Образовательный портал о технологиях мобильной связи


Немного о мошенничестве в биллинге .


      
Фрод – это использование программных дыр оператора, агрегатора, контент-провайдера, биллинга. Чаще всего мошенники ориентируются на недочеты на стороне оператора, поскольку они наиболее известны и, несмотря на это, у многих все еще присутствуют. Фрод – это в первую очередь отмывание денег через SMS-сервисы (в основном сервисы пополнения аккаунтов). Наибольшему риску подобных махинаций подвергаются сервисы пополнения электронных счетов (Webmoney, Yandex.Dengi, EGold и т.п.), поскольку в этом случае мошенник имеет возможность конвертировать средства с телефонного счета фактически в «живые» деньги, пусть и электронные.

Существует два основных вида фрода:

1) Конвертация денег с карт с начальным балансом. Механизм следующий: мошенники приобретают у дилера несколько сотен карт (у каждой карты на момент продажи на счету 5 у.е.) и отправляют с каждой из них SMS на сумму не более 20 у.е. (больше не позволяет антифрод-система); зачастую мошенниками оказываются сами дилеры, реализующие sim-карты. В итоге с 300 карт, к примеру, конвертируется более 3200 у.е. Оператор в таких случаях обнаруживает, что средства не обеспечены, достаточно поздно (через неделю, 2 недели, иногда месяц). Естественно, такие необеспеченные SMS оператор не оплачивает. Зачастую он также требует информацию от агрегатора о субпартнере, через сервис которого происходил отмыв средств.

2) Конвертация денег с использованием «дыр» в биллинге оператора. Способ основан на том, что с одной карты можно отправить неограниченное количество SMS, и оператор не отключит номер. Таким образом может происходить отмыв средств с корпоративных счетов или краденых телефонов.
Тем не менее, по таким запросам операторы обычно платят, но только до тех пор, пока конвертация не достигнет большого объема. Когда оператор определяет факт мошенничества, выплаты прекращаются. Подобными мошенниками, как правило, занимается служба безопасности оператора. Однако деньги агрегатору/биллингу не выплачиваются; в подобных случаях происходит так называемый откат номеров: из уже установленной суммы к выплате вычитаются средства, заработанные на SMS с фродовых номеров.

Для слива крупных сумм либо с большого количества карт мошенники используют специальную аппаратуру. В машинку вставляются sim-карты и она автоматически отправляет сообщения с заданным текстом на указанный номер через установленные промежутки времени.

Могут быть случаи, когда мошенник осуществляет отмывание денег через свой собственный сервис. Т.е. сообщения отправляются не на какой-либо из существующих префиксов (к примеру, для зачисления средств на свой электронный счет), а сам мошенник регистрируется на биллинге как партнер, создает свой сервис и сам же сливает деньги через него. Именно этим обусловлено повышенное внимание биллингов и операторов к субпартнерам с высоким уровнем фрода по сервису.

Способы защиты:

1) Фрод-лимит у операторов/агрегаторов/биллингов. Эта схема заключается в том, что программное обеспечение позволяет отправлять SMS, общая цена которых не превышает определенной суммы, в определенный промежуток времени с одного и того же телефона. Т.е. если фрод-лимит выставлен, к примеру, на 10$ в час, то все SMS после превышения этой суммы получат в системе статус «фрод», услуга по ним не будет предоставлена и они не будут оплачены партнеру, на сервис которого они были отправлены. Порог фрода реагирует не на количество отправленных сообщений, а на сумму, которую потратил абонент за заданный период времени. Т.е. если фрод-лимит установлен на 10$ в час, то за час один абонент может отправить не более 2 пятидолларовых SMS, 3 трехдолларовых и т.д. Также фрод рассчитывается не для конкретного сервиса, а для всех номеров системы. Т.е. если абонент отправил несколько SMS на общую сумму в 10$ на один сервис, а потом отправит еще одно сообщение на другой в течение этого же часа, это сообщение все равно получит статус “фрод». Однако фродеры чаще всего обходят эту меру защиты, выставляя график отправки SMS так, чтобы не превышать порог фрода.

2) Введение кода подтверждения. Для защиты от автоматического фрода (т.е. отправки SMS не вручную, а со специальных аппаратов, как это и происходит в большинстве случаев) можно предоставлять услугу/зачислять деньги на счет не по факту отправки платного сообщения, а по факту введения кода подтверждения на сайте сервиса. Т.е. после отправки SMS пользователь получает ответное SMS с кодом, который ему необходимо ввести на сайте для подтверждения заказа услуги. Если пользователь не вводит код в течение определенного времени, услуга ему не предоставляется.
Поскольку фрод-машинки могут только отправлять SMS, код введен не будет и деньги зачислены на счет также не будут.

3) Программное ограничение на количество номеров, с которых происходит пополнение одного аккаунта. Эта схема защиты была разработана специально для сервисов пополнения аккаунтов, поскольку именно они являются группой риска с точки зрения фродерских махинаций. Она основывается на том, что, к примеру, в случае со сливом денег с карт с начальным балансом, пополнение счета происходит с большого количества телефонных номеров. Чтобы избежать этого, в программу учета и пополнения встраивается ограничение на количество номеров, ассоциируемых с конкретным кошельком. Допустим, если выставлено ограничение «2 телефона на 1 кошелек», при попытке зачисления денег с третьего номера пополнение не будет произведено и владелец сервиса будет уведомлен о возможной попытке мошенничества.

4) Отслеживание активности телефона в системе. В качестве дополнительной меры безопасности возможно введения специального параметра, который отражает активность телефона в системе и сумму, потраченную данным абонентом за указанный период времени. В него входят:
- время с момента первого появления номера в системе. Это также дает возможность судить о надежности номера. К примеру, если сообщения на префиксы системы с конкретного номера отправляются уже длительный период времени, мошенничество с него маловероятно, поскольку он не находится в черном списке несмотря на длительную активность.
- информация о сумме, потраченной абонентом на платные SMS за последние сутки. Этот параметр обновляется в реальном времени и дает возможность своевременно пресечь попытки слива денег, если сумма превышает определенный предел.
Наиболее эффективен анализ обоих параметров в сочетании. Так, например, телефон, появившийся в системе недавно (в особенности, существующий первые сутки), с которого за последние 24 часа потрачена крупная сумма, с очень серьезной долей вероятности будет относиться к мошенническим.




2.Спам.

Спам – использование рассылок для обмана абонентов. В рассылках распространяется информация, вводящая пользователя в заблуждение. Она может производиться по электронной почте, по SMS, по ICQ, через СМИ и т.п.

Мошенники непосредственно через SMS либо каким-то другим способом распространяют ложную информацию, побуждающую абонента отправить платное SMS-сообщение на префикс своего сервиса. Например, «Акция от оператора - отправь SMS на 1171 и получи 1000 рублей на свой счет» или «Отправь SMS на номер 1171 и выиграй автомобиль». Чаще всего такими вещами занимаются дилетанты, и их махинации раскрываются достаточно быстро. Тем не менее, при жалобе пользователя, просто получившего несанкционированную рассылку или последовавшего указанным инструкциям и не получившего обещанное, оператор не выплачивает деньги по таким SMS.

Зачастую такие рассылки охватывают очень большой круг абонентов и используют одновременно разные средства распространения информации (например, SMS и электронная почта). Также случается, что спам-рассылку проводит не сам владелец сервиса, а его клиент (к примеру, с целью зачислить деньги конкретно на свой аккаунт на сервисе), либо конкурент с целью скомпрометировать владельца сервиса.

Защита от спама:

1) Антиспам-система, базирующаяся на понятии идеального трафика. У каждого оператора сотовой связи свой процент в этом идеальном трафике. Все, что не укладывается в определенный коэффициент по расхождению с этим трафиком - считается спамом.
Например, МТС Москва в идеальном трафике составляет 12%. Ограничение, после которого сообщения с этого оператора будут считаться спамовыми, обычно превышает порог идеального трафика, чтобы одновременно с защитой не создавать проблем в работе. Это обусловлено тем, что некоторые сервисы ориентированы на жителей конкретных регионов, где действуют не все операторы сотовой связи, либо вообще на абонентов конкретного оператора.
Допустим, у партнера по умолчанию идет по сервису МТС 40% трафика (идеальный трафик МТС плюс запас для сервисов с аномальным трафиком). Когда будет превышен рубеж в 40%, все последующие SMS будут считаться спамовыми в течение последующих 96 часов.
Свой процент в идеальном трафике и коэффициент его возможного превышения устанавливается для каждого партнера. В основной массе случаев аномальный трафик является либо результатом массовой спам-рассылки (обманутые пользователи начинают отсылать SMS в надежде получить обещанный приз), либо результатом крупных фродерских махинаций; в обоих случаях SMS со статусом «спам» будут заблокированы системой и не будут оплачены.

2) Введение кода подтверждения. Схема действия аналогична соответствующей защите от автоматического фрода: услуга предоставляется не по факту отправки SMS, а по факту введения на сайте кода подтверждения, который отправляется пользователю в ответном SMS. Также в ответном SMS должны быть указаны контактные данные службы поддержки сервиса. Поскольку для подтверждения услуги нужно зайти на сайт и ввести код, клиент будет знать, что его ввели в заблуждение касательно оказываемой услуги и сможет обратиться в службу поддержки для возврата средств. В противном случае крайне вероятна жалоба от абонента оператору, что вызовет проблемы у партнера.

3. Вирусы и трояны.

Данная категория мошеннических действий очень тесно связана с предыдущей – спамом. Во-первых, в связи с тем, что путем спам-рассылок часто распространяются вирусы, во-вторых, потому что методы защиты от этих двух способов мошенничества на стороне агрегатора/биллинга одинаковы.

SMS-мошенничество может происходить как с использованием вирусов под операционные системы телефонов, так и под ПК, хотя первая ситуация является более распространенной.

На современные мобильные телефоны устанавливаются достаточно сложные операционные системы, и существуют вирусы под них, которые могут заставить телефон отправлять SMS без вашего ведома. Такой вирус телефон может быть заражен через Интернет, также он может быть прислан в SMS-рассылке. Персональный компьютер тоже может быть заражен вирусом, который потребует отправки SMS на определенный номер для продолжения работы на компьютере.

Схема защиты на стороне клиента – обеспечение антивирусной безопасности компьютера и телефона, установка надежных антивирусных программ и своевременное их обновление.

Схема защиты на стороне партнера – та же, что и для спама, поскольку вирусы, отправляющие SMS без ведома владельца телефона, естественно, ограничены только этой функцией и не могут вводить код подтверждения.

4. ДДОС-атаки.

DOS/DDOS-атака – действия хакеров, направленные на нарушение нормальной работы сервиса с целью сделать его недоступным для пользователей. Дословно DOS-атака (Denial of Service) – атака на отказ в обслуживании; DDOS-атака (Distributed Denial of Service) – распределенная атака на отказ в обслуживании. Подобные атаки могут осуществляться двумя способами:
- использование программных уязвимостей. Хакер отправляет на сервер код, рассчитанный на слабые места программного обеспечения; код выполняется на самом атакуемом сервере и нарушает его работу изнутри. Это менее распространенный и популярный способ. Он не требует серьезных ресурсов со стороны хакера, однако уязвимости программного обеспечения конкретного сервера еще нужно обнаружить, что делает его более сложным.
- перегрузка сервера большим количеством сетевых пакетов. Этот тип атаки является более распространенным, хотя и требует большего количества ресурсов. Существуют подтипы таких атак в зависимости от того, какие конкретно пакеты данных отсылаются и по какой причине нарушается работа сервера, однако они все основаны на перегрузку сервера внешними данными (превышение лимита на количество соединений, перегрузка сервера большим количеством данных, которые он не успевает обрабатывать и давать ответ).
Второй тип в наибольшей степени относится к DDOS-атакам, поскольку осуществить перегрузку сервера с одного-двух компьютеров практически невозможно. В качестве дополнительных ресурсов используются предварительно зараженные вирусами компьютеры простых пользователей, которые по отсылаемой команде и осуществляют атаку. Количество зараженных компьютеров, необходимых для успешной атаки на сервер, определяется мощностью сервера и шириной его канала доступа в Интернет. Таким образом можно нарушить работу любого сервера, вопрос только в том, какой Интернет-канал и какое количество зараженных компьтеров понадобится.

Такие атаки являются одним из противозаконных способов конкуренции в Интернет-бизнесе. Несмотря на нелегальность способа, он довольно широко используется во многих областях. В частности, SMS-агрегаторы и биллинги относятся к группе риска, поскольку для них недоступность сервиса означает финансовые потери, которые исчисляются буквально по минутам (в особенности при большом SMS-трафике), а также серьезное количество жалоб пользователей. Это не только серьезно снижает репутацию сервиса, но и заставляет многих клиентов искать ему замену, поскольку убытки биллинга в данном случае означают и убытки его партнеров. При длительной эффективной DDOS-атаке на сервис очень высока вероятность его банкротства.

Проблему составляет также то, что найти злоумышленников практически невозможно. Услуги DDOS-атак предлагают многие хакеры, однако вычислить их крайне сложно, поскольку большинство из них хорошо знакомы с методами обеспечения анонимности в Интернет, и информация об их личных данных и IP-адресах является хорошо защищенной. Вычисление IP-адресов, с которых ведется атака также ничего не дает, поскольку это адреса зараженных компьютеров пользователей, которые даже не подозревают, что участвуют в атаке.

Однако есть и способы защиты от DDOS, как аппаратные, так и программные. К аппаратным относится распределение системы на несколько серверов, установка большого количества серверов в различных дата-центрах, установка специальных аппаратных систем защиты от атак, маршрутизаторов вроде cisco и т.п. Однако помимо установки аппаратной защиты необходима ее грамотная настройка специалистами, иначе защита не даст эффекта. Некоторые компании предоставляют подобные услуги, но стоят они недешево. Кроме того, необходимо также провести нагрузочное тестирование оборудования.

Программные способы защиты от DDOS также различны, однако действую они все по одному принципу: увести атаку от себя и тем самым снизить нагрузку на сервер. К ним относится редирект на пустые страницы, проверка по сессии, ограничение числа соединений к базе данных и т.п.). Однако при грамотном подходе к любой программной защите можно написать соответствующий запрос, который бы ее обходил, хоть и это и потребует несколько больше времени.

100% защиты от DDOS не существует. Для большей эффективности можно комбинировать и совершенствовать аппаратные и программные системы защиты. Существуют системы крайне высокой эффективности, однако в данном случае это является коммерческой тайной.