Your SlideShare is downloading. ×
Fraud Management System - ISACA
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Fraud Management System - ISACA

1,011

Published on

Fraud Management System for Telco Operators

Fraud Management System for Telco Operators

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,011
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
33
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. “Fraud Management System” per le Aziende di Telecomunicazione Ing. Marco Scattareggia – HP EMEA11 Ottobre 2011 Pag. 1
  • 2. Marco Scattareggia – HP EMEA Manager del “Center of Excellence” per le Soluzioni di Fraud Management11 Ottobre 2011 Pag. 2
  • 3. INDICE DELLA PRESENTAZIONE : 1. Aspetti generali di TLC rilevanti per un FMS 2. Frodi in ambito TLC 3. Telefonia Fissa, Mobile e VoIP 4. Punti di Controllo, Criticità, Contromisure 5. Modelli Predittivi 6. Sistemi e processi a supporto del processo di FMS 7. Riferimenti bibliografici e sitografici11 Ottobre 2011 Pag. 3
  • 4. Perché Frodare ? Internazionale 4% Uso personale, Abuso di anonimato, altro ricarica (altri 1% operatori) Rivendita 15% 30% Furto di cellulari 25% Numeri a sovrapprezzo (premium) 25%11 Ottobre 2011 Pag. 4
  • 5. I Compiti di un FMS 1. Processare i milioni di dati personali dei Clienti ed la massa degli eventi di traffico provenienti da una varietà di sorgenti. 2. Filtrare da questa enorme mole di informazioni gli Allarmi ed i Casi di Frode. 3. Assegnare una priorità ai Casi di Frode in proporzione al loro rischio.11 Ottobre 2011 Pag. 5
  • 6. Architettura 2G – Mobile/FissoBTS — Base Transceiver Station PSDNBSC — Base Station Controller BSC BTS BSC HLR SMS-SC BSC MSC/VLR PLMN MSC/VLR BSCMSC — Mobile Switching CenterVLR — Visitor Location Register GMSCHLR — Home Location Register PSTN11 Ottobre 2011 Pag. 6
  • 7. Mediation Device Rete Mobile Switch, Telefono Mobile Cella, Base Station Mobile Switch Center Rete Fissa Telefono Fisso Switch, Exchange, Cabina Telefonica Central Office, PBX Mediation CDR Device Customer Care & Billing11 Ottobre 2011 Pag. 7
  • 8. Identificazione del Cliente e del Terminale Telefonico IMEI/IMSI Mediation Device CDR/EDR Durata, Volume, = € Contenuto 06 58 98 00 CC&B Customer Care & Billing Ciascun Cliente deve avere un unica Chiave Identificativa nel Sistema di Fatturazione per permettere all’Operatore la fatturazione del servizio telefonico erogato.11 Ottobre 2011 Pag. 8
  • 9. Esempio di CDR11 Ottobre 2011 Pag. 9
  • 10. Customer Care & Billing (BSS) Clienti/subscribers Bill Call Center Alcuni Servizi (es. Roaming) possono Point-of-Sales  Customer Care generare CDR in rete,  Retail services  Telemarketing Sales Force automation Billing System ma non hanno  Inventory mgmt.  Telephony integration (CTI) Usage guiding riscontro nel Customer   Commissions  Interactive Voice Response  Bill rating  Rate and discount tables  Billing plans and packages Care e Billing  Customer & account database Data Business Intelligence Storage Activation Activation CDR collection CDR collection Churn Mgmt. Fraud Mgmt. de-Activation de-Activation CDR rating CDR rating Mediation System Le informazioni del CC&B alimentano il Fraud Management System, i CDR possono arrivare direttamente dal Mediation oppure essere prima valorizzati dal Billing.11 Ottobre 2011 Pag. 10
  • 11. I Dati per il FMS CC & Billing Billing Billing Mediation Network Sonde SS7 Pseudo CDR, Ricariche Prepagato L’Analista esamina i dati raccolti e filtrati dal FMS per mezzo di una interfaccia grafica ANSI-41 ANSI-41 Authentication Authentication Authentication Center Center Center11 Ottobre 2011 Pag. 11
  • 12. Verifica dei Concetti 1. Cosa è un “CDR” ? ___________________________________________________________________ 2. Che differenza c’è tra “IMSI” ed “IMEI” ? ___________________________________________________________________ 3. Cosa è un “Mediation Device” ? ___________________________________________________________________ 4. Può succedere che l’FMS abbia dei dati riguardanti un cliente che però non è presente negli archivi dei sistemi di Customer Care e Billing? ___________________________________________________________________ 5. Quando e da chi viene creato un CDR ? ___________________________________________________________________ 6. Quali sono i principali sistemi di “Business Intelligence” in ambito BSS (Business Support Systems) ?11 Ottobre 2011 Pag. 12
  • 13. INDICE DELLA PRESENTAZIONE : 1. Aspetti generali di TLC rilevanti per un FMS 2. Frodi in ambito TLC 3. Telefonia Fissa, Mobile e VoIP 4. Punti di Controllo, Criticità, Contromisure 5. Modelli Predittivi 6. Sistemi e processi a supporto del processo di FMS 7. Riferimenti bibliografici e sitografici11 Ottobre 2011 Pag. 13
  • 14. Definizione di Frode Una frode nelle TLC è un qualunque tentativo di usufrire di un bene o di un servizio senza avere l’intenzione di pagare ! (*) (*) NetCom Consultants ... va distinta dai mancati pagamenti dovuti ad impossibilità o incapacità dell’utente, e si sovrappone agli abusi che sfruttano le carenze dei sistemi e contratti.11 Ottobre 2011 Pag. 14
  • 15. Frodi su Rete Fissa e Mobile Ogni tipo di frode ha una o più caratteristiche specifiche … Technical Fraud Dealer Fraud Cloning Tumbling Commissioni gonfiate Magic Phones Vendita illegale Interconnection Clip-on Pay phone or Prepaid Fraud Handset Fraud By-Pass / GSM Subscription Fraud Gateway, Telefonini rubati o contraffatti Falsificazione dei High unpaid usage Vendita di servizi non autorizzata dati, Looping Roaming Supplementary Services Misuse “Friendly Fraud” Calling Card Fraud Carte (o Numeri) Telefoniche PBX Fraud rubate Abuso delle funzionalità PBX Social Intrusione su PBX per fare Cramming Fraud Engineering chiamate (Internaz./Premium) Extra addebiti sulle bollette Ottenere Insider Fraud informazioni / servizi Security breaches Prepaid Fraud raggirando i clienti o gli Manipolazione delle Manipolazioni, Furti, Bonus illeciti impiegati informazioni11 Ottobre 2011 Pag. 15
  • 16. Frodi Tecniche su Rete Mobile Le tecniche per clonare i telefoni analogici sono molto diffuse. Quelle per clonare i telefoni digitali sono più difficili, ma non impossibili. I magic phones sono particolarmente pericolosi: un singolo device che può emulare un gran numero di terminali legittimi. L’attività di cloning è poi sparsa (tumbling) su tutti scaricando un piccolo ammontare per ciascuno.11 Ottobre 2011 Pag. 16
  • 17. Frodi Tecniche su Rete Fissa11 Ottobre 2011 Pag. 17
  • 18. Frodi di Sottoscrizione e Furto d’Identità Abbonarsi senza avere l’intenzione di pagare il servizlo: • Ad uso personale (ad esempio per mantenere l’anonimato) • Per trasferire denaro su numerazioni premium • Per rivendere illegalmente traffico • Approffittando dei ritardi nei controlli come per il Roaming11 Ottobre 2011 Pag. 18
  • 19. Frodi sui Centralini Hacking dei PBX con vulnerabilità note: • Porte per la manutenzione remota Rivendita di telefonate • Mail-box vocali non registrate Internazionali o abuso su • Funzionalità per impiegati numeri premium • Social engineer11 Ottobre 2011 Pag. 19
  • 20. Insider Fraud11 Ottobre 2011 Pag. 20
  • 21. Frodi dei Dealer e Agenti • Accettare false carte d’identità per guadagnare sulle commissioni. • Non eseguire tutti i controlli per risparmiare tempo. • Attivare sottoscrittori inesistenti. • Aggiungere servizi all’abbonamento non richiesti dall’utente per guadagnare provvigioni.11 Ottobre 2011 Pag. 21
  • 22. Handset Fraud Il furto del telefono può essere semplicemente la sottrazione di un unico terminale oppure quello di un intero carico di SmartPhone da usare in un’altra rete.11 Ottobre 2011 Pag. 22
  • 23. Frodi sulle Carte Telefoniche “Shoulder surfing” E’ possibile raccogliere un gran quantità di codici di Calling Card tramite video camere nascosti, ad esempio vicino i telefoni pubblici all’aereoporto.11 Ottobre 2011 Pag. 23
  • 24. Telefonate / Servizi impropriamente addebitati Cramming11 Ottobre 2011 Pag. 24
  • 25. Frodi sui PrePagati • Modifica del credito tramite un impiegato infedele. • Uso di Ricariche rubate o contraffatte. • Ricariche tramite altri telefoni. • Manipolazione del telefonino o carta telefonica per evitare l’addebito . • Individuazione dei codici che permettono l’uso dei servizi prepagati senza addebito.11 Ottobre 2011 Pag. 25
  • 26. Frodi tra Operatori11 Ottobre 2011 Pag. 26
  • 27. GSM Gateway / SIM Box ON-NET CALL Reseller non autorizzato SIM BTS Local BTS SIM SIM Reseller Fixed/Mobile box SIM BSC operator BSC Operatore MSC Int./Nat.11 Ottobre 2011 Pag. 27
  • 28. Schema di By-Pass11 Ottobre 2011 Pag. 28
  • 29. Tecniche per individuare un SIM Box Check for Check for less Check for less Check for less the IMEI the 3% the 10% extra 1% international uniqueness incoming calls network calls calls Check for a big Spread, that means many different called numbers AND AND AND AND IMEI, In < 0.03, Extra < 0.1, Inter < 0.01, Spread > 0.7511 Ottobre 2011 Pag. 29
  • 30. Social Engineering Password dell’Impiegato Ad esempio: convincere un impiegato inesperto ad abilitare l’accesso ai sistemi tramite persuasione verbale o con l’aiuto di una mancia.11 Ottobre 2011 Pag. 30
  • 31. Verifica dei Concetti 1. Fornire un esempio di “frode di sottoscrizione” _______________________________________________________________________ 2. Perchè le frodi di sottoscrizione sono più facili in “roaming” ? ______________________________________________________________________ 3. Che tipo di frode è il “cramming” ? _______________________________________________________________________ 4. Il furto d’identà è una frode ? _______________________________________________________________________ 5. Cosa è un “By-Pass” ? Un “PBX” ? Un “GSM-Gateway” ? _______________________________________________________________________ 6. Che differenza c’è tra “frode” ed “abuso” ? _______________________________________________________________________11 Ottobre 2011 Pag. 31
  • 32. INDICE DELLA PRESENTAZIONE : 1. Aspetti generali di TLC rilevanti per un FMS 2. Frodi in ambito TLC 3. Telefonia Fissa, Mobile e VoIP 4. Punti di Controllo, Criticità, Contromisure 5. Modelli Predittivi 6. Sistemi e processi a supporto del processo di FMS 7. Riferimenti bibliografici e sitografici11 Ottobre 2011 Pag. 32
  • 33. Architettura 2G – Mobile/Fisso PSDN BSC BTS BSC HLR SMS-SC BSC MSC/VLR PLMN MSC/VLR BSC BTS — Base Transceiver Station BSC — Base Station Controller GMSC PSTN MSC — Mobile Switching Center VLR — Visitor Location Register HLR — Home Location Register11 Ottobre 2011 Pag. 33
  • 34. Evoluzioni delle Reti TLC 2010 4G LTE 3G UMTS 2.5G GPRS 2G GSM 199011 Ottobre 2011 Pag. 34
  • 35. Architettura 2G - 2.5G – 3G 2G MS (voice only) NSS BSS E PSTN Abis A PSTN B BSC C MS MSC GMSC D BTS VLR Gs SS7 H IuCSGb2G+ MS (voice & data) RNS Gr HLR AuC ATM Gc Iub IuPS Gn Gi PSDN RNC IP SGSN GGSN Node B3G UE (voice & data) BSS — Base Station System NSS — Network Sub-System SGSN — Serving GPRS Support Node BTS — Base Transceiver Station MSC — Mobile-service Switching Controller GGSN — Gateway GPRS Support Node BSC — Base Station Controller VLR — Visitor Location Register HLR — Home Location Register RNS — Radio Network System RNC — Radio Network Controller AuC — Authentication Server GPRS — General Packet Radio Service GMSC — Gateway MSC11 Ottobre 2011 Pag. 35
  • 36. GPRS Architettura di Riferimento BTS BSC MSC/VLR HLR SMS-C SGSN GGSN IP Backbone Network Network Mediation FMS Billing System System CDR/EDR11 Ottobre 2011 Pag. 36
  • 37. VoIP - Telefonia IP Media Gateway PSTN PC con software VoIP IP Internet Smartphone mobile con App VoIP Telefono fisso VoIP con Codec11 Ottobre 2011 Pag. 37
  • 38. Alimentazione di un FMS Sonde Reti Telefoniche Pseudo CDR Billing Mediation System FMS System CDR/EDR11 Ottobre 2011 Pag. 38
  • 39. FMS nelle nuove Reti• Dal 2.5 G in poi le reti telefoniche possono trasmettere comunicazioni “non vocali” attraverso le reti fisse e mobili.• Un FMS quindi deve accettare Event/Transaction Data Record (EDR, TDR) in aggiunta ai CDR e possono includere campi come: • Access Point Name • Destination and Origin IP • Level of Service • Ecc.• Tutti i campi sono verificati nei vari algoritmi di “Thresholds”, “Pattern Matching”, “Fingerprinting”, “Profiling”, ecc. .11 Ottobre 2011 Pag. 39
  • 40. Crittografia GSM Difesa ed Attacchi• Il consorzio GSM sceglie la “sicurezza della crittografia”.• Ma gli algoritmo A3/A8 e A5 possono essere compromessi.• I cripto-analisti infatti attaccano con facilità la funzione hash COMP- 128 (A3+A8) utilizzata nelle SIM.• Le chiavi Ki e Kc delle SIM vengono riprodotte tramite algoritmi di “forza bruta”.• Inoltre intercettazioni “Over-the-air” sono rese possibili da false BTS.• Il modello di sicurezza si evolve con il GPRS.11 Ottobre 2011 Pag. 40
  • 41. Schema di Encryption Mobile Station Radio Link GSM Operator Challenge RAND SIM AuC Ki Ki A3 A3 Signed response (SRES) SRES SRES A8 Autenticazione A8 Fn Kc Kc Fn mi Encrypted Data mi A5 A5 ME BTS11 Ottobre 2011 Pag. 41
  • 42. Implementazione logica di A3 e A8 COMP128 è usato per entrambi gli algoritmi A3 e A8 nella maggior parte delle reti GSM ed è una funzione keyed-hash RAND (128 bit) Ki (128 bit) COMP128 128 bit output SRES 32 bit and Kc 54 bit11 Ottobre 2011 Pag. 42
  • 43. Cronologia degli attacchi • 1991 – First GSM implementation. • April 1998 – The Smartcard Developer Association (SDA) together with U.C. Berkeley researches cracked the COMP128 algorithm stored in SIM and succeeded to get Ki within several hours. They discovered that Kc uses only 54 bits. • August 1999 – The week A5/2 was cracked using a single PC within seconds. • December 1999 – Alex Biryukov, Adi Shamir and David Wagner have published the scheme breaking the strong A5/1 algorithm. Within two minutes of intercepted call the attack time was only 1 second. • May 2002 – The IBM Research group discovered a new way to quickly extract the COMP128 keys using side channels.11 Ottobre 2011 Pag. 43
  • 44. Verifica dei Concetti 1. E’ possibile clonare una “SIM” ? Ed una “USIM” ? _______________________________________________________________________ 2. Cosa è un “EDR” ? _______________________________________________________________________ 3. Che frodi sono state introdotte con le “reti 2.5G” e successive ? Sono più o meno pericolose delle precedenti? _______________________________________________________________________ 4. C’è differenza tra “sicurezza” e “fraud management” ? _______________________________________________________________________ 5. E’ più facile clonare un telefono “analogico” o uno “digitale” ? Perchè ?11 Ottobre 2011 Pag. 44
  • 45. INDICE DELLA PRESENTAZIONE : 1. Aspetti generali di TLC rilevanti per un FMS 2. Frodi in ambito TLC 3. Telefonia Fissa, Mobile e VoIP 4. Punti di Controllo, Criticità, Contromisure 5. Modelli Predittivi 6. Sistemi e processi a supporto del processo di FMS 7. Riferimenti bibliografici e sitografici11 Ottobre 2011 Pag. 45
  • 46. Analisi dei Dati di Traffico Duration Cost PRS calls 0.50 Euro fixed cost PRS calls 0 Euro By-pass calls11 Ottobre 2011 Pag. 46
  • 47. Selezione delle Anomalie Milioni di Dati Migliaia di Allarmi Centinaia di Casi A Sottoscrittori N R o Allarmi E Casi Azioni M G A O  Expert systems L Allarmi Esterni L  Neural Network Traffico I E  Confidence levels E   Smart Thresholds Individual profiles  Collision & Velocity  …..  Blacklists  Patterns  Usage Limits  …..11 Ottobre 2011 Pag. 47
  • 48. Profilazione Utilizzo Utilizzo Precedente Profilo Corrente D D D D D Past Week Z Z Z Z DDW Tot Dur x x x x x a a a a a Tot Dur x x x x x x x Intl Dur x x x x x x Intl Dur x x x x x x x PremDur x x x x x i i i . i i Past Week PremDur x x x x x x x Tot Chg x x x x x l l l l l Intl Chg x x x x x y y y . y y Past Month Tot Chg Intl Chg x x x x x x x x x x x x x x Tot Attx x x x x x Roam Dx x x x x x x . Tot Att x x x x x x x U U U U U Countries Roam D x x x x x x x Roam Chg x x x x x Roam Chg x x x x x x x s s s s s Called a a a a a Countries Areas g g g g g Area Codes Countries Area Codes Called Called e e e e e Called Called Called11 Ottobre 2011 Pag. 48
  • 49. Generazione di Allarmi Per le Carte Telefoniche ed il Cloning Collision Velocity Call A Call B Black List Checking 10:00 10:45 AM * New 10:15 10:30 10:45 11:00 * Las York Start Start End End Vegas Time A Time B Time A Time B 10:05 10:25 10:39 10:53 10:30 AMHigh Fraud-Risk Destinations Country Code = 234 (Nigeria) Area Code = 305 (Miami) Subscriber =? authorization11 Ottobre 2011 Pag. 49
  • 50. Incrocio delle Dimensioni Dimensione 1 2900 € Total Charge 2400 € 80% 1900 € (Dim2 / Dim1) > Soglia % 1400 € 8% 900 € 400 € Dimensione 2 Call Fwd Charge 0 30-Aprile 31-Maggio 30-Giugno 31-Luglio 31-Agosto11 Ottobre 2011 Pag. 50
  • 51. Esempio di Pattern sui CDR 12 “Inizio Chiamata” tra 1:00 e 5:00 a.m. 1 AND 2 “Durata della Chiamata” > 60 minuti 9 3 4 5 6 AND 0001 Il Cell Set = 0001 AND Il Cell ID = 00147 0014711 Ottobre 2011 Pag. 51
  • 52. Esempio di Pattern sui dati del Sottoscrittore Data di Attivazione < 90 Giorni IMSI AND 978496100040 la SIM è in Black List AND è un Inoltro di Chiamata OR una Conferenza11 Ottobre 2011 Pag. 52
  • 53. Esempio di Pattern Cumulativo EDR = UMTS AND Direzione = Download AND Volume > 100 MB AND Durata < 30 minutes11 Ottobre 2011 Pag. 53
  • 54. Esempio di Pattern Sequenziale Pattern Definizione Tipo P1 L’utente ha sbagliato 3 Login Pattern Accumulo P3 Ha scaricato più di 300 Mbytes Pattern Accumulo P4 Ha visitato un indirizzo IP in blacklist Pattern Semplice P1 P2 P3 P4 PS1 Tempo11 Ottobre 2011 Pag. 54
  • 55. Reporting11 Ottobre 2011 Pag. 55
  • 56. Dashboard11 Ottobre 2011 Pag. 56
  • 57. Link Analysis Cliente Contratto CLI Telefono11 Ottobre 2011 Pag. 57
  • 58. Verifica dei Concetti 1. Perchè è importante fare l’analisi dei dati di traffico? _______________________________________________________________________ 2. Cosa è la “velocity” ? _______________________________________________________________________ 3. Come si costruisce il “profilo” di un cliente ? _______________________________________________________________________ 4. Che differenza c’è tra “reporting” ed una “dashboard” ? _______________________________________________________________________ 5. Cosa sono i “pattern” ? Le “soglie” ? Le “categorie” e le “dimensioni” ?11 Ottobre 2011 Pag. 58
  • 59. I diversi Ruoli del Fraud Management Case Manager – E’ l’analista che esamina i Casi di Frode. Knowledge Manager – Configura i Pattern, le Regole e gli altri Parametri di un FMS. System Manager – Configura le componenti software del FMS per mantenere consistente la loro cooperazioni. Security Manager – Contolla gli accessi al FMS, determina i profili ed i privilegi di tutti i suoi utilizzatori. Inoltre stabilisce le modalità di auditing e tracciamento relative all’utilizzo stesso del FMS11 Ottobre 2011 Pag. 59
  • 60. INDICE DELLA PRESENTAZIONE : 1. Aspetti generali di TLC rilevanti per un FMS 2. Frodi in ambito TLC 3. Punti di Controllo, Criticità, Contromisure 4. Telefonia Fissa, Mobile e VoIP 5. Modelli Predittivi 6. Sistemi a supporto del processo di FMS 7. Riferimenti bibliografici e sitografici11 Ottobre 2011 Pag. 60
  • 61. Statistica Inferenziale (Induttiva) Laplace stabilì le regole per un ragionamento matematico induttivo, basato sulla probabilità, che oggi chiamiamo Bayesiano e avviò la Statistica Inferenziale L’obiettivo della statistica inferenziale è fornire metodi che servono ad imparare dallesperienza, cioè a costruire modelli per passare da casi particolari al caso generale. Nella statistica inferenziale o induttiva, si usano tecniche del calcolo delle probabilità.11 Ottobre 2011 Pag. 61
  • 62. Teorema di Bayes e Probabilità delle “Cause”Utilizza la “probabilità condizionata” e risponde alla domanda: “Sapendo che si è verificato l’effettoB, qual è la probabilità che la causa sia A ?” Fornisce la probabilità della causa dato l’effetto. Tabella di Contingenza Acquista Non Acquista Probabilità Marginale Sesso S A NA Uomo U 0,40 0,30 0,70 Donna D 0,10 0,20 0,30 Prob.Marginale 0,50 0,50 1,00 Probabilità Congiunta Probabilità Marginale Probabilità Marginale P(SD  A) P(A) = P(SU  A) + P(SD  A) P(SU) = P(SU  A) + P(SU  NA) Causa Probabilità Condizionante Teorema di Bayes P(A  SU) 0,40 P(ASU) x P(SU) 0,40 P(ASU) =  =  = 0,57 P(SUA) =  =  = 0,80 P(SU) 0,70  P(ASi) x P(Si) 0,50 Effetto11 Ottobre 2011 Pag. 62
  • 63. KPI di Base per un FMS Matrice di Confusione Frode Non-Frode Casi previsti come True Positive False Positive Frode TP = True Positive/p FP = False Positive/n Casi previsti come False Negative True Negative Non-Frode FN = False Negative /p TN = True Negative/n Total Positive = p Total Negative = n Casi Totali TP + FN = 1 FP + TN = 111 Ottobre 2011 Pag. 63
  • 64. Distribuzione delle Frodi11 Ottobre 2011 Pag. 64
  • 65. Grafico del Guadagno11 Ottobre 2011 Pag. 65
  • 66. Il dilemma del Fraud Manager Falsi Positivi Veri Positivi (Non-Frodi) (Frodi) 100% € Costo del Lavoro € Perdita di Ricavi Veri Negativi Falsi Negativi 0% (Non-Frodi) (Frodi)11 Ottobre 2011 Pag. 66
  • 67. Visualizzazione in forma grafica dei KPI Tutti i casi presentati sono frodi (TP=100%, FP=0%), ma manca il 50% Solo il 37% dei casi analizzati sono frodi delle frodi (TN=50%, FN=50%). (TP=37%, FP=63%), ma l’analista deve controllare il 100% dei casi di frode (TN=100%, FN=0%). • Precision = TP / (TP+FP) = % di TP presentati all’analista sul totale dei Casi. • Recall = TP / (TP+FN) = % di TP individuati dal sistema sul totale dei casi realmente esistenti.11 Ottobre 2011 Pag. 67
  • 68. Analisi delle curve ROC e della AUC ROC11 Ottobre 2011 Pag. 68
  • 69. Visualizzazione in forma grafica dei KPI % Chiamate HIGH Nazionali % Chiamate 899 HIGH HIGH % chiamate Internazionali % Chiamate in Roaming HIGH11 Ottobre 2011 Pag. 69
  • 70. Fraud Intelligence 8 Application Scoring 10 FN Rule Induction Rule Induction Clustering 6 10 TN Clustering 4 10 FN Casi con FN TN Score TN Casi 2 Eventi 10 FP Clienti Allarmi TP Collection Detection Analysis Case Scoring • Real Time Feed • Built-in  Expert System • Neural Networks Individual profiles • Decision Trees • Optional modules   Neural Network11 Ottobre 2011 Pag. 70
  • 71. Prioritizzazione dei Casi con lo Scoring Score 100% High fraud worklist 85% Sono assegnati i limiti per: Not redirected from • Archiviare i casi default worklist • Cancellarli assignments • Ridirigerli nelle Work-list 60% Low fraud worklist 25% Archive (unknown) 10% Delete 011 Ottobre 2011 Pag. 71
  • 72. Input, Process, Output  di un modello predittivo11 Ottobre 2011 Pag. 72
  • 73. «Input» di un modello  predittivo Predittori Scelta dei Predittori tra i dati disponibili: a) Qualità dei valori b) Varianza c) Importanza Relativa d) Correlazione e Dipendenza e) Predittori «derivati» dai campi disponibili in input Predittori per un FMS nell’ambito delle TLC: 1. Dati Anagrafici 2. Eventi • eventi di Billing (Fatture e Pagamenti) • eventi Esterni (es. Revoca RID) • eventi di Traffico (Utilizzo e Valorizzazione in €) 3. Allarmi e Casi11 Ottobre 2011 Pag. 73
  • 74. «Output» di un modello predittivo Target - Modelli che imparano in modo guidato (Supervisionati) - Modelli che imparano in autonomia (Non-Supervisionati) Un modello predittivo di Scoring è (quasi) sempre un modello Supervisionato Per il FMS di una TLC il Target di uno Scoring è il Resolution_Status11 Ottobre 2011 Pag. 74
  • 75. «Process» di un modello predittivo Algoritmi di Statistica Inferenziale Albero Algoritmi Disponibili Decisionale Input Output layer Layer Input Output Fields Field Rete Hidden Neurale layer11 Ottobre 2011 Pag. 75
  • 76. Distribuzione TP/FP   Mono/Bi‐Modale11 Ottobre 2011 Pag. 76
  • 77. Test e Verica dei Modelli Predittivi Addestramento, Test e… …Verifica !11 Ottobre 2011 Pag. 77
  • 78. Verifica dei Concetti 1. Cosa sono “precision” e “recall” ? _______________________________________________________________________ 2. Cosa è un “KPI” ? _______________________________________________________________________ 3. Quali sono i “KPI di base” di un FMS ? _______________________________________________________________________ 4. Cosa è e a cosa serve il “case scoring” ? _______________________________________________________________________ 5. Quando si usa un “gain chart” ? _______________________________________________________________________ 6. E’ preferibile una distribuzione dei casi di frode “mono” oppure “bi” modale ? _______________________________________________________________________ 7. Cosa è la “matrice di confusione” ?11 Ottobre 2011 Pag. 78
  • 79. INDICE DELLA PRESENTAZIONE : 1. Aspetti generali di TLC rilevanti per un FMS 2. Frodi in ambito TLC 3. Telefonia Fissa, Mobile e VoIP 4. Punti di Controllo, Criticità, Contromisure 5. Modelli Predittivi 6. Sistemi e processi a supporto del processo di FMS 7. Riferimenti bibliografici e sitografici11 Ottobre 2011 Pag. 79
  • 80. E’ possibile azzerare le Frodi ?11 Ottobre 2011 Pag. 80
  • 81. A quanto ammontano le Perdite per Frodi ? Perdita Clienti, Immagine 1% - 10% ?11 Ottobre 2011 Pag. 81
  • 82. Le Sfide Organizzative • Conflitti negli obiettivi organizzativi – Spinte di Marketing, mercati dinamici – Mancanza di regole per la verifica delle identità • Indisponibilità dei Dati per il FMS – Ritardo del caricamento dei dati dal CC&B – Costo del FMS • Impreparazione dell’Organizzazione – Consapevolezza dell’importanza delle Frodi – Continui cambiamenti di ruolo e responsabilità – Mancanza di un Fraud Manager, di Analisti11 Ottobre 2011 Pag. 82
  • 83. Strategia di Fraud Management All three perspectives are essential11 Ottobre 2011 Pag. 83
  • 84. Prevenzione Prevenire gli accessi non autorizzati, affiancando alle soluzioni tecniche delle adeguate procedure organizzative. Aspetti Tecnici: Aspetti Procedurali:  PIN  Verifica Sottoscrittori  Validazione Pre-Chiamata  Indirizzo, Firma, Carta di Credito  Autenticazione  Deposito Cautelativo  Impronte Digitali  Restrizione/Blocco delle Funzionalità  Crittografia  Messa in sicurezza dei Dati Sensibili11 Ottobre 2011 Pag. 84
  • 85. Individuazione e Blocco Se prevenire non è sufficiente...individuare gli attacchi e le frodi, le anomalie nel Comportamento ed Utilizzo dei servizi. Tutte le frodi hanno una specifica impronta digitale basata su: comportamento e utilizzo High Consumption Alerts Profilers Fraud Detection System SS7 Surveillance Customer Care Call Center alerts11 Ottobre 2011 Pag. 85
  • 86. Dissuasione Inoltre disencentivare i malintenzionati dal commettere frodi: – Rendere difficile l’accesso ai dati e alla rete. – Aumentare i costi della tecnologia utilizzata dai criminali. – Perseguire penalmente i frodatori.Aspetti Tecnici: Aspetti Procedurali:  Sicurezza dei dati e sistemi  Migliorare contratti e regolamenti  Monitoraggio attivo  Perseguire i Colpevoli  Risoluzione rapida dei casi  Disincentivare la rivenditaillegale  Sviluppare l’organizzazione di FM, le  Controlli (audit) interni Procedure e le regole di business11 Ottobre 2011 Pag. 86
  • 87. Verifica dei Concetti 1. Che differenza c’è tra “prevenzione” e “dissuasione” ? _______________________________________________________________________ 2. Cosa è la “detection” delle frodi ? Perchè deve essere in “near real time” ? _______________________________________________________________________ 3. Quali sono le principali “sfide organizzative” da indirizzare prima di poter utilizzare efficacemente un FMS ? _______________________________________________________________________ 4. La “tecnologia” è sempre la cosa più importante ? _______________________________________________________________________ 5. A quanto possono ammontare le “perdite” di un operatore telefonico che non utilizza un FMS ? Si possono azzerare le “perdite per frode” ?11 Ottobre 2011 Pag. 87
  • 88. INDICE DELLA PRESENTAZIONE : 1. Aspetti generali di TLC rilevanti per un FMS 2. Frodi in ambito TLC 3. Punti di Controllo, Criticità, Contromisure 4. Telefonia Fissa, Mobile e VoIP 5. Modelli Predittivi 6. Sistemi a supporto del processo di FMS 7. Riferimenti bibliografici e sitografici11 Ottobre 2011 Pag. 88
  • 89. Bibliografia e Sitografia  libro: INSIDIE TELEMATICHE – Frodi e Sicurezza G.Giappichelli Editore – Torino  rivista (in Italiano): INFORMATION SECURITY edisef www.informationsecuritynews.it/la-rivista  sito frodi nelle telecomunicazioni (CFCA): www.cfca.org  sito per le comunicazioni su rete fissa (FIINA): http://www.fiina2008.be/new/index.php?page=about_fiina  sito per le comunicazioni mobili (GSMA): http://gsmworld.com/our-work/programmes-and- initiatives/fraud-and-security/index.htm11 Ottobre 2011 Pag. 89
  • 90. Grazie per la Partecipazione ! Domande ? marco.scattareggia@hp.com11 Ottobre 2011 Pag. 90

×