Вакцина для телеком-операторов

Рис. 1. Потенциальные объекты мошенников

Простые примеры

Мошенничество с интерконнек­том представляет наибольшую угрозу и приводит к существенным потерям у операторов. Поэтому мы подробнее рассмотрим его виды, причем мало описанные в открытых источниках. Однако мы не будем приводить самые опасные способы из соображений безопасности.

Для начала опишем схему взаиморасчетов между операторами за голосовой трафик: когда абонент оператора А звонит абоненту оператора В, за каждую минуту оператор А платит оператору В от 0,2 до 3,5 руб., и наоборот. В случае вызовов на номера международных операторов себестоимость одной минуты может доходить до 300 руб. Это происходит, например, когда звонок идет на так называемые премиум-номера – аналоги наших коротких (четырехзначных), по своему виду они ничем не отличаются от обычных иностранных номеров в международном формате, т.е. состоят из 11–12 цифр.

Как же мошенники могут здесь «зарабатывать»?

Рис. 2. Нелегальная генерация трафика из роуминга

Нелегальная генерация трафика из роуминга. Мошенник оформляет на компанию-однодневку или на «левые» данные физического лица комплект из нескольких десятков SIM-карт с postpaid тарифным планом. Большинство услуг на этих тарифных планах тарифицируются в офлайн-режиме, т.е. минимум через 10 минут с момента завершения вызова. Затем мошенник бесплатно оформляет несколько международных премиум-номеров. Теперь достаточно просто вывезти SIM-карты в международный роуминг и генерировать исходящие вызовы на оформленные номера (одновременно по 5 вызовов с 1 SIM-карты) (см. рис. 2). Как следствие, на балансе SIM-карт образуется дебиторская задолженность, а мошенник получает прибыль: чем больше совершено вызовов, тем больше он «зарабатывает» (до 25 руб. за 1 минуту). В роуминге эта схема работает из-за особенностей взаимодействия между операторами связи: абонент одного оператора может обслуживаться другим, и тарификация происходит со значительной задержкой. Размер ущерба становится известен «родному» оператору только в момент выставления счета от его коллег, в сети которых обслуживался абонент. К слову, 2 года назад из-за этой схемы крупный российский оператор потерял более чем 9 млн рублей.

Рис. 3. «Легальная» генерация трафика

«Легальная» генерация трафика. Первым шагом к заветной цели мошенника является сравнительный анализ доходной и расходной частей за минуту на премиум-номера. Для этого осуществляется подборка стоимости звонков на международные премиум-номера у PRS (Premium Rate Services) и у операторов, которые предоставляют услуги связи по этому направлению. Допустим, 1 минута исходящего вызова на премиум-номер Литвы у оператора стоит 5 руб. (расходная часть мошенника – Х1 на рис. 3), а входящая минута у PRS – 7 руб. (доходная часть мошенника – Х3 на рис. 3). В итоге за каждую входящую минуту мошенник может легально «заработать» разницу – 2 руб. Злоумышленнику остается подключиться к оператору связи, арендовать премиум-номера и начать генерацию вызовов.

Рис. 4. Петли

Петли. Мошенник – маленький оператор связи – перенаправляет входящий трафик от оператора-жертвы обратно на себя с подменой А-номера. Перенаправление проводится через третьего оператора или через самого оператора-жертву. Тем самым один вызов превращается в кольцо, состоящее из двух и более операторов связи. В результате мошенник искусственно увеличивает количество входящих в свою сеть вызовов и зарабатывает на разнице цен за входящую минуту.

Можно предположить, что внедрение систем оптимальной маршрутизации трафика отправило подобную схему в небытие, но тем не менее она продолжает жить и процветать. Практикуются в основном сложные петли с использованием 3-х и более операторов связи, находящихся в сговоре. Как правило, убытки исчисляются сотнями тысяч рублей за каждый инцидент, в месяц у крупного оператора набегает от 5 до 10 случаев «петляния».

Рис. 5. Wangiri

Wangiri. Сначала в бой идет отработанная схема аренды международных премиум-номеров. Но здесь уже другая цель – не генерация вызовов на них, а провоцирование жертвы на совершение одного и более звонков. Мошенник с помощью подмены А-номера генерирует пропущенные вызовы на номера обычных людей, чаще всего по принципу ковровой бомбардировки (последовательный перебор). Абонент перезванивает и оплачивает дорогостоящий звонок, а злоумышленник получает прибыль с входящего трафика.

На первый взгляд, схема нежизнеспособна или малоэффективна, ведь практически каждый уже сталкивался с подобным и понимает, что это обман. Но мошенники знают слабые места абонентов. Прозвон может проводиться, к примеру, ночью, когда бдительность в прямом смысле слова спит. Встречаются и оригинальные случаи: в 2011 году мошенник арендовал номера из диапазона спутниковой сети Ellipso Satellite, которая имеет емкость +8812, и начал усиленно прозванивать мобильные номера, относящиеся к Санкт-Петербургу и Ленинградской области. Питер имеет схожий код города, разница лишь в том, что он начинается с кода РФ – «7». Сложно представить человека, который не перезвонил бы на определившийся номер своего региона. Стоимость каждой минуты для абонента составляла до 300 руб., а прибыль мошенника с нее – до 25 руб. Количество пострадавших исчислялось тысячами, а потери – несколькими миллионами рублей.

Мы рассмотрели всего 4 мошеннические схемы, но если представить, сколько различных сервисов, услуг, тарифов и т.п. существует у операторов связи, можно понять, что насчитывается несколько сотен известных сценариев и тысячи их вариаций.

Методы борьбы: необходимость и достаточность

У многих телеком-операторов существуют отдельные подразделения по противодействию/управлению фродом и гарантированию доходов. Как и у сотрудников правоохранительных органов, у фродоборцев есть свое оружие и амуниция, так сказать, на все случаи жизни. Множество участков, где могут «увести» денежные средства, требует наличия массы разнотипных систем защиты. Вот некоторые из них:

FMS – Fraud Management System. Название говорит само за себя. Существует множество систем этого класса, но все они устроены идентично и имеют схожие ключевые функции: сбор данных (действия абонентов, биллинговые данные, платежи, корректировки), нормализация и насыщение информации, выявление случаев мошенничества путем анализа в соответствии с настроенной логикой, Case Management.

RAS – Revenue Assurance System. Системы гарантирования доходов предназначены для проведения проверок корректности загрузки данных в биллинг (в соответствии с ним выставляются счета абонентам). Набор основных сверок включает сверку данных о вызовах с коммутатора и биллинга для выявления вызовов, не попавших с биллинг, расхождений в длительности вызовов и т.д.; сверку статусов абонентов и услуг для выявления расхождений и несоответствий (к примеру, на коммутаторе абонент действующий, но в биллинге отсутствует) и т.д.

LCR – Least Cost Routing. Решение позволяет в автоматическом режиме выбирать маршруты передачи вызова с минимальной для оператора стоимостью или передавать вызов, опираясь не на цену, а на качество связи (речь идет об отдельных тарифах). LCR-системы могут обладать и дополнительными модулями противодействия мошенничеству, связанному с международными и междугородними вызовами, причем возможно принятие мер в режиме реального времени.

SMS Antispam System. Аналог антиспам-систем для электронной почты, который работает и в режиме реального времени. Благодаря подобным системам абоненты могут самостоятельно управлять черными и белыми списками номеров, отправлять и получать SMS-сообщения через ПК.

Генератор тестовых событий. Система позволяет имитировать использование различных услуг связи и передачи данных на тестовых SIM-картах как в домашней сети, так и в роуминге. Далее в автоматическом режиме проводится проверка корректности тарификации, длительности вызовов, объема сессий и т.д.

Генератор тестовых международных вызовов. Цель генерации вызовов – выявление случаев нелегальной терминации международного трафика. Для этого система генерирует вызовы на тестовые номера сети со стороны международных операторов мобильной и фиксированной связи, карт международной связи, VoIP-операторов. В случае нелегальной терминации определяется номер мошенника, а не реальный иностранный тестовый номер, либо вызов поступает через местное, а не через МГ/МН присоединение.

Мошенничество с интерконнектом представляет наибольшую угрозу и приводит к существенным потерям у телеком-операторов

Отметим, что перечисленные нами инструменты не покрывают всех потребностей оператора в условиях наличия мобильной коммерции и других подобных сервисов. Поэтому развитие систем защиты от мошенничества должно идти не просто в ногу со временем, а опережать его. Это позволит не только бороться с известными видами мошенничества, но и обеспечит защищенность компании и ее абонентов от будущих противозаконных схем.

Безусловно, разрозненное управ­­ление перечисленными инструментами не может обеспечить необходимую оперативность выявления фактов мошенничества и потерь доходов. К примеру, выявление точек нелегальной терминации международного трафика наиболее эффективно при анализе косвенных признаков (количество исходящих вызовов, соотношение исходящих и входящих вызовов, число используемых IMEI, базовых станций, процент уникальности В-номеров и др.), но этот механизм частично теряет свою эффективность без поддержки генератора тестовых международных вызовов. Поэтому управление описанными системами, принятие соответствующих мер и составление отчетности (тем более в режиме, приближенном к online) могут проводиться только в рамках комплексного решения, объединяющего в себе перечисленные инструменты.

У FMRA-систем есть и ряд недостатков. Это частое отсутствие возможности работы в режиме online, анализа входящего трафика в скопе всех событий от внешних А-номеров, построения сложной логики для выявления мошенничества в дилерском канале, в ритейл-сегменте и т.д. Конечно, часть недостатков может быть снята в ходе доработок, но увы, фундаментальная архитектура некоторых распространенных и популярных FMRA-систем уже исчерпана и не позволяет отвечать новым требованиям. В ряде случаев стоимость масштабных доработок сопоставима со стоимостью нового решения.

В завершение рассмотрим основные факторы, которые могут негативно повлиять на функцию гарантирования доходов и управления фродом у оператора связи.

Раздробленность функции на несколько подразделений, находящихся в подчинении у разных департаментов, к примеру, противодействие фроду относится к безопасности, а гарантирование доходов – к финансовому департаменту. Получается, что вопросами классического мошенничества (SMS-спам, внутреннее мошенничество, мобильная коммерция и т.п.) занимается безопасность, а выявление потерь доходов и недополученной выручки (нелегальная терминация трафика, выявление искаженных и потерянных данных) курируют грамотные финансисты. С первого взгляда все логично, каждый занимается своим делом, но большинство видов мошенничества и потерь доходов требуют функционирования FMRA как единого целого, зачастую необходимо привлекать и технологические службы.

Сильная вертикаль и обширная иерархическая лестница влекут за собой дополнительные временные затраты на согласование тех или иных действий и документов (служебные записки/приказы), на подготовку отчетности на каждом вертикальном уровне и т.п. В случае формирования единого комплекса борьбы с мошенничеством появится реальная перспектива замены регламентов взаимодействия подразделений на автоматизированные инструменты реагирования. Они повысят эффективность и скорость принятий конпенсационных мер по фактам мошенничества и снизят нагрузку на человеческие ресурсы.

Отсутствие специ­алистов, обслужи­вающих и поддерживающих системы FMRA. Это существенно снижает эффективность работы подразделения FMRA, повышает риск форс-мажорных ситуаций с программно-аппаратным комплексом и увеличивает время, затрачиваемое на устранение неполадок.

Территориальная разрозненность подразделений FMRA. Зачастую существенная удаленность сотрудников подразделения друг от друга негативно влияет на его централизованное управление, оперативность принятия решений, а также на взаимодействие с другими подразделениями. К примеру, если у оператора 2 и более филиалов/дочерних компаний, но при этом круглосуточная дежурная смена находится лишь в одном регионе, это может привести к задержке в принятии решений в отношении инцидентов либо к некорректным действиям (специалисты дежурной смены не всегда могут знать специфику отдельных тарифных планов, услуг или маркетинговых кампаний, относящихся к анализируемому региону).

Отсутствие единой методологии определения схем мошенничества, потерь доходов, расчета KPI по выявленным инцидентам, базы знаний. Например, исторически сложившиеся методологии расчета KPI закрепляются в отдельных, «родных» регионах, это приводит к тому, что каждый регион рассчитывает ущерб, предотвращенные и восстановленные потери различными методами.

Отсутствие единого центра взаимодействия между подразделениями FMRA разных операторов. Подобный центр позволил бы не допускать к работе ранее скомпрометировавших себя сотрудников, включая персонал ритейловых сетей операторов. Не менее важным является обмен черными списками B-номеров, IMEI и т.п.

Влияние со стороны коммерческих подразделений. Возникает извечный вопрос «Что важнее: коммерческая составляющая или безопасность?». К сожалению, у бизнеса всегда есть дополнительная гиря для своей чаши весов в виде прогнозируемой выручки, особенно если планируется ввод нового потенциально опасного тарифа или услуги. Часто слова со стороны FMRA о возможных рисках потерь воспринимаются только по факту их наступления.

В качестве вывода определим верхнеуровневую стратегию создания/модернизации организационной структуры FMRA:

• Объединение функции FMRA в единое подразделение по троичному принципу (ИБ, финансы, технологические компетенции).
• Развитие горизонтальной организационной структуры.
• Развитие технической компетенции.
• Повышение независимости.
• Повышение целостности.
• Систематизированная методология определения инцидентов FMRA, расчета KPI, ведение единой базы знаний.
• Создание Центра взаимодействия между FMRA-подразделениями различных операторов России.
• Модернизация процедур взаимодействия с другими подразделениями.

Что же мы получаем на выходе в случае эффективного и оперативного использования FMRA-систем при наличии качественной организационной структуры? В среднем операторы сотовой связи перестают терять порядка 2–5% от общего оборота. В отдельных случаях уровень потерь может снижаться в 10 раз, это позволяет полностью окупить FMRA-систему в течение 6–12 месяцев.