Любопытный способ вычисления схем телефонного мошенничества нашли специалисты исследовательского центра Eurecom. Для этого они применили алгоритм машинного обучения Random forest, который обычно используют применяется для задач классификации, регрессии и кластеризации.
В результате эксперимента Eurecom удалось эффективно выявить схемы телефонного мошенничества с использованием платных международных номеров. Для этого потребовалось проанализировать криминальные тестовые порталы, при помощи которых злоумышленники проверяют, как работает перенаправление вызова на линию с повышенной тарификацией.
Иными словами, эксперты научили машину, зная номера, которые криминальный провайдер использует для тестирования, уверенно определять телефонные линии, задействованные в реальных атаках.
Random forest (с англ. — «случайный лес») — алгоритм машинного обучения, предложенный Лео Брейманом и Адель Катлер, заключающийся в использовании комитета (ансамбля) решающих деревьев. Алгоритм сочетает в себе две основные идеи: метод бэггинга Бреймана, и метод случайных подпространств, предложенный Tin Kam Ho. Алгоритм применяется для задач классификации, регрессии и кластеризации. Основная идея заключается в использовании большого ансамбля решающих деревьев, каждое из которых само по себе даёт очень невысокое качество классификации, но за счёт их большого количества результат получается хорошим.
Мошенники, которые перенаправляют телефонный трафик на платные номера, преследуют, как правило, одну из четырех целей:
- Совершать в дальнейшем несанкционированные звонки при помощи взломанного компьютера или другого устройства.
- Совершать автоматические вызовы через украденные или взломанные SIM-карты.
- Взламывать корпоративные телефонные сервера, чтобы соединяться в платном режиме в ночное время или выходные дни.
- (самое простое и банальное) Добиться, чтобы жертва перезвонила после прерванного входящего и попала на линию с высокими тарифами.
В целом криминальные схемы такого рода на Западе обозначаются термином IRSF – International Revenue Share Fraud – где Fraud это крупный источник потерь оператора. Целиком термин можно перевести примерно как «уровень потерь при распределении дохода между операторами разных стран», причем ISRF обозначаются именно злонамеренные действия недобросовестного оператора в отношении иностранного оператора-жертвы, есть еще DRSF для аналогичных преступлений внутри страны. За последние десять лет убыток операторов и их клиентов от действий мошенников составил почти $40 млрд.
Как действуют мошенники: они используют транзитных операторов, которые без ведома пользователя перенаправляют вызов с обычного номера на линию с повышенной тарификацией. Для исключения возможной блокировки в целевом регионе злоумышленники используют тестовые вызовы на специальные номера, которые им предоставляют теневые провайдеры. Такие идентификаторы никогда не применяются в реальных кампаниях, однако позволяют отследить по схеме использования преступников.
Специалисты Eurecom проанализировали более миллиона тестовых номеров, используемых теневыми провайдерами, а также 150 тысяч журналов вызовов при помощи метода Random Forest. Результат превзошел все ожидания: технология машинного обучения, основанная на обработке большого количества данных, позволила выявить пулы платных номеров, применяемых в криминальных кампаниях, с точностью до 98%.
Не менее 80% обнаруженных платных телефонных линий использовались для мошенничества сразу несколькими провайдерами. При этом часть номеров, замеченных в криминальных кампаниях, относится к нераспределенному фонду легитимных операторов, что затрудняет их блокировку автоматическими системами безопасности. Если отслеживать мошенников по алгоритму Random Forest, есть неплохой шанс существенно снизить ущерб от IRSF-атак. Очень ждем, когда аналогичное решение придумают для отслеживания телефонных террористов-«минеров».
