fraud & revenue assurance (french)

Fraude et Revenue Assurance focus on Roaming & Interconnexion

1Emma Galice Productions 21 Clos des Cascades – 93160 Noisy le Grand ‐ +33 6 16 37 09 12

Jean‐Marie Gandois

• Les évolutions récentes

• Introduction à la gestion de la fraude

• Focus sur le roaming

• Fraude internationale (interco, carriers)

• NRTRDE

• Revenue Assurance

• Processus RA

• Outils

Emma Galice Productions 21 Clos des Cascades – 93160 Noisy le Grand ‐ +33 6 16 37 09 12 2

Sommaire

Quelles sont les évolutions récentesen fraud management et revenue

assurance


• Outsourcing of core operations like Network and IT

• High number of Value Added Services (VAS) parties deployed

• High number of tariff plans on a monthly basis


• Primary focus on revenue leakage identification only

• Need for cross‐functional establishment

• Increased focus on product and network assurance

• Centralized RA functions

• Detailed process documentation around RA checks• Focus on development of analytical and technical

skills• Existence of RA tool deployment• Low recovery rates for identified leakage

• Likely increase in leakage owing to transformations like m‐commerce, Next Generation Networks and converged services

• Visibility to Audit Committee and Board of Directors

• Creation of CXO position for RA

• Partial outsourcing of RA function

• Performance incentives linked to RA savings for RA and business functions

• Dedicated Fraud functions with increased visibility and empowerment

• Establishment of fraud risk management framework

Established trends Emerging trends

Les tendances des fonctions RA

Source: KPMG Global Revenue Assurance Survey, 2012

• L'externalisation des activités de base comme le réseau et IT

• Déploiement d’un grand nombre de services à valeur ajoutée (VAS)

• Grand nombre de plans tarifaires sur une base mensuelle


• Accent mis uniquement sur l'identification des fuites de revenu

• Besoin d’établir une vue transverse

• Accent mis sur l'assurance de produits et de réseau• Centralisation des fonctions RA

• Documentation détaillée des processus de vérification RA

• Concentration sur le développement de compétences analytiques et techniques

• Existence de déploiement d’outils RA

• Faibles taux de récupération de fuites constatés

• Augmentation probable des fuites en raison de transformations comme le m‐commerce, réseaux de nouvelle génération et des services convergents

• Visibilité au niveau Comité d’Audit et conseil d'administration

• Création d'un poste CXO pour RA

• Externalisation partielle de la fonction RA

• Mesures incitatives liées aux sommes récupérées en RA et fonctions de l'entreprise

• Fonctions de fraude dédiés avec visibilité et autonomie accrues

• Mise en place d’un cadre de gestion du risque de fraude

Tendances avérées Nouvelles Tendances

Les tendances des fonctions RASource: KPMG Global Revenue Assurance Survey, 2012


0%

10%

20%

30%

40%

50%

60%

decrease no increase partial increase significant increase

Evolution of the revenue leakages & threat of fraud from 2009 to 2012% of the 85 answers


Des pertes croissantes



0%

10%

20%

30%

40%

50%

60%

70%

80%

<= 1% 1% to 10% > 10%

Africa & Middle East

Asia Pacific

Europe & Americas

Leakages as a percentage of revenue(101 answers)

Des pertes encore trop importantes


0%

10%

20%

30%

40%

50%

60%

70%

80%

<= 10% 10% to 25% 25% to 50% > 50%

Africa & Middle East

Asia Pacific

Europe & Americas

Global

Percentage of Leakages identified by the RA function(90 answers)


Des pertes difficiles à identifier

41 percent of the companies in the survey fail to identify more than half of total leakage


Source: Ernst & Youg Global RA survey 2012

Productdesign

Channel & Partner

mgt.

CustomerAcceptance &

risk mgt.

Order mgt. &Provisionning

NetworkUsage &rating

Billing CollectionsCustomerMgt. &disputes

Accounting

Revenue Assurance & Fraud ManagementMarketing &Campaign

Mgt.

Product &Offer devt.

Product &Offer change

Mgt.

Dealer Mgt.&

commissions

ContentProviderMgt.

Wholesale &ResellerMgt.

LeadManagement

OrderIntake

CustomerRisk

Assessment

CreditApproval& limits

ProvisionningLead times

Customers &ServicesActivation

CustomersCharge

Management

Inventory &Handset

management

Third partyCircuit costs

Usagegeneration

Usageprocessing

Usagerating

ReferenceData

management

BillTimelines

BillAccuracy

Allowances& discounts

Non‐usagebilling

InvoiceManagement

PaymentFollow‐up

DunningManagement

Bad debtManagement

DisputeManagement

ChurnManagement

RefundsManagement

CareCredits

DiscountManagement

AccruedRevenue

RevenueRecognition

CostAllocation

Current scope

Partially covered

Not covered

Des fonctions RAFM peu ou pas couvertes

Définition de la fraude

La fraude coûte en moyenne aux organisations 5% de leurs revenus(selon le 2012 Report to the nations from ACFE) http://www.acfe.com/uploadedFiles/ACFE_Website/Content/rttn/2012‐report‐to‐nations.pdf


« L'action intentionnelle d’un individu, d'un groupe (par exemple, syndicat), ou d’une entreprise (par ex partenaire) afin de recevoir, par la tromperie, des produits, des services et / ou des revenus du prestataire de service cible sans verser la valeur attendue pour ces produits ou services » Source : TM Forum

http://www.acfe.com/uploadedFiles/ACFE_Website/Content/rttn/2012-report-to-nations.pdf

• Augmente les coûts de fonctionnement• Détruit la réputation de la marqueCommercial

• Perturbation du Service• Diminution de la Qualité de ServiceTechnique

• Pertes de Revenu• Environ 5% des revenus sont perdus chaqueannée (AFCE)

• La fraude sur le Roaming est estimée à 24% de la fraude totale (GSM Association)

Financier


Impacts de la fraude

Les communications à ce stade sont focalisées sur les autorités de poursuite judiciaire ainsi qu'avec les forces de l'ordre

Recueillir suffisamment de preuves et d'informations pour arrêter l'activité frauduleuse, obtenir le recouvrement des sommes, et fournir des informations pour exercer les poursuites et la condamnation de l'escroc.

Activités de mise en œuvre de politique anti fraude, de

communiquer afin de réduire l'incidence de la fraude et les inconvénients pour les clients légitimes, et d'allouer les

ressources nécessaires pour lutter efficacement contre la fraude

L'analyse concerne l’identification et la compréhension des pertes qui ont eu lieu en dépit des précédentes étapes: dissuasion, détection, prévention, atténuation

La réduction de la fraude commence dès que la présence ou un soupçon raisonnable d'une activité frauduleuse ont été détectés

• La détection, est caractérisée par des actions et des activités visant à identifier et localiser la fraude avant, pendant et après l'achèvement de l'activité frauduleuse

Déploiement des procédures de protection, des processus, des systèmes et des vérifications, etcqui rendent la fraude plus difficile à commettre, évite la fraude.

La dissuasion est une manière de stopper la fraude avant qu’elle ne survienne


Dissuasion

Prévention

Détection

Réduction

Analyse

Politique

Investigation

Poursuites

Cycle de vie de la gestion de la fraude

Telecom Sector Frauds

Technical Frauds Non Technical Frauds

Internal Frauds

External Frauds


Types de fraude

Types courants de Fraude



Fraude surpaie et

charges

Il s'agit d'une fraude qui attaque le système de paie ou de rémunération d'une entreprise.La fraude inclut des paiements versés à des employés fictifs, la manipulation du système de paiement, des déclarations fausses d’heures supplémentaires ou autres indemnités

Fraude à la souscription

La fraude à la souscription se produit lorsque de fausses informations personnelles sont utilisées pour l’achat d’un service, soit à la première demande, soit lors d’un changement de propriétaire, ou pour la fourniture d'un nouveau service.

Fraude aux services

SRC/RRT= Service

Retention Cost / Revenue Reducing

Transaction

Pour s'assurer que les bons clients continuent à utiliser les services, l'opérateur utilise desprimes incitatives versées aux clients ou aux revendeurs pour encourager la fidélisation. Cesincitations sont normalement appelés coûts de fidélisation des abonnés (SRC) et Réductionssur le Revenu des Transactions (RRT). Comme ces mesures offrent un avantage pour leclient ou le revendeur (exemples: rabais sur frais mensuels, crédits supplémentaires oucashback ou équipement, etc.) ils peuvent aussi être la cible des fraudeurs. SRC / EIR peutégalement être exploité par des employés. Exemple: donner des crédits et autres articles àdes amis ou à la famille, allouer des Equipes d'intervention rapide aux clients en échanged'un paiement ou être corrompu, manipulé ou contraint par des étrangers cherchant àobtenir ces avantages.

Fraude sur les paiements

Il s’agit par exemple de l’usage d’un mécanisme de paiement frauduleux. Ces mécanismes vont de la trésorerie de contrefaçon de cartes de crédit volées, d'abus du système de débit direct. Dans une relation financière C2B les paiements sont le plus susceptibles d'être touchés par la fraude. les Paiements B2B peuvent également être impliqués.

Types courants de fraude (1/6)


Détournementde fonds

Il s’agit du détournement de fonds par un membre du personnel à des fins personnelles. Un exemple de ce type de fraude est la manipulation des fichiers de données. Si un employé change les coordonnées bancaires d'un fournisseur sur le système, il est possible de détourner un paiement destiné à un fournisseur vers le compte personnel de l'employé.

Fraude de roaming

Risque de fraudes en itinérance sur des réseaux étrangers. Il s'agit d'une forme de fraude, car le temps de communication est traité séparément en raison de la plus grande exposition financière résultant du retard de visibilité de l'activité à l'étranger par abonnés itinérants.

Revented’appels

Il s'agit du risque d'appels acheminés de manière à contourner les frais d'interconnexion. Il en résulte un bénéfice pour les revendeurs et une perte pour les opérateurs en frais d'interconnexion. Cette opportunité existe lorsque les tarifs de détail des utilisateurs finaux sont inférieurs aux prix d'interconnexion traditionnelles. Ce risque de fraude peut affecter n'importe quelle ligne de l'entreprise, y compris mobiles, fixes et VoIP.

Fraude en communication

(airtime)

Cette fraude concerne l’identification d’un moyen d’accès aux services d'un opérateur sans avoir à payer pour cet accès et en l’utilisant ensuite pour un usage personnel ou la revente à des tiers. Par exemple, si un fraudeur obtient illégalement l'accès au réseau via un PBX piraté, il peut alors revendre l'accès à des appels à partir de ce PBX à d’autres.


Fraude surappros et

achats

Cette fraude se rapporte au processus d'achat et de comptes fournisseurs impactés.Par exemple, si un employé commandes certains meubles de bureau, mais qu’ au lieu de les utiliser à des fins de travail il les utilise à domicile, ce serait un type de fraude sur achats.


Fraude surstocks et inventaire

Les risques de fraude sur équipements et stocks incluent les risques associés aux pannes dans les équipements, processus de retour, et processus des avoirs, mauvaise gestion des stocks défectueux, erreurs de crédits concessionnaires etc

Abus délibéréd’arbitrage

L'arbitrage est l'exploitation de l'inefficacité des taux de charge ou des règles qui est réalisé d'une manière organisée et systématique par un individu, ou, plus probablement, un groupe organisé de malfaiteurs. Un exemple d'arbitrage serait quand une offre d'appel illimité inclut des plages de numéros partageant les revenus. Un fraudeur peut générer des revenus avec les appels téléphoniques qu'il n'a pas à payer. Il en résulte une perte d'interconnexion .

Fraude sur les commissions vendeur et à l’exportationde terminaux

Une Commission est une rémunération calculée en % du montant de l'activité réalisée par un vendeur ou un autre employé. Une personne ou une entreprise qui est incitée à augmenter les ventes peut être utilisée comme activité frauduleuse pour augmenter leur commission. L'impact potentiel de la fraude sur les commissions de l'entreprise sont :‐ Surestimation de la clientèle, (les clients frauduleux sont inclus dans la base de clientèle)‐ Trop‐perçu de commissions à des tiers, principalement en ce qui concerne la fraude au clic, où les prospects sont récompensés.‐ L'inflation des coûts SAC / SRC, sans accroissement des revenus‐ Comptabilité frauduleuse des paiements de commissions‐ L'exportation des terminaux est reliée à la fraude sur commissions et implique des subventions sur les terminaux ou abus de commissions liées aux terminaux.



CorruptionLa corruption comprend l'acceptation ou de payer des pots de vin, dessous de table et les conflits d'intérêts. Par exemple, si un employé devait payer un organisme de réglementation des télécommunications en vue de s'assurer l'octroi d'une licence de télécommunications, cela constituerait un acte de corruption et serait un exemple de corruption.


VolLe vol d'argent ou de biens dont la société est propriétaire ou responsable par un employé ou toute autre partie à qui l'entreprise a donné l’accès à cet argent ou ces biens.Par exemple, si un employé détourne à son profit des fonds de caisse de trésorerie à laquelle il avait eu accès dans le cadre de ses fonctions, alors ce serait un exemple de vol.

Vente de données

commerciales

C'est le risque lié aux personnes qui ont accès à des informations sensibles (informations commercialement sensibles, données clients, etc.) et vendent frauduleusement ces informations pour un profit personnel.

Usurpation de marque

Il s'agit du risque de fraudeurs qui prétendent représenter l'opérateur avec l'intention de commettre une fraude. Un exemple d'usurpation de marque est le Phishing. Le phishing est une tentative frauduleuse d'acquérir des informations sensibles telles que mots de passe et numéros de carte de crédit en se faisant passer pour une personne de confiance ou d'affaires. En règle générale le phishing utilise l’e‐mail, mais la communication de messages vocaux et instantanés ont également été utilisés. Les attaques de phishing peuvent être faites contre les employés des entreprises, ainsi que contre des particuliers.


Fraude sur la vente en gros

La fraude impliquant l'abus de vente en gros (Wholesale) des services de télécommunications (services d’interconnexion, vente en gros de minutes de communication, trafic inter‐opérateur, transit, transport et roaming).


SIM cloningFraude relative à la création de copies non autorisées (ou «clones») de la carte SIM d'un client GSM. Une fois qu'une telle copie a été faite, la carte peut être utilisée par le fraudeur avec tous les frais encourus appliqués au compte du client qui détient la carte SIM d'origine.

Fraude par logiciels

malveillants

Fraude dans lequel un fraudeur utilise un programme informatique spécialement écrit pour commettre une fraude, en général, ces programmes seront des vers, des virus ou des chevaux de Troie, connus dans l’ensemble comme malware. Par exemple, le fraudeur peut écrire une application pour téléphone mobile qui semble être un jeu mais qui, une fois installée sur le téléphone, peut également perpétrer une fraude, comme de faire un grand nombre d'appels à un numéro PMS (premium rate service) contrôlé par le fraudeur.

SMS spam via usurpation d’identité

Les SMS Spam sont un problème croissant. Le Spam par SMS est frauduleux lorsqu'il est envoyé par un mécanisme. Cela signifie que le fraudeur contourne toutes les charges qu’il aurait normalement dû payer pour créer le spam ou lorsque le fraudeur envoie des SMS de manière à cacher sa propre identité. Les SMS Spam envoyés à l'aide d’un SMSC truqué ou envoyer des numéros courts est un exemple courant de ce type de fraude.


Fraude au “crédit”

Le fraudeur « long firm fraud » commence par beaucoup de petites commandes avec lesgrossistes en les payant sans délai. Après avoir établi un bon historique de crédit et avoirgagné la confiance de leurs fournisseurs, les fraudeurs placent plusieurs commandes plusimportantes avec leurs fournisseurs. Mais une fois qu'ils reçoivent les marchandises, ellesdisparaissent rapidement et ils revendent les marchandises ailleurs


Fraude liée à l’externalisation

de services (outsourcing)

La fraude sur l’outsourcing (Externalisation) est un phénomène relativement nouveau, dû en partie à l'appétit croissant des entreprises à externaliser les fonctions commerciales pour des raisons de coût et d'efficacité. La fraude se produisant chez un partenaire externalisé est généralement commise de la même manière que si le processus était géré en interne, mais les contrôles étant différents. Chez un partenaire externalisé, le volume et l'efficacité des contrôles est susceptible d'être moindre, et l’érosion des effectifs beaucoup plus élevée que dans une entreprise typique de sorte que l'accent devrait être mis sur les clauses de visibilité, de responsabilité et contractuelles. Des exemples typiques de fraude commis par des partenaires externalisés sont le vol de données commerciales et la revente de données confidentielles.

Focus sur la fraude de Roaming



Scénarios de fraude de roaming

• Temps de détection de la fraude plus important car étant commise dans un autre réseau que HPMN

• Temps de réponse également plus élevé, une fois la fraude détectée.

• Les difficultés administratives et techniques pour l'empêcher de continuer sont plus importantes.

• Les difficultés techniques dans la résolution de la fraude sont plus complexes en raison de la diversité des réseaux HPMN et VPMN concernés.

La fraude dans les scénarios de roaming est la vulgarisation des techniques de fraude dans les scénarios classiques. Cependant la fraude de roaming a ses propres caractéristiques qui sont:


Fraude de roaming :challenges

Les processus de protection contre la fraude doivent permettre de réduire le plus possible à la fois la possibilité d'être victime de fraude et l'impact de la fraude si jamais elle a lieu.

Ces processus sont la prévention, la collecte des données, la détection, la Supervision et l'intervention

Prevention

Collecte des données

Detection Supervision Intervention


Processus et outils de protection contre la fraude

Etape Prévention de la fraude

• Activation progressive du roaming pour les clients ou roaming sélectif• Restreindre les appels vers les numéros PRS pour les roamers• Prévention des renvois d'appels internationaux en roaming• Limitation de la durée des appels

Restriction de service pour abonnés itinérants

• Les essais doivent impliquer non seulement la prestation de services mais aussi le traitement des fichiers de facturation, de l'interopérabilité, etc.

• Il est conseillé d'utiliser des équipements de différents fournisseurs

Effectuer des tests

approfondis

• Validation de l'information fournie par les abonnés par certaines bases de données telles que les registres électoraux ou des listes noires de fraude

• Demande de garantie de paiement

Prévention de la fraude à la souscription


•Défini par la GSMA, c’est un suivi des dossiers de facturation VPMN liée aux Raomers• Si un client dépasse un seuil défini, le HPMN est avisé et invité à enquêter• Cette méthode présente deux inconvénients: le temps long jusqu'à 36 heures et l'information limitée sur la fraude

HUR (High Usage Report)

• FRAUD INFORMATION GATHERING SYSTEM•Définie par le 3GPP il est basé sur l'échange de signalisation CAMEL entre opérateurs afin que le VPMN puisse envoyer les CDR se rapportant à un nombre donné d'abonnés

• Inconvénients: les abonnés à surveiller? Les opérateurs ont‐ils déjà CAMEL?

FIGS

• La surveillance de la signalisation fournit l'information qui permet de trouver des modèles de comportement frauduleux. L'information est obtenue à partir de la communication entre le VLR visité et le HLR local

Monitoring Signaling

Connections

•Développé par la GSMA, le but de ce programme est la transmission du CDR à l'HMPN presque en temps réel avec un délai maximum de 4 heuresNRTRDE

• le trafic des flux de données de roaming entre le SGSN visité et le GGSN local• Il est possible pour le HPMN de surveiller ce trafic à l'aide du système appelé RTC (Real Time Charging or Roaming Traffic control for postpaids) situé sur le trajet de données entre le SGSN et GGSN.

Monitoring Data traffic


Etape de collecte des données


Analyse

• L'étape de détection reçoit toutes les données générées par l'étape de collecte et permet de décider si un comportement est anormal ou non

Méthodes

• Les méthodes de détection des fraudes se basent soit sur le profilageutilisateur soit sur des règles.

Etape de détection de la fraude


Analyse absolue• Les systèmes actuels de détection de la fraude tendent à analyser des séquences de tickets de taxation en comparant une fonction des différents champs avec des critères fixes appelés déclencheurs (triggers). Un trigger, s'il est activé, génère un état d'alerte qui, cumulativement, doit mener l'opérateur du réseau à enquêter. Ces systèmes de triggers fixes effectuent une analyse absolue des tickets de taxation et sont efficaces pour détecter les extrêmes d'une activité frauduleuse.

Analyse différentielle• Ici on surveille le comportements lié à la téléphonie mobile en comparant son activité la plus récente avec un historique d’utilisation. Les critères peuvent alors être dérivés pour être utilisés comme triggers qui sont activés lorsque les habitudes d'utilisation du téléphone mobile changent de manière significative sur une courte période de temps; un changement dans le modèle de comportement associé à un téléphone mobile est une caractéristique commune à presque tous les scénarios de fraude.


Approche basée sur le profiling

Dans l'approche fondée sur des règles, on utilise à lafois l’analyse absolue et différentielle par rapport àcertaines règles. Cette approche fonctionne mieuxavec des profils utilisateur contenant des informationsexplicites, auxquelles peuvent se référer les critères dela fraude donnés comme règles. Les profils utilisateursont conservés : numéro de l'appelant (numéro A),numéro de l'abonné appelé (numéro B) et aussi lescellules utilisées pour effectuer / recevoir des appels.Le profil du Numéro‐A représente le comportementdes utilisateurs et sont utiles pour la détection de laplupart des types de fraude, tandis que profil duNuméro‐B pointe vers des destinations « chaudes » etpermet ainsi la détection des fraudes basées sur lerenvoi d'appel. Tous les écarts par rapport aucomportement utilisateur normal résultant desdifférents processus d'analyse sont collectés et leurcombinaison sert à définir des critères d'alarme.


Approche basée sur des règles


• Les cas présumés de fraude dont les données sont notifiées par le système de détection doivent être soigneusement examinés avant de conclure efficacement à une fraude. Cet examen est effectué par le service des fraudes.

• Les principales difficultés soulevées sont celles qui proviennent de la conduite de l'enquête sur la fraude lorsque les notifications se produisent en HNO et en l'absence de plan d'action préparé à l'avance.

Surveillance

• Si, dans la phase de surveillance, la fraude est confirmée, il est nécessaire d'agir et d’annuler l'action frauduleuse.

• Demander au HPMN de suspendre les appels ou les services utilisés

• Eviter que la fraude continue (empêcher la production de sms, mettre à nu les appels sortants et entrants)

• La Communication avec VPMN peut se faire via ImmediateService Termination quand il y a accord CAMEL ou par e‐mail, ou appel téléphonique

Intervention


Etapes de Surveillance et d’intervention

Fraudes Internationales (Interco, Carriers)


•Trombonning est l'acheminement du trafic non autorisé sur des troncs restreints.

• Il est largement utilisé par les transporteurs frauduleux dans l'arbitrage et le détournement de trafic

Définition

•Dans les réseaux d'aujourd'hui, en particulier dans la VoIP, la façon de transférer des données entre deux pairs (peer) peut utiliser de nombreux chemins. Pour faire ce transfert ,le plus court chemin sera utilisé

• En trombonning les serveurs peuvent être configurés pour forcer le RTP à passer par le serveur lui‐même au lieu d’emprunter le plus court chemin entre points finaux.

• Trombonning est juste une autre façon de contourner les voies régulières dans le réseau pour réduire les coûts.

Description


By‐pass tromboning

•Un équipement comportant de nombreuses cartes SIM (pré et post‐paids) utilisé pour générer de nombreux appels simultanés. Ceci est légalement utilisé par les opérateurs pour tester les réseaux, mais peut être utilisé frauduleusement pour dériver des flux entrant (terminaison d’appels).

Définition

•Les opérateurs de SIM Boxes exploitent la différence entre les tarifs de terminaison d’appel et les tarifs les moins chers sur le réseau

•Une SIM Box peut intercepter un appel et établir un nouvel appel on‐net afin d'abaisser le coût de l'appel

• En interceptant et recréant l'appel, la SIM Box transfère l'appel du réseau d'origine vers un numéro mobile des opérateurs nationaux et crée un appel moins cher.

• Il est important que ce transfert n’affecte pas la qualité de l'appel et la qualité de service au niveau mondial.

Description


By‐pass SIM Boxes


• La fraude d'interconnexion implique la manipulation, la falsification ou la suppression d’enregistrements par les opérateurs pour diminuer la somme due par un opérateur à l'autre.

Définition

• La fraude d'interconnexion apparaît sous de nombreuses formes, mais la base de tout, c'est quand une entreprise manipule des données de trafic existant, et les déguise en supprimant des fichiers, les envoyant dans un format correct.

• Cette activité vise à donner une image trompeuse d'un moindre volume de trafic, donc de payer moins cher le partenaire d'interconnexion spécifique.

Description

Fraude d’interconnexion

• Les fraudes de bypass‐pays tiers est la plupart du temps dans la messagerie (SMS, MMS), mais existent aussi dans le trafic vocal, où l'expéditeur des messages usurpe les Ids (location dependentservice) provenant d'un 3ème pays / opérateur.

Définition

• Le By‐pass Pays tiers se produit lorsque le fraudeur change les informations d’origine du trafic pour que ce soit un autre opérateur qui soit facturé pour ce trafic.

• Dans les environnements mobiles SMS / MMS, la première méthode est l’usurpation des Ids Origine des messages.

• Dans les services vocaux mobiles, le fraudeur peut altérer les CDR pour simuler une origine différente.

• Dans le cas où les informations Origine sont masquées, les intermédiaires transportant le trafic peuvent être facturées à tort sans recours envers le transporteur.

Description


Bypass‐ Pays tiers

• Implique l’arrivée d'appels off‐net sur le réseau d'un opérateur, mais en évitant la passerelle internationale pour éviter les frais d'interconnexion internationaux

Définition

• La revente simple internationale (ISR) est aussi une forme de fraude d'interconnexion.

• Une variante de l’ISR est le GSM Bypass, consistant à utiliser une SIM Box pour router des appels off‐net vers un opérateur, en évitant la passerelle GSM et ainsi en évitant les frais d'interconnexion.

Description


Bypass‐ InternationalSimple Resale (IRS)

Bonnes pratiques dans la prévention, la détection et le

contrôle des fraudes


Fraude à la vente et la distribution (1/2)Fraude Description Solution

Usurpation ou

duplication d’identité

Les clients chez certains opérateurs s’abonnent au service par l’intermédiaire d'un détaillant. Bien que les détaillants sont tenus par la loi de vérifier l’identité de l’abonné, le détaillant ou l’abonné est capable d'utiliser le même document à plusieurs reprises, parfois simplement en changeant une partie du nom ou de l'adresse. A chaque acquisition, le détaillant touche une commission importante

Vérifier les connexions multiples et, si on découvre qu’il y a duplication, résilier l'abonnement et supprimer la commission du détaillant. Si un historique ou un motif de fraude est découvert, les détaillants fautifs et les abonnés peuvent être mis sur liste noire. Une autre méthode de prévention consiste à vérifier la réutilisation de l‘IMEI (International Mobile Equipment Identification). Comme la plupart des services sont activés par l'envoi d'un SMS dans le cadre du processus d'activation, le numéro IMEI de l'appareil peut être vérifié.

38

* Ex: Preventel

Emma Galice Productions 21 Clos des Cascades – 93160 Noisy le Grand ‐ +33 6 16 37 09 12

Fraude à la vente et la distribution (2/2)Fraude Description Solution

Fraude à la souscription

Une autre fraude à la souscription se passe quand un agent de vente au détail ou agent de centre d'appel accorde un service à valeur ajoutée (SVA) à un abonné sans méfiance. Par exemple, une sonnerie peut être ajoutée à l'insu du client ou sans son autorisation, résultant en une commission pour l'agent.

Vérifier les Call Data Records (CDR) pour déterminer si une demande de souscription a bien été faite par l'abonné via SMS ou en contactant le centre d'appels. Ce genre de vérifications doit être effectué.

39

* Preventel

Emma Galice Productions 21 Clos des Cascades – 93160 Noisy le Grand ‐ +33 6 16 37 09 12

Fraude sur réseaux et équipements (1/3)Fraude Description Solution

PBX fraud

La fraude sur PBX consiste à utiliser des codes d'accès PBX pour faire des appels vers des destinations internationales. La fraude sur le PBX se produit lorsque des intrus accèdent aux systèmes téléphoniques d’entreprises utilisant un PBX et utilisent illégalement un numéro d'accès pour obtenir la tonalité. Ils font souvent plusieurs appels longue distance à travers ces lignes à des fins peu scrupuleuses, y compris la revente d’appels longue distance pour un profit. Souvent, les fournisseurs de services ne peuvent pas distinguer ces appels de n'importe quel autre appel provenant de cette entreprise.

Vous devez surveiller les appels vers les destinations internationales connues comme frauduleuses (listes noires) qui sont populaires auprès des fraudeurs. Vous devez également surveiller la durée des appels internationaux.



SIM box

Les SIM Boxes et la fraude d'interconnexion sont perpétrées pour éviter les charges d’appel. une SIM box est un dispositif qui dérive un appel voix international sur protocole internet (VoIP) vers une carte SIM de l'opérateur de téléphonie mobile sur l'extrémité de réception de l'appel. En faisant cela, l'appel international apparaît à l'opérateur de terminaison comme un appel domestique au lieu d'un appel international. Ainsi ce fraudeur triche sur les charges de terminaison internationales qui peuvent être importantes. La même technique peut être utilisée pour faire un appel local hors‐réseau apparaissant comme si il était dans le réseau, ce qui entraîne des pertes de revenus importantes car les appels supportent des frais de terminaison.

Vous devriez être à l'affût des abonnés qui ont un très grand nombre d’appels à différents destinataires mais trop peu de stations de base (BTS). Chercher également une série d'appels où l'itinérance est très faible ou inexistante et regarder pour les appels internationaux avec numéros nationaux masqués



SIM card cloning

La fraude par clonage de carte SIM implique le clonage des cartes SIM des abonnés sans méfiance. Par clonage de la carte SIM, les fraudeurs ont libre accès à tous les services payés par les clients légitimes.

Une analyse poussée des détails de l'appel doit être faite en utilisant des techniques d'analyse de données. Par exemple, la vérification des chevauchements d’appels à partir du même numéro d'annuaire est généralement un bon indicateur, une fois qu’on a écarté les conférences téléphoniques.


Fraude sur la facturation (1/3)Fraude Description Solution

conversion interditede prépayéen postpayé

La conversion interdite d’un prépayé en post‐ payé est généralement commise par un employé de l’opérateur de télécommunications qui supprime l'option prépayée dans le Home Location Register(HLR), ce qui entraîne une facturation du postpayé. Mais, comme le souscripteur n'est pas postpayé aucune facture n’est générée.

Surveiller les journaux système dans le HLR pour l'accès non autorisé et les changements. Une demande de service correspondant à la conversion doit être présente. Les vérifications doivent être effectuées très fréquemment pour s'assurer que les processus de configuration HLR ne présentent des faiblesses qui peuvent être exploitées



Suppression du CDR (Call Detail Record)

La fraude sur la suppression des Call Data Records (CDR) de facturation, consiste à supprimer la génération de CDR dans le commutateur réseau. Ceci est généralement effectué par un employé de la compagnie.

Contrôler et surveiller l'accès aux processus de configuration des Commutateurs, interdire les activités non autorisées. L'équipe Revenue Assurance doit vérifier s’il y a une diminution du nombre de CDR générés par le commutateur en se basant sur un historique. Toute baisse significative du taux devrait être examinée.



Configuration facturationprepaid incorrecte

La fraude de Mauvaise configuration de facturation prépayée a lieu lorsqu'un employé change la configuration dans les systèmes de facturation prépayés de l’IN (réseau intelligent).

On utilise généralement un système séparé, appelé médiation, pour prendre les CDR non marqués directement à partir du commutateur de réseau et de les marquer en utilisant la même configuration de facturation. Ces informations doivent ensuite être comparées avec les données fournies par l’IN. Toute différence significative doit être examinée pour fraude. Normalement, cela devrait être fait par l'équipe Revenue Assurance.



Matrice des risques

Matrice des risques par Types de fraude


Impact du risque

Fréquence du risque

ReventeFraude

technique

Wholesale

Equip./stocksPaiements

Corruption

Fraude comptable : informations fausses, évaluation des actifs incorrecte, abus des produits constatés d’avance / coûts, dissimulation de responsabilité / expertise…

Vente frauduleuse

Détournement de fonds

Fraude sur paie

Usurpation de marque

Bourrage de canal Arbitrage

Collusion interne

Fraude /dépenses

Fraude / crédit

Conflit d’intérêtFraude /commissions

Vol

Fraude client

DétournementDe trésorerie

Fraude / obsolescence

Fraude / achatsFraude / SAC‐SRC


Niveaux de maturité

NRTRDE

Near Real Time Roaming Data Exchange


• NRTRDE Near Real Time Roaming Data Exchange

• Grâce à la norme NRTRDE, les opérateurs partagent les données de roaming dans un quasi‐temps réel afin d'éviter la fraude.

• Les CDR de Roaming sont envoyés indépendamment de la procédure TAP (Transfer Account Procedure)

Quand un abonné itinérant crée des événements, des CDR sont générés par le Réseau VPMN. La NRTRDE nécessite que le VPMN recueille les événements de roaming et les livre à la HPMN dans un format normalisédans un temps quasi réel. Le HPMN peut analyser (à sa discrétion) ces CDR de roaming afin de déterminer tout comportement frauduleux. L'analyse peut être effectuée en alimentant un FMS par les CDRs.


Introduction àNRTRDE

(1) Le système de Médiation collecte les cdrs du réseau, identifie les roamers et les transfère à la passerelle NRTRDE pour les livrer au HPMN

(2) Conversion et dispatching

‐ L’Operateur NRTRDE gateway reçoit les fichiers de roamer des autres, et les valide selon les règles du GSMA

‐ La passerelle convertit les fichiers en format local et alimente le FMS ou toute autre application

‐ La passerelle retourne au VPMN les rapports de livraison et d’erreurs

Network

Mediation system

NRTRDE Gateway

FMSOr Other

Other NRTRDE Networks

(1) (1)(1)

(2) (2)


NRTRDE: déploiement par l’opérateur

L’opérateur utilise un opérateur Tiers pour la conversion des données de Roaming et le transfert aux partenaires.

A maximum of two Hubs is allowed


NRTRDE: Fournisseur de 3ème partie

• Core Switching Roamingrecords– MOC (Mobile Originating

Calls)– MTC (Mobile Terminating

Calls)– SMS‐MO (Outgoing SMS)– SMS‐MT (Incoming SMS)

• Other Roaming records– GPRS usage– Charge Amount for a Call

/ Event

• SMS‐MT est une option des fichiers NRTRDE dans le cas où ce n’est pas requis par le HPMN• Les appels partiels, inaboutis, tentatives d’appel, doivent être rapportés avec l’information adéquate

• Les usages GPRS devraient être échangés uniquement si accord explicite entre les partenaires dans un accord bilatéral• Le montant de Charge est optionnel, s’il est inclus ce serait dans le SDR. C’est une option car

• Cela peut impacter le délai max de 4 h pour certains opérateurs• SDR complexifie le processus


NRTRDE: contenu des fichiers

• Le délai entre génération des CDR de roaming par le VPMN et livraison à HPMN ne doit pas dépasser 4 heures.• Si aucun CDR n’est enregistré sur le VPMN pour un partenaire particulier HPMN, alors le VPMN n'est pas tenu d'envoyer un fichier conforme au processus NRTRDE.• Si une petite quantité de CDR est enregistrée sur le VPMN pour un HPMN particulier, alors le VPMN est obligé d'envoyer un fichier dans les 4 heures maximum pour se conformer aux processus NRTRDE.• Si une quantité énorme de CDR est enregistrée sur le VPMN pour un HPMN particulier, alors le VPMN doit envoyer un fichier dans les 4 heures maximum. Dans ce cas les fichiers seront limités et envoyés plus fréquemment.• Selon la fréquence standard Aucune exception n'est faite pour le week‐end, les jours fériés. • La livraison est requise 24/7.


NRTRDE: fréquence de transfert des fichiers

• Le HPMN doit générer un rapport de livraison quotidien NRTRDE incluant tous les fichiers NRTRDE reçus depuis le dernier rapport journalier avec une syntaxe correcte des noms de fichier.

• Si aucun enregistrement n’a été échangé depuis le dernier rapport quotidien NRTRDE, alors le rapport devrait être envoyé avec Zéro enregistrement afin d’indiquer au VPMN qu’aucun enregistrement n’a été reçu.

• Les opérateurs qui échangent des données NRTRDE doivent s’informer chacun 30 jours à l’avance de tous changements tels que :

– Tout ajout ou changement de MCC (Mobile Country Code/MNC (Mobile Network Code) contrôlés par l’opérateur

– Changement planifié de Datacenter ou tout upgrade qui peut impacter le processus NRTRDE


NRTRDE: reporting

• Si le VPMN délivre avec succès toutes les données NRTRDE dans les 4 heures, alors le VPMN n’est pas responsable de toute fraude qui peut apparaitre.

• Si le VPMN délivre avec succès toutes les données NRTRDE mais que le HPMN NRTDE gateway ou le FMS ne peut traiter les données, alors le VPMN n’est pas responsable de toute fraude qui peut apparaitre.

• Si le VPMN ne délivre pas dans les 4 heures les enregistrements associés à la fraude de roaming, alors le VPMN est responsable de toute perte due à la fraude.


NRTRDE: règles de responsabilité

Revenue Assurance


• Chaîne du Revenue management: Les opérations et systèmesconcernés par le processus et la collecte des revenus.

• Revenue Assurance: Le processus qui garantit que la chaîne derevenue management fonctionne comme spécifiée.

• Le Revenue assurance est un processus pour détecter, investiguer,corriger la perte de revenu, pour réduire les risques de perte,minimiser / éviter les coûts.

• Attention accrue sur le RA en raison de– La pression réglementaire de comptabilisation des revenus

– La pression croissante pour dégager plus de profits

– La lutte pour que les systèmes existants de gestion des revenussuivent les technologies (introduction de nouveaux éléments deréseau dans le réseau)

– La complexité des systèmes de revenue management


Introduction

• Exemples de Causes de pertes de revenu


Introduction

• L'insuffisance des capacités de déploiement de sites à des zones à forte contribution, comme le roaming.

• Capture inexacte des données d’usages• Contrôle inadéquat des bases de données de commutation• L'insuffisance des contrôles sur l'approvisionnement• Utilisation frauduleuse de téléphones de test (SIM test)

Réseau

• Configuration inexacte des tables de tarifs.• Les contrôles inadaptés aux modifications apportées au plan de facturation

• La faiblesse des contrôles sur les connexions gratuites• L'insuffisance des contrôles sur la taxation des CDR• La faiblesse des contrôles sur la génération de facture• Les contrôles sur les fichiers clients / soldes• Les appels internationaux longue distance de liste grise.

Facturation


Risques de pertes (1/2)

• Fichiers TAP non récupérés, taxe incorrecte,• Enregistrement incomplet ou doublon, délai de transfert de fichier TAP

• Tests, incompatibilités, processus inefficace, • Incohérence de règles, paiements tardifs, facture incorrecte

Roaming

• Erreurs manuelles dans le traitement des données (ex: « 300 » au lieu de « 3000 »)

•Mouvements de taux de change• Usurpation d’identité ou accès non autorisé• Fraude sur le paiement

Interconnect


Risques de pertes (2/2)

Processus Revenue Assurance


• Identifie les Clients présents dans le CRM et non dans le Billing Postpaid• Identifie les Clients présents dans le Billing Postpaid et absents dans le CRM• Identifie les services du client présents dans le CRM et absents dans le Postpaid Billing

• Identifie les services du client présents dans le Postpaid Billing and non dans le CRM

CRM vsPostpaid Billing

• Identifie les Clients présents dans l’élément de réseau et absents dans le Billing Postpaid

• Identifie les Clients présents dans le Billing Postpaid et absents dans l’élémentde réseau .

• Identifie les services du client présents dans l’élément de réseau et absents dans le Billing Postpaid

• Identifie les services du client présents dans le Postpaid Billing et absents dansl’élément de réseau .

Network Element vsPostpaid Billing

• Identifie les Clients présents dans l’élément de réseau et absents dans le CRM• Identifie les Clients présents dans le CRM et absents dans l’élément de réseau .• Identifie les services du client présents dans l’élément de réseau et absents dans le CRM

• Identifie les services du client présents dans le CRM et absents dans l’élémentde réseau

Network Element vs

CRM64Emma Galice Productions 21 Clos des Cascades – 93160 Noisy le Grand ‐ +33 6 16 37 09 12

Réconciliation des données client

• Control log level and CDR level reconciliation between NE and Mediation

• Control log level and CDR level reconciliation between Mediation and Billing

• Control log level and CDR level reconciliation between Mediation and Interconnect Billing

• Rated CDR level reconciliation between Retail Billing and Interconnect Billing

• xDR level reconciliation between Postpaid Billing and Third Party Content Provider

• Aging of rejected CDRs at Postpaid billing• Aging of rejected CDRs at Mediation• Aging of rejected CDRs at Interconnect Billing

Usage reconciliation


Réconciliation des données d’usage

• Identifie les commandes qui n’ont pas été fournies à cause de problèmes

• Identifie les commandes qui en cours de fourniture

La réalisation en temps voulu des nouvelles commandes

• Identifie les enregistrements de paiement présentsdans le PMS et absents dans le Postpaid Billing System

• Identifie les enregistrements de paiement présentsdans le Postpaid Billing System et absents dans le PMS

• Identifie les enregistrements de paiement ayant des valeurs différentes entre Postpaid Billing System et PMS

PMS (payment Management

System)

vs Billing


Contrôle de la réalisation des commandes et réconciliation des paiements

• Pour identifier les CDRs rejetés à la Mediation, le Postpaid billing et Interconnect billing à cause d’un mauvais format (nouveu champs ajoutédans le format du CDR ) ou situation anormale.

CDRs

Rejetés

• Pour identifier les fichiers de CDR• Envoyés par l’élément de réseau mais absents à la Médiation

• Envoyés par la Médiation mais manquants au Post Paid Billing System

• Envoyés par la Médiation mais manquants à l’Interconnect Billing System

CDRs

Manquants


Contrôle des CDRsrejetés vs manquants

Outils Fraud & Revenue Assurance


• Un système de gestion de la fraude (SGF / FMS) est un

outil capable de charger les données de l'abonné, les

données de paiement, les données d’usage

d'événements réseau et d'autres données, de les tester

contre les scénarios de fraudes connues et de mettre

en évidence la suspicion de fraude.

• Un FMS permet à l'analyste de fraude de « profiler » et

d’effectuer des recherches sur ces données pour

identifier les comportements et souscriptions

potentiellement frauduleux. En règle générale, les

scénarios connus sont entrés avec des règles, et les

alarmes sont transmises à l'analyste fraude aux fins

d'enquête.

• Un FMS est utilisé pour la détection de la fraude

telecom Different Data sources/interfaces per product


Systèmes de Management de la Fraude (FMS)Architecture fonctionnelle


Ex: ROC de SUBEX


Ex: RAID de WeDo


Ex: IRIS de cVidya

• Fraud Management systems (FMS)

• Sondes

• Test Call Generators

• Parallel Rating Engines

• Business Intelligence Systems

• Revenue Assurance Systems

Ci‐dessous les outils majeurs utilisés pour assister les activités de Revenue Assurance


Outils

Merci


Jean‐Marie Gandois+33 (0) 6 16 37 09 12

Jean‐[email protected]