
• физическое подключение к чужой телефонной линии;
1
Журнал «Connect! Мир связи», №5, 2007
•
•
•
•
•
•
организация нелегального переговорного пункта через взломанную АТС, возможно,
с использованием сервиса DISA (Direct Inward System Access) или порта
технического обслуживания. Обслуживающий персонал зачастую забывает
установить пароль на выход в город через DISA или устанавливает очень простой,
который легко подбирается злоумышленником;
кардинг – эмуляция таксофонных карт или незаконные действия с
предоплаченными картами, например пополнение счета карты обманным путем;
заведомый отказ от оплаты за переговоры. Возможен в том случае, если оператор
связи предоставляет услуги связи в кредит. Наиболее подвержены такому виду
мошенничества операторы сетей подвижной связи, оказывающие услуги роуминга,
когда биллинговая информация о вызовах от одного оператора к другому
передается с задержкой;
клонирование SIM-карт, телефонных трубок, позволяющее мошенникам совершать
бесплатные вызовы в любых направлениях, так как счет за предоставленные услуги
связи придет законному владельцу SIM-карты;
использование сотового телефона в качестве «переговорного пункта». Нелегальные
переговорные пункты устанавливаются там, где есть спрос на услуги связи: на
рынках, вокзалах, в общежитиях, и других местах локации массы людей. Принцип
организации подобного вида мошенничества сводится к следующему:
приобретаются десятки SIM-карт на найденный паспорт, тарифы выбираются таким
образом, чтобы можно было уходить в долг. Далее за символическую плату
мобильный телефон предоставляется желающим позвонить, пока на счету не
образуется большой долг, и она не заблокируется оператором связи. Оплачивать
долги, конечно, никто не собирается, да и найти таких «должников» практически
невозможно;
сотовые мосты как один из вариантов паразитирования мошенника с
использованием безлимитных тарифов нескольких операторов связи.
Операторское мошенничество
Операторское мошенничество часто выражается в создании весьма хитроумных схем
обмена трафиком на сетях связи, эксплуатирующих недостатки текущей конфигурации
сетевого оборудования и спорные моменты межоператорских соглашений. Можно
привести следующие примеры операторского мошенничества.
Умышленное искажение адресной информации
В этом виде мошенничества недобросовестный оператор конфигурирует свой
коммутатор для осуществления международных вызовов через не подозревающего об
этом оператора. «Благодаря» недостаткам в конфигурации коммутационного
оборудования пострадавшая сторона даже не будет подозревать о том, что вызовы
являются международными. В результате недобросовестный оператор выставляет
клиенту счет за международное соединение, однако сам платит только за
междугородный или местный вызов. С другой стороны, пострадавшему оператору
приходится платить по международным тарифам, получая заметно меньшую плату от
оператора-мошенника.
Общая схема такого подхода:
• коммутатор настраивается таким образом, что к набранному номеру добавляется
код своего города или страны;
• когда этот вызов попадает в транзитную сеть, коммутатор транзитной сети отсекает
добавочный код как лишний;
2
Журнал «Connect! Мир связи», №5, 2007
•
с транзитной сети вызов адресуется согласно набранному номеру, как правило, в
международном направлении.
Многократный возврат вызовов
«Зацикливание» звонков, или call looping обычно наблюдается при различиях в тарифах
операторов на передачу вызовов между ними. В этом случае недобросовестный
оператор направляет полученный вызов обратно оператору, из сети которого он
исходит, но через сеть третьего оператора. В результате звонок возвращается
недобросовестному оператору, который может отправить его по этой цепочке еще раз.
Таким образом, вызов «зацикливается», т.е. многократно проходит через сеть одного и
того же оператора- «жертвы». За счет срабатывания подобной схемы
недобросовестный оператор может положить в свою копилку приличную сумму.
«Приземление» трафика
Данный вид мошенничества также называется туннелированием и происходит, когда
недобросовестный оператор доставляет свой клиентский трафик в сеть «жертвы» через
сети VoIP.
Для этого в сети оператора, терминирующего вызовы, на правах УПАТС
устанавливается шлюз IP-телефонии. Выигрыш, получаемый от реализации такого рода
мошенничества, базируется на варьировании стоимости входящего и исходящего
трафиков. В результате недобросовестный оператор может существенно сэкономить
свои денежные ресурсы.
Увод трафика
Заключается в создании ряда схем, связанных с нелегальным предоставлением услуг
связи по более низким тарифам. Например, два недобросовестных оператора, один из
которых не имеет лицензии на предоставление заявленных им услуг связи, заключают
между собой соглашение с целью получения дополнительной прибыли. В соглашении
оговаривается, что оператор, не имеющий лицензии, будет использовать сеть связи
партнера-оператора в качестве транзитной для пропуска своего трафика и вливания его
на сеть третьего оператора-»жертвы». В итоге через сеть ничего не подозревающего
третьего оператора будет проходить трафик от двух операторов, а оплачиваться будет
только часть трафика, пропускаемого согласно межоператорскому договору. То есть,
налицо факт упущенной выгоды.
Внутреннее мошенничество
Это действия со стороны сотрудников предприятия связи, носящие корыстный или
злонамеренный характер и приводящие к хищениям трафика. В первом случае
сотрудник пользуется своим служебным положением в интересах получения
дополнительной прибыли, во втором – в результате конфликта с руководством или
коллективом компании сотрудник умышленно наносит ущерб организации, изменяя
настройки в системы управления ресурсами сети связи. В конечном счете, каковы бы
ни были мотивы злонамеренных действий сотрудника, компания может понести
большие убытки. Рассмотрим некоторые из способов злонамеренных действий со
стороны сотрудников компании.
3
Журнал «Connect! Мир связи», №5, 2007
Сокрытие части
оборудовании
тарификационной
информации
на
коммутационном
Обычно коммутаторы имеют несколько устройств, получающих служебную
информацию, в том числе сведения о вызовах (CDR). Коммутационное оборудование
можно настроить таким образом, что для части маршрутов информация о
предоставленных услугах не будет регистрироваться либо станет выводиться на
незадействованный порт ввода/вывода. Такие действия чрезвычайно сложно
обнаруживать, даже при анализе данных биллинговой системы, так как первичная
информация о соединениях в нее не поступает. Кроме того, подобные ситуации могут
быть объяснены как ошибка в настройке оборудовании.
Сокрытие части тарификационной информации на оборудовании биллинговых
систем
Биллинговые системы также могут быть подвержены действиям злоумышленника с
целью прекращения регистрации или тарификации определенного объема записей о
предоставленных
услугах,
которые
успешно
создаются
коммутационным
оборудованием.
Ошибки в работе систем маршрутизации вызовов
Формально указанные ситуации не относятся к фактам мошенничества, однако
операторы телефонной связи терпят убытки и из-за ошибок конфигурации и
нарушений в работе систем LCR (Least Cost Routing). В сети оператора для каждого
направления существует не менее двух маршрутов распределения трафика. Системы
LCR отвечают за то, чтобы для каждого нового вызова был выбран оптимальный
маршрут. Помимо несоблюдения критериев качества для различного трафика, который
может быть ошибочно пущен по некорректному направлению, наиболее существенные
убытки приносит неверное определение стоимости терминации. В этом случае трафик
может быть отправлен по направлению, стоимость распределения на котором
превышает стоимость вызова для абонента.
Расставляем сети
Противодействовать и предотвращать появление фрода на сетях связи можно путем
проведения всеобъемлющего мониторинга сигнализации телекоммуникационной сети,
анализа телефонной статистики от каждого абонента за определенные периоды
времени, сверки информации, полученной с помощью мониторинга системы связи, с
биллинговой информацией.
Для
выполнения
указанных
функций
могут
применяться
специальные
автоматизированные системы фрод-контроля (Fraud Management System -FMS). На ИТрынке представлено множество различных систем подобного типа зарубежных и
отечественных производителей. Рассмотрим основные аспекты их работы.
В общем случае система фрод-контроля включает в себя агенты или зонды,
собирающие информацию о CDR. Подключаются они непосредственно к трактам
сигнализации, причем функционал агентов зависит, прежде всего, от
производительности их платформ. Базовый функционал агентов систем фрод-контроля
схож с функционалом систем предбиллинга – сбор и предварительная обработка
больших массивов информации.
4
Журнал «Connect! Мир связи», №5, 2007
Агенты передают информацию на центральный сервер, который обрабатывает ее по
заданным пользователями критериям. К серверу имеет доступ ряд атоматизированых
рабочих мест (АРМ), на которых установлено специальное ПО пользователя,
представляющее обработанную информацию в удобном для создания различных
настроек и фильтров виде.
Общая схема подключения системы фрод-контроля
Помимо системы сбора данных система фрод-контроля функционально может состоять
из следующих основных и дополнительных типов модулей.
1. Сборщик – осуществляет прием от агентов
детализованной информации о предоставленных услугах.
Дает возможность фильтрации вызовов, получения
информации о незавершенных вызовах и т. п.
Операторское
мошенничество часто
выражается в создании
весьма хитроумных схем
2. Фрод-монитор – позволяет путем фильтрации и обмена трафиком на сетях
создания настроек необходимых профилей выявлять различные типы мошенничества
на сетях связи.
3. Монитор QoS – осуществляет расчет типовых или указываемых пользователем
показателей QoS и индикаторов производительности, формирует отчеты -по
расписанию и по запросам. Позволяет оценивать объемы входящего/исходящего
трафика за заданный период времени, а также эффективность маршрутизации
междугородного/международного трафика и работы сети по ряду параметров
(эффективность использования каналов связи, задержки при предоставлении услуг и т.
п.), рассчитывать нагрузку, обрабатываемую сетью связи.
5
Журнал «Connect! Мир связи», №5, 2007
4. Монитор сигнализации – на основании реализации принципа пассивного
наблюдения осуществляет централизованный сбор и анализ различных данных о
функционировании сети и устройств, формирующих сеть, предоставление экспертных
оценок, графическое отображение структуры и состояния сети в реальном времени.
5. Трейсер – выполняет трассировку различных типов вызовов (voice call, SMS и др.),
отслеживание процедур аутентификации, эстафетной передачи при трассировке
вызовов в мобильных сетях.
Подсистема фрод-мониторинга требует настройки профилей действительных и
потенциальных алгоритмов мошенничества. Настройки профилей осуществляются по
ряду критериев: черный список, белый список, очень частые вызовы, очень короткие
вызовы, оценка суммарного времени, оценка суммарного количества вызовов,
комплексный критерий, абонентский профиль.
При выявлении ряда нарушений по заданным критериям система должна сгенерировать
сообщение о сложившейся ситуации и передать его на рассмотрение операторам фродконтроля.
Естественно, система фрод-контроля должна позволять осуществлять фильтрацию
данных, поступающих к операторам, и передавать им лишь те подозрительные
ситуации, возникающие на сети связи, которые удовлетворяют заданным оператором
параметрам. Так, например, системой могут отслеживаться одновременно и частые, и
продолжительные, с заданным номером абонента вызовы – типичный пример поиска
«сотовых мостов».
Таким образом, система фрод-контроля должна обеспечить наиболее комфортную
автоматизацию труда операторов, принимающих ключевые решения в процессе борьбы
с мошенничеством, позволяя, в частности, кроме задания критериев и фильтров их
представления указывать и уровни срабатывания критерия для передачи данных об
этом персоналу системы. Например, после превышения первого порога срабатывания
система может сгенерировать предупредительный сигнал или сообщение о возможном
мошенничестве, после срабатывания второго или третьего – выдать сигнал о реальной
угрозе или отправить сообщение по электронной почте специалисту службы
безопасности.
Подводя итог, хочется отметить, что вопросам борьбы с мошенничеством на сетях
связи начинает уделяться все больше внимания. Это демонстрируют возрастающий
интерес операторов, плавно переходящий из чисто теоретической, «смиренной»
позиции в русло практической деятельности по наведению порядка на своих сетях, а
также растущая активность вендоров и ввод специальных курсов в профильных
учебных заведениях. Остается надеяться, что вскоре появится и полноценная
нормативно-правовая база, которая обеспечит полноценную юридическую поддержку
борьбы с сетевыми мошенниками.
Литература
1. Материалы конференции Digital Mobile Fraud, 1998.
2. Geoff Ibbett. Fraud: telcos' biggest enemy, 2006.
3. Интернет-сайт CFCA -http://www.cfca.org.
6