Fraud Management System - ISACA
-
Upload
scattareggia -
Category
Documents
-
view
1.236 -
download
1
description
Transcript of Fraud Management System - ISACA
11 Ottobre 2011 Pag. 1
“Fraud Management System” per le
Aziende di Telecomunicazione
Ing. Marco Scattareggia – HP EMEA
Marco Scattareggia – HP EMEA
Manager del “Center of Excellence”
per le Soluzioni di Fraud Management
11 Ottobre 2011 Pag. 2
INDICE DELLA PRESENTAZIONE :
1. Aspetti generali di TLC rilevanti per un FMS2. Frodi in ambito TLC3. Telefonia Fissa, Mobile e VoIP4. Punti di Controllo, Criticità, Contromisure5. Modelli Predittivi6. Sistemi e processi a supporto del processo di FMS7. Riferimenti bibliografici e sitografici
11 Ottobre 2011 Pag. 3
Perché Frodare ?
Pag. 411 Ottobre 2011
Rivendita30%
Numeri a sovrapprezzo
(premium)25%
Furto di cellulari25%
Abuso di ricarica (altri
operatori)15%
Internazionale4% Uso personale,
anonimato, altro1%
I Compiti di un FMS
1. Processare i milioni di dati personali dei Clientied la massa degli eventidi traffico provenienti da una varietà di sorgenti.
2. Filtrare da questaenorme mole di informazioni gli Allarmied i Casi di Frode.
3. Assegnare una prioritàai Casi di Frode in proporzione al lororischio.
11 Ottobre 2011 Pag. 5
BTS — Base Transceiver Station BSC — Base Station Controller
Architettura 2G – Mobile/Fisso
MSC — Mobile Switching CenterVLR — Visitor Location RegisterHLR — Home Location Register
BTS
BSCMSC/VLR
HLRBSC
GMSC
BSC
BSCMSC/VLR
PSTN
PLMN
SMS-SC
PSDN
11 Ottobre 2011 Pag. 6
Mediation Device
ReteMobile
Telefono MobileCella, Base Station
Switch,Mobile Switch Center
ReteFissa
Telefono FissoCabina Telefonica
Switch, Exchange,Central Office, PBX
11 Ottobre 2011 Pag. 7
MediationDeviceCustomer Care & Billing CDR
Identificazione del Clientee del Terminale Telefonico
Ciascun Cliente deve avere un unica Chiave Identificativa nel Sistema di Fatturazione per permettere all’Operatore la fatturazione del servizio telefonico erogato.
IMEI/IMSI
06 58 98 00
MediationDevice
CDR/EDR
CC&B
Customer Care & Billing
Durata, Volume, Contenuto
= €
11 Ottobre 2011 Pag. 8
Esempio di CDR
11 Ottobre 2011 Pag. 9
Customer Care & Billing(BSS)
Bill
Mediation System
Point-of-SalesRetail services Inventory mgmt. Commissions
Customer Care Telemarketing Sales Force automation Telephony integration (CTI) Interactive Voice Response
Data Storage
Churn Mgmt. Fraud Mgmt.CDR collectionCDR ratingCDR collectionCDR rating
Clienti/subscribers
Call Center
Billing System Usage guidingBill ratingRate and discount tables Billing plans and packagesCustomer & account database
Business Intelligence
Activation de-ActivationActivation de-Activation
Mediation SystemLe informazioni del CC&B alimentano il Fraud Management System, i CDR possono arrivare
direttamente dal Mediation oppure essere prima valorizzati dal Billing.
Alcuni Servizi (es. Roaming) possonogenerare CDR in rete, ma non hannoriscontro nel Customer Care e Billing
11 Ottobre 2011 Pag. 10
I Dati per il FMSN
etw
ork
BillingBilling
ANSI-41 Authentication
Center
ANSI-41 Authentication
Center
Net
wor
k
BillingCC & Billing
Sonde SS7 Pseudo CDR, RicarichePrepagato
ANSI-41 Authentication
Center
Authentication Center
L’Analista esamina i dati raccolti e filtrati dal FMS per mezzo di una interfaccia grafica
Mediation
11 Ottobre 2011 Pag. 11
Verifica dei Concetti
1. Cosa è un “CDR” ?___________________________________________________________________
2. Che differenza c’è tra “IMSI” ed “IMEI” ?___________________________________________________________________
3. Cosa è un “Mediation Device” ?___________________________________________________________________
4. Può succedere che l’FMS abbia dei dati riguardanti un cliente che però non è presentenegli archivi dei sistemi di Customer Care e Billing? ___________________________________________________________________
5. Quando e da chi viene creato un CDR ? ___________________________________________________________________
6. Quali sono i principali sistemi di “Business Intelligence” in ambito BSS (BusinessSupport Systems) ?
11 Ottobre 2011 Pag. 12
INDICE DELLA PRESENTAZIONE :
1. Aspetti generali di TLC rilevanti per un FMS2. Frodi in ambito TLC3. Telefonia Fissa, Mobile e VoIP4. Punti di Controllo, Criticità, Contromisure5. Modelli Predittivi6. Sistemi e processi a supporto del processo di FMS7. Riferimenti bibliografici e sitografici
11 Ottobre 2011 Pag. 13
Definizione di Frode
... va distinta dai mancati pagamentidovuti ad impossibilità o incapacità dell’utente,
e si sovrappone agli abusiche sfruttano le carenze dei sistemi e contratti.
Una frode nelle TLC è un qualunque tentativo di usufrire di un bene o di un servizio
senza avere l’intenzione di pagare ! (*) NetCom Consultants
(*)
11 Ottobre 2011 Pag. 14
Frodi su Rete Fissa e Mobile
Technical FraudCloningTumblingMagic PhonesClip-onPay phone or Prepaid
Subscription FraudHigh unpaid usage RoamingSupplementary Services Misuse “Friendly Fraud”
Insider Fraud
Security breaches
Manipolazione delleinformazioni
Social Engineering
Ottenereinformazioni /
serviziraggirando i clienti o gliimpiegati
Ogni tipo di frode ha una o più caratteristiche specifiche …
11 Ottobre 2011 Pag. 15
Prepaid FraudManipolazioni, Furti, Bonus illeciti
Dealer Fraud
Commissioni gonfiateVendita illegale
Cramming FraudExtra addebiti sulle bollette
PBX Fraud
Abuso delle funzionalità PBXIntrusione su PBX per fare chiamate (Internaz./Premium)
Interconnection Fraud
By-Pass / GSM Gateway,
Falsificazione deidati, Looping
Handset Fraud
Telefonini rubati o contraffattiVendita di servizi non autorizzata
Calling Card FraudCarte (o Numeri) Telefonicherubate
Frodi Tecniche su Rete Mobile
Le tecniche per clonare i telefonianalogici sono molto diffuse. Quelleper clonare i telefoni digitali sono piùdifficili, ma non impossibili.
I magic phones sono particolarmentepericolosi: un singolo device che puòemulare un gran numero di terminalilegittimi. L’attività di cloning è poi sparsa (tumbling) su tutti scaricandoun piccolo ammontare per ciascuno.
11 Ottobre 2011 Pag. 16
Frodi Tecniche su Rete Fissa
11 Ottobre 2011 Pag. 17
Frodi di Sottoscrizionee Furto d’Identità
Abbonarsi senza avere l’intenzione di pagare il servizlo:
• Ad uso personale (ad esempio per mantenere l’anonimato)• Per trasferire denaro su numerazioni premium• Per rivendere illegalmente traffico• Approffittando dei ritardi nei controlli come per il Roaming
11 Ottobre 2011 Pag. 18
Frodi sui Centralini
Rivendita di telefonateInternazionali o abuso sunumeri premium
Hacking dei PBX con vulnerabilità note:
• Porte per la manutenzione remota
• Mail-box vocali non registrate
• Funzionalità per impiegati
• Social engineer
11 Ottobre 2011 Pag. 19
Insider Fraud
11 Ottobre 2011 Pag. 20
Frodi dei Dealer e Agenti
• Accettare false carte d’identità per guadagnare sulle commissioni.
• Non eseguire tutti i controlli per risparmiare tempo.
• Attivare sottoscrittori inesistenti.
• Aggiungere servizi all’abbonamento non richiesti dall’utente per guadagnare provvigioni.
11 Ottobre 2011 Pag. 21
Handset Fraud
Il furto del telefono può essere semplicementela sottrazione di un unico terminale oppurequello di un intero carico di SmartPhone da usare in un’altra rete.
11 Ottobre 2011 Pag. 22
Frodi sulle Carte Telefoniche
11 Ottobre 2011 Pag. 23
“Shoulder surfing”
E’ possibile raccogliere un gran quantità di codici di Calling Card tramite video camere nascosti, ad esempio vicino i telefonipubblici all’aereoporto.
Cramming
Telefonate / Serviziimpropriamente addebitati
11 Ottobre 2011 Pag. 24
Frodi sui PrePagati
• Manipolazione del telefoninoo carta telefonica per evitarel’addebito .
• Individuazione dei codiciche permettono l’uso deiservizi prepagati senzaaddebito.
• Modifica del credito tramite un impiegato infedele.
• Uso di Ricariche rubate o contraffatte.
• Ricariche tramite altri telefoni.
11 Ottobre 2011 Pag. 25
Frodi tra Operatori
Pag. 2611 Ottobre 2011
LocalResellerFixed/Mobile
operatorOperatoreInt./Nat.
BSC BSC
MSC
BTSBTS
ON-NET CALL
SIM
SIM
SIM
SIMbox
Reseller non
autorizzato
GSM Gateway / SIM Box
Pag. 2711 Ottobre 2011
Schema di By-Pass
Pag. 2811 Ottobre 2011
Tecniche per individuare un SIM Box
IMEI, In < 0.03, Extra < 0.1, Inter < 0.01, Spread > 0.75
AND AND AND AND
Check for IMEIuniqueness
Check for less the 3% incoming calls
Check for less the 10% extra network calls
Check for less the 1% international calls
Check for a big Spread, that means many different called numbers
Pag. 2911 Ottobre 2011
Social Engineering
Ad esempio: convincere un impiegatoinesperto ad abilitare l’accesso aisistemi tramite persuasione verbale o con l’aiuto di una mancia.
11 Ottobre 2011 Pag. 30
Passworddell’Impiegato
1. Fornire un esempio di “frode di sottoscrizione”_______________________________________________________________________
2. Perchè le frodi di sottoscrizione sono più facili in “roaming” ?______________________________________________________________________
3. Che tipo di frode è il “cramming” ?_______________________________________________________________________
4. Il furto d’identà è una frode ?_______________________________________________________________________
5. Cosa è un “By-Pass” ? Un “PBX” ? Un “GSM-Gateway” ?_______________________________________________________________________
6. Che differenza c’è tra “frode” ed “abuso” ?_______________________________________________________________________
Verifica dei Concetti
11 Ottobre 2011 Pag. 31
INDICE DELLA PRESENTAZIONE :
1. Aspetti generali di TLC rilevanti per un FMS2. Frodi in ambito TLC3. Telefonia Fissa, Mobile e VoIP4. Punti di Controllo, Criticità, Contromisure5. Modelli Predittivi6. Sistemi e processi a supporto del processo di FMS7. Riferimenti bibliografici e sitografici
11 Ottobre 2011 Pag. 32
BTS — Base Transceiver Station BSC — Base Station Controller
Architettura 2G – Mobile/Fisso
MSC — Mobile Switching CenterVLR — Visitor Location RegisterHLR — Home Location Register
BTS
BSCMSC/VLR
HLRBSC
GMSC
BSC
BSCMSC/VLR
PSTN
PLMN
SMS-SC
PSDN
11 Ottobre 2011 Pag. 33
Evoluzioni delle Reti TLC
GSM2G
GPRS2.5G
UMTS3G
1990
2010 LTE4G
11 Ottobre 2011 Pag. 34
SS7BTS
BSC MSCVLR
HLR AuC
GMSC
BSS
PSTN
NSS
AE
CD
PSTNAbis
B
H
MS
BSS — Base Station SystemBTS — Base Transceiver StationBSC — Base Station Controller
NSS — Network Sub-SystemMSC — Mobile-service Switching ControllerVLR — Visitor Location RegisterHLR — Home Location RegisterAuC — Authentication ServerGMSC — Gateway MSC
Architettura 2G - 2.5G – 3G
SGSN — Serving GPRS Support NodeGGSN — Gateway GPRS Support Node
GPRS — General Packet Radio Service
IP
2G+ MS (voice & data)
PSDNGi
SGSN
Gr
Gb
Gs
GGSN
Gc
Gn
2G MS (voice only)
11 Ottobre 2011 Pag. 35
3G UE (voice & data)
Node B
RNC
RNS
Iub
IuCS
ATM
IuPS
RNS — Radio Network SystemRNC — Radio Network Controller
GPRSArchitettura di Riferimento
Backbone Network
IPNetwork
BTS
SGSN GGSN
BSC MSC/VLR
SMS-C
Mediation
HLR
11 Ottobre 2011 Pag. 36
BillingSystem
FMSSystem
CDR/EDR
VoIP - Telefonia IP
11 Ottobre 2011 Pag. 37
IPInternet
PSTN
Telefono fissoVoIP con Codec
PC con softwareVoIP
MediaGateway
Smartphone mobile con App VoIP
BillingSystem
FMSSystem
CDR/EDR
Alimentazione di un FMS
RetiTelefoniche
Mediation
11 Ottobre 2011 Pag. 38
Sonde
PseudoCDR
FMS nelle nuove Reti
• Dal 2.5 G in poi le reti telefoniche possono trasmettere comunicazioni“non vocali” attraverso le reti fisse e mobili.
• Un FMS quindi deve accettare Event/Transaction Data Record (EDR, TDR) in aggiunta ai CDR e possono includere campi come:
• Access Point Name• Destination and Origin IP• Level of Service • Ecc.
• Tutti i campi sono verificati nei vari algoritmi di “Thresholds”, “Pattern Matching”, “Fingerprinting”, “Profiling”, ecc. .
11 Ottobre 2011 Pag. 39
Crittografia GSMDifesa ed Attacchi
• Il consorzio GSM sceglie la “sicurezza della crittografia”.• Ma gli algoritmo A3/A8 e A5 possono essere compromessi.• I cripto-analisti infatti attaccano con facilità la funzione hash COMP-
128 (A3+A8) utilizzata nelle SIM.• Le chiavi Ki e Kc delle SIM vengono riprodotte tramite algoritmi di
“forza bruta”.• Inoltre intercettazioni “Over-the-air” sono rese possibili da false BTS.• Il modello di sicurezza si evolve con il GPRS.
11 Ottobre 2011 Pag. 40
Schema di Encryption
11 Ottobre 2011 Pag. 41
A3
Mobile Station Radio Link GSM Operator
A8
A5
A3
A8
A5
Ki Ki
Challenge RAND
KcKc
mi Encrypted Data mi
SIM
Signed response (SRES) SRESSRES
Fn Fn
Autenticazione
AuC
ME BTS
Implementazione logica di A3 e A8
COMP128 è usato per entrambi gli algoritmi A3 e A8 nella maggior parte delle reti GSM ed è una
funzione keyed-hash
COMP128
RAND (128 bit)
Ki (128 bit)
128 bit outputSRES 32 bit and Kc 54 bit
11 Ottobre 2011 Pag. 42
Cronologia degli attacchi
• 1991 – First GSM implementation.
• April 1998– The Smartcard Developer Association (SDA) together with U.C.
Berkeley researches cracked the COMP128 algorithm stored in SIM and succeeded to get Ki within several hours. They discovered that Kcuses only 54 bits.
• August 1999– The week A5/2 was cracked using a single PC within seconds.
• December 1999– Alex Biryukov, Adi Shamir and David Wagner have published the
scheme breaking the strong A5/1 algorithm. Within two minutes of intercepted call the attack time was only 1 second.
• May 2002– The IBM Research group discovered a new way to quickly extract the
COMP128 keys using side channels.
11 Ottobre 2011 Pag. 43
1. E’ possibile clonare una “SIM” ? Ed una “USIM” ?_______________________________________________________________________
2. Cosa è un “EDR” ?_______________________________________________________________________
3. Che frodi sono state introdotte con le “reti 2.5G” e successive ? Sono più o meno pericolose delle precedenti?_______________________________________________________________________
4. C’è differenza tra “sicurezza” e “fraud management” ?_______________________________________________________________________
5. E’ più facile clonare un telefono “analogico” o uno “digitale” ? Perchè ?
Verifica dei Concetti
11 Ottobre 2011 Pag. 44
INDICE DELLA PRESENTAZIONE :
1. Aspetti generali di TLC rilevanti per un FMS2. Frodi in ambito TLC3. Telefonia Fissa, Mobile e VoIP4. Punti di Controllo, Criticità, Contromisure5. Modelli Predittivi6. Sistemi e processi a supporto del processo di FMS7. Riferimenti bibliografici e sitografici
11 Ottobre 2011 Pag. 45
Analisi dei Dati di Traffico
0.50 Euro fixed cost PRS calls
0 Euro By-pass calls
Duration Cost PRS calls
Pag. 4611 Ottobre 2011
Selezione delle Anomalie
Azioni
ANoMALIE
Collision & Velocity Blacklists Patterns Usage Limits …..
Traffico
Milioni di Dati
SottoscrittoriAllarmi
Migliaia di Allarmi
REGOLE
Expert systems Neural Network Confidence levels Smart Thresholds Individual profiles …..
AllarmiEsterni
Casi
Centinaia di Casi
11 Ottobre 2011 Pag. 47
Profilazione
Profilo
Countries Called
Area Codes Called
Z Z Z Z D D WTot Dur x x x x x x xIntl Dur x x x x x x xPremDur x x x x x x xTot Chg x x x x x x xIntl Chg x x x x x x xTot Att x x x x x x xRoam D x x x x x x xRoam Chg x x x x x x x
UtilizzoCorrente
Utilizzo Precedente
Daily
Usage
Daily
Usage
Daily
Usage
Daily
Usage
Daily
Usage
.
.
.
Past Week
Past Week
Past Month
Countries Called
Area Codes Called
Countries Called
Areas Called
Tot Dur x x x x x Intl Dur x x x x x x PremDur x x x x x Tot Chg x x x x x Intl Chg x x x x x Tot Attx x x x x x xRoam Dx x x x x xRoam Chg x x x x x
11 Ottobre 2011 Pag. 48
Generazione di Allarmi
?= Subscriber authorization
Black List Checking
Per le Carte Telefoniche ed il Cloning
**Las Vegas
10:30 AM
New York
10:45 AM
Velocity
StartTime A10:05
EndTime A10:39
StartTime B10:25
EndTime B10:53
10:00
10:15 10:30 10:45 11:00
Call A
Call B
Collision
High Fraud-Risk DestinationsCountry Code = 234 (Nigeria)Area Code = 305 (Miami)
11 Ottobre 2011 Pag. 49
30-Aprile 31-Maggio 30-Giugno 31-Luglio 31-Agosto
(Dim2 / Dim1) >
Soglia %
Dimensione 1Total Charge
Dimensione 2Call Fwd Charge
8%
80%
0
400 €
900 €
1400 €
1900 €
2400 €
2900 €
Incrocio delle Dimensioni
11 Ottobre 2011 Pag. 50
Esempio di Pattern sui CDR
12
3
6
9
1
2
4
5
12
3
6
9
1
2
4
5
“Inizio Chiamata” tra 1:00 e 5:00 a.m.AND
“Durata della Chiamata” > 60 minuti
ANDIl Cell Set = 0001
ANDIl Cell ID = 00147
00147
0001
00147
0001
11 Ottobre 2011 Pag. 51
Esempio di Pattern sui dati del Sottoscrittore
ANDla SIM è in Black List
ANDè un Inoltro di Chiamata OR una
Conferenza
IMSI 978496100040
Data di Attivazione < 90 Giorni
11 Ottobre 2011 Pag. 52
Esempio di Pattern Cumulativo
11 Ottobre 2011 Pag. 53
EDR = UMTS
AND
Direzione = DownloadAND
Volume > 100 MB
AND
Durata < 30 minutes
Esempio di Pattern Sequenziale
Pattern Definizione Tipo
P1 L’utente ha sbagliato 3 Login Pattern Accumulo
P3 Ha scaricato più di 300 Mbytes Pattern Accumulo
P4 Ha visitato un indirizzo IP in blacklist Pattern Semplice
P1 P3 P4P2 PS1 Tempo
11 Ottobre 2011 Pag. 54
Reporting
Pag. 5511 Ottobre 2011
Dashboard
Pag. 5611 Ottobre 2011
Cliente Contratto CLI Telefono
Link Analysis
Pag. 5711 Ottobre 2011
1. Perchè è importante fare l’analisi dei dati di traffico?_______________________________________________________________________
2. Cosa è la “velocity” ?_______________________________________________________________________
3. Come si costruisce il “profilo” di un cliente ?_______________________________________________________________________
4. Che differenza c’è tra “reporting” ed una “dashboard” ?_______________________________________________________________________
5. Cosa sono i “pattern” ? Le “soglie” ? Le “categorie” e le “dimensioni” ?
Verifica dei Concetti
Pag. 5811 Ottobre 2011
I diversi Ruoli del Fraud Management
Case Manager – E’ l’analista che esamina i Casi di Frode.
Knowledge Manager – Configura i Pattern, le Regole e gli altriParametri di un FMS.
System Manager – Configura le componenti software del FMS per mantenere consistente la loro cooperazioni.
Security Manager – Contolla gli accessi al FMS, determina i profili edi privilegi di tutti i suoi utilizzatori. Inoltre stabilisce le modalità di auditing e tracciamento relative all’utilizzo stesso del FMS
Pag. 5911 Ottobre 2011
INDICE DELLA PRESENTAZIONE :
1. Aspetti generali di TLC rilevanti per un FMS2. Frodi in ambito TLC3. Punti di Controllo, Criticità, Contromisure4. Telefonia Fissa, Mobile e VoIP5. Modelli Predittivi6. Sistemi a supporto del processo di FMS7. Riferimenti bibliografici e sitografici
11 Ottobre 2011 Pag. 60
Statistica Inferenziale (Induttiva)
L’obiettivo della statistica inferenziale è fornire metodi cheservono ad imparare dall'esperienza, cioè a costruiremodelli per passare da casi particolari al caso generale.Nella statistica inferenziale o induttiva, si usano tecnichedel calcolo delle probabilità.
Laplace stabilì le regole per un ragionamentomatematico induttivo, basato sulla probabilità, che oggichiamiamo Bayesiano e avviò la Statistica Inferenziale
11 Ottobre 2011 Pag. 61
Teorema di Bayes e Probabilità delle “Cause”
Tabella di Contingenza
Acquista Non Acquista Probabilità MarginaleSesso S A NA
Uomo U 0,40 0,30 0,70Donna D 0,10 0,20 0,30
Prob.Marginale 0,50 0,50 1,00
Probabilità CongiuntaP(SD A)
Probabilità Marginale P(A) = P(SU A) + P(SD A)
Probabilità MarginaleP(SU) = P(SU A) + P(SU NA)
Probabilità Condizionante
P(A SU) 0,40 P(ASU) = = = 0,57
P(SU) 0,70
Teorema di Bayes
P(ASU) x P(SU) 0,40P(SUA) = = = 0,80
P(ASi) x P(Si) 0,50
Effetto
Causa
Utilizza la “probabilità condizionata” e risponde alla domanda: “Sapendo che si è verificato l’effettoB, qual è la probabilità che la causa sia A ?” Fornisce la probabilità della causa dato l’effetto.
11 Ottobre 2011 Pag. 62
Matrice di ConfusioneFrode Non-Frode
Casi previsti come Frode
True Positive TP = True Positive/p
False Positive FP = False Positive/n
Casi previsti come Non-Frode
False Negative FN = False Negative /p
True Negative TN = True Negative/n
Casi TotaliTotal Positive = p
TP + FN = 1Total Negative = n
FP + TN = 1
KPI di Base per un FMS
11 Ottobre 2011 Pag. 63
Distribuzione delle Frodi
11 Ottobre 2011 Pag. 64
Grafico del Guadagno
11 Ottobre 2011 Pag. 65
Veri Positivi(Frodi)
Falsi Positivi(Non-Frodi)
€ Perdita di Ricavi
€ Costo del Lavoro
100%
0%Veri Negativi(Non-Frodi)
Falsi Negativi(Frodi)
Il dilemma del Fraud Manager
11 Ottobre 2011 Pag. 66
Visualizzazione in forma graficadei KPI
• Precision = TP / (TP+FP) = % di TP presentati all’analista sul totaledei Casi.
• Recall = TP / (TP+FN) = % di TP individuati dal sistema sul totale deicasi realmente esistenti.
Tutti i casi presentati sono frodi(TP=100%, FP=0%), ma manca il 50% delle frodi (TN=50%, FN=50%).
Solo il 37% dei casi analizzati sono frodi(TP=37%, FP=63%), ma l’analista devecontrollare il 100% dei casi di frode(TN=100%, FN=0%).
11 Ottobre 2011 Pag. 67
Analisi delle curve ROCe della AUC
ROC
11 Ottobre 2011 Pag. 68
% chiamateInternazionali
% Chiamatein Roaming
% ChiamateNazionali
% Chiamate899
HIGH
HIGH
HIGH
HIGH
Visualizzazione in forma graficadei KPI
11 Ottobre 2011 Pag. 69
EventiClienti
Collection • Real Time Feed
TN
FN
Allarmi
Detection
• Built-in• Optional modules
CasiTNFN
Analysis
Expert SystemIndividual profilesNeural Network
210
410
610
810
Casi conScoreFP
TP
Case Scoring
• Neural Networks• Decision Trees
Allarmi
TNFN
Rule Induction
Clustering
Application ScoringRule InductionClustering
Fraud Intelligence
11 Ottobre 2011 Pag. 70
Prioritizzazione dei Casicon lo Scoring
Sono assegnati i limiti per:• Archiviare i casi• Cancellarli• Ridirigerli nelle Work-list
Low fraud worklist
Delete
Archive (unknown)
Not redirected from default worklist assignments
High fraud worklist
0
100%Score
10%
25%
60%
85%
11 Ottobre 2011 Pag. 71
Input, Process, Output di un modello predittivo
11 Ottobre 2011 Pag. 72
«Input» di un modello predittivoPredittori
Predittori per un FMS nell’ambito delle TLC:1. Dati Anagrafici2. Eventi
• eventi di Billing (Fatture e Pagamenti)• eventi Esterni (es. Revoca RID)• eventi di Traffico (Utilizzo e Valorizzazione in €)
3. Allarmi e Casi
Scelta dei Predittori tra i dati disponibili:a) Qualità dei valorib) Varianzac) Importanza Relativad) Correlazione e Dipendenzae) Predittori «derivati» dai campi disponibili in input
11 Ottobre 2011 Pag. 73
«Output» di un modello predittivoTarget
- Modelli che imparano in modo guidato (Supervisionati)- Modelli che imparano in autonomia (Non-Supervisionati)
Un modello predittivo di Scoring è (quasi) sempre un modello Supervisionato
Per il FMS di una TLC il Target di uno Scoring è il Resolution_Status
11 Ottobre 2011 Pag. 74
«Process» di un modello predittivoAlgoritmi di Statistica Inferenziale
Algoritmi DisponibiliAlberoDecisionale
Input layer
Hidden layer
Output Layer
Input Fields
Output Field
ReteNeurale
11 Ottobre 2011 Pag. 75
Distribuzione TP/FP Mono/Bi‐Modale
11 Ottobre 2011 Pag. 76
Addestramento, Test e …
…Verifica !
Test e Verica dei Modelli Predittivi
11 Ottobre 2011 Pag. 77
1. Cosa sono “precision” e “recall” ?_______________________________________________________________________
2. Cosa è un “KPI” ?_______________________________________________________________________
3. Quali sono i “KPI di base” di un FMS ?_______________________________________________________________________
4. Cosa è e a cosa serve il “case scoring” ?_______________________________________________________________________
5. Quando si usa un “gain chart” ?_______________________________________________________________________
6. E’ preferibile una distribuzione dei casi di frode “mono” oppure “bi” modale ?_______________________________________________________________________
7. Cosa è la “matrice di confusione” ?
Verifica dei Concetti
11 Ottobre 2011 Pag. 78
INDICE DELLA PRESENTAZIONE :
1. Aspetti generali di TLC rilevanti per un FMS2. Frodi in ambito TLC3. Telefonia Fissa, Mobile e VoIP4. Punti di Controllo, Criticità, Contromisure5. Modelli Predittivi6. Sistemi e processi a supporto del processo di FMS7. Riferimenti bibliografici e sitografici
11 Ottobre 2011 Pag. 79
E’ possibile azzerare le Frodi ?
11 Ottobre 2011 Pag. 80
A quanto ammontanole Perdite per Frodi ?
11 Ottobre 2011 Pag. 81
1% - 10% ?
Perdita Clienti, Immagine
Le Sfide Organizzative
• Conflitti negli obiettivi organizzativi– Spinte di Marketing, mercati dinamici– Mancanza di regole per la verifica delle identità
• Indisponibilità dei Dati per il FMS– Ritardo del caricamento dei dati dal CC&B– Costo del FMS
• Impreparazione dell’Organizzazione– Consapevolezza dell’importanza delle Frodi– Continui cambiamenti di ruolo e responsabilità– Mancanza di un Fraud Manager, di Analisti
Pag. 8211 Ottobre 2011
Strategia di Fraud Management
All three perspectives are essential
11 Ottobre 2011 Pag. 83
Aspetti Tecnici: PIN Validazione Pre-Chiamata Autenticazione Impronte Digitali Crittografia
Aspetti Procedurali: Verifica Sottoscrittori
Indirizzo, Firma, Carta di Credito Deposito Cautelativo Restrizione/Blocco delle Funzionalità Messa in sicurezza dei Dati Sensibili
Prevenzione
Prevenire gli accessi non autorizzati, affiancando alle soluzioni tecniche delle
adeguate procedure organizzative.
11 Ottobre 2011 Pag. 84
Individuazione e Blocco
Se prevenire non è sufficiente...individuare gliattacchi e le frodi, le anomalie nel
Comportamento ed Utilizzo dei servizi.
11 Ottobre 2011 Pag. 85
Customer Care Call Center alertsFraud Detection System
Profilers
SS7 Surveillance
High Consumption Alerts
Tutte le frodi hanno una specificaimpronta digitale basata su: comportamento e utilizzo
Aspetti Tecnici: Sicurezza dei dati e sistemi Monitoraggio attivo Risoluzione rapida dei casi Controlli (audit) interni
Aspetti Procedurali: Migliorare contratti e regolamenti Perseguire i Colpevoli Disincentivare la rivenditaillegale Sviluppare l’organizzazione di FM, le
Procedure e le regole di business
Dissuasione
Inoltre disencentivare i malintenzionati dal commettere frodi:– Rendere difficile l’accesso ai dati e alla rete.– Aumentare i costi della tecnologia utilizzata dai criminali.– Perseguire penalmente i frodatori.
11 Ottobre 2011 Pag. 86
1. Che differenza c’è tra “prevenzione” e “dissuasione” ?_______________________________________________________________________
2. Cosa è la “detection” delle frodi ? Perchè deve essere in “near real time” ?_______________________________________________________________________
3. Quali sono le principali “sfide organizzative” da indirizzare prima di poter utilizzareefficacemente un FMS ?
_______________________________________________________________________
4. La “tecnologia” è sempre la cosa più importante ?_______________________________________________________________________
5. A quanto possono ammontare le “perdite” di un operatore telefonico che non utilizzaun FMS ? Si possono azzerare le “perdite per frode” ?
Verifica dei Concetti
11 Ottobre 2011 Pag. 87
INDICE DELLA PRESENTAZIONE :
1. Aspetti generali di TLC rilevanti per un FMS2. Frodi in ambito TLC3. Punti di Controllo, Criticità, Contromisure4. Telefonia Fissa, Mobile e VoIP5. Modelli Predittivi6. Sistemi a supporto del processo di FMS7. Riferimenti bibliografici e sitografici
11 Ottobre 2011 Pag. 88
Bibliografia e Sitografia
libro: INSIDIE TELEMATICHE – Frodi e Sicurezza G.Giappichelli Editore – Torino
rivista (in Italiano): INFORMATION SECURITY edisef www.informationsecuritynews.it/la-rivista
sito frodi nelle telecomunicazioni (CFCA): www.cfca.org
sito per le comunicazioni su rete fissa (FIINA): http://www.fiina2008.be/new/index.php?page=about_fiina
sito per le comunicazioni mobili (GSMA):http://gsmworld.com/our-work/programmes-and-initiatives/fraud-and-security/index.htm
11 Ottobre 2011 Pag. 89