Что бы там ни говорили, а стремление некоторых индивидуумов жить за чужой счет прямо-таки неискоренимо. Скажем, мошенничество в телекоммуникационных сетях достигло масштабов организованного бизнеса. Согласно оценкам IEC (Международного технического консорциума), в 2000 году убытки провайдеров услуг от мошенничества составили в среднем 3-8% от их совокупных доходов. В абсолютных цифрах потери равны 12-14 млрд долл. в год, а их ежегодный прирост достигает 5-7%. При этом появляются все более изощренные способы обмана.

Надо отметить, что помимо прямых потерь от действий злоумышленников возникают и побочные:

  • снижение эффективности использования внутренних ресурсов провайдера (как программно-аппаратных, так и человеческих);
  • появление в прессе публикаций, негативно влияющих на имидж компании;
  • потеря доверия лояльных пользователей и снижение удовлетворенности клиентов качеством обслуживания;
  • замедление темпов развития компании и процессов вывода на рынок новых услуг и сервисов.

В таких условиях внедрение систем борьбы с мошенничеством (авторский перевод термина FMS, Fraud Management System) полностью соответствует интересам операторов связи и поставщиков услуг. Правда, они порой закрывают глаза на рассматриваемую проблему (во всяком случае, не афишируют ее) и даже заявляют, что некоторый уровень потерь от действий злоумышленников допустим. Причина состоит в том, что любая компания старается найти баланс между потенциальным риском и планируемым выигрышем. А для развития бизнеса требуется, с одной стороны, максимально расширять клиентскую базу и увеличивать доход от каждого абонента, а с другой, распознавать мошенников и выдворять их из сети.

Мы попытаемся рассмотреть разные типы мошенничества и методы, используемые для обнаружения фактов обмана. Кроме того, мы приведем примеры того, как внедрение систем борьбы с мошенничеством может повлиять на бизнес операторских компаний.

Сим-сим, откройся…

Рассмотрим некоторые действия мошенников, направленные на получение доступа к ресурсам операторов связи. Одни виды атак используются для доступа к ресурсам проводных телефонных сетей, другие — к ресурсам мобильных служб. Мы не будем детально изучать алгоритмы реализации тех или иных видов атак. Цель нашего исследования — показать, какие методы могут быть использованы операторами связи для активного противодействия злоумышленникам.

Среди всего многообразия типов мошенничества наиболее часто встречаются следующие:

  • организация незаконных переговорных пунктов;
  • звонки с использованием необычных схем переадресации и набора номеров (зачастую с применением малоизвестных или недокументированных функций телефонных станций);
  • звонки в необычное время (например, длительные звонки по межгороду из офиса в вечернее или ночное время);
  • несанкционированное применение телефонных карт (скажем, кража PIN-кодов или взлом алгоритмов их генерации);
  • клонирование SIM-карт мобильных телефонов;
  • использование чужих реквизитов при регистрации;
  • подключение к телефонным линиям, принадлежащим другим лицам (как юридическим, так и физическим);
  • опора на ошибки в программном обеспечении операторов связи в целях получения «вечного» бесплатного номера (это больше всего характерно для сетей мобильной связи);
  • использование «слабых мест» учета услуг роуминга;
  • установление контактов с недобросовестными сотрудниками компании-оператора.

Как вести незримый бой?

Для борьбы с упомянутыми нарушениями операторы связи внедряют у себя различные автоматизированные системы борьбы с мошенничеством (FMS). В зависимости от функциональности этих систем, а также наличия или отсутствия в компании комплексного подхода к решению проблемы уровень потерь может снизиться более чем на 50% (хотя полностью обезопаситься от действий злоумышленников все равно не получается). Под комплексным подходом подразумевается интеграция FMS с CRM-системой, механизмами пре-биллинга (pre-billing mediation), биллинговой системой, а также создание нормативно-методологической базы и введение определенных организационных мер.

Любая FMS должна выполнять две основные функции. Во-первых, это обнаружение мошенничества с использованием ряда специальных механизмов для различных типов соединений и услуг (обычная телефонная связь, мобильные сети GSM, службы GPRS, 3G, VoIP, коммутируемого доступа и др.). Во-вторых, анализ атак, который осуществляется в рамках полной системы борьбы с мошенничеством, включающей в себя удобный для пользователей графический интерфейс, механизмы предотвращения вторжений, выявления тенденций в действиях злоумышленников, распределения задач между аналитиками и многое другое.

Выполнять эти функции позволяет следующий набор операций:

  • сбор и первичный анализ записей CDR (детальная регистрация вызовов) в масштабе реального времени;
  • обработка собранной информации с использованием модулей интеллектуального логического анализа;
  • генерация сигналов о подозрительных действиях в сети;
  • создание отчетов.

Простейший механизм первичного анализа базируется на исследовании пороговых значений заданных параметров. Этот метод позволяет обнаруживать случаи мошенничества путем сравнения текущих характеристик трафика с предопределенными пороговыми значениями и, несмотря на свою простоту, в ряде случаев оказывается весьма эффективным. Например, система может выдавать сигналы тревоги, если количество (средняя продолжительность, стоимость, дальность и т. д.) вызовов из определенного пункта превышает пороговые значения, вычисленные на основе среднестатистических данных.

Более интеллектуальным считается анализ на основе правил взаимного влияния. Под такими правилами подразумевается набор событий, каждое из которых может быть абсолютно случайным, но в совокупности с прочими свидетельствует о возможной активности мошенников. Кроме того, использование правил взаимного влияния позволяет предотвращать генерацию сигналов тревоги в тех случаях, когда цепь событий на первый взгляд кажется результатом действий мошенников, а на деле таковым не является.

Правила взаимного влияния могут быть описаны на алгоритмическом языке высокого уровня и соответствовать специфическим потребностям конкретного оператора связи. База знаний таких правил включает в себя набор инструкций, которые определяют способы выполнения различных задач.

Еще одна возможность — интеллектуальная аналитическая обработка информации на основе составления так называемого «профиля абонента». Под ним подразумевается набор статистики, детально описывающей объемы потребляемых услуг связи. Иными словами, по каждому абоненту собираются статистические сведения: куда и в какое время суток он звонит, какова обычная протяженность его разговоров в утреннее, дневное, вечернее и ночное время, насколько часто и в какие географические точки делает междугородные и международные звонки и т. п.

Эффективность использования «профиля абонента» является функцией от времени, так как чем больше статистических данных собрано, тем точнее можно сказать, принадлежит ли конкретный вызов зарегистрированному абоненту или злоумышленнику-двойнику. При накоплении должных объемов информации «профиль абонента» становится настолько же уникальным, как и отпечатки пальцев. А значительно повысить эффективность этого метода позволяет интеграция систем FMS и CRM.

Приведем несколько примеров того, как можно получать выводы, полезные для практики защиты, с помощью аналитической обработки информации.

Пример 1. В предпраздничные и праздничные дни активность междугородных и международных разговоров повышается в несколько раз по отношению к обычному уровню. Это является следствием вполне объяснимого желания поздравить друзей и близких и никак не связано с действиями мошенников (хотя последние, конечно, тоже не исключены).

Пример 2. Абонент А совершил достаточно продолжительный звонок, скажем, в Танзанию. Никаких официальных праздников тогда не было, и в «профиль» клиента звонок не укладывается. Значит, звонок сделан мошенником? Не обязательно. Запрос в CRM-систему показал, что именно в тот день у сына абонента А был День рождения. В результате небольшого операторского «расследования» выяснилось, что на время студенческих каникул этот сын уехал в Танзанию, и отец звонил ему, чтобы поздравить с Днем рождения.

Пример 3. Абонент Б, известный в некой компании-операторе как злостный мошенник, повторно зарегистрировался в этой фирме под реквизитами абонента С. Анализ на основе «профиля» вскоре выявил, что статистика использования «новым» клиентом сетевых ресурсов очень похожа на статистику мошенника Б. Абонента взяли под пристальное наблюдение, и вскоре были получены доказательства того, что Б и С — действительно одно лицо. Мошенника отключили от сети, благодаря чему компании удалось предотвратить серьезные убытки.

Помимо уже рассмотренных в арсенале FMS есть и другие методы выявления мошенничества на ранних стадиях. Среди них стоит выделить следующие.

  • Определение порогового объема услуг, потребляемых за некоторый период. Такие значения устанавливаются каждым оператором связи и являются одним из исходных элементов для работы FMS-систем. На основе статистики объемов использованных абонентом услуг система обнаруживает случаи его необычного поведения в последующие периоды (скажем, когда клиент вдруг начинает делать продолжительные междугородные вызовы в середине дня). Для конкретных услуг применяются определенные наборы значений (к примеру, при кредитной системе оплаты допустимо потребление услуг не более чем на 20 долл. в неделю или не больше 300 ч/мес.), которые к тому же могут дифференцироваться в зависимости от групп пользователей (типов тарифных планов).
  • Пересечение вызовов. Суть метода заключается в обнаружении исходящих соединений, которые физически не могут быть осуществлены. Так, нельзя установить соединение, совпадающее по дате и времени с другим вызовом с того же номера (например, одновременно позвонить с него в Архангельск и Норильск), — конечно, если они организуются не в рамках телеконференций или многосторонней связи. Благодаря опции соединения данных от разных источников обеспечивается интеллектуальное отклонение записей, которые хотя и свидетельствуют о совпадении времени звонков, но не являются конфликтными: это зачастую обусловлено различиями во времени, установленного на часах коммутаторов и серверов доступа.
  • Анализ необычно продолжительных вызовов. Этот метод может использоваться оператором связи для обнаружения, например, длительных междугородных звонков или вызовов нулевой продолжительности на номера, требующие ввода PIN-кода (с начислением оплаты на клиентские счета различных типов).
  • Проверка по скорости. Применение такого метода эффективно, в частности, при использовании телефонных карточек и мобильных телефонов. На основе географической информации система FMS определяет возможность реализации нескольких последовательных вызовов конкретным абонентом. Информация расценивается как подозрительная, если, скажем, через пять минут после вызова из Москвы осуществляется звонок с того же телефона из Санкт-Петербурга.
  • Анализ активности отдельных пользователей. На основе такого анализа оператор способен сделать заключение, что частые или весьма продолжительные вызовы вне обычных периодов активности (например, из офисов после окончания рабочего дня) могут означать несанкционированный доступ к телефонной сети.

Все случаи злоупотреблений и сведения о мошенниках сохраняются в системе, образуя «черный список». Это помогает оператору связи предотвращать аналогичные действия в будущем. «Черный список» позволяет определять (с большей или меньшей степенью достоверности), не является ли потенциальный абонент ранее «вычисленным» мошенником. Иногда можно выявить злоумышленника по одним только характеристикам трафика — даже если при повторном заключении договора на обслуживание он воспользовался другим именем. Взаимодействие FMS с CRM-системой ускоряет обнаружение мошенничества и обеспечивает его предупреждение: в случае положительного результата проверки по «черному списку» в CRM-систему автоматически направляется предупреждение.

Нельзя пройти мимо еще одной темы. При эксплуатации любой биллинговой системы некоторый процент поступающих CDR отбрасывается как ошибочный. Это происходит по многим причинам, порой чисто техническим, но иногда может быть следствием злоумышленных действий.

Пример 4. Абонент А покупает контракт у оператора связи на предоставление услуг по предоплате, а затем просит своего знакомого или просто недобросовестного сотрудника, работающего в этой компании, изменить в его учетной записи модель оплаты — с предоплаты на обслуживание по кредиту. Биллинговая система получает на обработку CDR, который описывает совершенный абонентом А звонок, и из-за несоответствия заявленной и реальной систем оплаты не может тарифицировать уже предоставленную услугу. В результате она отбрасывает такой CDR как некорректный. Предотвратить подобную ситуацию позволяет система FMS: записи о вызовах, отброшенные биллинговой системой как некорректные, проходят тщательную экспертную проверку для выяснения причин «некорректности».

Сколько стоят убытки?

Причины, по которым компании, подвергшиеся атакам мошенников, всячески пытаются это скрыть, вообще-то понятны. Большинство проблем обычно возникают по вине самого оператора, не уделяющего должного внимания вопросам безопасности. Вот лишь некоторые (естественно, анонимные) примеры конкретных случаев.

Пример 5. Телекоммуникационная компания использовала отчеты биллинговой системы для наблюдения за клиентами, потребляющими большие объемы услуг. Отчет был организован так, что в него попадали все звонки стоимостью свыше 10 условных единиц, а остальные игнорировались. С помощью сообщника, инженера данной компании, мошенники подключили небольшие устройства с функцией автодозвона к транспортной сети и совершали звонки продолжительностью 9 условных единиц на свой PRS-номер (Personal Relay Service). Через контролируемую ими телефонную станцию они получили возможность звонить абоненту в любую точку земного шара, оплачивая только местный вызов. Устройства автодозвона были снабжены таймером, благодаря которому все звонки осуществлялись только в ночное время, а их длительность не превышала заранее установленный предел. Мошенничество вскрылось лишь несколько недель спустя, когда клиенты получили счета за разговоры, которых они не совершали. Общий ущерб составил около 450 тыс. долл. А вот использование FMS, настроенной на постоянный мониторинг трафика в режиме реального времени, могло бы предотвратить эти убытки.

Пример 6. Для обнаружения злоумышленных действий небольшая английская телекоммуникационная компания использовала исключительно информацию, поступающую из биллинговой системы. В какой-то момент потери этой фирмы возросли до 3 млн фунтов стерлингов за квартал. Внедрение FMS позволило в течение полугода свести убытки примерно к 50 тыс. долл. за квартал.

Пример 7. Учрежденческая АТС достаточно большой компании подверглась взлому: злоумышленники получили через нее доступ к любой точке земного шара. Затем информация о том, как можно воспользоваться «услугами» взломанного оборудования, была опубликована в Internet. В течение ближайших выходных все желающие сделали звонки примерно на 400 тыс. долл. При этом серьезно пострадал имидж фирмы-владельца УАТС, что повлекло за собой потерю ряда ее ключевых клиентов.

Экономика должна быть экономной

На вопрос о текущих потерях оператора связи от действий злоумышленников получить ответ практически никогда не удается. Вернее, стандартный ответ звучит примерно так: «У нас все в порядке, в нашей сети мошенников нет». Естественно, это неправда — мошенники есть всегда и везде, тем более в России. Но оставим такие заявления на совести руководства компаний, лишь добавим пару слов о так называемом сроке возврата инвестиций (ROI). Стоимость внедрения полномасштабной FMS с учетом затрат на «железо», проектирование и установку не превышает 600 тыс. долл. Такая система способна обрабатывать до 2 млн CDR в день. За какой период она окупится, каждый оператор может посчитать сам, исходя из своего «секретного» внутрикорпоративного знания.

Кирилл Перминов (kperminov@ibs.ru) — руководитель направления OSS/BSS-систем департамента системных решений компании IBS