Arbitrage Betrug durch maschinell generierte Anrufe

[alfred37]

Hallo,

dieser Beitrag richtet sich vorwiegend an VoIP-Betreiber/Reseller oder Admins einer VoIP-Anlage:
Wir hatten in letzter Zeit realtiv häufig Betrugsversuche auf unseren Anlagen durch maschinell generierte Anrufe auf Servicerufnummern oder internationale Mehrwertrufnummern.
Das Schema läuft immer ähnlich ab: Es wird ein account gelöst und mit geringem Guthaben aufgeladen. Nach einigen Testanrufen werden hunderte Anrufe gleichzeitig auf eine bestimmte Nummer abgesetzt und solange als möglich gehalten (bis zu 1 Stunde pro Anruf).
Der letzte Versuch waren Anrufversuche auf eine Nummer der vistream GmbH +4915702488xxx.
Es wurden bis zu 50 Anrufe gleichzeitig auf diese Nummer abgesetzt. Jegliche Ermittlungen und Anfragen bei der vistream verliefen bisher im Sand.
Wir haben in unseren Logs weitere derartige Anrufversuche z.B. auf folgende Nummern registriert:
+23222 (Sierra Leone)
+43820 (Austria mobile)
+37165 (Litauen mobile)
Ich empfehle allen VoIP-Admins oben angeführte Rufnummernkreise zu sperren.

Servicerufnummern und Mehrwertrufnummern sind sicherich ein legitimes und interessantes Geschäft für Leute, welche sich in diesem Milieu bewegen wollen.
Diese Services durch maschinell generierte Anrufe auf eigene IVR-Maschinen zu missbrauchen, und damit allen seriösen Anbietern unnötigen administrativen Aufwand oder gar finanziellen Schaden zuzufügen sollte unterbunden werden.

Ich hoffe hier einen interessanten und nützlichen Thread eröffnet zu haben und hoffe auf einen regen Erfahrungsaustausch.

Alfred

[rannseier]

Bei Vistream fliesst aber nicht wirklich Geld, ausser wenn die Rufnummer bei Ring wäre (ist ein MVNO wie Vistream) gäbs für den Angerufenen 3Cent/Minute.

[alfhh]

Da kann schon Geld fließen. Sparruf benutzt eine Nummer (allerdings die 015702480000) um über den erwirtschafteten Interconnect Calltrough in ausländische Netze anzubieten. Die bekommen das Geld von Vistream.
Aber wo liegt das Problem? Wenn Prepaid, sollte die Verbindung(en) bei Guthaben=0 abgebrochen werden. Wenn Postpaid, sollte man die Bonität des Kunden vorher geprüft haben

[alfred37]

Es geht hier gar nicht mal so sehr um die Billing-Thematik. Inzwischen sollte jeder VoIP-Betreiber in dieser Hinsicht genug Erfahrungen gesammelt haben und entweder nur prepaid arbeiten oder eben postpaid mit entsprechender Besicherung.

Es geht für VoIP-Betreiber auch darum, daß solche Betrugsversuche unnötig Ressourcen lahmlegen, Kanäle blockieren und Aufwand für den Firewall Administrator verursachen.

Weiteres Stöbern in den logs ergaben zusätzlich folgende Anrufversuche
+43810104xxx, +43810955xxx, +48221988xxx, +393809007xxx,+25240212xxx, +2913000xxx

[gandalf94305]

Ich verstehe diesen Thread nicht ganz.

Arbitrage bezieht sich auf verschiedene Preise bei Anbietern. Im Telekomumfeld kann es passieren, daß ein Anbieter z.B. als Sonderangebot 1 ct/min verlangt, während der Call tatsächlich 1,2 ct/min kostet. Von diesen 1,2 ct/min kommen beim Terminierungsprovider bestimmt nicht mehr als 1 ct/min an... eher deutlich weniger... bei einem Kunden dieses Provider sogar noch viel weniger. Arbitrage sehe ich im Telco-Umfeld daher als seeehr schwierig gelagert.

In der Tat ist das Billing das Problem. Es kann sein, daß ein Provider für Anrufe in ein seltenes Land flat 5 ct/min verlangt, dabei jedoch übersieht, daß es auch eine Gasse von Sonderrufnummern gibt, die 1 EUR/min kosten.

Andererseits kann es passieren, daß aufgrund der zum Teil im Bereich von Wochen liegenden Latenz von Offline-Billing der Registrant der Sonderrufnummer (die in einer kurzen Zeit massiv angerufen wird) bereits sein Geld bekommt, während die anrufenden "Endkunden" noch gar keine Rechnung darüber haben. Leidtragende sind dann die Interconnect-Betreiber bzw. der erste in der Kette, der den Anrufer durchgestellt hat... ist der Anrufer nicht mehr zu greifen, entsteht ein z.T. wesentlicher, materieller Schaden.

Die Sperrung einzelner Rufnummerbereiche ist recht sinnlos, da das beschriebene Betrugsmodell (das eigentlich nichts mit Arbitrage, sondern mit Lücken in Preismodellen zu tun hat) dann eben mit anderen Nummern durchgezogen wird. Letztendlich hilft nur, das Preismodell wasserdicht zu machen und aktuelle Numbering Plans zu verwenden. Zur Not werden unklare Nummernbereiche eben bewußt gesperrt... sie werden ohnehin nur von einem winzigen Bruchteil der Nutzer angerufen werden... wenn überhaupt.

--gandalf.

[alfred37]

Danke an Gandalf für seine ausführliche Stellungnahme und genauere Beleuchtung des Problems.
Ich gebe Dir vollinhaltlich recht und darf folgenden Sachverhalt ergänzen:
Unser eigener Rufnummernplan umfasst inzwischen ca. 45.000 Vorwahlen (als KGV aller angeschlossenen Carrier) und verwendet mittels LCR den jeweils günstigsten Anbieter für den abzusetzenden Anruf. Je nach Servicelevel wird bei fehlerhaften Calls ein Fallback angewandt oder auch nicht.

Die angeschlossenen Carrier verwenden in der Regel einen Rufnummernplan mit ca. 12.000 Vorwahlen. Daher sind eher dort die Lücken in den Preismodellen zu suchen, und das sind Carrier wie Verizon, Tata, Colt u.ä.
Ok, soweit alles kein Problem und für niemanden ein Schaden, bis auf die blockierten Lines durch maschinell erzeugten Traffic. Solange der Hacker nicht 100% Deiner Kapazität blockiert und Deine "normalen" Kunden weiterhin ungestört telefonieren können, ist es auch noch kein Problem, sondern wahrscheinlich sogar ein gutes Geschäft.

Nun denke man bitte aber einen Schritt weiter: Der angeschlossene, abwickelnde Carrier bemerkt dass er eine Lücke in seinem Preismodell hat und dass wir als sein Kunde genau in diese "Lücke" immens viele Minuten mit immer gleicher Anrufdauer und immer gleicher CLI geschickt haben. Der Carrier wird "not amused" sein und Konsequenzen ziehen.
Übrigens ist oben beschriebenes Szenario Bestandteil und Kündigungsgrund jedes seriösen Carriervertrages.

Weitere Recherchen über international erreichbare Mehrwertrufnummern ergaben:
http://www.premium-rates.com/international-numbers.asp
und
http://www.premiumtlc.com/

Ich empfehle jedem VoIP-Anbieter die dort angeführten Rufnummerngassen zu blockieren.

[gandalf94305]

Stimmt... die Interconnect-Partner werden nicht begeistert sein... hier hilft jedoch meiner Erfahrung nach nur Offenheit, d.h. z.B. ein Reporting über besondere Aktivitäten, das man dann auch seinen Interconnect- oder Terminierungpartnern mitteilen kann. Dadurch entsteht nicht der Eindruck, man würde selbst solche Lücken ausnutzen, sondern spricht offen das Thema an, damit alle entsprechend reagieren können. Ein Anti-Fraud-Schema gibt es normalerweise bei allen großen Carriern, d.h. hier kommt solch ein Reporting dann auch in die richtigen Kanäle.

Die entsprechenden Premium-Nummern sollten mit einem klaren Preismodell versehen oder einfach nicht geroutet werden (da aufgrund des Offline-Billings der Preis zum Anrufzeitpunkt noch gar nicht klar ist), wobei dafür natürlich Upstream mehr Komplexität entsteht, d.h. idealerweise würden für solche Anrufe bereits die Carrier, von denen der Anruf ausgeht, entsprechende Verfahren einsetzen.

Numbering Plans kann man einsehen und bei entsprechenden Ländern auch von deren Telekommunikations-Regulierern bestellen. Recht genau ist IMHO z.B. der Bestand von http://www.numberingplans.com/?page=plans&sub=phonenr

--gandalf.

[alfred37]

Für Österreich kann man bei http://www.rtr.at/
nach Nummern und deren Inhabern suchen.
Falls jemand oben beschriebene Probleme mit österr. Rufnummern (+43820 oder +43810 ) hat, bitte eine PM an mich. Ich habe schon einmal erreicht, dass Terminierungsentgelte nicht ausgeschüttet wurden und so zumindest dem Verursacher des Betrugs sein Geschäftsmodell in Frage gestellt.

Eventuell hat hier im Forum jemand anderer auch schon ähnliche Erfahrungen mit weiteren Rufnummernbereichen gemacht.

[gandalf94305]

Wer jeweils zuständig ist, wird bei der ITU zu erfahren sein.

http://wiki.ip-phone-forum.de/telefonie:numbering:start

--gandalf.