浅谈电信运营商内部欺诈风险和预防.docVIP

浅谈电信运营商内部欺诈风险和预防 　　【摘 要】在电信业，内部欺诈越来越猖獗，尤其是运营商所推出的产品服务、优惠促销以及机密信息往往被利用，这些风险点分布在运营层面的各个环节。为更好地预防电信运营商的内部欺诈，依据唐纳德·卡瑞赛博士的欺诈三角理论，结合运营商自身特点，指出企业应当从机会、动机、借口三个方面全面防止内部欺诈的发生，以此规范市场制度，促进社会和谐。 【关键词】电信运营商 内部欺诈 欺诈三角理论 欺诈预防 中图分类号：F621 文献标识码：A 文章编号：1006-1010（2013）-15-0064-03 1 引言 随着整个电信业的不断发展，相关的衍生产业也是百花齐放，其中电信欺诈产业的出现是其中最为醒目的一支。很多运营商都自认为面临的欺诈对象主要是职业的不法分子，然而经国际组织GSMA反欺诈专组调查分析，内部欺诈才是对运营商的收入和形象威胁最大的，它正在迅速地影响着运营商的各个方面。 内部欺诈主要是针对职业欺诈而言的，区别主要看是否有内部员工参与。内部员工在欺诈活动中有一定的优势，他们可以查看数据、访问信息，并非常熟识相关业务知识，知道如何规避系统监测。认证欺诈检查员协会（Association of Certified Fraud Examiners）将内部欺诈定义为：“通过故意滥用或误用组织的资源或资产，利用个人职务之便为自己谋取利益的行为。” 2 常见的内部欺诈 一般而言，内部欺诈发生在各个层面，运营商所推出的一些服务以及机密信息往往是欺诈分子的利用点，它分布在运营层面的各个环节，如图1所示。 一些常见的内部欺诈的风险点如下： （1）虚假信息开户 按正常流程要求，运营商对用户的入网激活非常严格，尤其对于批量开户或后付费用户的申请有着更严格的审批流程。如果有些工作人员在办理时没有严格按照相关流程规定，对入网材料缺失、材料虚假不予以核查，这就为欺诈者提供更方便的入网激活服务。欺诈分子利用虚假信息开户并实施恶意欺诈后，运营商也无法通过开户登记的信息有效地追踪用户（如追缴话费等）。 （2）伪造计费话单 计费话单是记录用户通信行为的信息，是交换机自动出具的，也是向用户扣除话费的凭证。如果运营商的系统运营维护人员没有在原始话单的基础上编辑、修改、删除数据或将个人账单分散到不同账户中，那么谁还敢用该运营商的服务呢？ （3）数据侵入破坏隐私 用户在使用服务的时候，其通话记录、地理位置信息均可以在网络层面实时查到。如果此信息未做好管理，在网络上维护的内部人员就可以实时查询到用户数据，透露用户隐私，比如实时位置信息相关的BSC、BTS、VLR等，更恶劣的情况是可以对通话进行拦截、侦听，以达到非法的目的。 （4）用户敏感信息泄露 “猜猜我是谁”、“您的账户异常”等典型的社会工程诈骗越来越猖獗，犯罪分子往往在打通电话的开始便能叫出受骗者的名字，甚至能说出受骗者的家人名字、工作单位和家庭住址。 用户信息的泄露也直接导致欺诈分子设置更难识别的欺诈陷阱，不仅如此，其中一些更敏感的信息，如通话清单、信誉度等也是欺诈分子做信息挖掘很好的素材。能接触到此类信息的客服及一些运维人员内外勾结贩卖信息的情况也屡屡见诸报端。 运营商内部欺诈的风险点很多，分布在电信运营商的各个环节，一旦运营商疏忽，就会为欺诈的发生留下隐患。 3 内部欺诈的预防 唐纳德·卡瑞赛博士（DR. Donald Cressey）提出的欺诈三角理论（见图2）指出：当动机、机会和借口三个重要因素同时出现时，进行欺诈的倾向就会出现，缺少其中任何一项因素，都不会使一个人进行欺诈。故而对于欺诈的预防也主要从三点入手： （1）从机会层面预防 一般而言，欺诈分子分为两种类型：一是机会欺诈者，他们平时通常是遵纪守法者，偶然因素使他们发现自己可以利用职权获得不少的利益却不会被惩罚，从而开始一些非法操作；二是职业欺诈者，他们以欺诈活动为收入来源。在内部欺诈中，起关键因素的是机会欺诈者。 机会是允许欺诈发生的有力条件，欺诈机会的大小取决于一个人在企业中的职位、授权的责任以及与相关资产记录接触的程度。 首先，企业应该有专门的风险评估与防控部门牵头建立体系化的风险防控部署，该部门的主要职责是全面覆盖经营管理、产品管理、法律事务等重点领域。 其次，常规化的信息安全、职业道德的培训也必不可少，它是强化员工职业素质的有效手段，培训的对象应是广泛的，高管、员工、内部负责人、欺诈风险管理人员以及厂商等都应该包含在内。尤其是越高层的管理人员越应该加强防范，如果他们犯错，造成的影响将是巨大的。 最后，加强公司的流程制度落实贯彻，流程制度对企业的运营起着至关重要的作用