— Слыхали? В Москве-то скоро повременку введут.

— А нам-то что?

Из разговора пассажиров троллейбуса

Этой теме посвящены тысячи публикаций, а отдельные акции хакеров получают, без преувеличения, мировой резонанс. Проблемы информационной безопасности волнуют и корпоративных, и индивидуальных пользователей, а названия продуктов, помогающих ее обеспечить, у российской компьютерной общественности, что называется, на слуху.

С телефонными сетями дело пока обстоит иначе. По разнообразию методов мошенничества и их изощренности телекоммуникационная отрасль ничуть не отстает от компьютерной, а связанные с такими действиями годовые убытки здесь давно уже измеряются десятками миллиардов долларов. На рынке предлагаются более двадцати систем обнаружения мошенничества, однако не сказать, чтобы они пользовались особым спросом, причем не только у корпоративных клиентов, располагающих широким арсеналом коммуникационных средств, но даже у операторов фиксированной и мобильной связи.

Хочется надеяться, что подавляющее большинство наших читателей не ощутило последствий телефонного мошенничества «на собственной шкуре». Простейшая (хотя далеко не самая безобидная) ситуация сводится к следующему: в один прекрасный день абонент мобильного телефона получает счет на несколько сотен долларов за услуги роуминга, хотя он вот уже полгода никуда не выезжал из родного города. Небольшая вариация на ту же тему: владельцу домашнего телефона предстоит выложить кругленькую сумму за междугородные переговоры со страной, название которой и в газетах-то можно встретить от силы два раза в год.

Как поступить? Послушно оплатить неоказанные услуги? Но такое решение весьма чувствительно для личного бюджета. Отказаться платить? Тогда придется долго препираться с оператором, доказывая, что ты не верблюд. Куда ни кинь — всюду клин, и победителем может оказаться разве что тот мошенник, действия которого стали причиной конфликта.

Кругом одни убытки

Телефонные мошенники пробивают огромные бреши в бюджетах операторов. По оценкам экспертов, размер потерь составляет 3—5% общей суммы доходов, причем данный показатель особенно высок у молодых поставщиков телекоммуникационных услуг и операторов сотовой связи, а ниже всего он у традиционных операторов фиксированной связи. Согласно сведениям, опубликованным в журнале Mobile Europe, в прошлом году убытки от телефонного мошенничества по всему миру превысили 13 млрд долл., а в 2003 г. они достигнут уже 28 млрд долл.

Размер ущерба в каждом конкретном случае зависит от характера деятельности оператора и продолжительности его присутствия на рынке, от территории, на которой предоставляются услуги, и, конечно же, от эффективности применяемых средств защиты. Несмотря на то что компании не любят афишировать свои потери, особенно за последние год-два, некоторые данные все же просочились в открытые источники. Так, в 1997 г. бразильский оператор Telebras потерял «благодаря» злоумышленникам 10% совокупного дохода, а фирма IUSA Cell, предоставляющая услуги сотовой связи в Мехико и его окрестностях, по той же причине недосчиталась 4% дохода. В абсолютном выражении эти цифры выглядят весьма внушительно. Например, одна крупная европейская компания сообщила, что ее ежегодные убытки, связанные с действиями телефонных пиратов, превышают 300 млн долл.

Порой мошенник ведет себя «по-рыцарски», причиняя ущерб, составляющий всего несколько сотен долларов в месяц. В других случаях в течение считанных дней потери оператора могут достичь сотен тысяч и даже миллионов долларов, что для некоторых компаний эквивалентно 0,5—1% от годового оборота.

Для многих операторов местной связи настоящим бичом стали пиратские междугородные переговоры и иные услуги, связанные с выходом в другие сети. Суммы, которые такой оператор должен заплатить владельцу глобальных магистральных каналов, не покрываются никаким доходом и должны быть удержаны непосредственно из прибыли. В настоящее время рентабельность типичной телекоммуникационной компании, исчисленная до уплаты налогов, составляет 15%. Крупные мошеннические акции, направленные против молодого оператора, способны свести его прибыль на нет, а у традиционного поставщика уменьшить ее процентов на тридцать.

Кроме того, нанесенный урон не всегда можно выразить в количественных показателях. Высокая уязвимость сети для телефонных пиратов самым отрицательным образом сказывается на маркетинговой политике. В частности, именно боязнь мошенничества удерживает многих операторов от внедрения ряда современных услуг (вроде переадресации факсимильных или голосовых сообщений на указанный клиентом номер), хотя технические возможности для этого имеются.

Негативные последствия можно наблюдать и в сфере взаимоотношений с клиентами. Получив счет на явно завышенную сумму, абонент вынужден доказывать свою непричастность к якобы предоставленным ему услугам. Даже отстояв свою правоту, он, как правило, теряет доверие к поставщику услуг, а значит, в самое ближайшее время может перейти на обслуживание в конкурирующую фирму.

Не стоит упускать из виду и реакцию акционеров компании и инвесторов. Для крупных операторов потери, связанные с мошенничеством, приводят к уменьшению дивидендов, выплачиваемых на каждую акцию, и к снижению рыночной капитализации. У молодых операторов они обуславливают увеличение сроков окупаемости первоначальных вложений, а соответственно, откладывается получение прибыли, которая является для инвесторов ключевым показателем «успешности» компании. Да и вообще беспомощность начинающего оператора перед атаками телефонных хакеров вряд ли приведет инвесторов в неописуемый восторг. Впрочем, из удавшейся поимки мошенника порой удается даже извлечь пользу, используя возможности отделов маркетинга и связей с общественностью.

Цикл борьбы с мошенничеством

Врага надо знать в лицо

В настоящее время наибольшее распространение получили следующие методы мошенничества:

  • подписка на услуги с сообщением ложных сведений о себе. По истечении определенного времени мошенник нередко обновляет подписку, указывая при регистрации измененные (и по-прежнему ложные) данные;
  • несанкционированное пользование услугами, на которые подписан другой абонент. Именно с этой целью клонируются мобильные телефоны, предпринимаются незаконное получение кодов авторизации телефонных карт, хакерские атаки на учрежденческие АТС и т.д.;
  • использование специальных технических средств, позволяющих настроить операторское оборудование на предоставление услуг по крайне низким тарифам или вообще бесплатно. Типичным примером может служить аппаратное подавление ответного сигнала, отправляемого по сети после приема вызова. Пока узел-источник безуспешно ожидает этот сигнал, мошенник успевает совершить бесплатный звонок;
  • вмешательство в работу биллинговой или учетной системы с целью уменьшения платы за услуги и даже возвращения уже произведенных платежей;
  • получение конфиденциальной информации (вроде кодов доступа, номеров телефонных карт и др.) для продажи третьей стороне.

В подавляющем большинстве случаев последние два варианта осуществляются при содействии нынешних либо бывших сотрудников компании-оператора, ведь они больше других осведомлены о деталях функционирования сети, о процедурах добавления новых абонентов и расширения списков доступных услуг, а также о способах настройки тестовой телефонной линии, вызовы по которой не будут учитываться биллинговой системой.

Мотивация действий телефонных пиратов бывает самой разной. Кто-то решил предоставить друзьям возможность бесплатно попользоваться услугами голосовой связи. Кем-то движет желание скрыть свое местоположение от силовых или налоговых органов. А кому-то просто вздумалось попробовать собственные силы попытавшись обойти построенные оператором защитные бастионы. Но, конечно, большинство мошенников руководствуются исключительно корыстными целями.

Простейший вариант получения нелегального дохода (а точнее, экономии расходов) заключается в использовании услуг связи без намерения платить за них (в англоязычной литературе это обозначается аббревиатурой NITP — No Intention To Pay). Иногда, дабы усыпить бдительность оператора, злоумышленник исправно оплачивает несколько поступающих к нему счетов, а затем, после периода наиболее интенсивного пользования сервисом, выплаты прекращаются. По оценкам самих операторов, средний размер ущерба от мошенничества данного типа составляет около 600 долл. за один раз. Основная проблема с выявлением подобных действий злоумышленников — необходимость отличать их от случаев несостоятельности клиента, возникших в связи с непредвиденными обстоятельствами.

Гораздо более популярны среди телефонных пиратов две другие разновидности мошенничества. Это продажа дорогостоящих чужих услуг по демпинговым ценам без оплаты счетов, приходящих от реального оператора (Call Selling), и получение прибыли путем незаконного перевода вызовов на дорогостоящие каналы связи (Premium Rate Service, PRS).

Действия, попадающие в категорию Call Selling, сегодня поставлены на индустриальную основу и контролируются крупными международными структурами. С целью «максимизировать» собственную прибыль мошенники интенсивно используют одну и ту же линию для множества международных переговоров — до тех пор, пока эта линия не будет отключена. В результате средний ежедневный ущерб оператора в пересчете на одну телефонную линию составляет 15 тыс. долл.

Переадресация вызовов дальней связи на собственные каналы PRS, как правило — развернутые в других странах, позволяет мошенникам получать за счет оператора, из сети которого поступил вызов, внешне законную прибыль. Действительно, к поставщику дорогостоящей услуги деньги поступают от этого оператора независимо от того, оплатил абонент данную услугу или нет. Именно таким образом хакерская фирма, переводившая вызовы из Англии в собственные каналы в Израиле, в течение месяца «выкачала» из одного британского оператора 750 тыс. долл.

Простейшая схема переадресации услуг на линии PRS подразумевает участие сотрудников компании-жертвы. Например, в конце рабочего дня такой сотрудник дозванивается с определенных офисных телефонов до фирмы, предоставляющей услуги PRS, и оставляет аппарат в состоянии соединения на всю ночь. Работники, приходящие в офис утром, видят, что трубка одного телефонного аппарата (или нескольких) положена неаккуратно. Первое, что им приходит в голову: ее по неосторожности задел кто-то из технического персонала, производя уборку помещений по окончании рабочего дня.

Впрочем, встречаются и куда более изощренные варианты. Например, владелец одного из Web-серверов занимался тем, что незаметно для зашедшего на этот сервер пользователя модифицировал программное обеспечение, установленное на его компьютере, так что при повторном заходе на тот же сервер модемный доступ осуществлялся уже по дорогостоящему каналу (с тарифом 8 долл./мин!), причем новое соединение сохранялось в течение всего времени работы пользователя в Internet. Ущерб от единичной акции такого рода равен примерно 5 тыс. долл., а максимальный «навар», который удалось получить мошенникам посредством переадресации сервиса, составил, согласно опубликованным данным, 60 млн долл.

Завершая разговор о способах незаконного получения прибыли, упомянем еще о махинациях с телефонными картами и вызовами дальней связи.

Как известно, в сетях фиксированной связи телефонные карты зачастую служат удобной формой хранения конфиденциальных данных о временном счете абонента, на который зачисляется определенная сумма. Это обстоятельство вызвало к жизни множество способов получения указанной информации — от простого хищения карт или попыток подобрать записанный на них многозначный код до использования приборов дистанционного наблюдения (позволяющих зарегистрировать последовательность цифр, вводимых абонентом на тастатуре телефонного аппарата) или звукозаписывающих устройств (фиксирующих код, который абонент сообщает телефонистке).

Особняком стоит схема привлечения в сообщники сотрудников компании-оператора, которые имеют доступ как к параметрам телефонных карт, так и к деталям совершаемых транзакций. Добытую конфиденциальную информацию такие сотрудники продают криминальным структурам. В 1995 г. два британских оператора потеряли на этом ни много ни мало 55 млн долл. Впрочем, мошенников тоже было двое...

Стремясь избежать оплаты услуг дальней связи, телефонные пираты учитывают тот факт, что на стороне адресата вызов обычно обрабатывается не тем оператором, который обслуживает абонента, инициировавшего звонок (в первую очередь сказанное относится к международному голосовому трафику). Второй оператор обычно не спешит выставлять своему партнеру счет за каждый звонок, накапливая суммы за длительный промежуток времени, например за три месяца. Зная характерную периодичность расчетов между операторами, мошенники успевают совершить множество международных звонков, стоимость каждого из которых не выходит за рамки отведенного им лимита, и исчезнуть незадолго до того момента, когда счета за оказанные услуги поступят из другой страны к их «родному» оператору. По свидельству одной британской компании, как-то раз такое мошенничество обошлось ей в 12 тыс. долл.

Фрагменты портрета

Если ввод неверных сведений при подписке на сервис, переадресация вызовов на дорогие каналы, схемы с международными звонками, обслуживаемыми несколькими операторами, и различные махинации с телефонными картами встречаются в телефонных сетях всех типов, то для сетей фиксированной и мобильной связи хакеры разработали ряд специфических приемов.

Применительно к сетям фиксированной связи упомянем только о двух вариантах. Один из них — физическое подключение к чужой абонентской линии — в последнее время, к сожалению, получил широкое распространение. Выявление подобных подключений представляет собой непростую задачу, особенно в многоквартирных домах. К тому же внимание мошенников в первую очередь привлекают сильно загруженные линии, вовремя отсоединившись от которых, они имеют все шансы остаться незамеченными.

Другой вариант аналогичен хакерским атакам в сетях передачи данных. Учрежденческие АТС становятся легкой добычей для владельцев соответствующего оборудования. Многие станции имеют выделенные порты управления, а пароли доступа к ним либо не меняются годами, либо вообще остаются теми, что были заданы в качестве используемых по умолчанию фирмой-производителем. Получив доступ к УАТС через такой порт, злоумышленник может настроить конфигурацию станции по своему усмотрению.

Не меньшей уязвимостью характеризуются системы голосовой почты и средства DISA (Direct Inward System Access), предусматривающие прямой доступ к функциям учрежденческой АТС извне. Используемые ими PIN-коды нередко оказываются в руках злоумышленников, а сам сервис может быть активирован так, что оператор об этом даже не узнает. Если находящиеся вне офиса сотрудники могут совершать через УАТС междугородные и международные звонки (а такая опция поддерживается многими современными телефонными станциями), то, получив несанкционированный доступ к соответствующим функциям, телефонный хакер сумеет бесплатно звонить в любую точку земного шара. Известен случай, когда параметры доступа к УАТС одной компании появились в Internet, в результате чего эта организация только за два выходных дня понесла убыток в полмиллиона долларов.

Мобильные сети предоставляют телефонным мошенникам особенно широкое поле деятельности, ведь мобильность оборудования заметно облегчает заметание следов и уклонение от ответственности, а наличие современных услуг вроде перевода звонка открывает дополнительные лазейки. В сфере мобильной связи интеллект и фантазия мошенников работают на максимальных оборотах.

Наиболее известным типом мошенничества в сотовой телефонии является клонирование терминалов, особенно распространенное в сетях аналоговых стандартов. Этим термином обозначают программирование параметров легально зарегистрированного сотового аппарата на другом терминале. Известны случаи, когда для одного телефона было создано сразу несколько клонированных копий. Надо ли объяснять, что счета за разговоры с клонированного телефона придется оплачивать владельцу трубки-прототипа.

Параметры, необходимые для программирования, обычно добываются в ходе прослушивания эфира, через который сотовый телефон и базовая станция обмениваются служебной информацией, либо путем простой кражи. (Кстати, кража самих терминалов, несмотря на дешевизну многих моделей, по-прежнему широко распространена, в том числе из-за возможности сделать множество дорогостоящих звонков, прежде чем оператор заблокирует счет, «привязанный» к украденному аппарату.)

Получатель счетов с явно завышенными суммами редко остается безучастным к происходящему, так что его аппарат получает у оператора новый идентификатор, а старые данные блокируются. Чтобы обойти это препятствие, злоумышленники используют технологию «кувыркания» (tumbling) — вариант клонирования, при котором в телефон-копию закладываются идентификаторы сразу нескольких (они могут исчисляться десятками) аппаратов-прототипов; при осуществлении вызова они выбираются поочередно. Указанная модификация уменьшает вероятность обнаружения клонированного телефона в сети и продлевает срок его службы до того момента, когда будет заблокирован последний из исходных идентификаторов. Телефоны, клонированные по методу tumbling, часто продаются на «сером» рынке с гарантией работоспособности в течение определенного срока; если трубка окажется заблокированной раньше, поставщик произведет бесплатную замену. Согласно имеющимся оценкам, в США ежемесячно клонируются около 75 тыс. телефонов, и, судя по всему, эта проблема исчезнет лишь тогда, когда аналоговые сотовые сети окончательно уйдут со сцены.

В ряду проделок мошенников, специализирующихся на мобильной связи, существенный вес имеют махинации с услугами роуминга. Здесь, как и при дальней связи в фиксированной телефонии, используется временной лаг, возникающий между моментом активации функции роуминга и тем временем, когда операторы уже обменялись биллинговой информацией. Наконец, множество схем мошенничества разработано для сотовых сетей с предоплатой (см. врезку «Неудавшаяся попытка подстелить соломку»).

Взгляните на клиента!

Конечно, можно долго призывать абонентов сохранять бдительность, не терять телефонные карты, следить за тем, чтобы конфиденциальная информация не стала известной посторонним лицам, внимательно относиться к суммам, которые фигурируют в счетах за телефонные переговоры и т.д., и т.п., да только призывы эти не дают ощутимых результатов. И основная нагрузка в противостоянии телефонным мошенникам ложится на плечи операторов.

Традиционные системы выявления мошенничества основываются на сборе параметров отдельных вызовов, их сопоставлении с заданными пороговыми значениями и правилами, а также на сохранении подробной информации о вызовах (Call Detail Record, CDR) в базах данных, обычно сопряженных с биллинговыми системами. В CDR попадают сведения о продолжительности разговора, используемом тарифе, идентификаторах сторон и т.д. В дальнейшем специалисты компании, отвечающие за борьбу с мошенничеством, могут проанализировать наиболее подозрительные звонки и поведение совершивших их абонентов с целью выяснить, имел ли место факт мошенничества в каждом конкретном случае. Как правило, их внимание привлекают «накладывающиеся» во времени вызовы, звонки значительной продолжительности или вызовы, совершаемые по максимальным тарифам.

Несмотря на то что подобный анализ позволяет успешно бороться с определенными видами мошенничества, в целом его эффективность далека от 100%. Практически каждый абонент время от времени пользуется нетипичным для себя сервисом или совершает звонки в те населенные пункты, которые не фигурируют в относящихся к нему записях CDR. Другими словами, превышение пороговых значений или нарушение заранее сформулированных правил далеко не всегда является признаком мошенничества. Отсюда следует главное неудобство традиционных решений — многочисленные ложные срабатывания, снижающие продуктивность работы аналитиков. Для борьбы с этим недостатком сетевые администраторы нередко настраивают системы FDS на уровень нагрузки, являющийся для аналитиков наиболее приемлемым. Но от такого решения — лишь один шаг до того, чтобы гостеприимно распахнуть двери перед любым пришельцем с «телефонной большой дороги».

К тому же, как показывает практика, мошенники-профессионалы прекрасно осведомлены о значениях пороговых параметров и наборах правил, используемых в традиционных системах FDS. Это позволяет им пользоваться разнообразными сервисами, удерживая характеристики вызовов в допустимых пределах.

Сказанное означает, что классические методы ручного анализа записей CDR должны уступить место более совершенным технологиям. К последним предъявляется сразу несколько требований: высокая чувствительность и избирательность, способность выявлять скрытые закономерности в данных (на основании которых можно будет, в частности, судить о фактах мошенничества или значительной вероятности их появления), возможность составления прогнозов и, конечно, высокая производительность автоматической обработки содержимого баз данных.

В последние годы в системах выявления мошенничества все активнее используются технологии оперативной аналитической обработки (OLAP) и интеллектуального анализа данных (Data Mining), основанные на схемах непараметрической статистической классификации, алгоритмах распознавания с применением нейронных сетей и других современных математических методах. Основная идея нового подхода заключается в детальном анализе всей совокупности сведений о конкретном клиенте, которые имеются в распоряжении оператора, в целях создания моделей его поведения (профиля клиента), допускающих динамическую корректировку, отнесения его к одной из групп абонентов и, по возможности, построения прогноза. Как показывает опыт применения операторами соответствующих продуктов, на этом пути удается обнаружить аномальные события, которые имели место в сети, но ускользнули от опытного глаза аналитика, а значит, точно оценить размер ущерба, нанесенного мошенниками, и выработать эффективные меры борьбы с ними.

К достоинствам технологий нейронных сетей и непараметрической классификации стоит отнести также способность соответствующих алгоритмов к самообучению и высокую адаптивность к изменяющимся условиям. Последнее означает, что современные системы FDS умеют автоматически отслеживать изменения в тактике мошенников, настраиваться на выявление новых типов нештатных событий в сети и даже самостоятельно повышать точность диагностики.

Было бы ошибкой полагать, однако, что появление новых технологий полностью нивелирует полезность традиционных решений. Напротив, эти две группы методов органично дополняют друг друга. Скажем, применение технологий нейронных сетей позволяет автоматически анализировать десятки миллионов абонентских профилей, с высокой точностью выявлять случаи мошенничества и оперативно реагировать на них (иногда — в режиме реального времени!). В то же время платой за повышение производительности является меньшая детальность сведений, которые окажутся в руках у аналитика, решившего самостоятельно проанализировать имеющиеся данные. Здесь в игру вступают алгоритмы на базе правил, обеспечивающие максимальную степень детализации, но не гарантирующие высокой достоверности получаемых результатов.

Весьма полезным оказывается также интеграция систем FDS с программами управления событиями (Case Management Systems). Речь идет о способности продуктов класса FDS извлекать из гигантских массивов накопленной оператором информации все сведения, относящиеся к выявленному подозрительному событию в сети. Ее различные представления (в том числе визуальные) облегчают последующий анализ и дают возможность с большей достоверностью подтвердить или отвергнуть гипотезу о наличии мошенничества. На решение той же задачи направлен перекрестный анализ, позволяющий выявить корреляции между поведением отдельных абонентов и ростом частоты возникновения специфических событий в сети, а также установить наличие связей между отдельными событиями, которые ранее казались независимыми.

В силу перечисленных обстоятельств многие операторы сегодня предпочитают приобретать гибридные продукты, которые поддерживают как классические методы анализа записей CDR, так и современные способы распознавания и прогнозирования. И все-таки лишь проникновение в данную область технологий OLAP позволило поднять борьбу с телефонными мошенниками на качественно новый уровень.

Ударим data-пробегом ...

Резкое обострение проблемы телефонного мошенничества привело к тому, что несколько производителей программного обеспечения, известных своими решениями для других вертикальных рынков, обратили взоры на телекоммуникационную отрасль. К их числу относится один из крупнейших американских разработчиков ПО компания SAS Institute. Как мог непосредственно убедиться автор на ежегодной европейской конференции пользователей SAS, которая в нынешнем году проходила в столице Ирландии (см. также Computer World/Россия, 2000, № 27-28, с. 12), эта фирма сегодня предлагает довольно богатый ассортимент программных продуктов для операторов связи.

В их число входит и специальное ПО Fraud Detection, основанное на разработанных SAS Institute технологиях интеллектуального анализа данных и прогнозирования. Указанный продукт позволяет операторам построить интегрированную систему доставки информации о любых событиях, происходящих в сети, в том числе сведений о транзакциях, поведении абонентов и персонала компании, о параметрах услуг, предоставляемых фирмами-партнерами, наконец, о событиях, которые могут быть инициированы телефонными мошенниками. Собираемые данные легко интегрируются в системы поддержки операций (Operations Support Systems), в частности отвечающие за обработку транзакций и поддержку принятия решений.

Реализованные в ПО Fraud Detection методы выявления мошенничества распределяются по нескольким функциональным областям:

  • ретроспективный анализ данных. Исследование трендов и нетипичных событий в длинных временных рядах, относящихся к параметрам многочисленных вызовов и транзакций, повышает надежность диагностики действий мошенников, которые имели место в прошлом, и во многих случаях позволяет составить представление об их мотивации;
  • предсказание случаев активности мошенников. Компании могут с высокой вероятностью определить, не является ли текущая транзакция мошеннической, а также снизить риск, связанный с действиями злоумышленников в будущем;
  • классификация событий и абонентов. Разносторонний анализ данных позволяет разбить частных и корпоративных клиентов на группы, одновременно оценив вероятность появления случаев мошенничества в каждой из них;
  • анализ эффективности мер, предпринятых для борьбы с мошенничеством. Возможность получения различных информационных срезов (так называемых «витрин данных», Data Marts) для оценки бизнеса компании дает возможность оценить истинные размеры ущерба от деятельности мошенников, динамику его уменьшения после принятия контрмер, а также определить реальные сроки окупаемости инвестиций в системы обнаружения мошенничества.

Как можно видеть на примере программного обеспечения Fraud Detection компании SAS Institute, важнейшими особенностями современных продуктов класса FDS являются не только возросшая достоверность обнаружения случаев мошенничества и возможность их прогнозирования, но и тесная интеграция с системами, используемыми для управления бизнесом фирмы-оператора в целом. Только увязав меры противостояния телефонным пиратам с контролем за финансовыми потоками, исполнением поручений, системами управления персоналом и т.д., оператор может оценить истинный масштаб проблемы мошенничества, а значит, избрать оптимальную стратегию ее разрешения.

Подчеркнем также, что борьба с телефонным мошенничеством не должна становиться самоцелью: необходимо, чтобы она позволяла, с одной стороны, улучшать финансовые показатели компании, а с другой, поддерживать лояльность по отношению к фирме существующих клиентов и привлекать новых путем постоянного повышения качества предоставляемого сервиса. Не случайно в ассортименте продукции той же SAS Institute средства выявления мошенничества являются составной частью комплексного решения для такой деликатной области, как управление взаимоотношениями с клиентами (Customer Relationship Management, CRM). В условиях перманентно обостряющейся конкурентной борьбы на телекоммуникационном рынке правильная политика в сфере CRM становится едва ли не главным фактором успеха. Впрочем, это уже тема другой статьи.

При написании статьи были использованы материалы европейской конференции пользователей SAS Institute — SEUGI ?18


Мошенники нового поколения

Перевод сетей мобильной связи с аналоговых на цифровые технологии заставил телефонных мошенников пересмотреть свою тактику. Общее усложнение архитектуры, ознаменовавшее появление сетей второго поколения и, в частности, внедрение в них более эффективных средств защиты заметно затруднили осуществление внешних атак. Однако увеличилась доля тех видов мошенничества, ключевыми участниками которых являются сотрудники компаний-операторов. По оценкам экспертов, дальнейшее развитие сотовой телефонии приведет к еще большему вовлечению персонала в мошеннические схемы, однако главные события развернутся на ином фронте.

Привлекательность систем третьего поколения для абонентов связана не только с расширением пропускной способности каналов, но и с появлением множества новых услуг, среди которых на первое место выходит обмен данными. Предоставление доступа к разнообразной информации, возможно, станет главным аргументом операторов в борьбе за клиентов. Двумя основными приложениями здесь являются электронная коммерция и протокол WAP. Первая не связана с передачей больших объемов данных, но предъявляет очень жесткие требования к средствам защиты. Использование WAP-приложений сопряжено с интенсивным информационным обменом, зато средства обеспечения безопасности здесь нужны минимальные.

Наличие двух групп противоположных требований к средствам обеспечения безопасности сетей мобильной связи заставит операторов пойти на определенные компромиссы, что неизбежно создаст новые лазейки для телефонных мошенников. Основные опасности в области WAP-приложений — те же, что и в сети Internet (вирусы, программы типа «троянский конь» и атаки, приводящие к отказам в обслуживании). В сфере электронной коммерции главная проблема заключается в точной идентификации участников транзакции и в защите сведений, составляющих ее содержание.

Опасности, которые подстерегают пользователей систем электронной коммерции в мире мобильной связи, можно проиллюстрировать на следующем примере. Представьте, что абонент подтвердил по мобильному телефону факт оплаты по кредитной карте приобретенного товара на сумму 2 тыс. долл., а на выписке со счета, поступившей к нему в конце месяца, значится в десять раз большая сумма. Понятно, что в данном случае действия мошенника были направлены на изменение не тех параметров вызова, которые фиксируются в записях CDR, а самих данных, передаваемых в ходе сеанса связи.

В сетях третьего поколения осуществление подобных махинаций облегчится из-за отсутствия непосредственного контакта между абонентом и «настоящим» поставщиком услуги. Идентификаторы пользователей будут теряться в огромных потоках данных, особенно при использовании технологий шифрования, а доступ к сервисам можно будет получать как с мобильного телефона, так и при помощи Internet-браузера.

В настоящее время операторы проявляют особую бдительность, если звонок исходит из местности, которая отличается повышенной активностью мошенников. В сетях третьего поколения местонахождение вызывающего абонента окажется скрытым (подобно тому, как все знания владельца Web-сервера о пользователе нередко ограничиваются малоинформативным адресом электронной почты). Ситуация только усугубится, когда будет реализована идея введения единого плана нумерации в панъевропейской сети мобильной связи.

Наконец, серьезные проблемы существуют в области сигнализации. Как известно, в старых системах сообщения сигнализации передавались по тем же каналам, что и голосовой трафик. Это позволяло телефонным хакерам вмешиваться в работу телефонных станций, посылая по каналам ТфОП специальные команды в тональном режиме. С распространением системы SS7 указанная проблема, кажется, потеряла актуальность. Однако в последнее время, в связи с конвергенцией систем проводной и беспроводной связи с сетями передачи данных, она снова дает о себе знать. Самым уязвимым звеном становятся шлюзы, через которые голосовой трафик передается в IP-сети.

Развертывание сетей мобильной связи третьего поколения откроет перед операторами огромные возможности, но, вместе с тем, резко увеличит размеры потенциального ущерба от действий злоумышленников. Это означает, что с переходом на новые технологии от недоброжелателей придется защищать не только каналы связи, но и передаваемые по ним данные.


Неудавшаяся попытка подстелить соломку

По оценкам компании PrКsidium Services, объем мирового рынка услуг сотовой связи с предоплатой в этом году превысит 2 млрд долл. Возможность не заботиться о кредитной истории клиента и его текущей платежеспособности стимулирует повышенный интерес операторов к предоставлению услуг данного типа. Более того, оплата услуг с помощью телефонных карт избавляет операторов от процедур выставления счетов и контроля за их своевременной оплатой, а ведь не секрет, что биллинговые системы очень сложны в эксплуатации и довольно часто дают сбои.

Многие операторы считают продажу телефонных карт весьма эффективным способом привлечения новых клиентов, который, к тому же, снижает риск телефонного мошенничества.

К сожалению, последний тезис имеет мало общего с действительностью. Практически ничего не зная о абонентах, которые приобретают телефонные карты в самых разных местах, оператор открывает свою сеть для мошенников всех мастей. Не располагая многофункциональной биллинговой системой и надежными средствами администрирования, такой оператор зачастую даже не догадывается, каковы истинные масштабы ущерба, причиненного злоумышленниками. А его размеры составляют 3—5% суммарного дохода оператора, причем методы мошенничества учитывают специфику услуг с предоплатой.

Наиболее уязвимым местом является сама телефонная карта, а точнее, содержащийся на ней скрытый цифровой код. Нередки ситуации, когда этот код становится известен мошенникам еще до продажи карты, и ничего не подозревающий покупатель с удивлением обнаруживает, что бюджет только что приобретенной карты уже исчерпан. Украденные коды воспроизводятся на поддельных картах.

Что касается методов получения секретного кода, они на удивление просты. В одних случаях код просто может быть прочитан сквозь целлофановую упаковку, в других эту упаковку можно вскрыть, а потом запечатать. Профессионалам удается даже стереть защитный слой на поле секретного кода, а затем восстановить его.

Невольными сообщниками мошенников нередко становятся сами изготовители телефонных карт. Секретные коды бывают неоправданно короткими, поэтому их без труда могут запоминать сотрудники, работающие на конвейере. Кроме того, им порой удается скопировать секретную информацию или попросту украсть ее для последующей продажи. Известен случай, когда якобы из-за сбоя печатающего устройства для большой партии карт были изготовлены двойники, содержавшие те же секретные коды. Карты-двойники поступили в розничную сеть наряду с оригиналами, и совокупный ущерб от этой «ошибки принтера» превысил 1 млн долл.

Очень часто производитель рассматривает только что изготовленные карты как обычную печатную продукцию и не принимает специальных мер для обеспечения их безопасности при хранении и транспортировке. На деле же телефонные карты являются эквивалентом наличных денег (отличие заключается в том, что карты не могут служить средством платежа многократно).

Другой объект пристального внимания мошенников — средства управления счетами абонентов. Если говорить о сетях стандарта GSM, то на сегодняшний день наиболее уязвимы решения, предусматривающие хранение финансовых сведений непосредственно в SIM-карте. Эта информация в принципе может быть изменена извне. К счастью, такое изменение всякий раз затрагивает только одну карту, и случаи клонирования SIM-карт пока не известны.

Проблемы с защитой конфиденциальной информации присущи и так называемым автономным решениям (другое название — вспомогательные платформы). Принцип их работы заключается в выводе трафика из коммутируемой сети на платформу, отвечающую за предоставление услуг с предоплатой, и в последующей маршрутизации телефонного трафика к пункту назначения. Основные проблемы в данном случае связаны с пополнением счетов абонентов, контролем за процедурами, которые выполняют независимые операторы, и защитой служебной информации, относящейся к маршрутизации.

Наиболее безопасными считаются системы на базе интеллектуальных сетей (IN), которые отвечают за администрирование вызовов в режиме реального времени и управление счетами абонентов. Подобные системы, как правило, надежно защищены от внешних атак, и главная опасность может исходить преимущественно от собственных сотрудников компании-оператора.

Наконец, еще одна проблема в сетях мобильной связи связана с «вымыванием» телефонных аппаратов, которые оператор нередко продает по демпинговым ценам в целях продвижения услуг с предоплатой. Исчезающие из сети телефоны либо перепрограммируются, либо вовсе разбираются на отдельные компоненты для последующей сборки в странах, предоставляющих максимальные таможенные льготы, и продажи на «сером» рынке. Объем «миграции» мобильных телефонов в некоторых странах достигает 10 тыс. аппаратов в месяц.

Таким образом, введение телефонных карт в сетях мобильной связи просто перевело проблему мошенничества в иную плоскость. Услуги связи с предоплатой имеют ряд уникальных черт, поэтому здесь следует использовать специализированные системы обнаружения мошенничества. В любом случае оператор должен тщательно контролировать состояние балансов отдельных абонентов, пресекать любые попытки инициировать неразрешенные типы звонков, периодически генерировать и тщательно анализировать отчеты, содержащие параметры произведенных вызовов, внедрять надежные средства аутентификации абонентов. И конечно, он не имеет права игнорировать тенденцию, присущую сетям мобильной связи, в соответствии с которой простые методы мошенничества постепенно сменяются все более изощренными.

Вернуться


Как выбрать FDS?

Современные масштабы телефонного мошенничества заставляют операторов искать универсальное средство, которое защитило бы их от злоумышленников раз и навсегда. В качестве панацеи многие компании всерьез рассматривают системы обнаружения мошенничества (Fraud Detection System, FDS), несколько переоценивая возможности этих продуктов.

Прежде чем переводить вопрос о внедрении FDS в своей сети в практическую плоскость, оператору следует научиться четко разделять случаи мошенничества и внезапно возникшей неплатежеспособности клиентов. Проанализировав собственные доходы за достаточно продолжительный период времени, он должен оценить реальный ущерб от действий злоумышленников, а также попытаться спрогнозировать динамику его дальнейшего изменения. После этого правомерно задаться вопросом: в какой степени приобретенная система FDS поможет сократить убытки? От ответа на него зависит возможность окупить затраты, связанные с приобретением системы обнаружения мошенничества и ее последующей эксплуатацией.

В настоящее время на рынке присутствует более 25 FDS-продуктов. Выбирая то или иное решение для собственной сети, оператор обязан спрогнозировать рост объемов предоставляемых услуг и увеличение нагрузки на сетевые ресурсы. Соответствующее масштабирование должна допускать и приобретаемая система, ведь в изменяющихся условиях ей предстоит выдавать информацию о случаях мошенничества с прежней оперативностью.

Следующий критерий связан с технологиями, на которых основан тот или иной продукт. Устроит ли вас простейшая программа сбора сведений о вызовах и сопоставления получаемых величин с заранее введенными пороговыми значениями или вам требуется система, базирующаяся на наиболее современных методах анализа данных? Следует поинтересоваться также, в какой мере поддерживаются система сигнализации ОКС 7, использование стратегий администрирования на базе правил, интерфейсы с сетью и другими программными продуктами, которые установлены в вашей организации. Не меньшее значение имеют производительность и надежность продукта, а также простота его инсталляции, настройки и сопровождения.

Приобретая систему обнаружения мошенничества, не стоит ожидать от нее слишком многого. Основные задачи продуктов этого класса — составить максимально точное представление о процессах, происходящих в сети, выявить подозрительные ситуации, которые могут быть обусловлены действиями мошенников, и любые иные попытки несанкционированного доступа. В то же время программы FDS не стоит воспринимать в качестве систем защиты от мошенничества. Решать, действительно ли активность злоумышленников имела место, насколько она опасна и какие шаги следует предпринять, может только начальник отдела IT или сетевой администратор.