Понятие, классификация и основные виды фрода

11.06.2014
По данным международной ассоциации по противодействию фроду на сетях связи (CFCA) за 2012 год общемировые потери операторов связи от мошеннических действий составили $40,1 млрд. [1].  В среднем потери оператора от мошенников составляют 1,88% годового дохода. Основные риски операторов связи в денежном эквиваленте составили: $4,96 млрд. – взлом АТС, IP-PBX клиентов и VoIP-шлюзов; $4,32 млрд. – кража/взлом учетных данных абонентов; $3,84 млрд. – мошенничество с платными (PRS) номерами; $2,88 млрд. – GSM-шлюзы и фрод на интерконнекте; $2,40 млрд. – мошенничество с кредитными картами.

По данным различных зарубежных источников, уровень потерь от мошеннических действий на сетях может  колебаться в пределах от 1-2% до 12-15% от общего количества разговоров. Иными словами, именно такие финансовые потери несут операторы связи. Аналитики Chorleywood считают, что потери операторов от мошеннических действий могут составить 4-12%, Deloitte & Touche - 2-11%, PriceWaterHouseCoopers - 2-5%, Phillips Group 1-10%. Однако, по мнению всех участников рынка, эти данные могут быть выше в два раза. По оценкам Международного союза по борьбе с мошенничеством на сетях (FIINA) и GSM Fraud Forum - официальных организаций, занимающихся этими проблемами - потери некоторых операторов доходят до 15-25%.

Цифра представляется еще более значительной, если учесть, что чистая операционная прибыль в сфере телекоммуникаций составляет 30–40% от оборота компании. Источников потерь может быть множество: потери и искажения информации при прохождении ее по цепочке «коммутатор – платформа сопряжения – система тарификации – система выставления счетов – система учета платежей», несогласованность информации в различных системах (например, информации о доступности услуг в домашнем регистре (HLR) и биллинговой системе), неэффективная кредитная политика, мошеннические действия со стороны клиентов и партнеров (см. Рисунок 1).

2.1.jpg

Рисунок 1 – Основные источники потерь в телекоммуникационной компании

 

По оценкам экспертов, несмотря на постоянное совершенствование технологий связи, потери от мошенничества в телекоммуникационных компаниях достигают 3–10% от общего оборота. При этом для большинства организаций этот показатель колеблется в пределах 5–7%.

Очевидно, что мошенничество – это риск для компании, т. е. событие неопределенное, как с точки зрения вероятности реализации, так и с точки зрения последствий. Однако это не значит, что мошенничество нельзя прогнозировать и им невозможно управлять. Искусство управления неопределенностями в бизнесе уже давно оформилось в полноценную научную дисциплину – Enterprise Risk Management.

Риск-менеджмент как системная дисциплина изначально возник и развивался в финансовой отрасли и основное внимание уделял специфическим финансовым рискам: кредитным, фондовым, процентным и т.п. Именно в этих направлениях были разработаны и детально исследованы различные качественные и количественные методики оценки рисков. При этом операционные риски, к которым относится и мошенничество, долгое время оставались (и остаются до сих пор) наименее формализованной областью риск-менеджмента. Причина этого в том, что именно на операционном риск-менеджменте сильнее всего отражаются как отраслевая специфика, так и особенности бизнес-процессов каждой конкретной организации. И как следствие, для операционных рисков труднее всего создать общие, систематические методики прогнозирования и управления. Тем не менее в последние годы ситуация меняется и появляется все больше отраслевых стандартов управления операционными рисками (например, рисками информационной безопасности). Применимы некоторые общие подходы риск-менеджмента и к управлению рисками телекоммуникационного фрода [2].

В соответствии с рекомендациями международного стандарта ISO 31000:2009 Risk management -- Principles and guidelines неотъемлемой составляющей общего процесса управления рисками организации является оценка рисков (риск-аудит) (см. Рисунок 2).

 

2.2.jpg

Рисунок 2 – Процесс риск-менеджмента

 

Без представления о том, какие риски существуют в организации, какова вероятность их возникновения и последствия их реализации, невозможно принимать обоснованные решения по созданию инструментов предотвращения, выявления и реагирования на возникающие угрозы. Поскольку любая организация «живет» в условиях постоянных изменений – с технологических, рыночных, законодательных, то процесс риск-менеджмента должен быть итеративным – с установленной периодичностью должны проводиться переоценка ранее идентифицированных рисков, идентификация и оценка новых, проверка эффективности существующих систем контроля и т.д. Разумеется, эти требования относятся и к рискам телекоммуникационного фрода. Источник рисков фрода – человек. А значит, никакая угроза не сравнится с фрод-рисками по разнообразию, изобретательности и быстроте адаптации к любым предпринимаемым контрмерам.

Первым этапом процесса риск-менеджмента является «создание контекста», т. е. определение его целей и задач, границ, ответственных, критериев оценки эффективности и т.п. Применительно к телеком-фроду важный шаг на этом этапе –  определение, что же такое риски телекоммуникационного фрода и каково их место в общей системе рисков предприятия связи.

Фрод – это риск операционный. Соглашение Basel II Базельского комитета по банковскому надзору определяет операционный риск как «риск потерь, связанных с неадекватными или неудачными внутренними процессами, системами или человеческими ошибками либо с внешними событиями». Там же была предложена и классификация событий, вызвавших убыток (Таблица 1). На первом уровне этой классификации выделяются типы событий (в частности, внутреннее и внешнее мошенничество), на втором – события, относящиеся к каждому из типов (например, неразрешенная деятельность, воровство и мошенничество – для внутреннего мошенничества; нарушение безопасности систем и опять же воровство и мошенничество – для внешнего мошенничества), а на третьем уровне приводятся примеры видов деятельности для каждой из выделенных категорий (операции, намеренно не отраженные в отчетности; неразрешенные операции, повлекшие за собой денежные убытки; намеренно неправильная оценка позиции и т.д.) [2].

Таблица 1 – Классификация событий, вызвавших убыток (согласно Basel II)

Категория типа событий

(1-й уровень)

Определение

Категории

(2 уровень)

Примеры видов деятельности

(3 уровень)

Внутреннее мошенничество

Убытки вследствие действий с намерением осуществить мошенничество, присвоить имущество или обойти нормативные акты, законодательство или политику компаний, исключая случаи дискриминации, с участием, как минимум, одной внутренней стороны.

Неразрешённая деятельность

Не отражённые в отчётности операции (намеренно)

Неразрешённые типы операций (повлекшие за собой денежные убытки)

Неправильная оценка позиции (намеренно)

Воровство и мошенничество

Мошенничество, кредитное мошенничество, депозиты без стоимости

Воровство, вымогательство, хищения, грабёж

Присвоение активов

Умышленное уничтожение активов

Подделка

Выписывание необеспеченных чеков

Контрабанда

Присвоение чужих счетов/использование чужих документов и т.д.

Преднамеренное несоблюдение налогового законодательства или уклонение от налогов

Взятки/«откаты»

Инсайдерский трейдинг (не за счёт фирмы)

Внешнее мошенничество

Убытки вследствие намерения совершить мошенничество, похитить имущество или нарушить законодательство с участием третьей стороны

Воровство и мошенничество

Воровство, грабёж

Подделка

Выписывание необеспеченных чеков

Безопасность систем

Хакерство

Кража информации, повлёкшая за собой денежные убытки

 

В основном, «Базель» разработан для институтов банковской отрасли, и классификация операционных рисков строилась, исходя именно из финансовой отраслевой специфики. Тем не менее, основные подходы данной классификации (деление фрода на внутренний и внешний, например) могут быть применены и в телекоммуникациях.

Другой не менее авторитетный источник – компания PriceWaterhouseCoopers – в своем исследовании The Global Economic Crime Survey прибегает к более общей классификации фрода и выделяет следующие основные типы мошенничества: незаконное использование активов (материальных и нематериальных), манипуляции с финансовой отчетностью, взятки и коррупция, посягательство на интеллектуальную собственность, отмывание денег и т.д.

Очевидно, что телеком-фрод в общепринятом на данный момент смысле – это угроза, направленная на услугу связи, являющуюся нематериальным активом оператора. Объект атаки телеком-фродстеров – телекоммуникационная услуга как целое, включающее в себя весь комплекс ресурсов и процессов, обеспечивающих полный цикл предоставления услуги - от момента ее потребления пользователем до оплаты им счета за нее.

Исходя из всего этого, определяются риски телеком-фрода как риски потерь компании, связанные с преднамеренным незаконным использованием телекоммуникационных услуг, предоставляемых или получаемых компанией.

Идентификация рисков – это творческий этап, ибо, как уже говорилось, специфичность набора операционных рисков для каждой отрасли исключительно высока. Именно поэтому стандарты и подходы к управлению этими рисками развивались до сих пор независимо друг от друга, что привело к возникновению отдельных отраслевых стандартов управления рисками (например, ISO 27000 как отраслевой стандарт управления рисками информационной безопасности). К сожалению, для телеком-фрода нормативных документов такого рода пока нет, поэтому каждый оператор сам определяет для себя перечень контролируемых фрод-рисков. В большинстве случаев основной способ идентификации телеком-рисков – это экспертные методы, основанные на уже имеющихся знаниях специалистов по фрод-менеджменту о возможных видах фрода. Их недостаток –  неформализованность, неструктурированность и несистематичность. Кроме того, их эффективность зависит от знаний и опыта задействованных специалистов. Тем не менее, эти недостатки зачастую перевешиваются достоинствами, а именно легкостью в применении и организации процесса аудита, высокой убедительностью идентифицированных рисков (поскольку, как уже говорилось, они основываются либо на собственном опыте компании, либо на информации из СМИ, отраслевой литературы и т.д.). Поэтому целый ряд таких техник включен в международный стандарт риск-аудита ISO 31010:2009, некоторые из них:

  • Brainstorming. Хорошо всем известный «мозговой штурм». Часто так называют вообще любую групповую дискуссию, хотя «правильный» брейнсторминг подразумевает достаточно высокую формализацию и регламентированность процесса. Применительно к анализу телекоммуникационных фрод-рисков мозговой штурм должен проводиться с участием представителей всех подразделений компании, вовлеченных в процесс предоставления услуг. Результатом является сгенерированный «коллективным разумом» перечень возможных схем телекоммуникационного мошенничества, подлежащий дальнейшему, более детальному анализу.
  • Structured interview. По сути, «индивидуальный» вариант мозгового штурма, направленный на сбор в процессе интервьюирования сотрудников различных структурных подразделений оператора максимального объема информации о возможностях для реализации фрод-рисков. Подразумевает заранее подготовленный перечень вопросов, однако не ограничивается только ответами на них.
  • Check-list. Представляет собой простую расстановку галочек «возможно/невозможно» в заранее составленном списке фрод-рисков. Источником для такого чек-листа могут являться данные о выявленных ранее фактах фрода в компании, экспертные знания специалистов операторов связи, информация из СМИ и т.п.

Наряду с вышеописанными подходами к идентификации рисков в риск-менеджменте широко используются более формализованные, систематические методы анализа. Они опираются на четкую классификацию возможных потерь, позволяя получить в упорядоченном виде набор гипотез о возможных фрод-рисках, являющийся базой для дальнейшего анализа и оценки. Безусловно, данные методы также требуют глубоких экспертных познаний специалистов, выполняющих фрод-риск-аудит, примеры таких методик:

  • Анализ дерева отказов (Fault Tree Analysis, FTA). Методика была разработана для промышленности и сейчас широко используется для прогнозирования инцидентов и оценки отказоустойчивости инженерных систем. Однако в последнее время она все чаще применяется как эффективный инструмент идентификации и оценки любых рисков, в том числе связанных с нарушениями выполнения процессов, ошибок и преднамеренных действий человека и т.д. В основе методики FTA лежит определение потенциального нежелательного события («топ-риска») и затем – пошаговая идентификация тех факторов, событий, которые могут привести к топ-риску, их последовательности и логических взаимосвязей между ними.
  • Анализ характера и последствий отказов (Failure modes and effects analysis, FMEA). В отличие от FTA данный метод использует индуктивный подход к идентификации рисков, а именно предполагает движение в рассуждениях от возможных элементарных событий, возникающих в системе или при осуществлении процесса, к итоговому (обычно неблагоприятному) результату. Применительно к идентификации телекоммуникационных фрод-рисков, метод FMEA подразумевает детальное описание всего процесса предоставления услуги (описание всех участников и элементарных шагов процесса; задействованных информационных и технических ресурсов, а также входящих и исходящих данных для каждого процесса) [2].

В 1999 г. Филом Госсетом и Марком Хайлендом была сделана попытка классификации и выделены 6 основных видов мошенничества:

  • Мошеннический доступ (access fraud) – несанкционированное использование услуг связи путем перепрограммирования серийных или идентификационных номеров сотовых телефонов.

  • Мошенничество с украденным телефоном (stolen fraud) – использование украденного или потерянного телефона.

  • Контрактное мошенничество (subscription fraud) – преднамеренное указание неверных данных при заключении контракта или невыполнение абонентом контрактных условий оплаты. В этом случае нарушитель с самого начала не планирует платить за услуги или же в какой-то момент времени отказывается от их отплаты.

  • Хакерское мошенничество (hacking fraud) – проникновение в компьютерную систему безопасности для удаления механизмов защиты или переконфигурирования системы с целью несанкционированного использования сети.

  • Техническое мошенничество (technical fraud) – неправомочное изготовление (клонирование) телефонных трубок или платежных телефонных карточек с фальшивыми идентификаторами абонентов, номеров и платежных отметок, а также внутрикорпоративное техническое мошенничество. В последнем случае мошенник получает возможность пользования услугами связи по сниженной цене за счет незаконного доступа к корпоративной системе. При осторожном использовании этот способ мошенничества наиболее сложен для обнаружения.

  • Процедурное мошенничество (procedural fraud) – неправомочное вмешательство в бизнес-процедуры (например, биллинг) с целью уменьшения оплаты услуг связи.

Позднее эта классификация была упрощена, и все способы были объединены в 4 группы: контрактное мошенничество, хакерское мошенничество, техническое мошенничество и процедурное мошенничество [3].

Для идентификации мошенничества важно определить его источники, от которых исходит угроза. В настоящее время насчитывается более 50 различных приемов хищений на сетях связи. К основным видам мошенничества относятся:

  • абонентское – со стороны пользователей услуг;
  • операторское – со стороны смежных операторов;
  • внутреннее – со стороны сотрудников компании.

Абонентское мошенничество.  К наиболее распространенным в России проявлениям действий злоумышленников-пользователей относятся:

  • имитация сигнализации, с применением специализированных устройств, позволяющих осуществлять неоплачиваемые абонентом междугородные/международные вызовы и вызовы с таксофонов;
  • физическое подключение к чужой телефонной линии;
  • организация нелегального переговорного пункта через взломанную АТС, возможно, с использованием сервиса DISA (Direct Inward System Access) или порта технического обслуживания. Обслуживающий персонал зачастую забывает установить пароль на выход в город через DISA или устанавливает очень простой, который легко подбирается злоумышленником;
  • кардинг – эмуляция таксофонных карт или незаконные действия с предоплаченными картами, например пополнение счета карты обманным путем;
  • заведомый отказ от оплаты за переговоры. Возможен в том случае, если оператор связи предоставляет услуги связи в кредит. Наиболее подвержены такому виду мошенничества операторы сетей подвижной связи, оказывающие услуги роуминга, когда биллинговая информация о вызовах от одного оператора к другому передается с задержкой;
  • клонирование SIM-карт, телефонных трубок, позволяющее мошенникам совершать бесплатные вызовы в любых направлениях, так как счет за предоставленные услуги связи придет законному владельцу SIM-карты;
  • использование сотового телефона в качестве «переговорного пункта». Нелегальные переговорные пункты устанавливаются там, где есть спрос на услуги связи: на рынках, вокзалах, в общежитиях, и других местах локации массы людей. Принцип организации подобного вида мошенничества сводится к следующему: приобретаются десятки SIM-карт на найденный паспорт, тарифы выбираются таким образом, чтобы можно было уходить в долг. Далее за символическую плату мобильный телефон предоставляется желающим позвонить, пока на счету не образуется большой долг, и она не заблокируется оператором связи. Оплачивать долги, конечно, никто не собирается, да и найти таких «должников» практически невозможно;
  • сотовые мосты как один из вариантов паразитирования мошенника с использованием безлимитных тарифов нескольких операторов связи.

Операторское мошенничество. Операторское мошенничество часто выражается в создании весьма хитроумных схем обмена трафиком на сетях связи, эксплуатирующих недостатки текущей конфигурации сетевого оборудования и спорные моменты межоператорских соглашений. Можно привести следующие примеры операторского мошенничества:

  • Умышленное искажение адресной информации. В этом виде мошенничества недобросовестный оператор конфигурирует свой коммутатор для осуществления международных вызовов через не подозревающего об этом оператора. «Благодаря» недостаткам в конфигурации коммутационного оборудования пострадавшая сторона даже не будет подозревать о том, что вызовы являются международными. В результате недобросовестный оператор выставляет клиенту счет за международное соединение, однако сам платит только за междугородный или местный вызов. С другой стороны, пострадавшему оператору приходится платить по международным тарифам, получая заметно меньшую плату от оператора-мошенника. Общая схема такого подхода: коммутатор настраивается таким образом, что к набранному номеру добавляется код своего города или страны; когда этот вызов попадает в транзитную сеть, коммутатор транзитной сети отсекает добавочный код как лишний; с транзитной сети вызов адресуется согласно набранному номеру, как правило, в международном направлении.
  • Многократный возврат вызовов. «Зацикливание» звонков, или call looping обычно наблюдается при различиях в тарифах операторов на передачу вызовов между ними. В этом случае недобросовестный оператор направляет полученный вызов обратно оператору, из сети которого он исходит, но через сеть третьего оператора. В результате звонок возвращается недобросовестному оператору, который может отправить его по этой цепочке еще раз. Таким образом, вызов «зацикливается», т.е. многократно проходит через сеть одного и того же оператора- «жертвы». За счет срабатывания подобной схемы недобросовестный оператор может положить в свой карман приличную сумму.
  • «Приземление» трафика. Данный вид мошенничества также называется туннелированием и происходит, когда недобросовестный оператор доставляет свой клиентский трафик в сеть «жертвы» через сети VoIP. Для этого в сети оператора, терминирующего вызовы, на правах УПАТС устанавливается шлюз IP-телефонии. Выигрыш, получаемый от реализации такого рода мошенничества, базируется на варьировании стоимости входящего и исходящего трафиков. В результате недобросовестный оператор может существенно сэкономить свои денежные ресурсы.
  • Увод трафика. Заключается в создании ряда схем, связанных с нелегальным предоставлением услуг связи по более низким тарифам. Например, два недобросовестных оператора, один из которых не имеет лицензии на предоставление заявленных им услуг связи, заключают между собой соглашение с целью получения дополнительной прибыли. В соглашении оговаривается, что оператор, не имеющий лицензии, будет использовать сеть связи партнера-оператора в качестве транзитной для пропуска своего трафика и вливания его на сеть третьего оператора-«жертвы». В итоге через сеть ничего не подозревающего третьего оператора будет проходить трафик от двух операторов, а оплачиваться будет только часть трафика, пропускаемого согласно межоператорскому договору. То есть, налицо факт упущенной выгоды.

Внутреннее мошенничество. Это действия со стороны сотрудников предприятия связи, носящие корыстный или злонамеренный характер и приводящие к хищениям трафика. В первом случае сотрудник пользуется своим служебным положением в интересах получения дополнительной прибыли, во втором – в результате конфликта с руководством или коллективом компании сотрудник умышленно наносит ущерб организации, изменяя настройки в системы управления ресурсами сети связи. В конечном счете, каковы бы ни были мотивы злонамеренных действий сотрудника, компания может понести большие убытки. Рассмотрим некоторые из способов злонамеренных действий со стороны сотрудников компании:

  • Сокрытие части тарификационной информации на коммутационном оборудовании. Обычно коммутаторы имеют несколько устройств, получающих служебную информацию, в том числе сведения о вызовах (CDR). Коммутационное оборудование можно настроить таким образом, что для части маршрутов информация о предоставленных услугах не будет регистрироваться либо станет выводиться на незадействованный порт ввода/вывода. Такие действия чрезвычайно сложно обнаруживать, даже при анализе данных биллинговой системы, так как первичная информация о соединениях в нее не поступает. Кроме того, подобные ситуации могут быть объяснены как ошибка в настройке оборудовании.
  • Сокрытие части тарификационной информации на оборудовании биллинговых систем. Биллинговые системы также могут быть подвержены действиям злоумышленника с целью прекращения регистрации или тарификации определенного объема записей о предоставленных услугах, которые успешно создаются коммутационным оборудованием.
  • Ошибки в работе систем маршрутизации вызовов. Формально указанные ситуации не относятся к фактам мошенничества, однако операторы телефонной связи терпят убытки и из-за ошибок конфигурации и нарушений в работе систем LCR (Least Cost Routing). В сети оператора для каждого направления существует не менее двух маршрутов распределения трафика. Системы LCR отвечают за то, чтобы для каждого нового вызова был выбран оптимальный маршрут. Помимо несоблюдения критериев качества для различного трафика, который может быть ошибочно пущен по некорректному направлению, наиболее существенные убытки приносит неверное определение стоимости терминации. В этом случае трафик может быть отправлен по направлению, стоимость распределения на котором превышает стоимость вызова для абонента.

Как правило, мошенники в своей деятельности используют не один, а несколько способов, поэтому для борьбы с мошенничеством, как правило, используется комплексный подход [4].

В настоящее время многие специалисты сходятся во мнении, что невозможно составить исчерпывающий список всех существующих видов телекоммуникационного фрода. С одной стороны, постоянно возникают новые услуги, новые технологии и, как следствие, новые виды фрода. С другой стороны, телекоммуникационное мошенничество, в отличие от традиционных угроз информационной безопасности, весьма «оператороспецифично». Оно слишком сильно завязано на конкретные реализации тех или иных услуг у определенного оператора, на его системы, его процессы и т. д. Поэтому помимо общих проблем фрода, у каждой телекоммуникационной компании будет свой специфический набор фродовых схем, присущих только ей.

Оператору в первую очередь необходима классификация видов мошенничества, которая помогла бы ему упорядочить деятельность по борьбе с фродом в своих сетях.

В настоящее время существуют различные классификации телеком-фрода. Обычно в их основе лежит деление фрода по функциональным областям – роуминговый фрод, транзитный фрод, VoIP-фрод, SMS-фрод, PRS-фрод. Кроме того, в отдельные группы часто выделяют внутренний фрод и subscription-фрод. Практическая ценность таких классификаций неоднозначна. С одной стороны, некоторые комбинированные виды фрода трудно отнести к определенной категории в такой классификации. Например, smishing – использование SMS-рассылок с целью обманным путем вынудить абонентов сделать звонок на PRS-номер. Куда это отнести – к SMS-фроду или PRS? Или несанкционированная перемаршрутизация транзитного трафика злонамеренным сотрудником – что это внутренний фрод или транзитный?

С другой стороны, такая классификация никак не облегчает оператору задачу развития у себя функции противодействия мошенничеству. Например, понятие «транзитный фрод» включает в себя большое количество мошеннических схем, которые, хотя и связаны с одной услугой – транзит трафика, тем не менее выявляются с помощью абсолютно разных методов и инструментов.

Поэтому, при планировании своей деятельности по развитию функции фрод-менеджмента, операторам связи рекомендуется воспользоваться типологизацией фродовых схем на основе методов их выявления, детектирования. Такая классификация представляет собой законченный, ограниченный набор классов фрода. Каждая вновь возникающая, в том числе уникальная для данного оператора, фродовая схема может быть отнесена к одному из этих классов в зависимости от того, какой метод можно использовать для ее детектирования.

В качестве отправной точки для такой классификации служит представление о любой фрод-схеме, как о сочетании двух составляющих. Первая из них: так называемое «предфродовое состояние». Это некая ситуация, сочетание условий, создавшееся в настройках систем оператора, в его бизнес-процессах, которое делает возможным реализацию той или иной фродулентной схемы. Например, такой вид фрода как «фантомные абоненты». Это абоненты (или интерконнект-партнеры, или контент-провайдеры, т. е. кто-то, кто является пользователем услуг оператора связи), которые получили технологический доступ к услугам связи, но при этом не зарегистрированы в биллинговой системе. Это и есть предфродовое состояние – наличие рассинхронизации данных между сетевыми элементами и системами учета [4]. Это еще не сам фрод, но теперь он легко может осуществиться – клиент воспользуется услугами, которые могут быть не оплачены. Принципы детектирования предфродового состояния показаны на Рисунке 3.

2.3.jpg

Рисунок 3 - Принципы детектирования предфродового состояния 

Вторая составляющая – «фродовое событие». Это то действие, ради которого и организована фродовая схема. В случае фантомных абонентов фродовым действием будет звонок, SMS, передача данных, транзит трафика, совершенные этим самым абонентом и неоплаченные вследствие его отсутствия в биллинговой системе. Не всегда особое предфродовое состояние необходимо. Многие фродовые схемы не требуют никаких специфических ситуаций в системах и процессах оператора. Например, SMS-спам или клонирование SIM-карт, или всевозможные мошенничества с использованием социальной инженерии (fishing, vishing, smishing). Для того чтобы осуществить эти мошеннические действия, необходимо просто наличие оператора связи как такового и наличие у него необходимой телекоммуникационной услуги.

Переадресация вызовов дальней связи на собственные каналы PRS, как правило — развернутые в других странах, позволяет мошенникам получать за счет оператора, из сети которого поступил вызов, внешне законную прибыль. Действительно, к поставщику дорогостоящей услуги деньги поступают от этого оператора независимо от того, оплатил абонент данную услугу или нет. Именно таким образом хакерская фирма, переводившая вызовы из Англии в собственные каналы в Израиле, в течение месяца «выкачала» из одного британского оператора 750 тыс. долларов [5].

 Простейшая схема переадресации услуг на линии PRS подразумевает участие сотрудников компании-жертвы. Например, в конце рабочего дня такой сотрудник дозванивается с определенных офисных телефонов до фирмы, предоставляющей услуги PRS, и оставляет аппарат в состоянии соединения на всю ночь. Работники, приходящие в офис утром, видят, что трубка одного телефонного аппарата (или нескольких) положена неаккуратно. Первое, что им приходит в голову: ее по неосторожности задел кто-то из технического персонала, производя уборку помещений по окончании рабочего дня.

В настоящее время активно развивается мошенничество в сотовых сетях, от которого страдают не только пользователи мобильной связи, но и сами операторы несут ощутимые убытки. Механизмы обмана в сети становятся все более изощренными, и один из них – это техническое мошенничество (technical fraud). Злоумышленники получают несанкционированный доступ к сетям сигнализации и осуществляют массовые рассылки сообщений либо абонентам оператора, либо абонентам других сетей, используя взломанную сеть в качестве транзитной.

Технический фрод порождает целый ряд проблем. Во-первых, вместо законного и контролируемого подключения рассылки осуществляются непонятными устройствами, при этом их содержимое невозможно модерировать. Во-вторых, вместе с убытками от неоплачиваемых рассылок возрастают прямые расходы оператора на эксплуатацию и расширение сети в связи с возросшей загрузкой сетевых устройств за счет нелегального сигнального трафика. Кроме того, при подобных рассылках между операторами могут возникать сложности при проведении взаиморасчетов, так как никто не хочет брать на себя оплату пиратского трафика; возможны даже политические проблемы, когда абонентам одной страны рассылают незаконные сообщения через другую страну. И последнее – снижается уровень лояльности клиентов, которые все чаще отказываются от новых услуг и даже от законных рассылок, имея негативный опыт получения спама в сети своего оператора.

Проблема настолько серьезна, что Ассоциация GSM выпустила ряд документов, в которых определяется понятие технического SMS-фрода, а также даются рекомендации по способам его детектирования (IR71, AA050).

Пример фрода – трафик, полученный от нелегальных устройств автоматического дозвона (Illegal Dialler Devices). Оператор Х или его партнер устанавливает нелегальное устройство автоматического дозвона, которое подключается к компьютерам интернет-пользователей по всему миру и нелегально устанавливает телефонное соединение с номером из кода У во время интернет-сеанса пользователей. Конечно, никакой информации, например, о погоде, пользователю не предоставляется. Он вообще не знает, что соединение установлено, пока не получит счет от своего телефонного провайдера. Далее оператор Х выставляет счет за трафик, который он получил на свой код У, транзитному оператору, от которого получил трафик. Далее по цепочке (в соответствии с тем, как крутился звонок), операторы выставляют друг другу счета на это соединение, пока, в конце концов, местный телефонный оператор не выставит счет конечному абоненту. Если этот трафик будет оплачен участниками этой цепочки (абонент и транзитные операторы), то фрод можно считать успешным.

Фрод в различных сферах связи имеет принципиальные структурные и технологические отличия. Например, различия между мобильным и фиксированным фродом состоят в том, что в мобильной связи распространены виды мошенничества с использованием социальной инженерии. В случае взлома АТС клиента он несет потери вследствие вмешательства в оборудование без его ведома. А в случае с социальной инженерией клиент сам переводит средства мошенникам. Тем не менее, операторы связи не склонны четко разграничивать фрод по сфере деятельности той или иной телекоммуникационной компании, полагая, что это понятие уже давно стало «конвергентным».

 Мошенники не задумываются о разделении связи на фиксированную и мобильную. Они изучают особенности той и другой сети и используют любые возможности. И на стыках обычно находят  больше всего уязвимых мест.

 Комбинация радио-сканер, компьютер и мобильный телефон позволяет получить из эфира серийный номер мобильного телефона и звонить от имени чужого аппарата, причем все время их (серийные номера телефонных аппаратов) менять. Таким образом, найти человека, который реально звонил с номера, не представляется возможным, так как SIM карты дублируются совсем просто. Ну, а фиксированная и сотовая связь сейчас, с использованием конвергентных сетей, используются мошенниками в равной степени. С домашнего телефона можно звонить на IP-шлюз оператора и дальше использовать IP-телефонию, причем, если мошенник в состоянии изменить свой АОН, то есть надежда, что его не отловят. Одна из самых больших головных болей операторов и абонентов, это, конечно, роуминг. Счета не всегда быстро доходят, а услуга уже оказана. Например, click fraud (клик-фрод, склик) – один из видов сетевого мошенничества: с помощью автоматизированных скриптов или программ имитируется клик пользователя по рекламным объявлениям PPC (плата за клик). Технический нюанс конвергентного мошенничества состоит в том, что имеет место большое время транзакции некоторых услуг.

Кроме того, потенциальные уязвимости несёт сама операционная система, установленная на устройстве пользователя. Например, на множество современных мобильных телефонов устанавливается операционная система Android. Более 50% мобильных устройств под управлением ОС Android имеют серьёзные уязвимости. Аналитики фирмы Duo Security выпустили специально для Android приложение X-Ray, которое осуществляет оценку уязвимостей в каждом конкретном устройстве под управлением мобильной ОС Google. X-Ray отыскивает системные уязвимости — известные, но так и не закрытые, — которые позволяют потенциальному злоумышленнику перехватить контроль над системой [6].

Специалисты Duo Security отмечают, что поскольку телеком-операторы «проявляют чрезвычайный консерватизм», то есть не спешат публиковать обновления для устранения брешей в прошивках сотовых телефонов и других устройств, уязвимости сохраняются месяцами, а то и годами. За этим «консерватизмом» скрывается коммерческий расчёт: производители разношёрстных устройств на базе Android предпочитают, чтобы пользователи покупали их новые разработки — аппаратные разработки, а не скачивали новые прошивки для старых мобильных устройств.

У пользователей, однако, несколько иные интересы: они не хотят покупать новые мобильные телефоны, пока не устареют старые. Вследствие этого — из 500 млн. активированных в мире устройств под Android около 57,2% до сих пор приходятся на версию 2.3 Gingerbread (актуальной считается версия 4.1).

С момента запуска приложения были получены данные о 20 тысячах устройствах под управлением Android по всему миру. Исходя из этих предварительных результатов, Duo Security сделало вывод, что более половины всех устройств на Android в мире имеют бреши, которые могут быть использованы вредоносным ПО или злоумышленниками.

Не лучше дела обстоят и с другой популярной операционной системой – IOS. Хотя подобные масштабные исследования безопасности для этой ОС не проводились, большинство специалистов считает, что из-за несвоевременного обновления прошивок мобильных устройств на базе IOS имеющиеся бреши также могут быть использованы мошенниками для осуществления фрода.

Список использованной литературы:

  1. Отчёт «2011 Global Fraud Loss Survey», Communications Fraud Control Association (CFCA)

  2. «Фрод-риски операторов связи». По материалам с сайта www.iks-media.ru

  3. Журнал «Connect! Мир связи», №5, 2007

  4. Материалы с сайта www.netfraud.ru

  5. Материалы с сайта www.phreaking.ru

  6. Материалы с сайта www.computerra.ru



Читайте также:




Возврат к списку