Kladivo na podvodn�ky

aneb jak se odhalují podvody v telekomunikacích

• �asopis: PC World Security, 1/2007
• Autor: Martin Mach, Adastra Corporation
• Klí�ová slova: Fraud System, telekomunikace, Revenue Assurance

Vybaví se vám ob�as ten nep�íjemný pocit… Je �tvrte�ní dopoledne a vy nem��ete najít sv�j mobilní telefon s klasickým tarifem! Zapomn�l jsem ho doma? Nechal jsem ho ve vedlejší kancelá�i na stole u kolegy? Nebo mi ho n�kdo sebral?

Pokud jste sv�j telefon vzáp�tí objevili, ur�it� si ješt� pamatujete na ten pocit úlevy. Pokud ne, za�alo martyrium s voláním si na vlastní �íslo, dotazováním man�elky atd. a nakonec s kontaktováním vašeho mobilního operátora. A pokud se vám s ním poda�ilo spojit a� po n�kolika hodinách od okradení, ur�it� jste trnuli hr�zou, jakou �ástku stihne z vašeho ukradeného telefonu zlod�j provolat. Jestli�e jste m�li št�stí a operátor m�l správn� naimplementován systém na detekci podvodného chování neboli Fraud Detection System, ukradený telefon rychle odhalil a volání z n�j zablokoval a tím Vám ušet�il celkem slušnou sumu pen�z.

Na fraudy p�ipadá 35 – 40 miliard dolar�
Ve sv�t� se detekci a prevenci podvod� v telekomunika�ním sektoru v�nuje velká pozornost. A není divu. Podle posledních odhad� asociace telekomunika�ních spole�ností dosahují celosv�tové ztráty zp�sobené podvodným chováním neboli fraudy 35 – 40 miliard dolar� ro�n�. Co víc, tyto ztráty se ka�dým rokem zvyšují tempem 11-25 % ro�n�. Pro porovnání celkový r�st výnos� v telekomunikacích se pohybuje mezi 3-8 % za rok.

Jednotlivé fraudy se dají rozd�lit do n�kolika základních kategorií. Prvním a nejrozší�en�jším typem je tzv. subscription fraud. Z�ízení telekomunika�ní slu�by a  její pou�ívání s úmyslem za ní nezaplatit je asi nejznám�jší p�ípad. Spadá sem také ji� zmín�né pou�ití ukradených telefon�. Druhou skupinou podvod� je technický fraud, který zahrnuje nap�íklad napojení se na cizí linku, klonování telefon� a SIM karet a volání p�es hlasové schránky jiných zákazník�. Ve t�etí kategorii najdeme širokou skupinu podvod� páchanou „d�v�ryhodnými“ obchodními partnery, proto se jí �íká partnerský fraud. �tvrtou skupinu podvod�, tzv. vnit�ních fraud�, provádí zam�stnanci operátora. Typickým p�íkladem je modifikace nastavení ú�tování pro vybraná �ísla. V poslední skupin� s názvem p�edplatitelské podvody m��eme najít aktivity v�nované nezákonnému zneu�ívání p�edplacených karet.

Co všechno o Vás operátor ví
Data, která o Vás m��e, a pro pot�eby orgán� �inných v trestném �ízení i musí, telekomunika�ní firma skladovat, jsou pom�rn� p�esn� ur�ena zákonem o elektronických komunikacích a zákonem o ochran� osobních údaj�. Pro vyhodnocení podvodného chování operáto�i standardn� ukládají dva základní typy údaj�:

• 1. informace o zákaznících jako jsou nap�íklad pr�m�rná provolaná �ástka za ú�etní období, platební morálka a velikost firmy;
• 2. data o událostech v síti, z nich� se skladují nap�íklad údaje o �ase, míst�, délce a ú�astnících telefonního hovoru.

Údaje prvního typu obsahují �ádov� milióny záznam� (dle po�tu zákazník� daného operátora), informací druhého typu se generuje obvykle n�kolik desítek a� stovek milión� za den. Najít podez�elé chování v takovém mno�ství dat vy�aduje sofistikované algoritmy a jedná se o výpo�etn� velice náro�nou úlohu. Vše je navíc ztí�eno po�adavkem na on-line nebo tém�� on-line zpracování. Pokud by systém reagoval s denním zpo�d�ním, mohla by dosáhnout, i za tak relativn� krátký �asový interval, p�ípadná ztráta z jediného telefonu v rukou podvodníka a� n�kolika stovek tisíc korun. A to bereme v úvahu pouze klasické telefonní slu�by. V p�ípad� rozší�ení a zneu�ití mobilních plateb by škody mohly dosáhnout �ástek mnohem vyšších.

Jak to vlastn� funguje
Jaké jsou základní principy fungování fraudových systém�? P�íslušné algoritmy porovnávají tzv. absolutní nebo relativní ukazatele. Absolutní ukazatele jsou skupiny limit� a pravidel aplikovaných na ur�ité typy slu�eb. V praxi se pou�ívají nap�íklad pravidla uplat�ovaná na volání na barevné linky (zelené linky – p�ed�íslí 800, prémiové linky za�ínající 90x), do exotických destinací nebo nadm�rné volání z nov� z�ízené telefonní linky u zákazníka bez jakékoliv historie. Relativní ukazatele se sna�í postihnout zm�nu v chování zákazníka. Ka�dý u�ivatel nebo skupina u�ivatel� telefonní sít� má ulo�en sv�j profil, který se s �asem vyvíjí, a ten se porovnává s jeho aktuálním chováním.

Jako dopln�k výše uvedených základních algoritm� se pou�ívají speciální moduly, jejich� úkolem je odhalit specifické podvody. Jedním z nich je monitorování klonovaných telefon� a SIM karet pomocí algoritm� s názvy Velocity check a Collision check. Principem fungování je porovnání aktivit stejných telefonních p�ístroj� (p�ípadn� SIM karet) s ohledem na jejich geografickou polohu. V p�ípad� nalezení dvou hovor� ze stejného telefonního �ísla v Aši a Ostrav� v rozmezí deseti minut je vygenerováno upozorn�ní na klonovanou SIM kartu. Další sledovanou oblastí bývá analýza parametr� nastavených na jednotlivých sí�ových prvcích a jejich porovnání s nastavením v IT systémech. Zde dochází k prolínání fraudových systém� se systémy na Revenue Assurance, je� slou�í k analýze, vyhodnocení a korekci rizik únik� z p�íjm� – vysv�tlit/p�elo�it.

Na základ� nastavených parametr� se analyzují podez�elé vzorce chování a generují se upozorn�ní. Nejv�tším problémem je, �e u �ádného vygenerovaného podez�ení neexistuje stoprocentní jistota. To je velice nep�íjemné hlavn� v p�ípadech falešného podez�ení, kdy je korektní chování ozna�eno za podvodné.  Vzniká zde riziko zbyte�ného obt�ování platícího zákazníka, který se m��e rozhodnout odejít ke konkurenci. Proto bývá poslední instancí pracovník z odd�lení pro odhalování podvod�. Na n�m je, aby na základ� dostupných údaj� posoudil, jaké bude �ešení daného p�ípadu. Samoz�ejm� mu v tom pomáhají existující procesy, které má ka�dý operátor zpracované na základ� p�edchozích zkušeností. Typický postup zahrnuje kontaktování zákazníka a pokus o do�ešení dané situace nap�íklad formou slo�ení depositu na prodejn� operátora. Jestli�e není mo�né se se zákazníkem dohodnout nebo ho kontaktovat na telefonní �íslo, aplikují se ur�ité restrikce, v krajním p�ípad� dojde k jeho odpojení.

 Obrázek 1 – Typické schéma fraudového systému

Situace na trhu
A�koliv v sou�asné dob� existují na trhu desítky produkt� od r�zných spole�ností, pou�ívá asi t�etina telekomunika�ních operátor� vlastní systém. D�vodem je nutnost p�izp�sobit produkt regionálním a právním podmínkám a technické infrastruktu�e operátora.

Obecn� se systémy pro detekci fraudu d�lí do dvou skupin. V první skupin� jsou systémy zalo�ené na mno�in� expertních pravidel, ve druhé potom systémy vyu�ívající dataminingové algoritmy.  Který ze systému je lepší? Na tuto otázku neexistuje jednozna�ná odpov�� a mezi zastánci obou variant se vedou vášnivé diskuze. Pokud se podíváme na po�ty nasazení jednotlivých systém�, zjistíme p�evahu pravidlových systém�, i kdy� dataminingové systémy jejich náskok stahují. Výhodou dataminingových systém� je jejich schopnost „u�it se“. Na základ� pr�b�ného vyhodnocování úsp�šnosti svých vlastních p�edpov�dí (porovnáním p�edpov�di a reality) jsou schopny automaticky m�nit parametry svého b�hu, tak aby docházelo k neustálému zvyšování úsp�šnosti. Nevýhodou se jeví relativn� komplikované nastavení a netransparentnost výstup�. Zjistit pro� systém vyhodnotil chování jako podez�elé, je pro normálního smrtelníka ne�ešitelný úkol. Z výše uvedených d�vod� se v poslední dob� za�íná objevovat trend hybridních systém�, které kombinují oba p�ístupy. 

D�le�itá je flexibilita systému a jeho schopnost p�izp�sobit se neustále se m�nícímu chování podvodník� a novým slu�bám. Vzpome�me jenom na náš mobilní trh. P�ed n�kolika lety se mobil pou�íval pouze na volání a posílání SMS. Dnes je mo�né sledovat televizi, stahovat hudbu, vyzván�ní, loga, obrázky a videa od r�zných poskytovatel� a platit p�es mobil a na to vše musí být schopny fraudové systémy rychle reagovat.

Budoucnost fraudových systém�
Telekomunika�ní operáto�i a nejen oni musí �elit r�zným podvod�m od nepam�ti. Nep�ítelem �íslo jedna p�estávají být drobní a p�íle�itostní zlod�jí�kové a teenage�i, kte�í zkouší své mo�nosti. Hlavní hrozbou se stává mezinárodní organizovaný zlo�in vyu�ívající nejmodern�jší technologie. Provád�né útoky jsou stále sofistikovan�jší, rychlejší a masivn�jší. Tento trend se sna�í zachytit i operáto�i ruku v ruce s výrobci fraudových systém�. Dob�e v�dí, �e pokud z�stanou pozadu bude to pro n� znamenat nejen finan�ní ztráty, ale i ztrátu d�v�ry jejich legitimních zákazník�.