Абонентский фрод в сфере телекоммуникаций представляет собой одну из наиболее серьезных угроз для операторов связи, способную привести к значительным финансовым потерям и репутационным рискам. Для эффективной борьбы с этим явлением необходимо четко понимать его структуру, методы генерации мошеннического трафика и жизненный цикл атак. Основными формами злоупотреблений являются IRSF (International Revenue Share Fraud) и мошенничество на PRN-направления (Premium Rate Numbers).

Внедрение надежных механизмов мониторинга и своевременное обнаружение подозрительной активности позволяют минимизировать ущерб. Качественная защита IP-ATC начинается с понимания того, как мошенники получают доступ к сети и каким образом они монетизируют несанкционированные вызовы. Это требует комплексного подхода, включающего технические меры защиты и организационные регламенты работы технической поддержки.

Основные понятия и типы абонентского фрода

Мошенничество в сетях связи разделяется на несколько ключевых категорий, имеющих схожую логику, но различающихся механизмами распределения доходов. International Revenue Share Fraud (IRSF) предполагает схему, при которой оператор страны назначения (страны B) делится частью полученного дохода от входящего трафика с абонентом или партнером, генерирующим этот трафик. В свою очередь, мошенничество на PRN (Premium Rate Number) или PRS (Premium Rate Service) основано на использовании сервисов с платными входящими вызовами, стоимость которых может быть крайне высокой.

Одним из наиболее дорогостоящих и популярных направлений для атак является спутниковая нумерация. Стоимость минуты разговора по таким направлениям может достигать 400 рублей. Мошенники целенаправленно ищут способы перенаправить трафик на эти номера, чтобы максимизировать свою прибыль за счет атакуемого оператора или его клиентов.

Жизненный цикл и методы генерации мошеннического трафика

Процесс реализации фрода проходит через определенный жизненный цикл. На первом этапе мошенник получает несанкционированный доступ к телефонной сети. После этого приобретаются или арендуются PRS или IRSF номера. Затем инициируется генерация трафика в больших объемах. На финальном этапе фродстер получает выплаты от операторов назначения, в то время как пострадавший оператор фиксирует убытки.

Существует несколько основных методов генерации трафика, используемых злоумышленниками:

• Toll-fraud (взлом PBX): это прямой взлом корпоративных телефонных станций. Зачастую это становится возможным из-за пренебрежения базовыми мерами безопасности, такими как отсутствие Fail2Ban, игнорирование настроек IPTables или использование простых паролей вроде «123». Грамотная установка Asterisk и последующая настройка безопасности являются критическими факторами для предотвращения таких инцидентов.
• Callback: мошенники совершают короткий односекундный вызов (один гудок) без соединения. Любопытные пользователи перезванивают на этот номер, попадая на дорогостоящее направление.
• Call Forwarding (переадресация): после получения доступа к станции или аккаунту абонента злоумышленники устанавливают безусловную переадресацию на премиальные номера.
• Использование DISA и наборов: мошенники могут использовать функции прямого доступа к ресурсам системы (Direct Inward System Access) для совершения исходящих звонков через взломанную АТС.

Статистика показывает, что ущерб от таких действий может исчисляться сотнями тысяч рублей. Известны случаи, когда за короткий период времени клиенты несли потери в размере 500–700 тысяч рублей.

Экономика фрода и риски для оператора

Монетизация фрода строится на разнице в тарифах и межоператорских выплатах. Например, если вызов на дорогое направление стоит 1,8 доллара за минуту, мошенник может получать выплату (payout) в размере 20–50 центов за каждую минуту приземленного трафика. При этом сам злоумышленник не оплачивает эти вызовы, так как они совершаются за счет взломанных абонентов.

В этой цепочке наиболее уязвимым звеном является оператор-жертва. Даже если абонент отказывается платить по счету за мошеннические вызовы, оператор всё равно обязан рассчитаться с вышестоящим провайдером дальней связи. Основные риски для оператора включают:

• Прямые финансовые потери: необходимость оплаты транзитного трафика даже при отсутствии дохода от конечного клиента.
• Потеря лояльности: клиенты часто обвиняют оператора в том, что он не обеспечил должную защиту их ресурсов.
• Репутационный ущерб и судебные издержки: попытки взыскать средства с пострадавших абонентов через суд могут быть неэффективными, если клиент объявляет себя банкротом.

Важно понимать, что транзитные операторы и операторы дальней связи зачастую не заинтересованы в остановке фрода, так как они получают гарантированный доход от этого трафика. Ответственность за обнаружение и блокировку атак лежит исключительно на операторе, к которому подключен взломанный сегмент сети.

Подходы к обнаружению мошенничества

Проактивный подход заключается в предотвращении возможности возникновения проблемы. Он включает постоянную актуализацию знаний о методах взлома и соблюдение гигиены безопасности: регулярное обновление прошивок оборудования, использование сложных паролей и ограничение круга лиц, имеющих доступ к регистрационным данным клиентов. Проведение регулярного аудита IP-ATC позволяет выявить потенциальные уязвимости до того, как ими воспользуются злоумышленники. Реализация этого подхода значительно снижает общее количество инцидентов, однако время обнаружения оставшихся случаев может оставаться высоким, если не используются дополнительные инструменты.

Активный подход направлен на моментальное обнаружение факта мошенничества. Он подразумевает создание систем, которые в режиме реального времени сигнализируют о подозрительных всплесках трафика. Важным элементом здесь является ведение внутренней базы знаний (вики по фроду), где фиксируются способы взлома и методы их нейтрализации для обучения сотрудников.

Реактивный подход основывается на анализе накопленного опыта и периодических проверках. В этом случае проблема устраняется уже после того, как она была обнаружена, а усилия инженеров направлены на предотвращение её повторного появления.

Алгоритм автоматизированного мониторинга на базе CDR

При отсутствии дорогостоящих промышленных систем фрод-мониторинга эффективную защиту можно построить на анализе записей о вызовах (CDR). Основным ресурсом в данном случае являются данные о совершенных звонках и базы черных списков номеров. Для систем, где используется модернизация АТС, такой подход становится критически важным звеном в обеспечении безопасности.

Алгоритм работы системы мониторинга разделяется на несколько этапов:

1. Первичный сбор данных и проверка работоспособности системы
   Система с определенной периодичностью (например, каждые 40 минут) запрашивает данные из базы CDR. В первую очередь отслеживаются все вызовы на международные направления (через префикс 8-10 или «+»). Если запрос возвращает нулевой результат, это может свидетельствовать о поломке системы сбора CDR. В этом случае интервал проверки сокращается до 6 минут, а дежурному инженеру отправляется уведомление для проверки работоспособности станции.
2. Фильтрация и использование белых списков
   Для исключения ложных срабатываний используется белый список А-номеров. В него вносятся клиенты, специфика работы которых предполагает большие объемы легитимного международного трафика (например, туристические агентства). Если подозрительный вызов инициирован номером из белого списка, он исключается из дальнейшего анализа.
3. Анализ частоты вызовов и блокировка
   Если в выборке остаются подозрительные данные, система проверяет количество вызовов для каждого А-номера и Б-номера:
   • Если один и тот же инициатор вызова (А-номер) совершает более 25–50 звонков за короткий период на международные направления, система автоматически блокирует данный номер.
   • Если наблюдается повторяющийся Б-номер (номер назначения), на который звонят разные абоненты, он также подлежит проверке. При превышении порога в 20–50 вызовов формируется тревожный сигнал для инженеров или производится автоматическая блокировка.
4. Работа с черными списками и причинами отбоя
   Все заблокированные Б-номера попадают в черный список. Удаление из этого списка производится только вручную дежурным инженером после подтверждения легитимности трафика. При подтверждении фрода инженер может заблокировать целую маску номеров (например, маску на 10 или 100 номеров) для определенного подозрительного направления.

Дополнительно настраивается мониторинг специфических причин разъединения вызовов. Если фиксируется массовый перебор номеров, которые уже находятся в черном списке и отбиваются станцией со специальным кодом (например, уникальный iSup-код 91 или 404 с комментарием), система генерирует отчет для техподдержки. Это позволяет выявить попытки массового взлома на ранней стадии.