Прагматическая классификация телекоммуникационного фрода

В настоящее время существуют различные классификации телеком-фрода. Обычно в их основе лежит деление фрода по функциональным областям – роуминговый фрод, транзитный фрод, VoIP-фрод, SMS-фрод, PRS-фрод. Кроме того, в отдельные группы часто выделяют внутренний фрод и subscription-фрод. Практическая ценность таких классификаций неоднозначна. С одной стороны, некоторые комбинированные виды фрода трудно отнести к определенной категории в такой классификации. Например, smishing – использование SMS-рассылок с целью обманным путем вынудить абонентов сделать звонок на PRS-номер. Куда это отнести – к SMS-фроду или PRS? Или несанкционированная перемаршрутизация транзитного трафика злонамеренным сотрудником – что это внутренний фрод или транзитный?

С другой стороны, такая классификация никак не облегчает оператору задачу развития у себя функции противодействия мошенничеству. Например, понятие «транзитный фрод» включает в себя большое количество мошеннических схем, которые, хотя и связаны с одной услугой – транзит трафика, тем не менее выявляются с помощью абсолютно разных методов и инструментов.

Поэтому, при планировании своей деятельности по развитию функции фрод-менеджмента, мы предлагаем операторам связи воспользоваться типологизацией фродовых схем на основе методов их выявления, детектирования. Такая классификация представляет собой законченный, ограниченный набор классов фрода. Каждая вновь возникающая, в том числе уникальная для данного оператора, фродовая схема может быть отнесена к одному из этих классов в зависимости от того, какой метод можно использовать для ее детектирования.

В качестве отправной точки для такой классификации служит представление о любой фрод-схеме, как о сочетании двух составляющих. Первая из них: ПРЕДФРОДОВОЕ СОСТОЯНИЕ. Это некая ситуация, сочетание условий, создавшееся в настройках систем оператора, в его бизнес-процессах, которое делает возможным реализацию той или иной фродулентной схемы. Например, такой вид фрода как «фантомные абоненты». Это абоненты (или интерконнект-партнеры, или контент-провайдеры, т. е. кто-то, кто является пользователем услуг оператора связи), которые получили технологический доступ к услугам связи, но при этом не зарегистрированы в биллинговой системе. Это и есть предфродовое состояние – наличие рассинхронизации данных между сетевыми элементами и системами учета. Это еще не сам фрод, но теперь он легко может осуществиться – клиент воспользуется услугами, которые могут быть не оплачены.

Вторая составляющая – собственно ФРОДОВОЕ СОБЫТИЕ. Это то действие, ради которого и организована фродовая схема. В случае фантомных абонентов фродовым действием будет звонок, SMS, передача данных, транзит трафика, совершенные этим самым абонентом и неоплаченные вследствие его отсутствия в биллинговой системе.

Нужно отметить, что далеко не всегда особое предфродовое состояние необходимо. Многие фродовые схемы не требуют никаких специфических ситуаций в системах и процессах оператора. Например, SMS-спам или клонирование SIM-карт, или всевозможные мошенничества с использованием социальной инженерии (fishing, vishing, smishing). Для того чтобы осуществить эти мошеннические действия, необходимо просто наличие оператора связи как такового и наличие у него необходимой телекоммуникационной услуги.

Такое разделение фродовой схемы на две составляющие служит отправной точкой для прагматической классификации телекоммуникационного фрода – классификации на основе общих методов детектирования мошенничества.

Первая большая группа видов фрода – мошенничества, которые можно детектировать на раннем этапе по их предфродовому состоянию. Здесь можно выделить два класса методов детектирования:

• Первый – поиск рассинхронизации.

Этот метод направлен прежде всего на выявление рассинхронизации данных между системами NSS (сетевыми элементами) и системами, ответственными за тарификацию и оплату предоставленных сервисов.

Например, для детектирования уже упомянутых фантомных абонентов используется сопоставление данных HLR и биллинга (в случае мобильных операторов) или баз данных цифровых АТС, access-листов софтсвитчей для фиксированной или IP-телефонии. Подобные сверки, конечно, не ограничиваются простым поиском записей, имеющихся в одной системе и отсутствующих в другой. Этот же подход используется и для выявления расхождений в параметрах одного и того же абонента. Это актуально, например, для услуги широкополосного доступа, когда абоненту в биллинге установлен тарифный план со скоростью, скажем, 1Мбит/с с соответствующей оплатой, а на маршрутизаторе предоставлен канал 10Мбит/с. Аналогичная ситуация может возникать и у операторов, предоставляющих в аренду каналы другим операторам или корпоративным клиентам.

Решения, обеспечивающие детектирование фрода путем сверки данных из различных систем, называются системами класса Platform Integrity. Правильным системам Platform Integrity абсолютно безразлично, какие данные, из каких устройств в них сравниваются. Оператор может самостоятельно (или с помощью внешних консультантов) определить источники исходных данных, определить поля, которые нужны, и настроить необходимые сверки с нужной периодичностью.

Второй класс методов выявления предфродовых состояний:

• Соответствие политикам безопасности.

Методы данного класса направлены на выявление технологического фрода, связанного с внесением изменений в конфигурации систем. Например, отключение генерации xDR для групп абонентов, определенных направлений или присоединенных операторов. Другой пример – обнаружение потенциальных уязвимостей PBX – дефолтных паролей, незащищенных переадресаций с внешних линий на внутренние экстеншены, открытых удаленных доступов через модем и т. п.

Системы, в которых реализованы подобные методы детектирования фрода, это системы класса Compliance Management Systems.

Как уже говорилось, далеко не все виды технологического фрода определяются по их предфродовому состоянию. И поэтому можно выделить вторую большую группу методов детектирования телеком-мошенничества – обнаружение собственно фродовых событий.

По определению, такой метод требуется для анализа трафика. Причем здесь под трафиком следует понимать не только трафик как таковой, т.е. хDR голосовых вызовов, коротких сообщений, сессий передачи данных и так далее. Здесь понятие трафика более широкое и включает в себя вообще все данные, фиксирующее какое-либо событие в системах оператора связи – это и платежи, и заявки на активацию/деактивацию услуг, какие-то внутренние транзакции, например, корректировки счетов абонентов, выполняемые отделами обслуживания.

В данной группе методов – детектирование фродовых событий – можно выделить следующие классы методов:

• Анализ отдельного события.

Характерным примером фрода, детектируемого с помощью анализа каждой конкретной транзакции, является SMS-фрод в его различных проявлениях. К этому же классу следует отнести и все те фродстерские манипуляция, которые могут быть обнаружены и пресечены путем сравнения их параметров с эталонными значениями, стоп-листами. Это, например, «черные списки» фродоопасных направлений звонков – Куба, Каймановы Острова и тому подобное.

Системы, реализующие данные методы детектирования, можно подразделить по двум критериям.

Первый критерий – режим противодействия. В этом смысле системы анализирующие каждое отдельное событие, могут обеспечивать либо активную защиту, либо пассивную. В первом случае, весь трафик определенного типа маршрутизируется в режиме реальном времени в систему, которая анализирует каждое событие на предмет его фродулентности и, в случае выявления таковой, блокирует эту транзакцию (либо задерживает для рассмотрения аналитиком). Типичный пример такой системы – SMS-Firewall, обеспечивающий защиту в реальном времени от всех видов SMS-фрода. Такой же подход используется и для шейпинга IP-трафика, например, для того, чтобы исключить использование мобильного интернета для несанкционированных VoIP-звонков или запретить p2p-файлообмен для интернет-пользователей.

Второй критерий, по которому можно разделить системы, анализирующие каждую конкретную транзакцию, основан на том, анализируется ли реальный трафик реальных абонентов либо же специальным способом сгенерированные тестовые события. Дело в том, что существует целый ряд фродовых схем, характерных для межсетевого трафика, особенность которых в том, что и предфродовое состояние, и сами фродовые события создаются вне сетей и систем оператора-жертвы. Поэтому обнаружить эти признаки фрода в реальном трафике у оператора нет возможности. Типичный пример – нелегальный транзит и терминация трафика. Если присоединенный оператор на местном уровне пропускает МгМН-трафик, подменяя А-номера на свои собственные и т. о. выдавая этот трафик за свой собственный, обнаружить, а главное, подтвердить это можно только сгенерировав тестовый звонок из-за рубежа или другого региона страны и увидев, что этот звонок пришел как местный.

Другой пример интерконнект-фрода, выявляемого только с помощью тестирования – манипуляции транзитного оператора с длительностью вызовов. Выявить такое мошенничество можно только с помощью тестовых звонков с точным измеренем длительности на сторонах А и Б.

Для этих целей существуют как программно-аппаратные решения (если у оператора есть возможность разместить элементы системы в других странах, сетях), так и сервисные продукты, когда сторонняя компания предлагает свои услуги по генерации тестового трафика, а также по дальнейшему сбору и анализу данных.

Следующий класс методов детектирования фрода, это:

• Контроль целостности потоков данных «трафик->деньги».

Это один из наиболее универсальных подходов (хотя и самых реактивных), применимых в тех случаях, когда никакими иными, более оперативными способами фрод обнаружить нельзя, и когда фрод связан с получением услуг оператора без надлежащей оплаты.

Системы, реализующие данный подход, – это системы класса Revenue Chain Control или, как их еще называют, Switch-To-Bill Measuring Systems.

И, наконец, последний класс методов детектирования (и видов фрода):

• Анализ профилей поведения.

Это наиболее общий поход к выявлению фрода, ориентированный на косвенные признаки мошенничества – нестандартную активность, резкое изменение поведения абонентов или партнеров, превышение различных порогов и так далее. Такой метод, хотя и довольно неоперативный, часто является единственно возможным. Например, при выявлении спама методы статистического анализа являются незаменимыми, так как, с одной стороны выявляют спаммерский профиль поведения, а с другой – еще и предоставляют информацию другим системам, более активного действия. Например, модули анализа поведения абонентов, входящие в системы противодействия SMS-фроду, выявляя спаммерскую активность, обновляют «черные списки», библиотеки ключевых слов, с помощью которых уже системы активного действия могут предотвращать рассылки в реальном времени.

Таким образом, используя данный подход к классификации телекоммуникационного фрода, оператор может построить осмысленную, экономически обоснованную стратегию развития у себя инструментов фрод-менеджемента. Для этого необходимо осуществить лишь несколько последовательных шагов:

1. Провести в компании фрод-аудит, определив существующие в своих сетях и системах мошеннические схемы.
2. Построить матрицу рисков фрода для своей компании, распределив виды мошенничества по кластерам, каждый из которых представляет собой сочетание определенного метода детектирования и необходимых для него исходных данных.
3. С учетом суммарного эффекта от всех видов фрода, попавших в один кластер, зависящего как от количества фродовых схем в нем, так и от критичности каждой из них, приоритезировать данные кластеры, а значит и системы, которые необходимо внедрить для контроля каждого кластера мошенничества.
4. Внедрять

Статья опубликованна в № 10, 2010 журнала «Connect! Мир связи»