Внутрішній фрід– шахрайство, яке здійснюється співробітниками завдяки положенню та доступу до телекомунікаційного обладнання. Жертвами такого фроду може стати як сама компанія, у якій працюють неохайні співробітники, і клієнти.

У англомовних країнах слово "fraud" означає будь-яке шахрайство, у Росії терміном фрод називають вужчу категорію злочинів – шахрайства у сфері інформаційних технологій. У цій сфері течуть сотні та тисячі грошових рік – оплата за переговори, Інтернет-трафік, онлайн-покупки та замовлення, мобільний банкінг. І у багатьох з'являється бажання шляхом шахрайства направити невеликий струмок у свою особисту кишеню.

Загалом IT-фрод можна розділити на чотири великі категорії:

• Користувальницький, що називається також абонентським фродом. До нього відносять шахрайства з боку користувачів – незаконне підключення та несплата послуг операторів зв'язку, дзвінки за чужий рахунок, підробка банківських карток та операції без присутності картки.
• Операторський фрод – всілякі сумнівні дії вже кампаній щодо клієнтів. До них відносять автоматичне підключення платних послуг, дорога вартість відписки від них, картки з можливістю зменшення балансу мінус і т.п.
• Міжоператорський фрод – спроби операторів обдурити одне одного. До його різновидів відносять всілякі перенаправлення трафіку, уявлення дорогих видів зв'язку як дешеві тощо.

Класифікація та способи внутрішнього фроду

У свою чергу, внутрішній фрод можна поділити на дві великі категорії – крадіжку та зловживання. У першому випадку має місце пряма крадіжка грошей чи інших матеріальних цінностей, У другому вилучення матеріальної чи нематеріальної вигоди не пов'язане з прямим розкраданням.

Як мовилося раніше, в IT-сфері постійно рухаються величезні гроші – від клієнта до банку чи оператору, між клієнтами, між фірмами. І деякі співробітники знаходять можливість поживитися за рахунок роботодавця або клієнтів.

Наприклад, можливі випадки надання фіктивних послуг, послуг за завищеними цінами чи договори з афілійованими підрядниками. З клієнтами компанії також можливі шахрайські дії. Особливо це стосується мобільних операторів, де певні суми списуються регулярно, часто по кілька разів на день, і якщо співробітник додасть до них невеликий платіж на свій рахунок, клієнт навряд чи помітить. А оскільки клієнтів таких десятки та сотні тисяч, сума врешті-решт виходить солідна.

У плані зловживань інформаційні технології також є широким полем для діяльності. Масштаб тут найширший, від підключення друзів до вигідних внутрішньокорпоративних тарифів і до оформлення мільйонних рахунків за фіктивні, найчастіше інформаційні, тобто. нематеріальні послуги

Види економічних злочинів: основні сфери ризику, на що звернути увагу

Велику проблему й завищення результатів. Безліч фіктивних клієнтів може принести співробітнику чи підрозділу значні реальні премії.

Варто також відзначити зловживання, пов'язані з доступом до обладнання. На відміну від традиційної промисловості, де фінансові афери є наділом керівництва та бухгалтерії, в інформаційній галузі технічні фахівці також здатні організувати різні шахрайські схеми завдяки відповідному настроюванню серверів та іншого обладнання. Наприклад, виключати з обліку деякі види трафіку, реєструвати дорогі дзвінки як дешеві, потім підключати до них окремі номери. Виявити такі злочини дуже складно, ще важче довести, адже неправильне настроювання завжди можна пояснити помилкою.

Нарешті, IT-компанії схильні до всіх тих зловживань, що існували задовго до розквіту інформаційної ери – влаштування на роботу фіктивних співробітників (зазвичай друзів та родичів начальства), виписка завищених премій, списання ще працездатного обладнання з метою подальшого продажу, використання службового транспорту та іншого майна в особистих цілях.

Хто страждає від внутрішнього фроду

Об'єктами впливу шахраїв можуть стати обладнання та програмне забезпечення компанії, паперові та електронні фінансові документи, вище- та нижчі співробітники.

Сервера, маршрутизатори та інше обладнання дуже вразливі через залежність їх роботи від безлічі виконуваних вузьким колом фахівців налаштувань, у яких всі інші, як правило, зовсім не розуміються. Це дає інженерам та програмістам широкі можливості щодо перенаправлення трафіку, спотворення звітів про нього, зараження шкідливим ПЗ.

Особи, що мають доступ до фінансових програм, можуть як красти невеликі, тому непомітні суми з рахунків безлічі клієнтів, так і оформляти фальшиві рахунки, платіжки, розпитування на повернення нібито помилково переведених коштів і т.д.

Варіантами обману співробітників може бути завищення показників для отримання високих преміальних, фальшиві запити на переказ грошей, блокування та розблокування облікових записів, вивідування у колег логінів та паролів вищого рівня доступу.

Джерело загрози

Відповідно до об'єктів впливу можна виділити три основні джерела внутрішнього фроду в IT-сфері.

Люди, які мають кримінальне минуле, легше йдуть на шахрайські дії. Тому будь-яка компанія повинна здійснювати перевірку кандидата до прийому на роботу, моніторинг його діяльності в процесі роботи, підтримувати високу корпоративну культуру та впроваджувати ефективні схеми мотивації, адже гідний і стабільний офіційний заробіток привабливіший за тимчасові, до того ж шахрайські схеми, що загрожують кримінальним переслідуванням.

Потрібно підкреслити, що особлива увага має приділятися роботі з людьми. До категорій особливого ризику слід віднести людей з кримінальним минулим, системних адміністраторів та інших працівників із високим рівнем доступу, осіб, які здійснюють переказ коштів. Окрему категоріюскладають працівники, що звільняються, особливо у разі вимушених скорочень або звільнень за порушення в роботі. Рухливі образою або компенсацією вони можуть спробувати вкрасти бази даних, внести неправильні налаштування роботу устаткування, заразити комп'ютери шкідливими програмами.

Аналіз ризику внутрішнього фроду

Внутрішньому фроду вразливі всі компанії, у яких можна хоч чимось поживиться, це і банки, державні органи, РЗ, нафтогазова галузь та інші. Інша проблема – складність галузі. Найчастіше співробітникам, особливо новачкам, потрібно чимало часу на освоєння складних програм, у своїй операції виконуються з порушенням суворих норм. А будь-яке порушення є лазівка ​​для шахрайства.

Чітка прозора структура з добрим внутрішнім контролем залишає шахраям дуже мало можливостей для афер.

Крім внутрішнього, обов'язковий також регулярний зовнішній аудит, як техніки, так і фінансових операцій, що дозволяє виявити неправильне настроювання серверів та комп'ютерів, сумнівні перекази грошей. Вже сама можливість розкриття шахрайських схем змусить багатьох відмовитись від своїх планів.

Необхідно аналізувати показники ефективності як окремого співробітника, так і цілих підрозділів. Іноді їх різке зростання не є наслідком поліпшення роботи, а шахрайським завищенням задля отримання великих премій.

Зрештою, велике значення має загальна корпоративна культура. За її відсутності низької трудової дисципліни все нерідко починається з невеликих зловживань, на які заплющують очі. Безкарність підштовхує людину шукати (і знаходити) більш масштабні схеми, за яких компанія та клієнти втрачають вже мільйони.

У той же час чітка, прозора система, строгий контроль, включаючи зовнішній незалежний аудит, усвідомлення невідворотності покарання змусить більшість забути про шахрайські схеми на користь чесного заробітку. Для протидії внутрішньому фроду використовують DLP-системи, системи профілювання співробітників, поведінковий аналіз UEBA.

Розповів про види мобільного шахрайства та методи боротьби з ними.

Кожен, хто працює з рекламою у додатках, стикається з проблемою фрода. Якщо ви думаєте, що не стикаєтеся, ви стикаєтеся, просто не знаєте про неї. Стаття допоможе навчитися визначати та розрізняти 4 актуальних на сьогоднішній день виду фроду.

До 2020 року 250 мільярдів доларів буде витрачено на рекламу в мобільних додатках.

Обсяг фроду лише зростає і вже наближається до 16-17 мільярдів доларів, які щороку втрачають рекламодавці. Щоб зрозуміти, як за такого стрімкого зростання уникнути шахрайства, розберемо 4 найбільш актуальні види.

Installs Hijacking

При Installs Hijackingшкідлива програма, що знаходиться на пристрої користувача, що встановлює програму, визначає завантаження програми і намагається перехопити інсталяцію, яка по праву належить іншому джерелу. Спосіб боротьби з цим видом фрода – відстеження розподілу часу з кліку в установку.

Презентація Боротьба з мобільним фродом – нові підходи та метрики. Олександр Грач, AppsFlyer

На початку графіка спостерігаються екстремуми, де за короткий період часу відбувається безліч установок, що не відповідає людській поведінці. За допомогою такого відстеження оцінюємо та відфільтровуємо подібну поведінку.

Click Flood

Сlick Flood - шкідливе ПЗ "перехоплює" органічні установки шляхом "запружування" трекінгової системи великою кількістю кліків. Програми з хорошим органічним трафіком більшою мірою схильні до цього виду шахрайства.

Щоб розібратися у методі боротьби з Click Flood, звернемо увагу на наступний набір KPI.

1. CTIT - дистрибуція часу з натискання на установку.
2. Рівень конверсії.
3. Залученість.
4. Індекс мультиканальності.

Розглянемо кілька джерел трафіку і те, як вони поводяться, виходячи з KPI на таблиці нижче. Є джерело «А» та джерело «Б». Оцінюємо їх за 4-м KPI.

Презентація Боротьба з мобільним фродом – нові підходи та метрики. Олександр Грач, AppsFlyer

CTIT. Нормальний розподіл кліка в установку займає десь 40 секунд, близько 70% установок відбувається в першу годину і 95% - в перші 24 години. Відповідно, відстежуємо цей показник.

Рівень конверсії. Очевидно, що при великій кількості кліків конверсія маленька. Аномально низькі значення або ті, які нижче за очікувані, перевіряємо на фрод.

Залученість. При установці з органічного джерела залученість зберігається на рівні органіки. З цього виходить користувач, який добре і класно поводиться: платить, доходить до якихось рівнів і так далі. Рівень визначається індивідуально: настроюється власне розуміння лояльних користувачів.

Індекс мультиканальності- співвідношення кількості допоміжних кліків першого джерела кількості останніх кліків. Трекінг-платформи відстежують атрибуції за останнім кліком. Це означає, що якщо установка програми мала кілька кліків по рекламі, то конвертуючим вважається останній – саме йому присвоюється кредит за установку. При Click Flood фродстер відправляє величезну кількість кліків, які забивають вирву конверсії і іноді потрапляють в останні, тому відслідковувати вирву мультиканальної атрибуції дуже важливо.

Подивимося на приклад звіту AppsFlyer з мультиканальної атрибуції:

Презентація Боротьба з мобільним фродом – нові підходи та метрики. Олександр Грач, AppsFlyer

Для опису методики взято подію – установку. Показуємо 3 попередні кліки, і наскільки вони співвідносяться один з одним. По кожній установці на це джерело трафіку вирва по мультиканальній атрибуції забивається тим самим джерелом або конкретним видавцем. Це викликає питання та наштовхує на певні роздуми. У нормальній ситуації не буде чіткого патерну з розподілу допоміжних установок по всій вирві. Якщо є підозри Click Flood, то різниця між цими установками або однакова, або вона дуже близька до часу установки, - буквально кілька секунд. Відповідно, це був викид кліків, деякі з яких потрапили до мети, при цьому всі знаходяться недалеко один від одного.

Click hijacking

Ще один вид шахрайства для боротьби з яким використовується індекс мультиканальності та мультиканальна атрибуція – Click Hijacking. Механіка схожа з Install Hijacking, але тут шкідливий додаток виявляє реальний клік і посилає звіт про фальшивий клік з конкуруючої мережі, перехоплюючи таким чином клік і саму установку.

Презентація Боротьба з мобільним фродом – нові підходи та метрики. Олександр Грач, AppsFlyer

На графіці вище можна побачити, як розподіляється час від передостаннього до останнього кліка. У моделі від Appsflyer є останній клік, який конвертує, і перший contributor - попередній клік у вирві. Відповідно, видно патерн у мультиканальній атрибуції: передостанній клік неприродно близький до останнього. Відразу можна відсікати такий стрибок та працювати з цими даними з підозрою на Click Hijacking.

Installs Fraud

Останній у списку вид шахрайства пов'язаний із установками – Installs Fraud. Моделювання різноманітних дистрибуцій – це класна річ, але завжди необхідно мати кілька рівнів захисту. Для перевірки будь-яких гіпотез необхідно мати інформацію з різних джерел. У AppsFlyer вирішили використати власні дані для того, щоб боротися із цим видом фроду.

Проект тривав близько півроку. Було взято всі девайси з бази даних. На НаразіБаза Appsflyer об'єднує близько 98% всіх девайсів, що знаходяться в обігу. Метою проекту було зрозуміти, який рахунок у кожного такого ID у системі, з погляду антифрод рішення. Скоринг складався на підставі 1,4 трильйона мобільних взаємодій

Використовуючи алгоритми обробки великих даних, кожному мобільному присвоювався певний рейтинг. Шкала оцінки схожа на рейтинг цінних паперів: шахрайські пристрої одержують рейтинг «C», підозрілі «B», реальні – «А», «АА» або «ААА», нові – «N», LAT (Limit Ad Tracking) – «X».

Після скорингу залишалося питання, що робити з новими девайсами.

Презентація Боротьба з мобільним фродом – нові підходи та метрики. Олександр Грач, AppsFlyer

За допомогою агрегованих даних стало видно, що за деякими джерелами трафіку приходить аномально велика кількість нових пристроїв, якими виявилися не останні моделі Samsung або iPhone, а старі девайси 2012-2013 з застарілими версіями ПЗ. Це свідчить про емуляцію девайсів з наступним скиданням рекламного ідентифікатора. В даному випадку фіктивний девайс виконує необхідні дії з рекламного оферу, після чого скидає idfa/gaid і розпочинає нове коло установок. Ефективним методом відлову емульованих девайсів є використання великих баз даних, як у AppsFlyer. Аналізуючи 98% девайсів, що у зверненні, кожен новий девайс - якийсь прапорець, який змушує задуматися, що сітка неспроможна давати 100% нових користувачів. Є стандартний кругообіг нових девайсів у природі - приблизно 5-10%, але абсолютно точно не 100% і навіть не 50%.

Якщо ставити фільтр по кампаніям, видно, що одні компанії пропонують більше нових девайсів, а інші менше.

Презентація Боротьба з мобільним фродом – нові підходи та метрики. Олександр Грач, AppsFlyer

Поставивши розбивку по sub-publishers, видно, що вони однакові. Це означає, що існує один або кілька підозрілих sub-publisher, які намішують фіктивний трафік у різні кампанії, різні джерела трафіку. Таким чином, відстеживши активність, можна відловлювати фродстер.

Фрод – хвороба, але від неї є ліки

Фрод – хвороба реклами мобільних додатків, але від неї вже виведено безліч вакцин. Використовуючи рішення, описані в статті, ви зможете виявити 4 найпопулярніші види мобільного шахрайства. Не заощаджуйте на боротьбі з фродом, вчіться бачити його. Постійно шукайте рішення та звертайтеся до кваліфікованих компаній, які допоможуть у цьому.

Якщо ви знайшли помилку - виділіть її та натисніть Ctrl+Enter! Для зв'язку з нами можна використовувати .

Одним із найнебезпечніших злочинів проти власності вважається шахрайство. У кримінальному законодавстві є кілька статей, присвячених йому.

Загальний склад зазіхання передбачено у статті 159 КК РФ. У нормі встановлено покарання протиправні дії з фізичними об'єктами чи майновими правами. У 159 статті КК РФ передбачені кваліфіковані та особливо кваліфіковані склади. У ст. 159.6 встановлено покарання за дії у сфері комп'ютерної інформації. Тим часом останнім часом набув широкого поширення новий тип шахрайства - фрід. Відповідальність за нього в КК не передбачено.

Визначення

Слово fraud у перекладі з англійської означає "шахрайство". Суть його полягає у несанкціонованих діях, неправомірному використанні послугами та ресурсами у мережах зв'язку. Простіше кажучи, це вид шахрайства в галузі інформаційних технологійй.

Способи скоєння злочину різні. Нині відомо більше 50 різних прийомів розкрадання мережах зв'язку.

Аналізуючи випадки, що мали місце на практиці, можна сказати, що фрід – це такезлочин, за який притягти до відповідальності, дуже складно.

Класифікація

Спробу виділити види фроду було здійснено 1999 р. Ф. Госсетом і М. Хайлендом. Вони змогли позначити 6 основних типів:

1. Subscription fraud – контрактне шахрайство. Воно є умисною вказівкою невірних даних під час укладання договору чи невиконання абонентом умов про оплату. У цьому випадку абонент не планує спочатку виконувати свої зобов'язання за контрактом або у певний момент відмовляється від виконання.
2. Stolen fraud - використання втраченого телефону.
3. Access fraud. Переклад слова access – "доступ". Відповідно, злочин полягає у протиправному використанні послуг за допомогою перепрограмування ідентифікаційних та серійних номерів телефонів.
4. Hacking fraud – хакерське шахрайство. Це проникнення в систему безпеки комп'ютерної мережі з метою видалення інструментів захисту або зміни конфігурації системи для несанкціонованого її використання.
5. Technical fraud – технічне шахрайство. Воно передбачає протиправне виготовлення платіжних телефонних карток із підробленими ідентифікаторами абонентів, платіжних позначок, номерів. До цього типу відносять внутрішньокорпоративне шахрайство. У цьому випадку зловмисник має можливість користуватись послугами зв'язку за низькою ціною за рахунок отримання незаконного доступу до корпоративної мережі. Вважається, що такий фрод – ценайнебезпечніше діяння, оскільки виявити його досить складно.
6. Procedural fraud – процедурне шахрайство. Його суть полягає у протиправному втручанні у бізнес-процеси, наприклад, у білінг, зниження обсягу оплати послуг.

Пізніше цю класифікацію значно спростили; всі методи об'єднали у 4 групи: процедурне, хакерське, контрактне, технічне шахрайство.

Основні типи

Необхідно розуміти, що фрід – це такезлочин, джерело якого може бути де завгодно. У зв'язку з цим, особливу актуальність набуває питання Відповідно до цього, виділяють такі три типи шахрайства:

• внутрішнє;
• операторське;
• абонентське.

Розглянемо їх основні ознаки.

Абонентський фрід

Найбільш поширеними діями вважаються:

• Імітації сигналізації з використанням спеціальних приладів, що дозволяють здійснювати міжміські/міжнародні дзвінки, з телефонів у тому числі.
• Фізичне підключення до лінії.
• Створення нелегального пункту зв'язку через зламану АТС.
• Кардинг - емуляція телефонних карток або протиправні дії з картками передоплати (наприклад, поповнення обманним шляхом).
• Умисна відмова від оплати телефонних переговорів. Такий варіант є можливим, якщо послуги надаються в кредит. Як правило, жертвами зловмисників стають оператори мобільного зв'язку, які надають послуги роумінгу, коли інформація між операторами передається із затримкою.
• Клонування телефонних трубок, сім-карт. Стільникові шахраїотримують можливість здійснювати дзвінки у будь-яких напрямках безкоштовно, а рахунок прийде власнику клонованої сім-карти.
• Використання телефону як переговорний пункт. Такі дії здійснюються в тих місцях, де є зв'язки: в аеропортах, на вокзалах та ін. Суть шахрайства полягає в наступному: на знайдений/викрадений паспорт купуються сім-карти, тарифи за якими передбачають можливість формування заборгованості. За невелику плату бажаючим пропонується зателефонувати. Це триває до того моменту, поки номер не буде заблокований за борг, що утворився. Згашувати його, зрозуміло, ніхто не збирається.

Операторське шахрайство

Найчастіше воно виявляється у організації дуже заплутаних схем, що з обміном трафіком на мережах. Серед найпоширеніших неправомірних дій можна назвати такі:

• Навмисне спотворення інформації. У таких випадках несумлінний оператор конфігурує комутатор так, щоб можна було збрехати дзвінки через іншого оператора, який нічого не підозрює.
• Багаторазове повернення дзвінків. Як правило, таке "зациклювання" має місце за відмінностями у тарифікації операторів при передачі викликів між ними. Несумлінний оператор повертає дзвінок у вихідну мережу, але через третю особу. У результаті виклик повертається знову до недобросовісного оператора, який може його знову відправити по тому ж ланцюжку.
• "Приземлення" трафіку. Цей вид шахрайства також називають "тунелюванням". Він має місце, коли несумлінний оператор передає свій трафік у мережу через VoIP. Для цього використовується шлюз IP-телефонії.
• Виведення трафіку. І тут створюється кілька схем, які передбачають нелегальне надання послуг за зниженими цінами. Наприклад, два недобросовісні оператори укладають угоду для отримання додаткового доходу. При цьому один з них не має ліцензії на надання послуг зв'язку. В умовах угоди сторони застерігають, що суб'єкт, який не має дозволу, використовуватиме мережу партнера як транзитну для пропуску та вливання свого трафіку в мережу третьої особи – оператора-жертви.

Внутрішній фрід

Він передбачає дії співробітників зв'язку, пов'язані з розкраданням трафіку. Співробітник, наприклад, може користуватися службовим становищем для отримання незаконного прибутку. І тут мотивом його дій є користь. Буває і так, що службовець навмисне завдає шкоди компанії, наприклад, внаслідок конфлікту з керівництвом.

Внутрішнє шахрайство може здійснюватися шляхом:

• Приховування частини інформації на комутаційних пристроях. Устаткування може бути налаштоване так, щоб для частини маршрутів відомості про надані послуги реєструватися не буде або не вводитиметься в незадіяний порт. Такі дії виявити вкрай проблематично, навіть при проведенні аналізу даних білінгової мережі, оскільки в неї не надходять первинні відомості про сполуки.
• Приховування частини даних на обладнанні білінгових мереж.

Це досить специфічна схема шахрайства. Вона пов'язана із покупками товарів в Інтернеті.

Клієнти роблять замовлення та оплачують його, як правило, безготівковим розрахунком з картки або рахунку. Потім вони ініціюють повернення оплати, обґрунтовуючи це тим, що платіжний інструмент або інформація про рахунок було вкрадено. Внаслідок цього кошти повертаються, а придбаний товар залишається у зловмисника.

Практичні складнощі

Як показує практика, зловмисники використовують одразу кілька способів фроду. Адже, по суті,? Це люди, які добре знаються на інформаційних технологіях.

Щоб не бути спійманими, вони розробляють різні схеми, розплутати які майже неможливо. Досягається це якраз шляхом застосування кількох незаконних моделей одночасно. При цьому якийсь спосіб може використовуватися для направлення правоохоронних органів помилковим слідом. Найчастіше не допомагає і фрод-моніторинг.

Сьогодні більшість фахівців діють єдиного висновку, що скласти вичерпний перелік усіх типів телекомунікаційного фроду неможливо. Це цілком зрозуміло. Насамперед технології не стоять на місці: йде їх постійний розвиток. По-друге, необхідно враховувати специфіку цього напряму злочинної діяльності. Телекомунікаційне шахрайство тісно пов'язане із реалізацією конкретних послуг певних операторів зв'язку. Відповідно, крім загальних складнощів, у кожної компанії виникатимуть свої, властиві тільки їй специфічні проблеми.

Загальні принципи боротьби

Будь-який оператор повинен мати уявлення про існуючі види телекомунікаційного шахрайства. Класифікація допомагає впорядкувати діяльність, спрямовану боротьбу зі злочинами.

Найбільш поширеним вважається поділ фроду за функціональними сферами:

• роумінговий;
• транзитний;
• СМС-фрод;
• VoIP-fraud;
• PRS-fraud.

Водночас класифікація не полегшує оператору вирішення завдання щодо забезпечення захисту від шахрайства. Наприклад, транзитний фрод передбачає реалізацію величезної кількості шахрайських схем. Незважаючи на те, що всі вони тією чи іншою мірою пов'язані з наданням однієї послуги - транзитом трафіку, виявляються вони за допомогою абсолютно різних інструментів та методів.

Альтернативна класифікація

Враховуючи складність проблеми, при плануванні діяльності з фрод-моніторингуоператорам слід використовувати типологізацію шахрайських схем відповідно до методів їх детектування, виявлення. Ця класифікація представлена ​​як обмеженого переліку класів фрода. Будь-яку схему шахрайства, що виникає, у тому числі раніше не враховану, оператор може віднести до будь-якого класу в залежності від методу, що застосовується для її розкриття.

Відправною точкою для такого поділу буде уявлення про будь-яку модель як про поєднання 2-х компонентів.

Першим елементом є "передфродовий стан". Воно передбачає певну ситуацію, поєднання умов, що виникли у налаштуваннях системи, у бізнес-процесах, сприятливі для реалізації шахрайської схеми.

Наприклад, існує така модель, як "фантомні абоненти". Ці суб'єкти отримали доступ до послуг, але у білінговій системі не зареєстровані. Це і називається " передфродовим станом " - розсинхронізація даних між елементами мережі та обліковими системами. Це, звичайно, ще не фрід. Але за наявності цієї розсинхронізації він може бути реалізований.

Другим елементом є "фродова подія", тобто дія, для якої організована схема.

Якщо продовжити розглядати "фантомних абонентів", дія буде вважатися СМС, дзвінок, транзит трафіку, передача даних, вчинені одним з таких абонентів. У зв'язку з тим, що у білінговій системі він відсутній, послуги не оплачені.

Фрод та GSM

Технічне телекомунікаційне шахрайство породжує багато проблем.

Насамперед, замість контрольованого та законного з'єднання розсилки здійснюються з незрозумілого пристрою. Ускладнюється ситуація тим, що зміст повідомлень не можна модерувати (перевіряти).

По-друге, крім збитків від неоплачених розсилок, у оператора збільшуються прямі витрати на розширення мережі через підвищене навантаження на пристрої внаслідок нелегального сигнального трафіку.

Ще одна проблема – складності при взаємозаліках між операторами. Зрозуміло, ніхто не хоче оплачувати піратський трафік.

Ця проблема набула загрозливих масштабів. Для виходу з ситуації Асоціація GSM розробила кілька документів. Вони розкривається поняття смс-фрода, даються рекомендації з основних методів його детектування.

Однією з причин поширення СМС-шахрайства фахівці називають невчасне оновлення ОС телефону. Як показує статистика, велика кількість користувачів не хочуть купувати новий телефон, поки апарат не вийде з ладу. Через це більш ніж на половині пристроїв використовується старе програмне забезпечення, яке, у свою чергу, має проломи. Ними користуються шахраї для реалізації своїх схем. Тим часом, і сучасні версії мають свої вразливості.

Вирішити проблему можна, оновивши систему до останньої версії та запустивши програму, що виявляє вразливість.

Необхідно пам'ятати, що зловмисники не поділяють мобільного та фіксованого зв'язку. Схеми фрода можуть бути реалізовані у будь-якій вразливій мережі. Шахраї вивчають особливості і того, і іншого зв'язку, виявляють схожі проломи і проникають у них. Звісно, ​​абсолютно виключити загрозу не можна. Однак усунути найбільш очевидні вразливості цілком можливо.

1) Нереалістично короткий проміжок часу між кліками та цільовими діями

Стандартна швидкість з'єднання з Інтернетом дозволяє завантажити програму за 30 секунд. При цьому установки одного каналу можуть проходити за 2-10 секунд. Такий трафік можна вважати фродовим.

2) Очевидно, шаблонна поведінка користувачів після кліку за оголошенням

Реальні користувачі витрачають різний час на ухвалення рішення про завантаження програми та перегляд внутрішніх сторінок. У них буде різна швидкість з'єднання інтернету та різні цілі заходу у додаток/на сайт.

Канал, який стабільно показує однакову послідовність дій користувачів або рівні проміжки між кліками, швидше за все, приносить фрод.

3) Різне гео кліка та установки для одного і того ж користувача

Будь-який пристрій, підключений до Інтернету, має IP адресу. Він містить інформацію про регіон, де ви знаходитесь. Якщо користувач сидить через мобільний інтернет, IP адреса йде від мобільного провайдера. Якщо користувач підключається до Інтернету через Wi-Fi, IP йде від точки підключення до Інтернету.

Клікнути в одному регіоні та завантажити програму в іншому практично нереально.

4) Аномально багато кліків з одного IP/ID

Це перша ознака того, що вам надходить трафік із ферми ботів. Хоча такі показники можуть вказувати на роботу реальних людей. Наприклад, якщо шахраї скидають рекламні ідентифікатори пристроїв, з яких фродять, і наново здійснюють установки та цільові дії.

5) Занадто маленька або велика конверсія з кліка в установку

Якщо конверсія з кліків в установки нижче 0,3% при великому потоці трафіку, швидше за все, фродери скликають рекламу.

Конверсія вище 30% також є ознакою фрода. Такі значення є реальними для пошукових кампаній. В інших випадках висока ймовірність того, що установки несправжні. Те саме стосується нереалістично високих або мізерно малих показників CTR і

eCPM. Якщо їх значення за певним каналом занадто відрізняються від середніх, ви можете записувати джерело до списку фродових.

6) Підозріла активність у нічний годинник

Зазвичай користувачі в рамках одного гео активніші вранці, вдень або ввечері. А програми, що генерують фрод, можуть працювати 24 години на добу. Багато кліків та установок у нічний час, близьких за кількістю до органічних показників в інший час доби, викликають підозру. Джерело з таким трафіком потребує додаткових перевірок.

Як правило, більшість реальних установок відбувається в першу годину після кліка. До другої години кількість установок різко спадає. У фродових кампаніях через специфіку роботи програм крива установок набагато рівномірніше.

8) Відсутність базових подій

Якщо ви відслідковуєте показ hello-екрана або відкриття програми, і бачите, що цих дій не відбувається після встановлення, швидше за все, ви зіткнулися з фродом.

Шахраї можуть імітувати звіт про здійснення цільової дії у системі аналітики. Тоді ви побачите звіт про встановлення та необхідну in-app активність, при цьому обов'язкові для реальних користувачів кроки будуть пропущені.

Екстремально низький показник Retention Rate та видалення програми відразу після установки вказує на мотивований трафік: шахраї завантажують програму та відразу видаляють. Рідкісний, але можливий випадок: програма скачав реальний користувач, але не захотів/забув його використовувати.

Типи шахрайства

Спуфінг SDK

Спуфінг SDK - вид фрода, при якому шахраї контролюють передачу повідомлень між програмою SDK і сервером, що отримує інформацію.

Вихідні повідомлення змінюються більш вигідні рекламодавцю. Наприклад, звіт про показ банера - на сигнал про завантаження програми. Таким чином ви бачите нові установки, яких насправді не було.

Клік-спам

Тип спаму, при якому шахраї вставляють банери так, щоб користувачі не бачили їх та клацали по них, самі того не знаючи. Наприклад, ви натискаєте кнопку play на сайті безкоштовного онлайн-кінотеатру і потрапляєте на сторонній сайт. Або граєте в гру всередині програми і кожен тап на екрані зараховується за клік по банерах, які ви навіть не бачите. Ці кліки зараховуються за переходи по рекламним оголошенням

Ознаки того, що ви стали жертвою цього типу:

• різко впали обсяги органічних установок;
• платні користувачі поводяться так само, як ті, що прийшли після органічних установок.

Ін'єкція кліків

У деяких класифікаціях виділяється як підтип клік-спаму. Користувач встановлює програму зі шкідливим кодом. Зазвичай такими є копії-підробки популярних додатків або додатків категорії “інструменти”. Мітка фродового джерела надається зараженому пристрою.

Коли користувач (навіть через багато часу після впровадження коду) завантажує потрібну програму, установка буде зарахована як реклама, що прийшла від кліка, тому що в аналітиці вона матиме відповідну мітку.

Від цього виду фрода можуть постраждати лише смартфони з операційною системою Android.

Зазвичай такий тип атаки вказує дуже короткий (>2 секунд) проміжок часу між кліком і установкою.

Ботовий трафік

Шахраї створюють ферми, де збирають велику кількість смартфонів. Пристрої підключені до програми, яка імітує на них дії справжніх користувачів: кліки з реклами, установки програми, перегляди відео та ін. Є й інший варіант організації ферми: замість безлічі пристроїв, використовується програма, яка створює віртуальні копії пристроїв з ID, що постійно оновлюються. Програма також симулює дії реальних користувачів, але на сервері.

Щоб не дати себе виявити, шахраї змінюють IP-адреси, проганяють трафік через TOR або VPN.

Швидше за все, ваші установки підроблені:

• якщо після них відразу слід видалити програму;
• якщо аналітика має багато кліків\установок з однієї IP-адреси.

Мотивований трафік

Існують спеціальні сайти, де користувачам платять за те, що вони виконують певні дії: кліки, настройки, in-app дії тощо. Мотивованим такий трафік називається, тому що користувачі виконують цільові дії за певну винагороду. Зазвичай, це реальні невеликі гроші або ігрова валюта. У середньому до 200 рублів за цільову дію.

Іноді користувачам пропонують зробити дії офлайн. Наприклад, цільовий користувач може залишити заявку на перегляд квартири в новобудові і навіть сходити перегляд.

Трафік швидше за все мотивований, якщо:

• показник retention rate з одного каналу стабільно низький;
• користувачі видаляють програму відразу після завантаження або завантажують і не заходять;
• користувачам, які завантажили програми за винагороду, часто надсилають скрипти активності в додатку. Завантажити, натиснути на певні кнопки, видалити за три дні. Тому в аналітиці може бути багато установок з однаковою моделлю поведінки.

Як захистити себе від фрода

1) Оновлюйте ваші SDK

У нових версіях оновлюються системи захисту від фродового трафіку.

2) Обмовте ризики з підрядниками

Обмовте на початку роботи з вашими підрядниками, як відбуватиметься оплата та подальша робота, якщо ви виявите фрод. Пропишіть у договорі, що робитимете у таких випадках. Наприклад, ви можете обумовити, який трафік за показниками в аналітиці вважатиметься фродом і не оплачуватиметься.

3) Видаляйте підрядників із фродовим трафіком

Якщо ви або ваша антифрод-система виявили шахрайський трафік, що у великому обсязі йде від одного з підрядників, застосовуйте до цієї компанії штрафні санкції. Якщо таке відбувається неодноразово, то простіше відключити канал, який постачає неякісний трафік.

4) Не націлюйтеся на підозрілі версії OS

Не таргетуйте рекламу на пристрої зі застарілими або ще не вийшли ОС. Як правило, бот-ферми закуповують старі смартфони, які підтримують тільки старі версії ОС. Так ви відсічете незначний відсоток реальних користувачів, зате уникнете фродерських атак.

5) Стежте за аналітикою

Аналіз конверсій по IP, device-info, часу між кліком та конверсією, життя користувача після встановлення програми, конверсії через VPN або проксі можуть дати знати про фрод.

6) Використовуйте послуги з вбудованим антифродом

Власні антифрод-рішення є у мобільних трекерів та системах аналітики: Adjust, Appsflyer, Fraudlogix

Всі ці програми коштують гроші. Щоб оцінити доцільність вкладень антифрод-рішення, ви можете протестувати пробну версію. Якщо за пробний період система виявить фродовий трафікна суму, що покриває її вартість, варто продовжувати передплату.

CPI мережі пов'язані з великою кількістю дрібних постачальників трафіку, що робить їх сприятливою сферою для шахраїв. А ще це важливий та великий канал. Бюджети нею виділяються пристойні, отже втрати від фрода може бути чутливими.

При виявленні фрода від CPI-мережі потрібно дивитися на подисточники та відключати ті, з яких приходить фрод. Якщо загальний обсяг фрода від сітки не опускається нижче 10%, незважаючи на постійну роботу над відключенням підозрілих подисточників, можна спробувати дати раду причині. Можливо, перекинути бюджет на благонадійніше джерело.

Антифрод-інструмент дуже економить час, замінюючи необхідність ручної обробки великих масивів даних. Служить медіатором, який дає свої гарантії, у спірних ситуаціях із партнерами. Ну і, зрозуміло, заощаджує бюджет, допомагаючи відсіювати фрод.

Я тестував кілька великих сервісів і не знайшов помітних переваг над іншими будь-якого з них. Найефективнішим виходом, мій погляд, можливо лише розробка внутрішнього рішення.

Станіслав Ізмайлов, менеджер з маркетингу BlaBlaCar

Ми випустили нову книгу «Контент-маркетинг у соціальних мережах: Як засісти в голову передплатників та закохати їх у свій бренд»

Фрод – це різновид шахрайства в галузі інформаційних технологій, будь-який витік особистих даних, що призводить до збагачення зловмисників.

Більше відео на нашому каналі - вивчайте інтернет-маркетинг із SEMANTICA

Як працює фрод у житті

Розглянемо практично, що вважається фродом.

Лариса хоче придбати гарну та якісну сумочку, але за низьку ціну. Вона переглядає інтернет-магазини з пропозиціями та знаходить ідеальну модель. На сайті вона кладе її в кошик, оформляє замовлення та здійснює оплату товару. Вона не враховує, що сайт, на якому вона замовила бажану сумочку і здійснила оплату – небезпечний, і всі дані її банківської картки дізналися шахраї.

Після отримання даних карти Лариса шахрай швидко шукає метод отримати її гроші. Порушник знаходить продавця і купує у нього товар за 10 000 рублів. Продавець купує у свого постачальника товар за 7 000 рублів, і відразу його продає шахраю за 10 000 рублів.

Лариса дивиться виписку зі своєї карти і розуміє, що її грошові коштикудись зникають. Вона йде до банку і просить розібратися та повернути її зароблені гроші. Банк задовольнять заяву Лариси і вимагає примусове повернення коштів з продавця - 10 000 рублів, і стягує комісію 2 000 рублів.

Підсумки історії:

1. Лариса повернула всі гроші та шукає нове місце для придбання сумочки.
2. Банк виконав прохання клієнта та підвищив свою репутацію.
3. Платіжний процесинг узяв цього продавця до уваги. Якщо повторне шахрайство виявиться, то платіжний процесинг відмовляється співпрацювати з небезпечним інтернет-магазином та надавати послуги даному продавцю.
4. Постачальник заробив гроші, повернення він не зробить. Грамотний захист від фрод – обов'язок продавця.
5. Шахрай залишився задоволеним із безкоштовним товаром, купленим за чужі гроші, списані з банківської картки.

Продавець (інтернет-магазин) зазнав збитків:

• 7000 тис. рублів постачальнику;
• 10000 тис. рублів Ларисі;
• 2000 тис. рублів штраф банку.

Ось як фрод може зашкодити недосвідченому продавцю.

Чому небезпечно пропустити фрід

Найвагоміші втрати виникають у низькомаржинального бізнесу. Наприклад, при маржинальності продажів в 2-3%, ТСП буде необхідно продати пару десятків товарів, щоб перекрити збитки, що з'явилися, по одній фродової операції. Пам'ятайте, що головне у таких діях те, що високий середній чек погіршує ситуацію та створює нові критерії для шахраїв. Найбільш затребуваними категоріями та галузями для фродових операцій є подорожі та роздрібна реалізація товарів.

Фрод у галузі інформаційних технологій є масштабним організованим бізнесом. Інтернет-злочинці об'єднуються у угруповання, які здійснюють свої шахрайські дії у кожній сфері.

Порушники закону роблять свої спільноти у соціальних мережах, на різних форумах і роблять це з однією метою – покращувати навички, збирати спільні знання, ділитися своїм досвідом та поширювати найоптимальніші схеми атак. Все це допомагає злочинцям у мережі отримати максимальну продуктивність та довести несанкціоновані операції до досконалості.

Які види фроду бувають

У 1999 р. Ф. Госсет та М. Хайленд виділили 6 типів цього шахрайства:

1. Subscription fraud – контрактний тип, який є невірною вказівкою даних під час укладання договорів при абонентській оплаті.
2. Stolen fraud – використання вкраденого телефону.
3. Access fraud – перепрограмування ідентифікаційних номерівтелефонів.
4. Hacking fraud – найпоширеніший тип. Незаконне проникнення у систему безпеки комп'ютерної мережі.
5. Technical fraud – технічний фрод, який передбачає виготовлення незаконних платіжних карток.
6. Procedural fraud – процедурний вигляд, що заважає бізнес-процесам.

Як можна розпізнати шахрайство: підозра на фрід

Підозра на фрод – це спосіб запобігти будь-яким несанкціонованим діям шахраїв.

Розпізнати його можна з різноманітних дій:

1. Занадто висока швидкість завантаження.
2. Шаблонна поведінка користувача (рівні часові проміжки між переходами на сайті).
3. Мінімальний часовий проміжок між переходом по оголошення та покупкою.
4. Різне місце розташування в одного і того ж клієнта.
5. Багато кліків з одного IP/ID.
6. Час життя споживача – максимум 3 дні.
7. Висока активність уночі.

Як шахрай може отримати дані картки

Поширені методи перехоплення персональних даних:

1. Покупець оплачує продукт або послугу на незахищеному та неперевіреному сайті (інтернет-магазин з низьким рівнем захисту), та персональні дані перехоплюють порушники.
2. Клієнт використовує банкомат, який має скімінговий пристрій. При цьому людина надає необмежений доступ до коштів.
3. Споживач робить покупку в інтернет-магазині та оплачує товар електронним гаманцем, використовуючи громадський Wi-Fi. Після цього шахрай отримує доступ до всіх прив'язаних до електронного гаманця карт.

Як боротися із фродом

Якісний антифрод – спеціалізований сервіс, який гарантовано справляється з усіма маніпуляціями шахраїв, і не дозволяє переводити в готівку кошти і купувати продукцію по чужих банківським карткамчерез інтернет-магазин.