Фрод попутал телеком
Мошенничество на сетях связи в ущерб операторам с развитием технологической базы набирает обороты. Не отстают и системы защиты от фрода. Тем не менее, на сегодняшний день крупными операторами тратятся десятки миллионов рублей, чтобы сократить потери от действий «телефонных и интернет-воров» со среднестатистических 5-7% до 0,5% в интерпретации тех же числовых данных.
«Фрод» в переводе с английского означает обман, мошенничество, жульничество, подделка. Определение «фрода» в связи также достаточно однозначное: «умышленный несанкционированный доступ к услугам связи, а также получение услуг в режиме неправомочного доступа». «Фрод в связи - это мошенническая, противоправная деятельность, за которую предусмотрена ответственность в соответствие с требованиями российского законодательства», - добавляет ведущий специалист управления по безопасности ОАО «МегаФон» Кирилл Пузырев.
«Формулировка понятия «фрод в связи» может относиться не только к третьим лицам, но и непосредственно к абоненту или оператору связи, - уточняет генеральный директор компании "АЛА Телеком" Наталия Григорьева – Международная ассоциация сотовой телефонии описывает 200 разновидностей фрода. Однако реальное количество вариантов не поддается исчислению и ограничено только фантазией жуликов».
Неумолимая статистика
«По данным международных организаций, специализирующихся на борьбе с мошенничеством в телекоммуникационных сетях, потери операторов связи от мошеннических действий ориентировочно составляют от 3 до 7 % от доходов оператора полученных от продажи услуг связи, - говорит директор по корпоративной безопасности ОАО "Комстар-ОТС" Сергей Бугримов. - Однако в странах Африки эта цифра может достигать 35%». «На последних международных конференциях была озвучена средняя по миру оценка потерь доходов от фрода телекоммуникационными компаниями - 13,6%», - приводит еще более высокие цифры директор департамента безопасности ОАО "СЗТ" Анатолий Мегвинов.
«В мире операторы телефонной связи теряют от различных видов мошенничества 2-6% от своего общего трафика, - приводит свою статистику Кирилл Пузырев. - Операторы сотовой связи несут ежегодные потери на сумму около $25 млрд. К сожалению, в настоящее время заслуживающих доверия статистических данных о фрод-потерях операторов фиксированной и сотовой связи в России нет. Прежде всего, это связано с одной стороны нежеланием операторов афишировать собственные потери, а с другой стороны тем, что далеко не все операторы способны оценить реальный объем своих потерь от фрода». Тем не менее, согласно опубликованным отчетам МГТС, только в Москве ущерб от мошеннической деятельности в сфере связи составляет около $100-200 тыс. в год. «Стоит подчеркнуть, что это очень приблизительные цифры. Количество телефонных мошенников и видов обмана неуклонно растет», - считает г-н Пузырев.
«Ежегодно нами фиксируется порядка 10 случаев фрода, - говорит Сергей Бугримов. - Но за 2009 год их количество резко увеличилось (на сегодняшний день зафиксировано 17 случаев с начала года). При небольшом, казалось бы, количестве случаев, могут иметь место большие финансовые потери, в том числе рост дебиторской задолженности».
«В прошлом году был просто поток обращений от различных компаний и операторов связи, которые пострадали от действий третьих лиц, - говорит Наталия Григорьева. - В основном подключались к IP-телефонии через Интернет, так как операторы, стараясь экономить на «последней миле», подключают абонентов с нарушением всех мыслимых предписаний Россвязьнадзора. Говорят, существует даже черная биржа IP-голосового трафика, какая уж тут безопасность».
Тем не менее, Сергей Бугримов полагает, что цифра «фродовых» потерь российских операторов не превышает 7-9%.
Найди десять отличий
Общераспространены несколько подходов к классификации фрода. «В телекоммуникациях есть несколько десятков видов телефонного мошенничества, но все их, приблизительно, можно разделить на три вида, - предлагает свою классификацию Сергей Бугримов. - Клиентский фрод (взлом клиентских АТС, организация клиентами переговорных пунктов в нарушении договора с оператором); операторский (маскировка международного трафика и его «слив» на сети другого оператора или абонента); внутренний (для компаний это вызовы сотрудников в нерабочее время в МН/МГ направлениях)».
Также фрод можно классифицировать по виду услуг, которые используют мошенники. «В этом случае можно рассматривать роуминговый фрод, GPRS - фрод, фрод с премиум-номерами и т.д.», - приводит пример Кирилл Пузырев. По данным представителя «МегаФона», наиболее распространенными и известными видами фрода являются роуминговое мошенничество (вывоз SIM - карт и генерация трафика из зоны международного роуминга, в том числе и клонированных SIM-карт), организация т.н. GSM-шлюзов, мошенничество с предоставлением контент-услуг, мошенническое оформление контрактов на третьих лиц без их ведома, рассылка спама и др. «Более простыми, но не менее распространенными видами мошенничества является предоставление, так называемых, интернет-услуг по изготовлению «распечаток» звонков абонентов и установлению принадлежности телефонных номеров, SMS-мошенничество и некоторые другие, - добавляет Кирилл Пузырев.
Фрод в различных сферах связи имеет принципиальные структурные и технологические отличия. Например, различия между мобильным и фиксированным фродом, как отмечает Сергей Бугримов, состоят в том, что в мобильной связи распространены виды мошенничества с использованием социальной инженерии. «В случае взлома АТС клиента он несет потери вследствие вмешательства в оборудование без его ведома. А в случае с социальной инженерией клиент сам переводит средства мошенникам», - говорит Сергей Бугримов. Тем не менее, операторы связи не склонны четко разграничивать фрод по сфере деятельности той или иной телекоммуникационной компании, полагая, что это понятие уже давно стало «конвергентным».
«Мошенники не задумываются о разделении связи на фиксированную и мобильную, - полагает руководитель отдела PR и маркетинговых коммуникаций Orange Business Services в России и СНГ Екатерина Цвилева. - Они изучают особенности той и другой сети и используют любые возможности. И на стыках обычно находят больше всего уязвимых мест».
«Комбинация «радио-сканер, компьютер и мобильный телефон» позволяет получить из эфира серийный номер мобильника и звонить от имени чужого аппарата, причем все время их (серийные номера телефонных аппаратов) менять, - приводит пример конвергентного фрода Наталия Григорьева. - Таким образом, найти человека, который реально звонил с номера, не представляется возможным, так как SIM карты дублируются совсем просто. Ну, а фиксированная и сотовая связь сейчас уже рядом, это совсем просто. С домашнего телефона можно звонить на IP-шлюз оператора и дальше погружаться в дебри IP-телефонии, причем, если вы состоянии изменить свой АОН, то есть надежда, что Вас не отловят. Одна из самых больших головных болей операторов и абонентов, это, конечно, роуминг. Счета не всегда быстро доходят, а услуга уже оказана. В целом это достаточно широкая тема. Например, click fraud (клик-фрод, склик) - один из видов сетевого мошенничества: с помощью автоматизированных скриптов или программ имитируется клик пользователя по рекламным объявлениям PPC (плата за клик)». «Технический нюанс конвергентного мошенничества состоит в том, что имеет место большое время транзакции некоторых услуг», - уверен Сергей Бугримов.
«Можно, конечно, классифицировать фрод, но это занятие утомительное, - считает Наталия Григорьева. – Фантазии у мошенников хватает. Например, подсадить вирус соседу в телефон, чтобы он иногда скидывал Вам деньги в виде SMS, изготовить дубликат SIM-карты, использовать подмену IP-адреса или АОН телефона для получения доступа к звонкам по IP-телефонии. Например, если в офисе работает функция приема тонового набора для соединения с внутренним номером абонента или выбора услуг по меню - фактически это открытый доступ к программированию АТС, при котором вы можете в тональном наборе послать деструктивный код. Хоть многие и пытаются фрод классифицировать, это сомнительно. Классифицировать это надо согласно классификации услуг связи закона «О связи» и Уголовному Кодексу РФ».
Схемы действия
Софья Гендлина, менеджер по продаже голосовых услуг Deutsche Telekom\T-Systems, приводит в качестве примера фрода трафик, полученный от нелегальных устройств автоматического дозвона (Illegal Dialler Devices). «Оператор Х или его партнер устанавливает нелегальное устройства автоматического дозвона, которое подключается к компьютерам интернет-пользователей по всему миру и нелегально устанавливают телефонное соединение с номером из кода У во время интернет-сеанса пользователей. Конечно, никакой информации, например, о погоде, пользователю не предоставляется. Он вообще не знает, что соединение установлено, пока не получит счет от своего телефонного провайдера. Далее оператор Х выставляет счет за трафик, который он получил на свой код У, транзитному оператору, от которого получил трафик. Далее по цепочке (в соответствии с тем, как крутился звонок), операторы выставляют друг другу счета на это соединение, пока, в конце концов, местный телефонный оператор не выставит счет конечному абоненту. Если этот трафик будет оплачен участниками этой цепочки (абонент и транзитные операторы), то фрод можно считать успешным», - разводит руками Софья Гендлина.
«В некоторых случаях система оповещения об исчерпании лимита клиента запаздывает в своей работе. Сутки – двое запаздывания уже дает шанс мошенникам. В США на этом телекоммуникационные компании в 2000 году потеряли около $250 тыс.», - говорит Екатерина Цвилева.
По словам Анатолия Мегвинова, их компания чаще всего также сталкивается с нелегальной терминацией трафика. «Причем нелегальная терминация трафика сопряжена и с другими нарушениями, например - подмена номера вызываемого абонента (для маскировки МГ и МН-трафика под местный трафик), - перечисляет Анатолий Мегвинов. - Отмечаются и факты незаконной предпринимательской деятельности со стороны предприимчивых сотрудников учрежденческих АТС, а также отдельные случаи мошенничества со стороны абонентов».
«Мы вводим во все договора со всеми операторами параграф о том, что наша компания и наш партнер оставляют за собой право в любой момент прекратить терминацию трафика на коды, которые используются для звонков с помощью нелегальных устройств автоматического дозвона, и, более того, не будут оплачивать друг другу этот нелегальный трафик, если он все-таки прошел, - поясняет методы своей работы Софья Гендлина. - Идея в том, чтобы все операторы заключили друг с другом такие договора и, соответственно, не платили недобросовестным операторам, открывающим коды для нелегального трафика. Тогда такой фрод станет невыгодным и интернет-пользователи смогут жить спокойно».
«Воруют трафик/минуты мало, поскольку это трудно и не очень прибыльно, - поделился своими знаниями представитель российского рынка разработчиков систем защиты от фрода. - Только если оператор совсем откровенную дыру оставил; да и то только до того, как он узнает и дыру закроет. В основном проблема операторов кроется в атаках типа «Отказ в обслуживании». Очень часто конкуренты (даже политические) проплачивают атаку друг на друга. Это большой бизнес. Иногда это просто вирус от бесплатного любителя. Последний, как правило, стоит существенно дороже для всего мира, чем атака на заказанный ресурс».
Компания «МегаФон» привела свой пример sms-фрода. «Абоненту поступило SMS-сообщение: «Русское радио» поздравляет Вас! Вы стали обладателем одного из трех автомобилей FORD С-MAX. Для предоставления информации свяжитесь по номеру..., - рассказал Кирилл Пузырев. - Абонент перезвонил. Его попросили срочно, в течение 40 минут, оплатить таможенные платежи. Для этого нужно было приобрести карты оплаты «МегаФон» на 9 тысяч рублей и продиктовать секретные коды по телефону «менеджеру». Что абонент и сделал. Потом пришло новое SMS: «Индивидуальный номер призера 58****863. Доставка автомобиля - 6 тысяч рублей». Через некоторое время поступил звонок с номера, который не определился, и абонента попросили еще приобрести карты на сумму 6 тысяч рублей и продиктовать коды (для оплаты доставки автомобиля). Далее абонента «обрадовали», что осталось перечислить еще только 1,5 тысячи рублей на один номер и 350 рублей на другой номер. В общей сложности абонент перечислил на счета мошенников около 17 тысяч рублей. После того, как у абонента в очередной раз попросили денег, он услышал объявление по «Русскому радио» с предупреждением о таком виде мошенничества и обратился с претензией в компанию «МегаФон». По результатам рассмотрения данной претензии были заблокированы номера мошенников и абоненту возвращены деньги, зачисленные на номера «МегаФон».
Защита от фрода
«С 1993 года, когда был зафиксирован и раскрыт первый случай фрода в связи в нашей стране, средства защиты серьезно изменились, - напоминает Екатерина Цвилева. - Основной метод противодействия мошенникам – это анализ трафика. Системы анализа трафика отличаются степенью автоматизации настройки фильтров, глубиной анализа трафика: от простого задания системы пороговых значений и фиксации факта превышения этих порогов до применения методов статистического анализа».
Специалисты различают несколько методик борьбы с фродом с позиций автоматизации процесса. Существуют так называемые ручные методы - идентификация фрода и реагирование на него не автоматизированы полностью или процент ручных работ превышает 80%; могут применяться разовые выборки, полученные из ИТ-подразделений. Следующий «путь» - ИТ-зависимые методы, когда идентификация фрода происходит на основе регулярных специализированных выборок, предоставляемых подразделениями ИТ и позволяющих, тем самым, сократить время, требующееся на выявление фрода, а также увеличить объемы контролируемых потоков данных. Полностью автоматизированные метода предполагают идентификацию и реагирование на фрод исключительно посредством специализированного программно-аппаратного комплекса Fraud Management System.
Сергей Бугримов также отмечает методы борьбы с точки зрения хронологии воздействия на фрод. «Есть реактивные фроды, это мероприятия, направленные на расследование уже состоявшихся фактов фрода. Данный метод позволяет выявлять новые/существенно модифицированные виды фрода, которые невозможно обнаружить/не были обнаружены в результате активных и проактивных мероприятий, - отмечает Сергей Бугримов. – Также существуют активные методы, когда фрод выявляется на ранних стадиях его совершения, а также проактивные (превентивные) методы – комплекс мер, направленных на предотвращение возникновения фрода».
«Ни один оператор не даст исчерпывающего ответа, как он борется с фродом, - уверен Кирилл Пузырев. - Поскольку по смыслу это примерно тоже самое, если спросить у мошенника: когда, каким образом, с помощью чего и т.д. он планирует организовать и провести очередную фрод-акцию... Зная арсенал средств и инструментарий противодействия операторов, злоумышленники отреагируют моментально и эффективно «модернизируют» собственные устремления».
И действительно, в большинстве своем операторы считают, что наработки по борьбе с фродом не должны становиться известны в широких кругах. «Мы не сможем осветить вопросы фрода, направленного на компанию, в том числе инвестиции в технические системы, описание этих технических систем, по той причине, что эта информация конфиденциальна, - пояснили в "Билайне". - Конечно, наша компания сталкивается со случаями мошенничества, которые направлены на нее, и у нас есть специальные системы, процессы и специалисты, занимающиеся этими вопросами. На наш взгляд, раскрытие информации о технических системах можно приравнять к раскрытию наших секретов защиты от мошенников». В МТС также отказались от комментариев по данной теме. «Отследить на программном уровне с высокой степенью достоверности такие вещи достаточно сложно, - уверен директор по продукту «TELE2 Россия» Роман Володин. - Конечно же, проверки проводятся, но, по понятным причинам, их детали и механику мы разглашать не можем».
«Наиболее простой и эффективный способ фрод-контроля – это контрольные наборы, - говорит о своем опыте Анатолий Мегвинов. - Суть способа заключается в том, что на подготовленные тестовые телефоны на сети СЗТ осуществляется серия контрольных наборов. Раньше мы использовали, в основном, междугородние наборы, а с 2009 года с помощью нашего контрагента – московской компании «Инфосистемы Джет», - и международные наборы. Маршрут состоявшегося соединения документируется, анализируется и при оспаривании факта нарушения пропуска трафика или подмены номеров – протоколы контроля передаются в надзорные органы или судебные органы для принуждения оператора к выполнению установленных правил». По данным СЗТ, для осуществления фрод-контроля оператор тестировал у себя комплекс «СОМАП» компании IBS. «С 2006 года для целей фрод-контроля также применяется система «Спайдер», разработанная ЛОНИИС», - добавил Анатолий Мегвинов.
На сегодняшний момент существует множество компаний, которые занимаются разработкой и внедрением специализированных систем для выявления фрода на сети оператора. Участники рынка, говоря о поставщиках Fraud Management Systems, выделяют компании Neural Technologies (система Minotaur), ECTel (система FraudView), HP, Subex (один из ведущих поставщиков). Еще одна популярная система - WatchDog (для небольших операторов). Есть также много узкоспециализированных инструментов, которые используются для борьбы с отдельными видами фрода. Многие операторы используют собственные in-house решения.
«В принципе, системы такого рода похожи друг на друга, так как они собирают одни и те же данные (CDRы), - поясняет Сергей Бугримов. - Однако их классификацию можно проводить так: работа в реальном масштабе времени и работа в режиме реактивном. Также есть деление «чистых» система FMS и комплексных FMS\RA. - В любом случае, оператору просто закупить такую систему мало, любая система всего лишь инструмент, главное уметь играть на инструменте. Обучение специалистов по работе с данной системой приоритетная задача». «Главное для оператора - это умение технологически правильно настроить и адаптировать FMS для решения задач борьбы с фродом», - добавляет Кирилл Пузырев.
«Операторы с потерями денежных средств борются путем внедрения экспертных систем, которые учатся запоминать профиль пользователя и самостоятельно блокировать аккаунт при аномальном поведении (три звонка подряд в Бразилию и т.д.), - говорит Наталия Григорьева. – Тем не менее, по статистике известно, что 98% взлома - это ошибка админа, человеческий фактор».
Цена «анти-фрода»
«Стоимость каждой системы зависит от ее возможностей, функциональности и тестовой эффективности, - перечисляет Кирилл Пузырев. - О масштабах затрат операторов говорить не приходится, поскольку эта информация является строго конфиденциальной и относится к коммерческой тайне каждой компании». Кирилл Пузырев уточнил лишь, что на борьбу с фродом «МегаФоном» расходуются миллионы рублей.
«Прежде всего, инвестиции в комплексы защиты от фрода зависят от потребностей оператора, - считает Сергей Бугримов. - Оператор должен оценить количество обрабатываемой информации (кол-во CDR в сутки, количество сигнальных звеньев и т.д.). Система противодействия мошенничеству является аппаратно-программным комплексом, поэтому, помимо стоимости необходимого оборудования нужно учитывать стоимость лицензий для данного вида деятельности. Стоимость внедрения комплексной системы FMS начинается от $500 тыс. и может достигать $2 млн. Время внедрения от полугода. При выборе системы одним из показателей является ROI. Обычно в течение 6-9 месяцев все инвестиции в систему возвращаются в виде снижения уровня фрода на сети».
«Стоимость внедрения специализированных систем фрод-мониторинга может сильно варьироваться, и составлять от $800 тысяч до $2,5 млн, - называет свои цифры Екатерина Цвилева. - Эта сумма включает стоимость лицензии на программное обеспечение, которая зависит от объема обрабатываемых вызовов в сутки, стоимость внедрения системы, стоимость индивидуальной настройки системы на область риска, что зависит от перечня телефонных услуг компании, стоимость аппаратных средств, необходимых для работы программы, и стоимости сопровождения».
«При ущербе в сотни миллионов рублей вполне оправдана система фрод-контроля стоимостью десятки миллионов рублей», - полагает Анатолий Мегвинов.
На будущее
«В России всего несколько операторов имеют эффективно работающие системы противодействия мошенничеству. Мы немного уступаем Западу по количеству внедрений, но тренд остается высокий, - полагает Сергей Бугримов. - В рамках системы добровольной сертификации в Министерстве связи и массовых коммуникаций РФ существуют требования к системам FMS, что показывает заинтересованность не только самих операторов, но и регулятора в развитии рынка систем FMS». Анатолий Мегвинов все же замечает, что «судя по количеству выявляемых нарушений при осуществлении телефонных вызовов системы фрод-контроля развиты слабо. Нам еще далеко до уровня развитых стран в этом вопросе».
Ряд аналитиков считает, что ситуация с воровством на сетях связи серьезно изменится в ближайшие 2-3 года в связи с уходом в прошлое кредитных карт, когда счета будут привязаны к мобильным телефонам (точнее к SIM картам). И тогда, как полагают игроки рынка, добыча будет куда интереснее мошенникам. Однако в этом случае будут иметь место совсем другие типы мошенничества (как юридически, так и технически). «Насколько, например, мобильная сеть должна быть дороже, чтобы противостоять этому? – задается вопросом представитель одного из операторов. - На вскидку процентов на 25. Сколько точно - никто не знает - мы все туда еще не пришли».