Яков
Гродзенский

руководитель департамента информационной безопасности компании "Системный софт"
© ComNews
05.11.2019

Мошенничество в универсальных мультисервисных сетях передачи данных приобрело массовый характер — только в России бизнес теряет миллиарды рублей из-за действий злоумышленников. Полиция регулярно закрывает одних нелегальных операторов, но на их месте тут же возникают другие. К тому же далеко не все нарушители конфликтуют с уголовным законодательством, многие из них не выходят за рамки гражданских правовых взаимоотношений. Чтобы снизить ущерб и повысить тем самым доходы, в телекоммуникационных компаниях должны понимать специфику угроз и необходимость средств борьбы с ними.

Основные типы угроз

Жертвами злоумышленников становятся как ведущие игроки рынка, так и небольшие компании, обслуживающие несколько многоквартирных домов. Атаки при этом можно разделить на четыре основных типа:

- несанкционированный доступ к услугам связи;

- нелегальные узлы связи и нелегальный контент-провайдинг;

- атаки на абонентские устройства;

- нежелательные входящие вызовы и сообщения.

Правоохранительные органы если кого и поймают, предотвратить ущерб не смогут. Они работают только с уже совершенными уголовными преступлениями и в лучшем случае пресекут дальнейшую деятельность группы опасных мошенников, на месте которой в скором времени образуется десяток подобных. Обычные нарушения условий договора на оказание услуг связи силовиков и вовсе не интересуют — чтобы защититься от внешних и внутренних злоумышленников придется с этим смириться. Если честные операторы связи сами не будут активно противодействовать злоумышленникам, никто за них этого не сделает.

Мошенники и жертвы

В основном перечисленные виды мошенничества опасны для провайдеров. Абоненты с безлимитным тарифом и высокой скоростью подключения часто "делятся" доступом с соседями: им выгоднее вносить абонплату вскладчину. Такие схемы приводят к серьезному ущербу, если услуги связи оказываются в промышленных масштабах. Когда клиент вводит трафик в сеть оператора в обход узлов интерконнекта, компания также недополучает доход из-за некорректной тарификации.

Другие виды мошенничества основаны на "обмане" формирующих CDR (Call Detail Record или Charging Data Records — подробных записей о вызовах/списаниях) средств. Это уже чистая уголовщина: используя уязвимости в оборудовании и ПО, преступник старается избежать регистрации подлежащего оплате трафика в учетных системах. Иногда сотрудники провайдера не заводят в биллинг данные о подключении и получают от абонентов деньги неофициально.

Возможна незаконная врезка в каналы связи, причем касается это не только фиксированной телефонии. Мошенничают даже работники салонов, которые оформляют сим-карты на имя легальных абонентов и продают их на черном рынке. Вариантов реализации четырех перечисленных сценариев множество, но все их объединяет одно: оператор связи несет материальный ущерб за счет недополученных доходов или из-за необходимости оплачивать услуги партнеров по обмену трафиком.

В некоторых случаях убытки несут и клиенты, что в цифровую эпоху приводит уже к репутационному ущербу для провайдера. Можно вспомнить атаки с помощью перебора паролей (bruteforce), атаки с переопределением получателя (Man In The Middle), нежелательные входящие вызовы и сообщения (спам), а также активность заразивших абонентские устройства зловредов: вызовы повышенной стоимости, DDoS-атаки, нежелательные подписки и тому подобные действия.

Помимо репутационного ущерба, они могут привести и к прямым финансовым потерям: оператор оплачивает услуги внешних партнеров до получения денег от абонента, а на счете последнего растет задолженность. Часто эта задолженность оспаривается в суде или списывается добровольно — так бывает, если жертвой стало юридическое лицо или обычный пользователь сумел поднять бучу в СМИ и социальных сетях. Сами клиенты тоже могут мошенничать, например, получая услуги связи в роуминге без намерения впоследствии их оплачивать.

Способы защиты

Учетные системы оператора не выявят попытки мошенничества и не помогут их предотвратить. Сетевое оборудование регистрирует только существенные для начисления платы события, поэтому направленные на некорректное формирование CDR атаки невидимы для биллинга.

В других случаях абоненты работают на условиях своего тарифного плана — определить аномалии в трафике, распознать незаконную перепродажу услуг или активность зловредов биллинг также не сможет. Для защиты нужно специальное решение, которое будет постоянно отслеживать ситуацию в сети, выявлять отклонения от нормы и уведомлять о них персонал. В задачи такой системы входит автоматическое обнаружение попыток мошенничества, пресечение нелегального доступа к сети ранее пойманных на горячем лиц, а также предоставление отчетов по источникам, типам и количеству возможных нарушений.

Защита работает в режиме реального времени и/или в режиме постобработки данных. В первом случае система получает информацию по всем сетевым интерфейсам и должна поддерживать использующиеся в сети оператора цифровые протоколы сигнализации.

В режиме постпроцессинга входные данные для анализа собираются с интерфейсов коммутационного оборудования, а также из предназначенных для обработки биллинг-центрами логов. Для создания фрод-критериев нужны данные об абонентах, поэтому также требуется интеграция с биллингом и другими внешними источниками.

Собранная информация обо всех видах трафика анализируется с применением современных методик (нейронные сети, графы решений, индуктивные и регрессионные методы), что с высокой вероятностью позволяет выявлять попытки злонамеренных действий и своевременно их пресекать.

Когда-то телекоммуникационные компании особо не боялись мошенничества в своих сетях, используя для тарификации относительно простые средства. Сейчас мы имеем дело с постоянно увеличивающимися и усложняющимися потоками данных — чтобы выловить в этом море информации аномальную "рыбку", нужна очень хорошая и обученная специально "сеть".

Таких продуктов на рынке довольно много, но их внедрение собственными силами не всегда целесообразно даже для лидеров рынка: своих компетенций у них чаще всего нет, а наработка занимает массу времени и стоит дорого. Небольшим операторам такое и вовсе не по карману, поскольку придется набирать в штат высокооплачиваемых экспертов, разработчиков и других технических специалистов — это в дополнение к закупке оборудования и программных лицензий.

Намного проще и дешевле воспользоваться чужими компетенциями, обратившись в специализирующуюся на ИБ-решениях в телекоме компанию. Обычно там работают лучшие в отрасли специалисты с гораздо более широким кругозором, которые реализовали уже не один проект у разных провайдеров.