Телеком 6 хв читання

Антифрод у телекомі: інтеграція з білінгом і softswitch

Як побудувати низькозатримкову інтеграцію сигнального ядра, білінгу та антифрод-систем для блокування IRSF та іншого фроду в режимі реального часу.

Глобальні втрати від телеком-шахрайства у 2025 році оцінено приблизно у 41.82 мільярда доларів (проти 38.95 мільярда у 2023 році), згідно зі звітом CFCA Global Fraud Loss Survey. Ця цифра чітко вказує на те, що класичні методи захисту, побудовані на реактивному аналізі, більше не спроможні захистити операторів від фінансових збитків. Сучасний фрод став швидкісним і технологічним. Коли зловмисники запускають атаку типу IRSF (International Revenue Share Fraud), рахунок йде на секунди. Якщо оператор дізнається про інцидент лише після генерації та вивантаження CDR-файлів (Call Detail Records), фінансові втрати стають незворотними.

Основна проблема полягає в архітектурній ізоляції. Системи виявлення загроз часто функціонують окремо від інфраструктури обробки викликів (softswitch) та тарифікації (білінг). Без прямого API-зв'язку та низькозатримкової взаємодії між цими трьома компонентами неможливо зупинити транзакцію чи розірвати сесію в режимі реального часу. Для ефективної протидії фроду операторам необхідно перейти від ізольованих засобів безпеки до інтегрованого інженерного підходу.

Анатомія мілісекундного фроду: чому аналіз CDR-файлів більше не захищає оператора

Історично телеком-оператори покладалися на аналіз CDR-файлів, який виконувався з певною періодичністю (від 15 хвилин до кількох годин). Проте в умовах сучасних високошвидкісних атак цей підхід є застарілим. Типова схема IRSF передбачає генерацію сотень одночасних дзвінків на преміум-номери (Premium Rate Numbers) через зламані АТС клієнтів. Зловмисники викачують трафік на дорогі напрямки за лічені хвилини, заробляючи на міжмережевому інтерконекті, тоді як оператор отримує рахунок від транзитного партнера, який зобов'язаний сплатити.

Окрім IRSF, серйозною загрозою залишається Subscription fraud (шахрайство з підключенням на основі справжньої або викраденої особи), яке спричиняє близько 5.31 мільярда доларів річних втрат за даними CFCA. Зловмисники використовують складні маніпуляції та підроблені ідентифікатори, які важко виявити на етапі реєстрації без миттєвої перевірки через зовнішні бази даних та скорингові системи.

Згідно зі звітом ENISA Threat Landscape 2025, фішинг та експлуатація вразливостей залишаються провідними векторами початкового доступу до систем. Отримавши доступ до внутрішніх систем керування абонентами, зловмисники можуть змінювати кредитні ліміти, підключати неіснуючі послуги та ініціювати несанкціонований трафік, який білінг сприймає як легітимний.

Архітектурний трикутник: як пов'язати Softswitch, білінг та антифрод-систему

Для запобігання фроду в момент його виникнення необхідно об'єднати три ключові елементи телеком-інфраструктури в єдиний контур управління:

  • Softswitch (комутатор): відповідає за сигналізацію (SIP) та безпосередню маршрутизацію медіатрафіку. Він є точкою застосування політик (Policy Enforcement Point), яка може заблокувати або розірвати виклик.
  • Білінгова система (OCS/BSS): контролює стан балансу абонента, його тарифний план, підключені послуги та кредитні ліміти в реальному часі.
  • Антифрод-платформа (FMS): аналізує поведінкові фактори, репутацію номерів, географічні аномалії, швидкість набору та відповідність сигнальних параметрів.

Зв'язок між цими системами має здійснюватися через низькозатримкові інтерфейси (API) з часом відгуку, що не перевищує 50–100 мілісекунд. Коли на Softswitch надходить запит SIP INVITE, комутатор не повинен відправляти виклик далі в мережу доти, доки не отримає підтвердження від антифрод-системи та білінгу. Якщо антифрод-модуль виявляє ознаки IRSF, він миттєво повертає інструкцію на Softswitch для відхилення виклику.

Інтеграція на практиці: сценарії взаємодії систем при виявленні IRSF

Під час активного виклику абонент може перевищити допустимі ліміти або демонструвати аномальну поведінку. Білінгова система (OCS) постійно веде облік завантаження балансу. Якщо швидкість списання коштів різко зростає, OCS надсилає тригер до антифрод-системи. Остання аналізує поточні сесії цього абонента на Softswitch і, у разі підтвердження загрози, ініціює команду SIP BYE для негайного примусового розірвання всіх активних з'єднань.

Для телеком-операторів та enterprise-клієнтів альянс Intecracy Group пропонує проєктування та модернізацію телеком-ядра (VoIP, SIP-роутинг, BSS/OSS). Інтеграційні рішення можуть бути побудовані на платформі UnityBase (спільна розробка компаній Intecracy Group; InBase є ключовим, але не єдиним розробником). Платформа забезпечує єдину модель Domain metadata, автоматично згенеровані REST API та вбудовані механізми безпеки (рольовий доступ RBAC, контроль на рівні рядків RLS та глибокий аудит Audit Trail), що дозволяє створити захищений інтеграційний шар із мінімальними затримками обробки транзакцій.

Перехід до API-first та ODA: як перебудувати BSS/OSS

Модернізація інфраструктури телеком-оператора часто ускладнюється ризиком зупинки критичних процесів тарифікації. Архітектура може будуватися на принципах Open Digital Architecture (ODA) від TM Forum. ODA спрямована на заміну монолітних BSS/OSS на мікросервісну, компонентовану архітектуру, де кожен модуль взаємодіє з іншими через стандартизовані API-first інтерфейси.

Важливо зазначити, що перехід на ODA сам по собі не гарантує повної безпеки мережі — це архітектурний підхід, а не готовий засіб захисту. Проте він створює гнучкий фундамент для проміжного інтеграційного шару (API Gateway), який агрегує запити від Softswitch та перенаправляє їх до білінгу та антифрод-платформи паралельно.

STIR/SHAKEN та автентифікація викликів: межі можливостей технології

Одним із інструментів боротьби з підміною номерів у SIP-мережах є технічний фреймворк STIR/SHAKEN, описаний у звітах FCC. Він базується на додаванні цифрового підпису до заголовка SIP Identity, що дозволяє оператору-отримувачу перевірити автентичність Caller ID під час обробки вхідного трафіку.

Хоча STIR/SHAKEN знижує ризики підміни номерів, він не усуває проблему шахрайства повністю. Технологія підтверджує автентичність ідентифікатора, але не захищає від викликів із легітимних, проте скомпрометованих пристроїв. Тому автентифікація має завжди супроводжуватися поведінковим аналізом.

Матриця інтеграційних сценаріїв: Softswitch — Білінг — Антифрод
СценарійТочка інтеграціїЦільова затримка (SLA)Результат для безпеки
Пре-автентифікація викликуSIP INVITE -> Softswitch -> Антифрод (API)< 50 мсБлокування дзвінка на підставі репутації Caller ID (STIR/SHAKEN) до початку комутації.
Контроль лімітів у реальному часіБілінг (OCS) -> Антифрод -> Softswitch< 100 мсНегайне розірвання активної сесії при вичерпанні кредитного ліміту або виявленні аномального сплеску IRSF.
Пост-викликовий аналіз поведінкиCDR -> Білінг -> Антифрод (Batch)< 5 хвилинОновлення профілів ризику абонентів, виявлення Subscription Fraud та коригування правил маршрутизації (LCR).

Для забезпечення стійкості бізнесу сучасні телеком-оператори повинні відмовитися від ізольованих систем безпеки. Лише глибока інтеграція сигнального ядра, білінгу та аналітичних антифрод-інструментів дозволяє побудувати проактивну систему захисту.

Поширені питання

Як інтегрувати антифрод-систему з білінгом без зниження продуктивності обробки дзвінків?

Для цього використовується паралельна обробка запитів через API-first архітектуру. Замість послідовного опитування, Softswitch відправляє запит на авторизацію, який паралельно опрацьовується білінгом (перевірка балансу) та антифрод-платформою (аналіз ризиків) у межах SLA до 50-100 мс.

Які архітектурні принципи допомагають оптимізувати BSS/OSS системи оператора?

Модернізація часто спирається на Open Digital Architecture (ODA) від TM Forum, яка передбачає заміну монолітних систем білінгу та підтримки операцій на компонентовану, мікросервісну архітектуру на базі стандартизованих відкритих API.

Чи гарантує STIR/SHAKEN повний захист від фроду в телекомі?

Ні. STIR/SHAKEN — це технічний фреймворк, який дозволяє перевірити автентичність Caller ID у SIP-трафіку (захищає від прямої підміни номерів). Він не виявляє шахрайські дії зі зламаних легітимних АТС або ідентифікаторів, тому має застосовуватись разом із поведінковим антифрод-аналізом.

Джерела даних