Антифрод: как компании не стать жертвой телефонных мошенников

С повсеместным переходом на IP-телефонию и удаленную работу компании столкнулись с новой волной фрода — телефонного мошенничества. Злоумышленникам теперь не нужно подключаться к оборудованию напрямую — достаточно получить удаленный доступ через интернет. Мы как оператор связи помогаем останавливать таких мошенников. Рассказываем, как мы это делаем и как вы можете обезопасить себя.

 

Thumbnail

 

Елена Мешковская
Эксперт по гарантированию доходов и фрод-мониторингу

 

Thumbnail

 

Валерий Родионов
Эксперт по гарантированию доходов и фрод-мониторингу

 

С каким фродом мы боремся

Фрод — собирательное название для многих видов мошенничества. В телекоммуникационном бизнесе — это когда мошенник от имени и за счет клиента совершает международные звонки.

Взлом оборудования клиента — наиболее частый случай мошенничества. Злоумышленник пропускает трафик через его станцию без оплаты. Оператор связи при этом может зафиксировать аномальный всплеск — генерацию дорогого международного трафика на направления PR (premium rate) или IRS (International Revenue Sharing, премиальный номер с разделением прибыли).

Мы как оператор воспринимаем такой трафик как легитимный. Но видим, что он идет по нетипичным направлениям, по которым клиент раньше не звонил.

Например, клиент — банк или завод, у которого все клиенты в странах СНГ. Внезапно с его оборудования фиксируются многочисленные звонки на номера с кодами африканских стран. Это — аномалия, которую мы детектируем, оповещаем клиента и при необходимости блокируем. А если клиент — посольство далекой тихоокеанской страны, то и звонки в эту страну будут для него обычным делом.

 

Кто и когда занимается фродом

Цели мошенников разные: обычное хулиганство, экономия своих денег за счет ресурсов компании, месть уволенного сотрудника или целенаправленная трата денег компании, чтобы разорить ее.

Но Orange не занимается поиском мошенников — это работа правоохранительных органов. Наша цель: своевременно выявить и заблокировать нежелательные звонки, чтобы клиент не тратил деньги на трафик, которым не пользуется.

Фрод обычно совершается в нерабочее время
Это различные праздники и выходные. Мошеннику легче зайти на АТС и дистанционно сделать звонки, когда клиент и, как ему кажется, оператор этого не контролируют.

 

Каким компаниям угрожает фрод

Проблема касается любых компаний. По размерам это может быть и корпорация на тысячи человек, и небольшой офис на 5 компьютеров. 

Если при внедрении новых технологий компания не привлекает грамотных специалистов и не уделяет внимания безопасности оборудования, то риск стать жертвой мошенников возрастает. Наибольшему риску подвержены компании с недорогим, плохо защищенным оборудованием или с бесплатным софтом. Если системный администратор не настраивает мониторинг или не ставит надежные пароли, то незаметно взломать могут и надежное оборудование с платным программным обеспечением.

Оператор не может полностью защитить клиента при некачественной настройке или уязвимом оборудовании
Часто клиент думает, что оператор может защитить его и заблокировать мошенника. Но проблема редко бывает на стороне оператора. Обычно злоумышленник подключается именно к оборудованию клиента, к которому у нас нет доступа.

В то же время мы должны рассматривать любой идущий от клиента трафик как легитимный и включать его в счет. Поэтому помочь полностью избежать фрода мы не можем — только минимизировать его, вовремя заметив и отреагировав на подозрительный трафик.

 

Сколько может стоить проблема

Мы регистрируем сотни случаев подозрительного трафика каждый год. Сумма, на которую «наговорил» мошенник, всегда разная и зависит от числа вызовов, их длительности и стоимости. Например, злоумышленник мог совершить один часовой звонок по одной линии, а мог — несколько десятков звонков за 1 минуту по нескольким линиям одновременно. Ущерб варьируется от нескольких сотен до нескольких сотен тысяч рублей.

С каждым годом Orange совершенствует системы, правила и комплекс мер по противодействию мошенничеству, обучает сотрудников, улучшает взаимодействие с клиентами. И как результат — повышается скорость, с которой Orange детектирует и блокирует подозрительный трафик.

 

Как мы вычисляем и останавливаем фрод

Фрод обнаруживается автоматически — за мониторинг и открытие тикетов отвечает созданная нами система. Вот как она работает:

  • Система анализирует трафик 
    Мы анализируем трафик, исходящий от наших клиентов, по нескольким показателям. В первую очередь — по направлениям. Есть несколько сотен рисковых международных направлений (кодов): вроде Африки, азиатских стран, стран Карибского бассейна. Туда наши клиенты обычно не звонят.
  • При совпадении нескольких параметров открывается тикет
    Когда система видит, что трафик идет по «опасному» направлению и совпадают еще несколько параметров, она автоматически открывает тикет для анализа.
  • Сотрудник HelpDesk анализирует тикет
    Далее HelpDesk анализирует тикет и поступает по-разному в зависимости от типа клиента и времени. В целом мы стараемся оповестить клиента, чтобы он мог проверить подозрительный трафик. Если время для клиента нерабочее, мы отключаем трафик сами для снижения возможного ущерба.

 

Метрики, по которым определяют нелигитимность голосового трафика, различаются у каждого оператора. Все зависит от статистики, которой он обладает: для некоторых это объем звонков, для других — их время, для третьих — стоимость или продолжительность.

 

Как минимизировать риски фрода

 

  • Проверьте политику установки, изменения и хранения паролей. Установите сложный пароль администратора, используйте правила создания безопасных паролей, шифруйте пароли. Если возможно, обеспечьте шифрование паролей в файлах конфигурации АТС.
  • Регулярно проверяйте настройки безопасности вашего оборудования. Периодическое сканирование проводится с помощью автоматизированных средств поиска и контроля уязвимостей. Такой аудит обеспечивает высокую защищенность периметра сети. Консультирование по периодическому сканированию может провести Orange.
  • Внесите ограничения отдельным категориям ваших сотрудников, не связанным по работе с необходимостью совершения междугородних или международных звонков.
  • Проводите контрольные проверки системы. Если позволяет ваше оборудование, настройте параметры системы так, чтобы ограничить ее использование в ночное время, выходные и праздничные дни.
  • Если вы доверили кому-то эксплуатацию АТС, убедитесь в его компетентности и профессионализме.
  • Используйте группы и профили для администрирования доступа пользователей (например, «администратор», «продавец»). Создайте соответствующую конфигурацию под каждую группу и изменяйте настройки, указывая пользовательские разрешения. Избегайте использования профиля «по умолчанию» для всех.
  • Проверьте параметры конфигурации голосовых услуг и переадресацию. Убедитесь, что эти опции доступны только пользователям, которым это действительно необходимо. Проводите мониторинг трафика на предмет чрезмерного или неправомерного использования.
  • Избегайте использования настроек «по умолчанию» для голосовой почты, DISA (прямой внутрисистемный доступ), IVR (интерактивное голосовое меню), автосекретаря.
  • Ограничивайте доступ к системе при подключении через IP или Wi-Fi. Используйте SBC (пограничный контроллер сессий) и Firewall для ограничения доступа.
  • Убедитесь, что администраторы используют антивирус и антиспам-защиту.
  • Проводите регулярную проверку системных событий и журналов АТС.
  • Если у системных администраторов или другого техперсонала, обслуживающего вашу АТС, поменяются email или номер телефона, сообщите обновленные данные своему оператору связи. При подозрении на фрод оператор сможет быстро связаться с вами и согласовать действия по устранению уязвимости.
Orange logo
Команда Orange

We are a bunch of people sharing the latest news with our customers and users. We love to write about technologies that are changing our daily life for better. Have a question? Feel free to drop a line to one of us — yuliya.bibisheva@orange.com