Межоператорский фрод: типы, механизмы реализации и методы противодействия

Современный рынок телекоммуникаций сталкивается с серьезной угрозой, способной наносить ущерб в миллиарды рублей ежегодно. Речь идет о межоператорском фроде — несанкционированном использовании сервисов оператора связи третьими лицами для извлечения прибыли. В отличие от более привычного абонентского фрода, где угроза исходит от конечного пользователя или злоумышленника, взломавшего АТС предприятия, межоператорское мошенничество реализуется на межстанционных стыках транзитных узлов. Здесь злоумышленником выступает другой оператор, который использует недостатки инфраструктуры или некорректные настройки оборудования своего партнера для получения нелегитимной выгоды.

Сложность идентификации таких инцидентов заключается в том, что критически важная информация для обнаружения и доказательства вины часто находится на стороне самого оператора-злоумышленника. При перемещении телефонного трафика по цепочке транзитных узлов происходит параллельное движение денежных средств: оператор получает вознаграждение от абонента и распределяет его далее по цепочке. В этой схеме зоновые операторы, терминирующие вызов на конечного абонента, нередко оказываются в экономически менее выгодном положении, что может подталкивать их к участию в различных схемах обхода легальных маршрутов. Своевременный аудит IP-ATC позволяет выявить уязвимые места в настройках и предотвратить часть рисков, связанных с некорректной маршрутизацией.

Особенности и классификация операторского фрода

Межоператорский фрод отличается огромными объемами трафика. Поскольку через международные и междугородние транзиты проходят колоссальные потоки данных, даже минимальные манипуляции в пересчете на общее количество минут приносят мошенникам сверхприбыль. Эксперты профильных ассоциаций выделяют более 200 видов мошенничества, которые постоянно эволюционируют. Злоумышленники зачастую действуют на несколько шагов впереди служб безопасности, комбинируя различные методы и сценарии. Глобально все типы межоператорского фрода можно разделить на четыре основные группы:

1. Манипулирование сигнализацией.
2. Манипулирование маршрутами.
3. Манипулирование стоимостью (ценовые игры).
4. Манипулирование вызываемым номером (B-номером).

В основе большинства схем лежат три фактора: технические ошибки инженеров, недоработки юристов при составлении договоров на присоединение и недостатки программного обеспечения коммуникационного оборудования. Если установка Asterisk была выполнена без учета требований безопасности и глубокой настройки биллинга, риск стать жертвой одной из таких схем существенно возрастает.

Манипуляции с сигнализацией: FAS, Early Answer и подмена номеров

Одним из наиболее распространенных методов является искажение А-номера (номера вызывающего абонента). Это часто используется при реализации рефилинга или GSM-терминации. Оператор подменяет оригинальный номер на зоновый или изменяет код страны на тот, по которому транзитный тариф будет дешевле. Также возможна манипуляция с параметром Calling Party Category: вместо категории «International» устанавливается «National», что заставляет биллинг партнера маршрутизировать вызов по более низким внутригосударственным ставкам.

Наиболее известным типом фрода в этой категории является FAS (False Answer Supervision) — ложный ответ. Механизм выглядит следующим образом:

• Транзитный оператор, вместо того чтобы приземлить вызов дальше по цепочке, имитирует ответ стороны B.
• Злоумышленник не выбирает каждый вызов, а работает с определенной процентной выборкой из общего потока трафика, чтобы аномалию было сложнее заметить.
• Все средства за транзит остаются у оператора-фростера, хотя фактического соединения с вызываемым абонентом не произошло.

К этой же категории относятся Early Answer (ранний ответ) и Late Disconnect (позднее разъединение). В первом случае оборудование мошенника «снимает трубку» раньше, чем поступил реальный ответ от абонента, играя на разнице в длительности вызова. Во втором — соединение удерживается активным несколько лишних секунд после того, как абонент положил трубку. На огромных объемах международного транзита эти «секунды» и «копейки» складываются в значительные суммы. Для защиты от подобных инцидентов необходима комплексная защита IP-ATC, включающая мониторинг аномалий в поведении трафика.

Манипуляции с ценой и B-номером

Ценовой фрод и арбитраж строятся на разнице в стоимости направлений. Мошенники могут предлагать дешевые тарифы на определенные префиксы, в то время как другие номера в рамках того же договора прописаны по завышенным ценам. Невнимательность юридических отделов или отсутствие автоматизированного контроля цен приводит к тому, что оператор-жертва начинает платить за востребованные направления выше рыночной стоимости.

Манипуляции с вызываемым номером (B-номером) реализуются через механизмы переадресации или добавления префиксов. Приведем пример сложной схемы:

1. Вызов поступает на оборудование фродстера.
2. Фродстер анализирует, что это дорогой международный вызов.
3. К номеру добавляется локальный префикс (например, 495 для Москвы), и вызов отправляется в зоновый стык оператору-жертве.
4. Если оборудование жертвы настроено некорректно и анализирует префикс без учета общей длины номера, оно отрезает локальную часть и отправляет вызов обратно в международные таблицы маршрутизации.
5. В итоге фродстер платит за вызов как за локальный (внутризоновый), а оператор-жертва оплачивает полную стоимость международного приземления.

Такие инциденты крайне сложно выявить в режиме реального времени, так как биллинг фиксирует легитимное прохождение вызова. Только глубокое изучение Call Flow и сопоставление данных из разных сегментов сети может вскрыть подобную активность. Профессиональное проектирование и настройка сети минимизирует вероятность возникновения таких «дыр» в логике обработки вызовов.

Манипуляции с маршрутами: рефилинг и петли трафика

Uруппа фрода, связанная с манипулированием маршрутами, включает в себя рефилинг (подмену международного трафика местным), GSM-терминацию и использование OTT-сервисов. В последнем случае вызов терминируется через Viber или WhatsApp вместо традиционной телефонной сети. Для вызываемого абонента это выглядит как обычный звонок в мессенджере, но для оператора это означает полную потерю прибыли за приземление трафика.

Особое место занимают петли трафика (Tromboning):

• Простая петля: оператор-мошенник принимает вызов и тут же отправляет его обратно оператору-инициатору через другой стык, выдавая его за новый входящий вызов. Это делается для искусственной «накрутки» CDR (записей о вызовах) и получения прибыли на разнице тарифов.
• Сложная петля: вызов возвращается инициатору через цепочку третьих операторов, что делает отслеживание маршрута практически невозможным.
• человеческий фактор в процессе минимизирован.

Фродстеры обычно действуют осторожно, не допуская резких всплесков, которые могут быть замечены автоматизированными системами мониторинга. Они предпочитают стабильно извлекать небольшую прибыль в долгосрочной перспективе. Если компания активно использует IP-телефонию для удаленных сотрудников, контроль за корректностью маршрутизации становится критически важным для исключения нецелевого расходования средств.

Методы борьбы и экономический эффект

По оценкам экспертов, ежегодные потери операторов связи от фрода только в России могут составлять миллиарды рублей. Это до 20% от общей выручки в сегменте транзитного трафика. Основным методом борьбы остается анализ аномалий и мониторинг CDR. К подозрительным признакам относятся:

• Резкие скачки трафика на определенные международные направления.
• Аномально короткие или, наоборот, слишком длинные вызовы.
• Высокий процент неудачных попыток вызова.
• Несоответствие А-номеров и категорий вызова используемым стыкам.

Одним из перспективных направлений считается внедрение блокчейн-технологий для межоператорских взаиморасчетов. Децентрализованный механизм хранения и валидации данных позволит исключить возможность ручной правки сверок и повысит доверие между участниками рынка. Это создаст единую, неизменяемую базу данных о вызовах, доступную всем легитимным операторам.