В последнее время много говорится о размерах бедствия, именуемого мошенничеством в телекоммуникационных сетях. Рассмотрим технологические аспекты выявления мошенников в сетях операторов связи.

Борьба с мошенниками актуальна для предприятий многих отраслей — телекоммуникационных компаний, банков, Internet-магазинов и электронных торговых площадок — везде, где посредством современных коммуникаций осуществляется персонифицированное обслуживание клиентов.

В последнее время в прессе много говорится о размерах бедствия, именуемого мошенничеством в телекоммуникационных сетях, в общемировом масштабе. Рассмотрим технологические аспекты выявления мошенников в сетях операторов связи. Впрочем, многие из перечисленных методик вполне можно применить и к другим отраслям.

Профиль абонента

В характере использования телекоммуникационных услуг (например, мобильного телефона или домашнего Internet-доступа) человеческая индивидуальность проявляется так же ярко, как в походке и выборе одежды. Особенности использования услуг связи уникальны, как и человеческие отпечатки пальцев. Потребление услуг связи тем или иным абонентом легко прогнозируется в зависимости от различных условий, имеющих социальную, демографическую и иную природу.

Для каждого из абонентов можно построить своеобразный «портрет», обладающий следующими характеристиками: время и продолжительность звонков (скажем, утром абонент обычно говорит около 10 минут, в обед вообще не разговаривает, в вечернее время — около 30 минут, а ночью обычно спит и поэтому тоже не разговаривает); куда производятся звонки (например, из утренних звонков 80% приходится на звонки на городские номера и 20% — на мобильные, а среди вечерних звонков большая часть приходится на мобильные номера); направления звонков — местные, междугородние или международные (например, абонент звонит в Санкт-Петербург три раза в месяц, и в среднем разговоры продолжаются около 10 минут, один раз в Волгоград — звонок длится 30 минут — и два раза в год в Цюрих — от 20 минут до часа).

Собрав эти данные воедино (число параметров может измеряться десятками), мы получим некий статистический коридор, в который укладывается поведение абонента («профиль абонента»). Для полноты картины можно добавить его примерный возраст, длительность проживания по указанному адресу, некоторую демографическую и социологическую информацию о районе проживания и т. д.

Такие действия, как большой объем трафика из населенного вьетнамцами района в Грузию, звонки 70-летнего пенсионера, живущего на Урале, в московские службы, предоставляющие интимные услуги, многочасовые разговоры с Нигерией с номера, с которого прежде изредка звонили только в Новосибирск (эти примеры — реальные случаи телефонного мошенничества), выбиваются из статистического коридора. Однако необходимо учитывать, что далеко не всегда такие «пробои» обязательно свидетельствуют о факте мошенничества. Скажем, неожиданный звонок в ЮАР может быть не результатом нелегальных действий, а просто желанием отца поздравить своего сына с днем рождения, который вынужденно отмечает его в далекой командировке.

В любом случае, даже если автоматизированная система по борьбе с мошенничеством (имеется особый класс информационных систем, специально предназначенный для этого) в качестве результата своей работы в данном случае выявит вполне добропорядочное действие, положительный побочный эффект будет достигнут. Факт беспокойства по поводу звонка, который мог бы быть результатом действий мошенников и повлечь за собой определенные финансовые потери абонента, будет свидетельствовать о заботе оператора о своем клиенте. А это вызывает повышение лояльности абонента к оператору.

Также профиль абонента может применяться и для того, чтобы не допустить возвращение в сеть оператора связи ранее отключенного абонента, проявлявшего незаконную активность. Предположим, за время нахождения абонента Х в сети были отслежены следующие характеристики его трафика:

  • активность в дневное время;
  • активность в вечернее время;
  • активность в ночное время;
  • объемы исходящего трафика на мобильные телефоны (включая часто используемые номера и провайдеров сотовой связи);
  • объемы исходящего трафика на фиксированные местные номера (включая часто используемые номера);
  • объемы исходящего трафика на фиксированные номера в других городах (включая часто используемые номера);
  • объемы исходящего трафика на фиксированные номера в других странах (включая часто используемые номера);
  • виды и объемы потребления дополнительных услуг.

Этот метод можно использовать и в корпоративных телефонных сетях, в частности, для выявления случаев несанкционированного использования телефонных линий, например, для звонков в рабочее время по межгороду. Определение самого факта существования таких звонков может поставить вопрос о применении каких-то организационных или иных мер для пресечения подобной активности.

Число параметров и их значения могут быть определены различными способами, при этом не стоит забывать, что существуют определенные календарные даты — Новый год, 8 Марта и т. д., когда активность абонентов резко возрастает, зачастую не вписываясь в обычные статистические рамки. Еще одним примером нетипичного поведения абонента может служить его день рождения.

Эффективность применения этого метода может быть проиллюстрирована заявлением английского сотового оператора Orange, внедрившего у себя автоматизированную систему по борьбе с мошенничеством. В Orange утверждают, что блокируют украденный телефон еще до того, как его владелец заявит о пропаже.

Метод пороговых значений

Метод пороговых значений заключается в использовании статистического «коридора» при анализе активности абонента. Границы коридора обычно вычисляются исходя из разнообразных статистических данных (демографическое или социальное положение той или иной группы абонентов, анализ предыдущей истории объемов потребления услуг абонентом и т. д.). Изменение текущих объемов потребляемых услуг и выход их за границы коридора обычно служат поводами для внутреннего «расследования». В качестве примера можно привести ситуацию, в которой абонент Х начинает совершать большое количество звонков в ночное время. Выставляя пороговые значения на определенные характеристики, можно вовремя идентифицировать подозрительную активность:

  • временные интервалы (например, все звонки с 2 до 8 попадают в категорию "подозрительных");
  • длительность разговора (например, больше 30 минут);
  • количество звонков с одного номера за единицу времени (например, больше пяти за 1 час);
  • количество звонков с одного номера на другой за единицу времени (например, больше пяти за 1 час);
  • количество коротких звонков с одного номера на другой (допустим, больше трех звонков с длительностью меньшей 5 секунд);
  • количество коротких звонков на определенный номер (например, больше десяти звонков с длительностью меньшей 5 секунд);
  • количество обращений к голосовой почте или другим сервисам, требующим введения PIN-кода абонента;
  • количество локальных, междугородных, международных звонков с одного номера в единицу времени больше определенной константы;
  • объемы расходования денежных средств за единицу времени.

Число подобных параметров может быть любым; оно зависит от квалификации и опыта людей, занимающихся сопровождением автоматизированной системы по борьбе с мошенничеством.

В качестве пороговых значений могут быть выставлены и определенные направления звонков. (Существует целый ряд стран, относящихся к группе «повышенного риска»: организация звонков по таким направлениям часто осуществляется мошенниками — выходцами из соответствующих этнических общин.)

Метод анализа пороговых значений очень успешно применяется в тех случаях, когда необходимо определить сам факт существования «подозрительного» трафика. Известны случаи, когда его использование позволяло моментально отслеживать факты донабора абонентом добавочных цифр при звонке на определенные номера и выявлять «серых» операторов связи, нелегально предоставляющих услуги IP-телефонии.

Метод динамических временных интервалов

Данный метод позволяет выявлять мошенничество в тех случаях, когда мошенники знают о факте существования контроля пороговых значений, отслеживающих активность абонента за определенные временные интервалы. К примеру, злоумышленникам стало известно, что оператор (или некоторая компания) фиксирует случаи появления более 10 звонков за каждые два часа, при этом границы установлены так, что сутки разбиты на 12 интервалов по два часа. Таким образом, злоумышленники имеют возможность осуществлять по 9 звонков в каждый из временных интервалов, не будучи обнаруженными.

Метод динамических временных интервалов позволяет фиксировать интервал заданной продолжительности с момента установления первого соединения, что позволяет своевременно обнаруживать и пресекать подобную активность. Насколько известно, метод реализован только в современных автоматизированных системах по борьбе с мошенничеством и не может быть обеспечен более традиционными средствами, подобными отчетам биллинговых систем или же системам управления телефонными станциями. Известен пример, когда, воспользовавшись недостаточной гибкостью метода анализа на основе статических пороговых значений, злоумышленникам удалось в течение квартала «заработать» сумму в несколько десятков тысяч долларов.

Метод анализа правил взаимного влияния

Анализ правил взаимного влияния подразумевает поиск и установление логической взаимосвязи между на первый взгляд абсолютно независимыми событиями. Выполнение такого анализа осуществляется специальным логическим анализатором, сочетающим в основе своего построения принципы корреляционного анализа и искусственного интеллекта. В случае корпоративной телефонной сети примером использования правил взаимного влияния может служить следующее:

  • входящие звонки в вечернее время;
  • количество входящих звонков больше десяти;
  • продолжительность некоторого количества входящих звонков больше 30 минут;
  • дополнительный набор префиксов, позволяющих выходить на межгород;
  • количество исходящих продолжительных звонков на межгород больше трех.

Анализ этих, в общем-то не очень связанных между собой фактов, позволяет предположить, что офисная АТС, скорее всего, взломана мошенниками.

Следующий пример иллюстрирует использование анализа правил взаимного влияния для борьбы с мошенничеством в роуминге. Предположим, что в некоторый регион приехал абонент из другого региона. Логическая последовательность, которую выстроит автоматизированная система для обнаружения факта мошенничества абонента в роуминге, может выглядеть так:

  • абонент находится в роуминге;
  • большой исходящий трафик;
  • отсутствие исходящего трафика в регион, откуда прибыл абонент;
  • большой объем трафика по специфическим направлениям (фирмы, предлагающие интимные услуги, страны повышенной категории риска и т. п.).

Увы, с большой долей вероятности можно сказать, что приехавший абонент является мошенником.

Примером использования правил взаимного влияния может служить и обнаружение цепочки или группы мошенников. Анализируя факты звонков на одни и те же номера, занесенные в «черный список» или же отнесенные к повышенной категории риска, сравнивая их с историческими данными, описывающими деятельность ранее обнаруженных мошенников, автоматизированная система по борьбе с мошенничеством позволит обнаружить другие случаи нелегального использования своих ресурсов.

Используя факты отсутствия в настоящий момент столь совершенных транспортных технологий, анализ правил взаимного влияния позволяет выявлять случаи «географически невозможных» звонков (к примеру, с интервалом в 12 минут один и тот же абонент совершает звонки из Москвы и Новосибирска).

Эффективность работы систем по борьбе с мошенничеством со временем возрастает. Это связанно с тем, что чем дольше работает такая система, тем больше статистической информации она накапливает, и тем более совершенными и действенными становятся ее настройки и алгоритмы.

Метод анализа первичной информации

Не секрет, что любая информация в длинной цепочке от момента предоставления услуг до момента получения оплаты за них может быть случайно или преднамеренно искажена. От этого не застрахованы ни операторы связи, ни корпоративные телефонные сети. В результате выставленные счета, а также полученные средства (или потраченные, в зависимости от ситуации), не соответствуют истинному уровню потребления услуг. Причины искажения информации могут крыться в биллинговой системе (некоторые настройки могут быть случайно или умышленно искажены), настройках сетевых элементов (часть трафика может быть скрыта внутри коммутатора благодаря выводу информации на формально неактивный порт или же подстановке не тех параметров при трансляции систем сигнализации из систем более низкого уровня в системы с более высоким уровнем и т. д.), конфигурации разнообразных систем управления услугами и сервисами.

Своевременное получение и обработка правдивой и достоверной информации — ключевой фактор при борьбе с невынужденными финансовыми потерями. Современные автоматизированные системы по борьбе с мошенничеством спроектированы таким образом, чтобы получать данные от программно-аппаратных комплексов, являющихся первичными источниками информации. Используя ее и сравнивая, анализируя, сопоставляя с данными, генерируемыми и получаемыми на всех промежуточных звеньях цепочки от момента предоставления услуг до момента получения оплаты, они своевременно отслеживают все возникающие нестыковки. Благодаря этому современные автоматизированные системы по борьбе с мошенничеством способны отслеживать разнообразные виды и типы нелегального использования ресурсов, которые не могут быть выявлены иными средствами.

«Черный список»

Мошенники изобретают все новые способы атак. Зачастую новые способы получения нелегального доступа являются результатом «творческой» переработки и комбинации уже ранее испробованных методов. Модули аналитической и интеллектуальной обработки поступающих данных используют предыдущий опыт. Для этого все обнаруженные случаи мошенничества сохраняются в базе данных и применяются для оперативного анализа текущих параметров трафика на совпадение с уже имеющимися прецедентами. (Как правило, при внедрении такого класса систем поставщики предоставляют в распоряжение заказчика весь свой опыт, накопленный за время решений подобных задач.) При обнаружении фактов мошенничества в «черный список» помещается информация, описывающая инцидент с максимально возможным уровнем детализации. В подобное описание могут быть включены: причиненный ущерб; персональная информация об абоненте; история оплаты счетов, кредитная история; события, вызвавшие возникновение сигналов тревоги, частота и регулярность их возникновения; запись, детализирующая описание звонка; предыдущие «подозрительные» действия, ассоциируемые с данным абонентом, вместе с их развернутым описанием; совпадения с уже известными видами и типами мошенничества.

***

Рамки журнальной статьи не позволяют привести описание всего многообразия приемов, алгоритмов и методов, используемых для борьбы с таким неприглядным и накладным явлением, как мошенничество в телекоммуникационных сетях. Наверное, это и к лучшему.

Кирилл Перминов — руководитель направления систем OSS/BSS департамента системных решений компании IBS, будет признателен читателям, решившим поделиться известными им методами атак и способами борьбы с ними, KPerminov@ibs.ru

СОПОСТАВЛЕНИЕ ПРОФИЛЕЙ АБОНЕНТОВ
Рис. 1. Характеристики трафика абонента Х в сети

Характеристики трафика абонента Х схематично представлены на рис. 1. По осям координат отложены описанные выше параметры, точками обозначены количественные составляющие этих параметров. Фигура, очерченная красными линиями, является проекцией объемов потребленных услуг для абонента Х на данную систему координат. Это дает описание «профиля» абонента Х, который в дальнейшем можно использовать для сравнительного анализа. Предположим, что в сети оператора связи появился новый абонент, назовем его Y, персональная информация которого не совпадает с абонентом Х.

Анализ трафика абонента Y по тем же критериям, что и трафика абонента Х (а для этого достаточно очень небольшого совпадения ключевых параметров, например, нескольких часто используемых прежде абонентом Х номеров) по прошествии некоторого времени обнаруживает совпадение профиля активности Y c активностью Х. В результате Y попадает под пристальное наблюдение соответствующих служб оператора связи. Уже сейчас с очень большой долей вероятности можно говорить, что ранее обнаруженный мошенник Х опять вернулся в сеть. Но на этот раз его активность была замечена раньше, чем был нанесен серьезный финансовый ущерб. При этом оператору автоматизированной системы по борьбе с мошенничеством не надо вручную анализировать параметры трафика, на его мониторе при выявлении совпадения появится картинка, подобная рис. 2.

Рис. 2. Определение факта мошенничества