fraud management
TRANSCRIPT
Elektrotehnički fakultet
Univerzitet u Sarajevu
Odsjek za telekomunikacije
FRAUD MANAGEMENT
Napredna poglavlja u analizi IP saobraćaja
Koca Džemil
Kočan Irvin
Mujačić Lejla
Sarajevo, maj 2014. godine
2
Sadržaj Uvod ...................................................................................................................................................................... 3
1. Prevare u telekomunicijama ......................................................................................................................... 4
1.1 Vrste prevara .............................................................................................................................................. 4
1.2 Detekcija prevara ........................................................................................................................................ 5
1.3 Novi pristupi u detekciji prevara ................................................................................................................. 6
2. Baypass Fraud ............................................................................................................................................... 8
2.1 Šta je Bajpas prevara? .......................................................................................................................... 8
2.2 Onnet & Offnet Bajpas Prevara ............................................................................................................ 9
2.3 Negativni uticaji prevare ............................................................................................................................. 9
2.4 Različite tehnike detektovanja Bajpas Prevare ......................................................................................... 10
3. Pregled problema interne prevare ............................................................................................................. 13
3.1 Kako radi CxB rešenje za internu prevaru ................................................................................................. 13
3.2 Dodatne prednosti CxB rešenja za internu prevaru .................................................................................. 14
4. Kloniranje SIM-a ......................................................................................................................................... 14
4.1 Primer napada kloniranjem SIM-a ............................................................................................................ 14
4.2 Detekcija SIM kloniranja ........................................................................................................................... 15
5. Roaming prevare ........................................................................................................................................ 16
5.1 Proces detekcije i prevencije roaming prevare .................................................................................. 18
6. PBX hakiranje .............................................................................................................................................. 21
6.1 Hakiranje telefona .................................................................................................................................... 21
6.2 PBX Hakiranje ............................................................................................................................................ 21
6.3 Sigurnost PBX sistema ............................................................................................................................... 22
7.Wangiri ............................................................................................................................................................. 24
7.1 Wangiri prevara ........................................................................................................................................ 24
7.2 Pristupi za detekciju i izbjegavanje Wangiri prevare ................................................................................ 25
Zaključak ............................................................................................................................................................. 26
Literatura ............................................................................................................................................................ 27
3
Uvod
Eksponencijalni rast telekomunikacijskog sektora na kraju prošlog vijeka donio je telekom operaterima novi
izazov, prevare. Ne radi se samo o riziku, već o visoko organizovanom globalnom biznisu, koji negativno utiče
na operatore širom svijeta. Da bi se shvatila ozbiljnost problema, CFCA (engl. Communications Fraud Control
Association) organizacija je objavila statističke podatke u kojima se navodi da godišnji gubici od prevara u
telekom sektoru su između 54 i 60 milijardi američkih dolara. Prevare su glavni uzročnik gubitka prihoda
telekom operatera, praveći im gubitke od 3% do 5% ukupnih prihoda. Npr. Afrika je kontinent gdje su u
zadnje vrijeme telekomunikacione prevare sve više izražene. Razlog za to je nagli porast korisnika i
nedostatak mehanizama za detekciju prevara.
Postoji opšta definicija termina prevare u telekom sektoru. Ova prevara se definiše kao krađa usluge ili
namjerna zloupotreba glasovnih i podatkovnih mreža. U takvim slučajevima, cilj onog ko vrši prevaru je da u
potpunosti izbjegne ili da bar smanji naknade za korištenje usluge.
Operatori su svjesni da su prevare problem koji se ne mogu u potpunosti iskorjeniti, pa se ovom problemu
pristupa na način da se minimiziraju gubici. Kako bi to izvršili, telekom operateri su razvili ili kupili gotova
rješenja za detekciju prevara (engl. Fraud detection systems). Međutim, sva ova rješenja su bila dizajnirana
tako da detektuju prevaru tek nakon što se ona dogodi. Detektovanjem prevare operater sprečava dalje
gubitke, ali pošto se prevara već dogodila, postoje određeni gubici. Ovo je veoma važno pitanje za operatera.
Pošto ne mogu da u potpunosti otklone gubitke, veoma je važno da detektuju prevaru što je moguće ranije
kako bi minimizirali gubitke.
4
1. Prevare u telekomunicijama U ovom poglavlju će biti opisane osnovne vrste prevara, načini detekcije prevara i novi trendovi i tehnologije
koje se koriste za detekciju prevara.
1.1 Vrste prevara Nije moguće potpuno pobrojati sve vrste prevara koje postoje danas u telekom sektoru. Zbog brzog razvoja
tehnologije postojeći tipovi prevara se unapređuju i prilagođavaju telekom mreži, dok se također razvijaju i
potpuno novi tipovi prevara. Može se okvirno dati okvir glavnih uzročnika prevara koji danas zadaju najveće
probleme telekom operaterima. To su [1], [2]:
Pretplatničke prevare – jedna od najčešćih prevara ovog tipa je kloniranje SIM kartice. Prevarant
dobija uslugu od operatera i ne plaća korištenje te usluge koristeći lažni identitet. Šteta koju ova
prevara donosi zavisi od namjera prevaranta. S jedne strane, prevarant može koristiti uslugu za lične
potrebe sve dok nije detektovan, dok s druge strane ako prevarant koristi uslugu kako bi dalje
profitirao od nje gubici su znatno veći. Jednostavnost ove prevare leži u tome što prevarant ne mora
da napada mrežne mehanizme za autentifikaciju i šifriranje i što postoje manje šanse za detekciju.
Bypass prevare – lišavanje operatera naplate za pružanje usluga internacionalnih poziva. Ovo se
uglavnom radi koristeći VoIP tehnologije kako bi se zaobišli standardni internacionalni pozivi.
SIM kloniranje – prevarant klonira postojeću regularnu SIM karticu. Softver za kloniranje je javno
dostupan na internetu, tako da ako prevarant ima fizički pristup SIM kartici, sve što mu je potrebno
za kloniranje je računar i čitač kartica.
Interne prevare – podrazumijevaju neželjeno djelovanje osoblja telekom operatora, lošu politiku
naplate usluga i slično. Tipično, zaposlenici imaju znanje i pristup informacionim sistemima, tako da
su u stanju da vrše određene radnje kako bi treća strana imala profit od toga, a operater gubitke.
Interne prevare čine 8.2% svih prevara, ali izazivaju preko 40% gubitaka profita, što je znatno više
nego pojedinačno neke druge prevare. To može biti na primjer: davanje besplatnih minuta,
mijenjanje postavki računa itd.
Prevare na fiksnoj mreži - Najčešći tipovi prevara su line surfing, taped lines, pretplatničke prevare,
PRS, ghosting, PBX hakiranje itd. PRS (engl. Premium Rate Service) prevara se vrši tako što se u drugoj
zemlji postavi „legitimni“ visoko tarifni PRS i onda se kreiraju pozivi na račun telekom operatera.
Također, u Sjedinjenim Američkim Državama se često koristi cramming napad, gdje se korisnici
varaju da prihvate naplatu određenih servisa. Još jedan od značajnih prevara je DoS (engl. Denail of
Service) napad na SS7 signalizaciju.
Roaming prevare – Roaming pretplatnici vrše pozive koristeći mrežu drugog operatera. Računi za
poziv se šalju pomoću TAP do matične mreže pretplatnika. Prevaranti koriste to što podaci vezani za
roaming poziv imaju određeno kašnjenje (u nekim mrežama može iznositi cijeli dan ili više) dok dođu
do matične mreže. CFCA je objavila podatke iz 2003. godine koji pokazaju da gubici zbog roaming
prevara iznose oko 4% ukupnih prihoda operatera. Za mobilne operatere , skoro 25% od svih prevara
su roaming prevare. Jedna od najčešćih metoda za vršenje ovih prevara je lažno predstavljanje (npr.
krađa mobilnih telefona turistima ili kloniranje SIM kartica). Čak i kad matična mreža detektuje
5
prevaru, postoji mogućnost da mreža roaming partnera to ne uradi. Također se mogu koristiti
„rupe“ u mehanizmima za autentifikaciju i šifriranje u mobilnoj mreži.
1.2 Detekcija prevara
Tokom godina, telekom operateri su razvili ili kupili različite tehnologije za detekciju prevara. Ove tehnologije
se temelje na skupu metoda koje su specijalno dizajnirane za detekciju prevara. Neke od najčešće korištenih
metoda su [1], [2]:
Prekomjerna potrošnja – mjerenje količine saobraćaja koju svaka SIM kartica generiše, čime se mogu
detektovati SIM kartice sa prekomjernom količinom saobraćaja koji može bit rezultat prevare. Ova
metoda se može koristiti za detekciju pretplatničkih prevara. Na primjer, nakon otvaranja računa,
posmatra se potrošnja u prvih 15 do 30 dana. Ako novi korisnik troši znatno više nego prosječno
koliko troše novi korisnici, to može biti indikator pretplatničke prevare.
Kolizije poziva – praćenje prometa u vremenu za svaku SIM karticu; detektuju se neželjeni
preklapajući događaji generisani od same SIM kartice.
IMEI/IMSI stuffing – mapiranje SIM kartica (IMSI identifikator) sa mobilnim uređajima (IMEI
identifikator); detektuju se uređaji koji koristi više SIM kartica.
Brzina poziva – praćenje prometa u vremenu i geografskom prometu za svaku SIM karticu; za razliku
od kolizije poziva, ova metoda ne detektuje neželjene preklapajuće događaje, već fizički nemoguće
događaje. Na primjer, SIM kartica ima poziv koji se završava u 12:00 sati u Sarajevu i drugi poziv koji
započinje u 12:10 sati u Londonu. Iako se ova dva događaja ne preklapaju, fizički je nemoguće preći
distancu Sarajevo-London za 10 minuta.
Omjer korišćenja usluga – praćanje usluga koje koristi svaka od SIM kartica; detektovanje SIM kartica
koje koriste usluge (npr. glas, SMS. MMS itd.) neproporcionalno.
Ove metode se implementiraju i postavljaju se pragovi tolerancije od strane telekom operatera. Ove metode i
saobraćaj za koji su zadužene se stalno prate i vrše se ažuriranja. Kada se pređe prag, detektovana je moguća
prevara. Onda operater odlučuje za svaku takvu situaciju da li se radi o stvarnoj prevari i koje akcije treba
poduzeti dalje.
Ipak, kao što je rečeno u uvodu, operateri i dalje imaju problem. Iako se detektuje prevara, određena šteta se
već desila. Sve gore opisane metode su zasnovane na reakciji, tj. mogu detektovati prevaru tek nakon što se
ona dogodi i nakon toga spriječiti dalje gubitke. Drugi veliki problem u sistemima za detekciju prevara je
nedostatak određenje baze znanja o prevarama. Zbog složenosti telekom sistema, veoma je teško naći
strukturu koja će pohraniti sva znanja o svim prevarama koje su ranije detektovane. Ova baza znanja o
prevarama mogla bi biti veoma korisna za operatera, jer bi mogao bolje da razumije koncept vršenja prevara i
način suzbijanja istih.
6
1.3 Novi pristupi u detekciji prevara
Novi pristupi u detekciji prevara su komplementarni sa aktuelnim rješenjima. Ne zamjenjuju ih, već koriste
podatke obrađene od strane aktuelnih rješenja i detektovane prevarante kako bi ih unapredili. Obrađeni
podaci se koriste kako bi se izgradili profili za svakog pretplatnika koji sadrže informacije o ponašanju i
osobinama pretplatnika. Kada se novi prevarant detektuje pomoću neke od metoda detekcije, dalje se može
koristiti izgrađeni profil za: podaci o identitetu će se iskoristiti kako bi se prevarantu zabranilo ponovno
korištenje mreže operatora; podaci o ponašanju će se iskoristiti za detekciju drugih pretplatnika koji imaju
slično ponašanje kao prethodni prevarant, čime se smanjuje vjerovatnoća dešavanja prevare. Kako bi se
mogli omogućiti ovi novi pristupi potrebno je uraditi sljedeće [1]:
1. Definisati metodu koja će pratiti saobraćaj u mreži i kreirati profile bazirane na stvarnoj potrošnji SIM
kartica. Ovi profili se sastoje od atributa koji opisuju identitet i ponašanje pretplatnika.
2. Definisati metodu koja će pratiti saobraćaj u mreži i detektovati sumnjivo ponašanje upoređujući
atribute koji opisuju ponašanje pretplatnika sa atributima ponašanja prethodno detektovanih
prevaranata (detektovani pomoću regularnih sistema za detekciju prevara).
3. Definisati metodu koja će pratiti saobraćaj u mreži i detektovati prethodno blokirane prevarante koji
pokušavaju da ponovo pristupe mreži koristeći atribute koji opisuju identitete prethodno
detektovanih prevaranata.
4. Definisati bazu znanja o prevarama koja je u stanju da poveže sve informacije dobijene of svih
poznatih slučajeva prevare.
Telekom operateri vode evidenciju o svakom događaju u mreži. Ovi događaji se bilježe u CDR (engl. Call Detail
Records), koji su prvenstveno se koristili za billing, a danas imaju veoma važnu ulogu u detekciji prevara. Svaki
CDR zapis ima informaciju o pretplatnicima koji učestvuju u prenosu podataka, vrijeme tog događaja, vrsti
podataka koji se prenose i njihovoj količini. Informacije iz CDR zapisa služe kao ulazi za dobijanje profila
pretplatnika.
Jedno od prethodno opisanih naprednih rješenja za detekciju i prevenciju prevara je prikazana na slici xxx:
7
Slika 1 MAS napredna rješenje za detekciju prevara [1]
MAS (engl. Multi-Agent Systems) sistem se sastoji iz više inteligentnih agenata koji međusobno komuniciraju
rade i kooperaciji i imaju za cilj izvršenje određenih zadataka (u našem slučaju detekcija i buduća prevencija
prevara). Sa slike se vidi da se MAS sastoji iz tri agenta:
1. Profiling Agent – agent za kreiranje pretplatničkih profila (sa podacima o identitetu i ponašanju)
koristeći CDR zapise.
2. Detection Agent – agent zadužen da detekciju novi sumnjivih prevaranata.
3. KDD agent – agent zadužen za obradu profila detektovanih prevaranata i ažuriranje baze podataka o
prevarama.
Na slici je također prikazan tok ulaznih i izlaznih podataka u ovom sistemu:
1 i 2 – ulazi u MAS sistem iz sistema za detekciju prevara;
3 i 4 – interna razmjena informacija unutar MAS sistema;
5 i 6 – izlazi iz MAS sistema ka sistemu za detekciju prevara.
U prvom koraku, sistem za detekciju prevara šalje sve CDR zapise MAS sistemu, tj. agentu za kreiranje profila.
U drugom koraku, kada sistem za detekciju prevara detektuje sumnjiv događaj i prevaranta koristeći neku od
prethodno opisanih metoda, on obavještava MAS sistem da se pojavio prevarant. Ta informacija se onda
koristi od strane agenta za detekciju prevara i KDD agenta i radi se sljedeće:
Agent za detekciju u trećem koraku kontaktira agenta sa profilima kako bi zatražio profil prevaranta i
kako bi ustanovio da li opet isti prevarant pokušava da pristupi mreži (na osnovu identiteta iz profila)
ili se radi o novom prevarantu koji ima slično ponašanje (na osnovu ponašanja iz profila). Zatim vraća
8
nazad sistemu za detekciju prevara detaljnije informacije o prevari, što na slici predstavlja peti
korak.
KDD agent u četvrtom koraku kontaktira agenta sa profilima kako bi zatražio profil prevaranta.
Dobijene profile koristi kako bi ažurirao bazu podataka o prevarama sa novim paternima,
ponašanjima i postupcima prevare, što dalje prosljeđuje sistemu za detekciju prevara u šestom
koraku.
2. Baypass Fraud
Baj-pas obmana se pokazala kao jedna od najefektnijih i najskupljih u današnjoj mobilnoj industriji. Ova vrsta
prevare uzrokuje ogromne gubitke u zaradi na godišnjoj bazi većini mobilnih operatera kao i telekom
regulatora. Naime, radi se o preusmerenju saobraćaja dolaznih internacionalnih poziva sa legalnih
interkonekcijskih gejtveja. Baj-pas obmana je zastupljenija u zemljama gdje je cijena izvršavanja
internacionalnih poziva puno veća od cijene nacionalnih poziva, ili u zemljama gde internacionalni gejtveji
spadaju pod monopol vlade države. Prevaranti (pojedinci ili organizacije), koristeći različite Baj-pas mehanizme,
omogućavaju da se pozivi izvrše jeftinije nego inače u ovim zemljama i na taj način prikupljaju veliki broj
korisnika, na osnovu kojih ostvaruju veliku dobit. [4]
Bajpas se smatra ilegalnim najviše iz razloga što oni koji koriste ove mehanizme prevare, nisu ovlašćeni, tj.
nemaju licencu da pružaju bilo kakve telekomunikacijske usluge. U nekim državama, bajpas dolazećih poziva se
smatra pretnjom za nacionalnu bezbednost po zakonskim odredbama koje su postavljene.
Međutim, razvijeni su i mnogi načini borbe protiv ovakvih prevara koje se uglavnom svode na
praćenje/monitoring poziva. FMS (Fraud Management Systems – Sistemi za kontrolu prevara) i TCG (Test Call
Generators – Generatori testnih poziva) su glavni pristupi u borbi protiv Bajpas prevara. Oba ova pristupa imaju
svoj prednosti u prevazilaženju mehanizama prevare, međutim imaju određene mane koje ih čine nedovoljnim
i koje su novije tehnike Bajpas prevare uspele da iskoriste.
Aproksimativno, negde oko 3 milijarde dolara zarade se izgubi svake godine zbog Bajpas mehanizama prevare.
S obzirom da su internacionalni pozivi jedan od glavnih činioca prihoda telekom operatera, ovakva vrsta
prevare se smatra jednom od najštetnijih u mobilnoj industriji.
2.1 Šta je Bajpas prevara?
U suštini, sam izraz Bajpas Prevara (engl. Bypass fraud) se koristi da opiše više različitih tehnika kao što su SIM
Boxes, Leakey PBXs i dr. Koje smanjuju cijenu poziva zaobilazeći legalne interkonekcije za pozive. Bajpas
Prevare preusmeravaju dolazne internacionalne pozive na 'on' ili 'off' mrežne GSM/CDMA/Fixne pozive
koristeći VoIP ili Satelitski gejtvej (engl. gateway). Na ovaj način se oštećuje prihod od internacionalnih poziva,
na koji operatori i državni regulatori imaju pravo.
9
Slika 2 Bajpas Prevara putem SIMbox-a
2.2 Onnet & Offnet Bajpas Prevara
Konekcije na kojima se najviše sprovodi ova vrsta prevare su one koje imaju najmanje dolazećih poziva u
nacionalnom okviru. Strana na kojoj se vrši preusmerenje poziva (B strana), počiniocima prevare, osigurava
maksimalnu naplatu na internacionalne dolazeće pozive.
Za operatora, ako prevarant koristi svoju mrežu da terminira obilazeće pozive, to se identifikuje kao ONNET
Bajpas Prevara. U slučaju da prevarant koristi konekciju konkurenta, ili bilo kakav drugi način izvršenja
preusmeravanja poziva, to se definiše kao OFFNET Bajpas Prevara. [4]
2.3 Negativni uticaji prevare
Gubitak prihoda zbog preusmerenja poziva
Internacionalni pozivi bivaju presreteni, preusmereni i terminirani i opet izvršeni kroz novu rutu koju kreira
prevarant i na taj način trošak/prihod biva promenjen.
U mnogim ekstremnim slučajevima, smatra se da Bajpas Prevara može da smanji prihod dolazećih
internacionalnih poziva, za čak 50%. Regulatori i operatori (pojedinačno) prijavljuju gubitak prihoda od čak 250
000 $ mesečno i oko 200 miliona $ na godišnjem nivou, samo na osnovu ovakve vrste preusmeravanja poziva.
Gubitak prihoda zbog nedostupnosti servisa i propuštenih povratnih poziva
Bajpas Prevara ima negativan uticaj i na pristupačnost različitih vrsta servisa (npr. Voice mailbox) zbog
preusmerenja koje se izvršava tijekom procesa prevare. Ovo izaziva generalno nezadovoljstvo korisnika zbog
10
kojeg odustaju od operatora pogođenog prevarom. Takođe, zbog preusmerenja, identifikacija osobe koja zove
nije u funkciji, tj. dolazni pozivi bivaju pogrešno identifikovani i nije moguće uspostaviti povratni poziv što
direktno utiče na smanjenje prihoda ovlašćenog operatera.
Preuzimanje poziva i zakonski nedostaci
Pošto se bajpasom poziva na neki način vrši preuzimanje poziva i prevođenje na drugu rutu, ovo predstavlja
preusmeravanje koje je zakonski ilegalno u mnogim zemljama. Upravo zbog toga, nije moguće vršiti kontra
preusmerenje kojim bi se pozivi vratili na originalnu ovlašćenu rutu. Ovakva zakonska odredba, regulatore
dovodi u jedan vid bezizlazne situacije stvarajući im kontradiktornost koja radi protiv njih.
Gubici zbog lošeg QoS-a
Zbog prevođenja poziva na IP konekciju koja biva previše kompresovana, kvalitet glasa znatno opada što ima
veliki uticaj na gubitak QoS-a i predstavlja negativan uticaj na zadovoljstvo korisnika. Takođe, mogu se često
javiti dodatna kašnjenja prilikom rutiranja poziva na IP slojevima što je još jedan od parametara QoS-a koji biva
degradiran Bajpas prevarom. Ovo sve daje utisak niske kvalitete usluge koju pruža domaći operator i na taj
način biva prilično oštećen.
2.4 Različite tehnike detektovanja Bajpas Prevare Postoje dva trenutno popularna načina za otkrivanje Bajpas prevare, koje koriste regulatori i operatori:
TCG pristup
Statističko Profiliranje bazirano na detekciji putem FMS-a ili skripti
TCG - Test Call Generation
Ovaj pristup je baziran na automatskom generisanju kontrolisang saobraćaja koji namenjen poznatim MSISDN-
sovima (engl. Mobile Station International Subscriber Directory Number) u mreži operatora uključujući fixne,
CDMA, GSM, VoIP pozivne kartice. Ovakvi pozovi se kontrolišu i prate i na osnovu takvih informacija pokušava
se utvrditi eventualno prisustvo Bajpas prevare.
Prednosti:
Veoma velik broj uhvaćenih prevara – Nekad čak i više od 90%
Poaktivna identfikacija – Konekcije mogu biti detektovane čak i kad nije bilo Bajpas Paterni poziva u
prošlosti
Mane:
Nedovoljno pokrivanje – Nije moguće pokriti sve VoIP servise širom sveta jer je generisanje testnih
poziva prilično ograničeno
11
Podložan kontranapadima – Nakon par dana, TCG može da postane beskoristan jer su bajpas čvorovi
programirani da prepoznaju TCG pozive nakon nešto iskustva i utvrđenih paterni ove vrste poziva
Minimalno učenje od uhvaćene prevare – U nedostatku CDRa (engl. Call Detail Record), informacije o
prevari su povezane samo sa jednim MSISDN-om. Ovo znači da se tokom testnog poziva može
identifikovati samo jedan prevareni MSISDN
Slika 3 TCG pristup
Fraud Management System
Ovaj pristup borbe protiv prevare Bajpasom je baziran na monitoring složenih paterni poziva (Brojač odlaznih
poziva, odnos različitih destinacija, korišteni sajtovi ćelije, odnos dolaznih i odlaznih poziva itd.) koji su vršeni sa
MSISDN-a koji pripada određenom operatoru ili koji su dolazili na pomenuti MSISDN. Kada se na ovaj način
razotkrije neka prevara, za razliku od TCG-a, to se može iskoristiti za ostale MSISDN-ove nad kojima je
počinjena ista Bajpas prevara.
Slika 4 Generalni prikaz sistema za kontrolu prevara (FMS)
12
Prednosti FMS-a:
Bolja pokrivenost – Pošto u ovom slučaju postoje CDR-ovi, profili poziva i detekcija na osnovu paterni
kao i napredne analize, ovaj pristup ima potencijal da pokrije sve
Nije potrebna dodatna investicija
Bajpas paterne poziva mogu biti konverovane u određena Pravila za identifikaciju
Mane FMS-a:
Podložan kontra napadima – Sa evolucijom Bajpas mehanizama prevare i razvojem tehnologije,
detekcija prevara putem statističke analize, odnosno FMS-a je postala teža nego ikad
Prepoznatljiv pristup prevarantima – FMS je zbog svoje robusnosti postao puno reaktivniji nego TCGs,
tj. izvršioci mogu lako ustanoviti da je ovaj pristup u primeni i na osnovu toga odlučiti da budu
prikriveni neko vreme ili da razviju algoritme koji će zaobići ovakvu kontrolu prevare. [4]
Kašnjenje u detekciji – S obzirom na to da se primenom FMS-a obrađuje veliki broj podataka i vrše
statistički proračuni, ovaj način detekcije prevare može imati određeno kašnjenje
Naravno, najbolji način zaštite od Bajpas Prevare je kombinacija TCG i FMS pristupa. Pošto oba pristupa imaju
svoje bitne prednosti, a mane se međusobno skoro kompenzuju, integrisanje ova dva pristupa ne daje
apsolutnu zaštitu, ali se pokazalo kao najefikasnije.
Slika 5 Integrisani pristup zaštite
13
3. Pregled problema interne prevare
U zavisnosti od načina nagrađivanja interne usluge, u odnosu na cilj ili vremenski bazirano, neki zaposlenici su
spremni da prevare sistem u cilju ostvarenja dodatnog prihoda. Sa njihovim proširenim znanjem o organizaciji,
postaje jednostavnije da urade sledeće:
Aktiviraju lažne pretplatnike na način da kreiraju ili ukradu identitet od pravih korisnika (prevara lažnie
aktivacije)
Reaktivacija korisnika nakon što su oni prekinuli da koriste usluge
Eksploatišu sistem kako bi aktivirali korisničke račune koji bi pali pod uslovima početnih kriterija
Primenjuju netačni tarifni plan kako bi povećali svoju proviziju
Rasturaju paketsku ponudu i prodaju aparat i SIM karticu odvojeno kako bi povećali cijenu i na taj
način povećali prihod
Koriste opremu namenjenu za demostraciju i testiranje u svrhe ostvarenja provizije
Čak i ako se vrši proveravanje zaposlenika na dnevnoj ili mesečnoj bazi, ovaj proces proveravanja legitimnosti
svake aktivacije je prilično dugotrajan i time-consuming. Takođe, zaposlenici su svesni kada se period
proveravanja završava i nakon toga mogu da se vrate prevarama. CxB rešenje interne prevare je sofisticiran
modul specijalno dizajniran za mobilne operatere kako bi vršili nadgledanje aktivnosti zaposlenika ali je takođe
u mogućnosti da aktivira alarme bazirane na različitim kriterijima koji se unapred postave. Ovakvo CxB rešenje
se zasebno postavlja za svaku kompaniju i ne postoji toliko prepoznatljiv patern. [5]
3.1 Kako radi CxB rešenje za internu prevaru
Kako je pomenuto, svaki mobilni operater ima svoj način rada po kojem se odvaja od ostalih i CxB rešenje je
adaptivno u tom smislu. Ovaj sistem je baziran na način na koji određena firma nagrađuje, odnosno isplaćuje
svoje sektore tako da će biti jedinstven za svaku kompaniju. Takođe, ovo rešenje daje pristup svim dijelovima
na osnovu kojih kompanija može sama da kreira način na koji će da razlikuje lažne korisničke račune od pravih.
Neke od osnovnih funkcija na kojima se može bazirati donošenje pravila validacije su:
Broj dopuna
Vreme odlaznih poziva
Količina dopuna
Specifična granica za cenovni plan
Specifična granica za tip korisnika (pripejd ili postpejd)
14
Na mesečnoj bazi, sistem će da agregira informacije o pravim/lažnim aktivacijama za svakog zaposlenika u
izveštaju i generisaće alarm ako je taj broj manji/veći od unapred postavljene granice o kojoj odlučuje
kompanija na osnovu gore pobrojanih karakteristika. [5]
3.2 Dodatne prednosti CxB rešenja za internu prevaru
Zaposlenici sa tendencijom za prevaru će biti devijantni do te mere da će sigurno držati svoje lažne aktivacije
kao prave koliko je god moguće, čak do kraja perioda proveravanja. Sistem prati na dnevnoj bazi i odustajanja
trgovaca od prevare nakon početka perioda provere. Na mesečnoj bazi, ovakvi podaci su sakupljeni u
konačnom izveštaju i ako je broj odustajanja nakon perioda provere veći od neke zadane granice, zaposlenik
će se smatrati devijantnim, slično kao i kod monitoringa aktivacija.
CxB razrađuje još dvije opcije za razotkrivanje ove vrste prevare:
Savetovanje i konsultacije o internim prevarama i upoznavanju sa istim što detaljnije, kao i načini
spontanih i neočikavanih provera kako bi borba protiv prevara bila što efikasnija.
Implementacija ovog rešenja u svim prostorijama kompanije u vidu standalone softvera koji će biti
instaliran zasebno u odnosu na ostale i trenutne FMS. [5]
4. Kloniranje SIM-a Za razliku od prevara putem SIMbox-a, prevaranti koji vrše klinranje SIM-a mogu bitii sami korisnici sa
minimumom opreme koja uključuje čitač kartica, podmetač kartica, pretragu na Internetu i praznu SIM karticu.
Ovakvi korisnici mogu da izvuku IMSI (engl. International Mobile Subscriber Identity) sa originalne SIM kartice i
da ga prepišu na praznu SIM karticu za manje od 24 časa (nekad je čak potrebno i manje od 10 sati). SIM
kartice tipa COMP128v1 su prilično jednostavne za kloniranje tako da će prevaranti bez ikakve sumnje uspeti
da hakujui v2 i onda v3 tipove kartica. Duplicirana SIM kartica nudi iste funkcionalnosti kao i originalna, ali
može da podrži funkcionalnosti do 16 različitih SIM kartica. Ovo može značajno da poveća saobraćaj u mreži. U
slučaju da vlasnik originalne kartice nije uključen u prevaru, može postati žrtva naplaćivanja ogromnog
saobraćaja koji on nije generisao. Ako otkrije ovu prevaru, korisnik ima pravo da traži veli odštetu koja će
direktno pogoditi kompaniju. Takođe, kompanija ruši svoj ugled kod korisnika i moraće da potroši puno kako bi
na novi marketinčki način povratila poverenje svojih korisnika. [6][7]
4.1 Primer napada kloniranjem SIM-a
SIM A, originalna SIM kartica, vrši poziv prema mobilnom telefonu 'X' u 15:02
Trajanje poziva je 3 minute.
SIM A, klonirana verzija, vrši poziv prema mobilnom telefonu 'Y' u 15:04
Trajanje poziva je 4 minute.
15
Dva poziva se preklapaju na jednu minutu i locirana su kao razdvojena oko 55 milja. Pravi pretplatnik, SIM A, je
žrtva prevare i biće mu naplaćeni pozivi koje on nije napravio.
Slika 6 Kloniranije SIM-a
Kloniranje SIM-a se može vršiti i na osnovu skeniranja radio frekventnog spektra i traženja CDMA (engl. Code
Devision Multiple Access) para. CDMA telefoni sadrže ESN (engl. Electronic Serial Number) koji je sličan IMEI-u i
MIN (engl. Mobile Identification Number). Pomoću uređaja DDI (engl. Digital Data Interface) ovi parovi (ESN i
MIN) se kupe sa skeniranog spektra i instaliraju u novi CDMA telefon čime se dobija klonirani pretplatnik. [6][7]
4.2 Detekcija SIM kloniranja
Ovaj način prevare je suptilan ali nije težak za identifikovanje. Na osnovu statistike poziva koji se preklapaju
može se otkriti prevara kloniranjem SIM-a. Takođe, algoritmom izračunavanja udaljenosti između ćelije
trenutnog poziva i ćelije prošlog poziva može se utvrditi eventualna prisutnost kloniranog SIM-a. Ako je ova
udaljenost veća od date granice (logično, ako je udalenost između ćelija veća od nule) onda postoji sigurna
mogućnost detektovanja prevare, odnosno klonirane SIM kartica. Ukoliko je udaljenost jednaka ili približna
nuli, može se tvrditi da pazivi dolaze sa istog mobilnog uređaja. Još jedan od načina odbrane od ove vrste
prevare je instaliranje PIN-a, broja koji se može aktivirati kod mobilnog operatera u slučaju sumnje klonirane
SIM kartice. [6][7]
16
5. Roaming prevare
Roaming je mogućnost da mobilni pretplatnici ostvaruju pozive ili šalju i primaju podatke kada su izvan
oblasti pokrivanja svoje domaće mreže koristeći resurse mreže koju posjećuju. Učesnici u roaming-u su:
mobilni pretplatnik, domaća mreža HPMN (engl. Home Public Mobile Network), i posjećena mreža VPMN
(engl. Visitor Public Mobile Network. Nakon što korisnik pokuša da ostvari poziv (korak 1) kontaktirajući
gostujući MSC (engl. Mobile Switching Center), gostujući MSC šalje zahtjev domaćoj mreži za provjeru
pretplate korisnika (korak 2). Ukoliko je pretplata ispravna korisniku se pruža usluga (korak 3). Scenario
roaming-a je prikazan na slici:
Slika 7 Roaming scenario [3]
Kako bi se izvršila naplata korištenja usluge, VPMN mora poslati domaćoj mreži izvještaj o pozivu (CDR zapis)
ili prenosu podataka koje je obavio korisnik. Nakon toga gostujuća mreža naplaćuje od domaće mreže iznos
koji je definisan njihovim ugovorima o naplati usluga. S druge strane, domaća mreža naplaćuje roaming
saobraćaj korisniku na osnovu roaming tarife. Prevara se ogleda u tome što prevarant koristi roaming usluge,
a domaća mreža nije u stanju da adekvatno izvrši naplatu tog korišćenja. Glavne karakteristike ovih prevara
su [3]:
Duže vrijeme potrebno za detekciju – Pošto se prevara vrši na gostujućoj mreži, vrijeme potrebno za
detekciju je znatno više, pogotovu zato što moraju postojati komunikacioni protokoli između
partnerskih mreža koji često nisu efikasni.
Duže vrijeme odziva – Nakon što se prevara detektuje, tehničke i administrativne poteškoće za
sprečavanje daljih prevara su veće nego u slučaju prevara u domaćoj mreži.
Rad sistema za detekciju i prevenciju prevara i automatsko rješavanje problema nije u potpunosti
sinhronizovan između partnerskih mreža, što može rezultovati većom vjerovatnoćom za pojavu
prevara.
Najčešća tehnika koja se koristi pretplatnička prevara. Prevarant koristi tuđe pretplatničke brojeve i račune i
onda obavlja pozive iz roaming-a, i to najčešće veoma skupe pozive.
U odnosu na metodu koja se koristi za vršenje prevare, roaming prevare se mogu podijeliti u skladu sa slikom:
17
Slika 8 Vrste roaming prevara [3]
Tip 1: Prevare koje nastaju zbog tehničkih propusta u mreži – Koriste propuste u konfiguraciji, dizajnu i
arhitekturi mreže. Najčešći uzroci su:
Tip 1.A Propusti i kvarovi u interoperabilnosti – To su najčešče neočekivani kvarovi u funkcionisanju
komunikacije izmežu operatera. Najčešći uzrok su to što partnerski operatori koriste različite
tehnologije i opremu različitih proizvođača.
Tip 1.B Kašnjenje u transmisiji podataka – Ovaj tip prevare koristi vrijeme potrebno da se detektuje
prevara i izvrše kontra-mjere. Ovo vrijeme se odnosi na trajanje prenosa CDR zapisa od gostujuće do
domaće mreže i vrijeme potrebno domaćoj mreži da započne proces detekcije i borbe protiv prevare.
Gubici koji nastaju su srazmjerni dužini vremena koje je potrebno za prenos podataka između mreža.
Tip 1.C Propusti u konfiguraciji mreže – Jedan od primjera su mreže gdje SMSC (engl. Short Message
Service Center) nisu dovoljno zaštićeni. Kada SMSC koji nisu pravilno konfigurisani prime SMS poruku
od roaming pretplatnika, procesiraju je, ali nisu u stanju da ih naplate. Drugi primjer je dozvoljavanje
roaming pretplatnicima korištenje skupih premium servisa. U normalnim slučajevima premium
servisi nisu dozvoljeni u interkonekcijskim roaming ugovorima između operatera.
Tip 2 Prevare koje nastaju zbog netelekomunicijskih oblasti i koje nemaju veze sa tehničkom konfiguracijom
mreže. Najčešće vrste su:
18
Tip 2.A Pretplatničke prevare – Već dosta puta ranije pominjane, kod ovih prevara prevarant koristi
tuđe pretplatničke brojeve i račune i onda obavlja pozive iz roaming-a, i to najčešće veoma skupe
pozive, internacionalne pozive, premium pozive i slično.
Tip 2.B Interne prevare – Vrše se od strane osoblja partnerskih mreža.
Tip 2.C Prevare u M-trgovanju – Mobilno trgovanje je jedna od varijanti elektronskog trgovanja.
Prisustvo 3G mreža pruža platformu za M-trgovinu. Lažne ili ukradene kartice se mogu koristiti za za
trgovinske prevare. Još ako se vrše u roaming-u, gubici operatora su znatno veći.
Prevare vezane za autorska prava – Novi download servisi stvaraju operatoru troškove koji mora da
plaća autorska prava kako bi omogućio korisnicima ovu uslugu. Neplaćeni download autorski
zaštićenih podataka iz roaming-a može operateru da donese ozbiljne gubitke.
5.1 Proces detekcije i prevencije roaming prevare
A. Faza prevencije prevare
Ova faza sadrži određene preventivne mjere koje pokušavaju sprijčiti počinjenje prevare. U tu svrhu,
predložene su mnoge mjere, od kojih neke su:
- Restrikcija usluge kada je pretplatnik u roaming-u.
Ova mjera ima namjeru da implementira strategiju koja se sastoji od postepene aktivacije usluga ako
se pretplatnik pokaze vjerodostojnim. Postoje različite mogućnosti: od postepene aktivacije usluga,
aktivacije usluga selektivno, u zavisnosti, od i ka kojem operateru pozivi u roaming-u idu, do
zabranjivanja slanja poziva ka premium brojevima, zabrane proslijeđivanja internacionalnih poziva,
pa i limitiranja trajanja poziva, isl. Treba napomenuti da ovakve mjere, iako pomažu prevenciji
prevara, imaju direktnu posljedicu na QoS usluge pružene korisniku.
- Optimizacija ugovora o roaming-u.
Bitno je da su unutar ugovora o roaming-u razmotreno sve što može iskrsnuti u dostavi usluge, s
ciljem da se eliminišu svi naknadni problemi. U tu svrhu, bitno je primjeniti preporuke od stranih
pojedinih ogranizacija tipa GSMA (GSM Association) ili CDG (CDMA Development Group) koje se tiču
ovih ugovora.
- Sprovođenje temeljitih roaming testova.
Ova vrsta testa utiče na smanjenje mogućnosti prevara. To su testovi koji ne uključuju samo dostavu
usluga u roamingu, nego i procesiranje podataka o naplati, interoperabilnosti, isl.
- Prevencija pretplatničke prevare.
Da bi se izbjegla ovakva vrsta prevare, postoji više preporuka uglavnom usmjerenih ka optimizaciji
poslovnih procesa vezanih za krajnjeg korisnika i distribuciju. Neke do tih preporuka odnose se na
validaciju informacija, pruženih od strane korisnika, koje potiču iz nekih zvaničnih baza podataka.
19
Preporuke se odnose i na ponašanje nakon potpisivanja pretplatničkog ugovora, a uključuju
povremeni kontakt s pretplatnikom u formi razgovora ili čestitke.
B. Faza prikupljanja podataka
Optimizacija ove faze krucijalna je u smanjenju prosječnog vremena potrebnog za rješavanje problema, Tr. To
vrijeme trudimo se smanjiniti što je više moguće, jer ono je obrnuto proporcionalno sa odgodom u razmjeni
informacija.
To se, danas, u CDMA sistemima, postiže razmjenom podataka o pozivu (CDR – Call Detail Record), skoro u
realnom vremenu. Neprocesirani CDR-ovi su pokupljeni od strane mreže korištene za vrijeme roaming-a
(VPMN - Visiting Public Mobile Network) i odmah proslijeđeni ka odgovarajućoj domaćoj mreži (HPMN -
Home Public Mobile Network).
U GSM svijetu, s druge strane, predložene su, ispitane i implementirane mnoge tehnike. Neke od njih su:
- HUR – High Usage Report
Sastoji se od VPMN praćenje podataka o naplati vezanih za pretplatnike u roaming-u. Ako pretplatnik
pređe neku troškovnu granicu, prag, šalje se notifikacija ka HPMN-u, koji će napraviti istragu koristeći
upravljanje prevarama. Troškovni prag je određen međusobnim dogovorom između operatora. Prvi
nedostatak ovog pristupa je predugo vrijeme koje prođe do samog kreiranja izvještaja, jer je on
baziran na izvještajima o naplati, čiji ciklusi kreacije idu i do 36 sati. Veliki nedostatak je i oraničenost
informacija koje potiču iz tih izvještaja.
- FIGS – Fraud Information Gathering System
Ovo rješenje bazira se na razmjeni CAMEL (Customized Applications For Mobile Enhanced Logic)
signalizacije između operatora, tako da VPMN može poslati CDR određenog broja pretplatnika ka
HPMN. Nedostak ovog pristupa je ograničen broj preplatnika koji se mogu pratiti, te ne u potpunosti
definisan način kako odlučiti koje pretplatnike posmatrati a koje ne.
- Praćenje signalizacije
Praćenje signalizacije pruža informacije koje omogućavaju pronalaženje i definisanje uzoraka
malicioznog ponašanja. Ove informacije najčešće potiču od komunikacije između VLR i HLR-a. Ova
metoda se koristi u kombinacijama s a drugim metodama.
- NRTRDE – Near Real Time Roaming Data Exchange
Svrha ove tehnike je transmitovanje CDR-ova ka HPMN u skoro pa realnom vremenu. Konkretno, u
roku od 4 sata. To vrijeme se, zbog napretka tehnologije, sve više smanjuje. Prednost je i činjenica da
se informacije o naplati šalju stream-om različitim od TAP (engl. Transfer Account Procedure)
podataka, jer to čini mogućim uporediti ih sa CDR-ovima u svrhu detekcije nekozistencija i provjere
integriteta. S druge strane, u interesu VPMN je da ovu thniku zamijeni nekom drugom, jer je osnovni
dobitnik u cijeloj priči HPMN. Također, primanje i CDR i TAP stream-a, zahtijeva investiciju u sisteme
procesiranja i čuvanja podataka. NRTRDE zahtijeva i dodatno procesiranje informacija iz tog razloga.
20
Konačno, za ovu fazu mora biti indicirano da, iako operator koristi sisteme za razmjenu podataka sa drugim
operatorom, u realnom vremenu, od momenta kad potpiše ugovor o roaming-u, s operaterm koji nema
implementiran taj sistem, on postaje ranjiv na sve već spomenute probleme. [3]
C. Faza detekcije
Faza detekcije prima sve informacije generisane u fazi prikupljanja podataka i mora odlučiti da li je ponašanje
aomalno ili ne. U ovoj fazi, takozvani Fraud Management System (FMS) obavlja krucijalnu ulogu. To su
automatski sistemi koji procesiraju obračunske informacije da bi našli patern prevare. Najjednostavnija metoda
koju primenjuju se oslanja na detekciji baziranoj na pravilima određivanja praga. Neki od njih omogućavaju
korištenje profila za različite grupe pretplatnika ili za individualne pretplatnike i primenjuju pravila posebno za
pretplatnike koji se razmatraju. Napredniji algoritmi FMS-a koriste učenje na principu neuralnih mreža i na taj
način uspevaju da detektuju promene u ponašanju pretplatnika, tj. negovog računa. Takođe, potrebno je istaći
da se koriste real-time načini praćenja saobraćaja kako bi detekcija prevare bila što efikasnija. [3]
D. Faza prismotre
Navodni incidenti prevare, koji su detektovani u prethodnoj fazi, moraju u fazi prismotre biti detaljnije
razmotreni pre nego se donese konačni zaključak o identifikaciji prave prevare. Ova faza se sprovodi od strane
dojela za prevare određene kompanije ili od strane neke druge kompanije koja je specijalizovana za
razotkrivanje i borbu brotiv prevara. Ova faza nailazi na poteškoće koje se javljaju zbog kašnjenja koje nastaje
zbog same istrage prevare. Naime, zbog ciljanja na primarnost ostalih faza, kompanije nisu predvidele dovoljno
efikasan plan akcije u ovim slučajevima. [3]
E. Faza odziva
Ako je u fazi prismotre potvrđeno da je prevara prisutna, potrebno je da se deluje u cilju prekidanja akcije
prevare. Na samom početku, najbitnije da se ukinu pozivi ili servisi koji su korišćeni ili se trenutno koriste u
akciji prevare i samim tim da se spreči dalji opstanak postojeće prevare. Dodatna opcija može biti upozoravanje
korisnika da prestane da koristi usluge čak i kad nije prisutna prevara.
Da bi se sprečila bilo kakvo korištenje usluga, prevarenom korisniku se savetuje da spreči generisnaje SMS
poruka, poziva kao i primanje poziva u romingu, dakle prekidanje svih vrsta usluga koje mu se mogu naplatiti i
ovo se uz određene okolnosti može izvesti real-time. [3]
21
6. PBX hakiranje
PBX (engl. Private Branch Exchange) odnosi se na telefonski sistem koji služi neku privatnu organizaciju na
način da obezbjeđuje komunikaciju između velikog broja telefonskih jedinica organizacije putem privatnih
telefonskih linija. [8]
Nešto proširena definicija PBX-a je da je to privatna telefonska mreža koja se koristi unutar kompanije i
preusmjerava pozive između pripadnika organizacije koristeći lokalne linije, sa malim udjelom i vanjskih
telefonskih linija. [9]
Uglavnom, PBX može biti posmatrana kao “kućna centrala”, kojom upravlja organizacija u čijem je vlasništvu,
a ne telefonska kompanija. Prednosti koje ovako kreiran sistem nudi su raznolike, npr. dozvoljava
zaposlenicima da komuniciraju jedni s drugima putem PBX-a iako nisu u prostorijama firme, omogućava
ostavljanje glasovnih poruka, omogućava udaljeni pristup telefonskoj mreži, preusmjeravanje poziva na
različite lokale, isl. [9]
6.1 Hakiranje telefona Hakiranje telefona predstavlja neovlaštenu, na prevaru poduzetu aktivnost putem telefonskog sistema koja
može potencijalno koštati kompanije značajne svote i novca, i resursa. Obično vlasnik PBX telefonskog
sistema nije svjestan što se događa, dok ne dobije ogroman telefonski račun, ili dok ne bude obavješten o
malicioznim radnjama koje potiču sa njegovog telefonskog sistema. Nažalost, odgovornost, i finansijska i
zakonska, ne leži na strani pružatelja usluga, nego upravo na strani vlasnika spomenutog PBX sistema. [10]
6.2 PBX Hakiranje Telefonski hakeri mogu infiltrirati ranjive PBX sisteme i napraviti internacionalne pozive, preslušati govornu
poštu, prisluškivati, preusmjeriti ili pratiti pozive. Žrtve hakiranih PBX sistema neznajući “dozvoljavaju”
hakerima da prodaju korištenje telefonskog sistema drugima i daju priliku hakerima da isti zloupotrijebe. [10]
PBX hakiranje započinje neovlaštenim pristupom hakera PBX telefonskom sistemu. Lakoća pristupa zavisi o
stepenu sigurnosti samog PBX sistema. Tako, sistemu se najčešće pristupa putem porta ostavljenog za
održavanje - maintenance port, glasovne pošte (u slučaju da joj se može pristupiti sa udaljene lokacije),
putem direktnog pristupa sistemu iznutra (DISA – Direct Inward System Access), te čak i primjenjujući osobine
socijalnog inženjeringa. [9]
Maintenance port, je port koji koriste PBX administratori za rekonfiguraciju opreme putem modema sa
udaljenih lokacija. U slučaju i najmanjeg propusta u konfigurisanju istog, ostavlja se prilika hakerima da
također ostvare pristup sa udaljene lokacije. Tako, kontrolišući ovaj port, hakeri mogu da promijene
konfiguraciju preusmjeravanja poziva, lozinke, dodaju ili izbrišu ekstenzije, ili pak ugase čitav PBX sistem.
Svaka od ovih akcija negativno se odražava na vlasnika sistema.
Nekim sistemima za govornu poštu može se također pristupiti sa udaljene lokacije i reprogramirati ih tako da
mogu praviti odlazne pozive. Haker im pristupa tražeći korisnike kod kojih je lozinka govorne pošte još uvijek
22
fabrička (default-na), ili one kod kojih je lozinka jednostavna za pogoditi, npr. 123456. Koriste reprogramiranu
opciju pravljenja odlaznih poziva, prosljeđujući ih na “fantomski” sandučić koji im daje ton za biranje. U tom
trenutku haker može slobodno koristiti liniju. Isti efekat se postiže mijenjajući broj, do tada zadužen za
govorne poruke, na broj koji haker želi.
DISA je osobina omogućuje udaljenim korisnicima pristup vanjskoj liniji putem PBX-a sa autorizacijskim
kodovima. To je vrlo korisna mogućnost za zaposlenike koji su na putu puno i koji često čine međugradske
pozive ili međunarodne konferencijske pozive nakon radnog vremena. Sticanjem pristupa ovoj osobini, hakeri
mogu pristupiti vanjskoj liniji i napraviti domaće i međunarodne pozive na račun poslovanja vlasnika PBX
telefonskog sistema.
Korištenje socijalnog inženjeringa se očituje u slučaju kad haker kontaktira broj unutar kompanije, tražeći da
ga se trasferira nazad ka operatoru, koji taj poziv kao internacionalni i omogućava dalji, za hakera povoljan,
razvoj situacije. [10]
6.3 Sigurnost PBX sistema U slučaju propusta u sigurnosti, te nakon što je haker već ostvario pristup PBX sistemu, sljedeća bitna stvar, je
primjetiti da je sistem hakiran što je moguće prije. To može učiniti jedino korisnik, jer samo on može znati koji
poziv su legitimni, a koji ne. Pružatelju usluga nemaju pristup ni dozvolu praćenja aktivnosti unutar PBX
sistema.
Stvari na koje treba obratiti pažnju i ne treba ih odbaciti su npr. lampice telefonskih linija koje su upaljene
iako niko ne koristi sistem, ili notifikacija od strane pružatelja usluga o sumnjivom, netipičnom korištenju
linija PBX-a. Najgori slučaj, normalno, je saznati o hakiranju tek prilikom prijema telefonskog računa, jer
odgovornost da se sistem osigura i spriječi od neovlaštenog korištenja leži na strani vlasnika PBX sistema, pa
tako on mora taj račun i da plati. Pružatelji usluga ne otpisuju ove račune i insistiraju na plaćanju iz razloga što
se ti, internacionalni, pozivi ne odvijaju samo preko njihove infrastrukture i mreže, nego oni moraju da plate
cijenu korištenja stranih mreža. To je trošak koji oni nisu željni prihvatiti.
S druge strane, najbolji način da do ovog ne dođe je da se sigurnost sistema osigura od početka. [9]
U nastavku će biti navedeni neki savjeti i smjernice koji mogu pomoći u zaštiti PBX sistema i sprečavanju
zloupotrebe istih:
Edukacija
1. Upoznati se s opasnostima telefonskog hakiranja i financijske odgovornosti ka svom pružatelju
usluga. Zapamtiti, vlasnik telefonskog sistema je odgovoran za neovlaštene upotrebe i vezane
troškove, ne pružatelj usluga.
2. Educirati osoblje o PBX sigurnosnim procedurama i važnosti implementacije istih.
3. Uspostaviti kontakt – protokol za korištenje sistema nakon radnog vremena, tako da se
odgovarajuće osoblje može biti obaviješten pravovremeno.
4. Procijeniti trenutne postavke sistema i onemogućiti bilo kakve opcije koje nisu u uporabi.
23
Lozinka
1. Ne koristiti fabrički zadane kodove i lozinke . Promijeniti default-ne postavke što prije, i ažurirati
ih što češće moguće.
2. Odabrati složene, slučajne lozinke duge od najmanje šest do osam cifi. Tako će ih haker teže
pogoditi.
3. Ne koristiti očite lozinke, kao što su adresa, datum rođenja , broj telefona , ili ponavljajuće ili
uzastopne brojeve, tj. 000000 , 123456 . Ne koristiti sekvencijalne, uzlazne ili silazne kombinacije
brojeva, ili dijelove telefonskog broja.
4. Sprovoditi povremeno mijenjanje lozinke i autorizacijskih kodova zposlenika.
5. Samo pouzdanim administratorima sistema odoriti pristup administratorskoj lozinci i svakako
promijeniti lozinke brzo nakon bilo kakve kadrovske promjene . Eliminirati oglašavanje ili
objavljivanje default-ne lozinke.
DISA
1. Ograničiti poznavanje DISA pristupnog broja i autorizacijskih kodova samo na zaposlenike koji
imaju stvarnu potrebu za tim.
2. Ako je moguće, osigurati da se prvih nekoliko znamenki pristupnog broja DISA-e se razlikuje
brojeva vezanih za telefonske linije.
Govorna pošta
1. Onemogućiti opciju preusmjerenja eksternih poziva za govornu poštu, ako to nije izuzetno
neophodno.
2. Ukloniti neaktivnie poštanske sandučiće.
3. Provjeravati redovno snimljenu poruku kako bi bili sigurni da je autentična.
4. Onemogućiti daljinsko obavještavanje, automatske odgovore, preusmjeravanja poziva i odlazne
pozive, ako se te opcije ne koriste dovoljno.
Pozivi sa specijalnim tarifama
1. Ograničiti set međunarodnih ili međugradskih destinacija na koje vaša tvrtka ne zahtijeva
pristup.
2. Što se tiče blokiranja međunarodnih poziva, važno je biti u dosluhu sa pružateljem usluga.
Održavanje i praćenje sistema
1. Upoznati se da obrascem ponašanja svojih zaposlenika, i redovno ga pratiti.
2. Potražiti sumljive aktivnosti i pozive nakon radnog vremena, uključujući i vikende i praznike, koji
se ne uklapaju u obrazac ponašanja.
Pristup prostorijama sa opremom
1. Čuvati PBX sistem na osiguranom mjestu, kojem samo ovlašteni korisnici imaju pristup.
2. Provjeravati idedentitet svakog tehničara koji ima ili zahtijeva pristup PBX opremi. [10]
24
7. Wangiri
Riječ wangiri u bukvalnom prevodu znači “jedno zvono i gotovo”. Riječ je preuzeta iz japanskog jezika, jer se
prva ovakva prevara desila u Japanu. [12] Wangiri, ili prevara propuštenog poziva, je telekomunikacijska
prevara bazirana na CLI spoofing-u, spamming-u, obmani i IRSF (engl. International Revenue Share Fraud) i u
većini slučajeva, mete su krajnji korisnici mobilne mreže neke zemlje i/ili ciljani pretplatnici specifičnog,
ciljanog mobilnog operatera. [11]
Slika 9 Wangiri prevara
7.1 Wangiri prevara
Izvršitelji prevare, putem mašine, pozivaju mobilne korisnike neke zemlje ili operatora. Njihov cilj je generisati
pozive hiljadama/milionima korisnika (u najekstremnijim slučajevima – i do 300 000 korisnika po danu),
pozivajući ih, te prekidajući poziv nakon jednog zvonjenja. Isti efekat se postiže generišući i šaljući SMS
poruke umjesto poziva.
Prevarant koristi isti broj za sve pozive, najčešće otet (hijacked) broj ili broj koji spada u grupu visoko
tarifiranih brojeva.
Cilj prevare je postignut u trenutku kad kontaktirani mobilni korisnik primjeti propušten poziv ili poruku, te
odluči da nazove taj broj nazad. Prilikom tog poziva korisnik će najčešće dobiti automatizovani odgovor o
osvojenoj nagradnoj igri ili nečemu sličnome, bilo čemu što će ga što duže zadržati na liniji. Prevareni korisnik
nije svjestan da je pozvao ekstremno skup broj koji će se, po njega nepovoljno, odraziti na računu. To će bez
25
sumnje dovesti do osporavanja fakture sa korisnikovim operaterom. Takvi sporovi mogu tog operatera
dovesti i pred sud, u slučaju da su se radi o internacionalnim pozivima.
Svaki dio ovog scenarija je problematičan. Samo slanje tolikog broja poruka i poziva, u kratkom vremenskom
periodu, iskorištava ogroman procenat raspoloživog kapaciteta. Tako da i u slučaju da samo mali broj
korisnika odluči nazvati nazad, izvršitelj prevare je već dovoljno oštetio ciljanog operatera/zemlju.
Prevarant za inicijalni poziv koristi može da koristi različite pružatelje usluga (npr. 10000 pokušaja putem
pružatelja usluga A, 15000 putem B, i 5000 putem C). To mu osigurava da će prouzrokovati štetu čak i ako
neki od pružatelja usluga na vrijeme registruju prevaru. Generalno, prilikom generisanja tih poziva, prevarant
nema značajnih troškova kako u principu ne dolazi do uspostave poziva, tj. nema se šta naplatiti jer se poziv
prekida prije nego korisnik stigne da odgovori na njega.
7.2 Pristupi za detekciju i izbjegavanje Wangiri prevare
Kako detektovati prevaru:
Monitoring-om prometa – da bi se mogla otkriti velika kretanja telekomunikacijskog saobraćaja koji
potiče sa sumljivih brojeva koje odlikuje veoma nizak procenat uspješno odgovorenih poziva (ASR -
Answer Seizure Ratio), ili veliki broj poziva, a mala srednja vrijednost trajanja poziva (ACD – Average
Call Duration).
Traženjem povratnih poziva koji potiču iz mreže ciljanog operatera a završavaju na sumljivim
brojevima.
Kako izbjeći prevaru:
Zatvorenim praćenjem prometa
Pravovremenim kontaktiranjem korisnika koji je potencijalno prevaren
Blokiranjem lažnih brojeva u mobilnim mrežama, tako da je drugi dio scenarija prevare onemogućen
[11]
26
Zaključak
Veličina telekomunikacijskog tržišta je jedna od razloga za sve veću pojavu prevara. Ovom doprinosi sve veći
broj poslovnih transakcija koje se obavljaju preko različitih distribucijskih mreža (npr. IP mreže, LAN, VPN,
bežične itd.). Pretplatnicima se pružaju različite pristupne tehnologije (ADSL pristup, kablovski, bežični,
satelitski itd.) Sumarno, dolazi do konvergencije mreža i stvaranje NGN mreža (engl. Next Generation
Network). Od NGN-a mreža se zahtjeva poboljšanje kvaliteta usluga na IP baziranom prenosu. Sve navedeno
povlači za sobom novi način billing-a i potrebu za evolucijom sistema za detekciju telekomunikacijskih
prevara.
Ovaj rad je imao za cilj da opiše osnovne vrste prevara i veličinu štete koje te prevare uzrokuju telekom
operaterima. Istaknuta je važnost borbe operatera u suzbijanju prevara i data su neka od mogućih rješenja za
detekciju i prevenciju prevara. Neki od tih rješenja su osnovna uputstva za konfiguraciju mreže ili uputstva
kako bi se trebali ponašati korisnisi ili zaposlenici operatora. Također, postoje i kompletni gotovi sistemi za
detekciju i prevenciju prevara.
Upoređujući prihode operatora sa ukupnim gubicima koje izazivaju prevare, može se zaključiti da se
operatorima isplati ulaganje u opremu za detekciju i prevenciju prevara, jer u nekim slučajevima gubici od
prevara iznose i čak do 5% ukupnih prihoda.
27
Literatura [1] Eugenio Rosas and Cesar Analide; Telecommunications Fraud: Problem Analysis an Agent-based KDD
Perspective; Department of Informatics, University of Minho, Braga, Portugal
[2] Stephen Brown; Telecommunication Fraud Management; Januar 2005.
[3] Gabriel Macia-Fernandez; Roaming Fraud: assault and defense strategies; University of Granada, Spain;
Mart 2008.
[4] SUBEX White paper; “Bypass Fraud – Are You Getting It Right” http://www.subex.com/pdf/bypass-
fraud.pdf
[5] “Telecom Dealer Fraud” http://www.cxbsolutions.com/html/dealer_fraud.html
[6] “SIM Cloning Detector” http://www.cxbsolutions.com/html/sim_card_cloning.html
[7] “Phone Cloning Technology” http://www.slideshare.net/jagjitsingh2010/cloning-4
[8] http://en.wikipedia.org/wiki/Private_branch_exchange#Private_branch_exchange
[9] http://www.makeitsecure.org/en/pbx-security.html
[10] TDS - PBX Fraud Information http://www.tdsbusiness.com/resources/additional-resources-beware-of-
phone-system-fraud.pdf
[11] i3 Forum Proprietary Document - Fraud classification and recommendations on dispute handling:
Release 2.0, May 2013.
[12] http://en.wikipedia.org/wiki/Wangiri