Kerberos: A real-time fraud detection system for IMS-enabled VoIP networks

In this paper we present the design, implementation and experimental evaluation of Kerberos, an architecture for the detection of frauds in current generation Voice over IP (VoIP) networks. Kerberos is fed by an On-line Charging System (OCS) generating events associated with the setup, evolution and tear-down of end-user calls in a VoIP network compliant with the IP Multimedia Subsystem (IMS) specification. Such events are properly correlated in order to identify, in real-time, patterns associated with a fraudulent utilization of the Operator's resources. The detection phase can in turn trigger the subsequent remediation actions. Communication between the OCS and Kerberos is based on an asynchronous paradigm, whereas event correlation and analysis are effectively realized through a Complex Event Processing approach. The paper will shed light on both the design and the implementation of the system, whose performance is then evaluated by relying on a real-world dataset of Call Detail Record (CDR) events provided by Tiscali, a well known Italian Operator

The moderating effect of capability fraud element on fraud prevention in the Domicile/Local Saudi Arabian retail banking sector

The rapid increase in fraud nowadays has affected the economies of both developed and developing countries. Fraud has led to big losses, thus affecting many banks in the world including those in Saudi Arabia. Hence, this study investigates the moderating effect of capability fraud element on fraud prevention and industry factors in the Saudi Arabian banking sector. The framework of this study was developed from Fraud Diamond Theory and the knowledge management model. In this study, customers knowledge, internal control, insider involvement, information sharing, legal and regulation (independent variable) with the capability element of fraud are the factors used to explain or that affect the prevention of fraud. Proportional sampling technique was used to select the respondents for the study and questionnaires were distributed to the bank employees of 12 Saudi banks, resulting in 328 completed questionnaires, making up 77.3% response rate. Meanwhile, hypotheses tests were done by PLE-SEM 3.2.7 version. The result have confirms a significant positive relationship between fraud prevention and customers’ knowledge, information sharing, insider’s involvement, internal control, and legal & regulation. However, customer knowledge, information sharing, and insider’s involvement have no significant relationship to strengthen capability element of fraud as moderator to fraud prevention. The findings also confirm that capability element of fraud plays a significant role in moderating the relationship between the two factors namely, internal control, and legal & regulation and fraud prevention, while other variables were found to be insignificant to explain fraud prevention. Besides, there is important insights to managers, CEOs, policy makers, banking regulatory authorities, financial institutions, and researchers to consider the use of fraud prevention in improving the banking sector in Saudi Arabia

Detection and analysis of misuse in SIP-based networks

Die Sprachkommunikation über „Voice over IP“-Netzwerke, basierend auf dem Session Initiation Protokoll (SIP), verbreitet sich auf Grund von Funktionalitäts- und Kostenvorteilen zunehmend und wird die klassischen Telefonnetze in den nächsten Jahren vollständig ablösen. Zusätzlich zu den Netzen der Telefonanbieter wird die Sprachkommunikation über das SIP-Protokoll auch im Unternehmens- und Privatanwenderumfeld unverzichtbar. So bietet VoIP die Möglichkeit, sich unabhängig von dem aktuellen Aufenthaltsort über das Internet bei dem jeweiligen Heimatnetzbetreiber oder der eigenen Firma anzumelden und über das dortige Nutzerkonto Gespräche zu führen. Da die Telefonie somit von einer geschlossenen und vergleichsweise sicheren Plattform auf eine viel offenere Plattform in das Internet migriert wird, ergeben sich neue Risiken und Missbrauchsmöglichkeiten im Bereich der Telefonie. In dieser Dissertation werden Angriffe untersucht, die mit der Einführung von SIP-basierten Sprachdiensten im Internet entstehen und nicht aus Bedrohungen der Netzwerkschicht oder aus rechtlichen Vertragsbestimmungen resultieren. Das Ziel dieser Angriffe ist das Erlangen eines finanziellen Vorteils, indem ein Angreifer kompromittierte Zugänge für Auslandstelefonate oder für Anrufe zu Premiumnummern auf Kosten der Anschlussinhaber nutzt („Toll Fraud“). Für die Realisierung der Bedrohungsanalyse und der Angriffserkennung wurden Konzepte, ein Versuchsnetzwerk sowie die notwendigen Softwarekomponenten ergebnisorientiert entwickelt. Im Vergleich zu anderen Forschungsarbeiten wurden Untersuchungen mit Ködersystemen (Honeypots) weiterentwickelt und es wurde ein System für eine verteilte, automatische Angriffserkennung entwickelt. Dafür wurden SIP-Verkehrsdaten über einen Zeitraum von sechs Jahren in zwei Class-C-Netzwerken aufgezeichnet und mit einem neuen Analyseansatz unabhängig von einzelnen SIP-Nachrichten automatisch ausgewertet. Die Ergebnisse des Feldversuches in dieser Dissertation zeigen, dass die Bedrohungen für die SIP-Infrastruktur ansteigen und dass bereits eine Weiterentwicklung und Optimierung der Angriffswerkzeuge nachzuweisen ist. Die zunehmende Anzahl der Toll Fraud-Versuche mit internationalen Anrufzielen (und auch zu Premium-Rufnummern) verdeutlicht, dass bei einem unzureichenden Schutz der SIP-Server für die Nutzer und Betreiber sehr schnell ein erheblicher finanzieller Schaden entstehen kann. Es ist daher unerlässlich, die vorgeschalteten, systematischen Angriffsstufen frühzeitig zu erkennen und Abwehrkomponenten zu benachrichtigen. Für die automatisierte, verteilte Angriffserkennung in Echtzeit und für die Maximierung des Beobachtungsgebietes wurde für diese Dissertation das „Security Sensor System“ entwickelt. Mit Hilfe von leichtgewichtigen Sensoren wurde eine weltweite signaturbasierte Angriffserkennung realisiert. Zusätzlich zu der standortbezogenen Angriffserkennung werden Angriffe durch einen zentralen Dienst korreliert. Dadurch können Angreifer netzwerkübergreifend bzw. länderübergreifend identifiziert und somit Gegenwehrkomponenten in Echtzeit benachrichtigt werden. Der Vergleich der verschiedenen Messstellen im Internet belegt, dass die analysierten Angriffsmuster nicht nur im Netzwerk der Universität Duisburg-Essen, sondern zeitlich zusammenhängend auch an anderen Standorten auftreten. Dadurch wird deutlich, dass die ermittelten Ergebnisse auch für andere Netzwerke gültig sind und dass die Toll Fraud-Problematik bereits für alle Betreiber von SIP-Servern relevant ist.Voice over IP networks based on the Session Initiation Protocol (SIP) are becoming more and more widespread in the Internet due to functionality and cost advantages and will soon replace the classic telephony networks. Therefore, support of open SIP-based interfaces is an increasingly important requirement for IP-based Public Branch eXchanges (PBXs) and provider systems. The VoIP service allows using the personal or company VoIP account from any location worldwide. The migration of the telephony service from a closed and comparatively secure environment to a network with open interfaces creates security issues and opens up new opportunities for misuse and fraud. In this thesis, attacks are analyzed which result from introducing SIP-based voice services and do not belong to the area of contract regulations or attacks on the network layer. The attacker’s goal is to gain immediate financial benefit by making toll calls (international, cellular, premium services) via cracked third party accounts (“Toll Fraud”). To realize the threat analysis and the attack detection concepts, a SIP-based testbed and required software components were developed. In comparison to the related work, analyses with Honeypots were enhanced and a mechanism for automatic, distributed attack detection was realized. Therefore, for gathering the required data, a Honeynet with two class-C networks captured the SIP traffic for a period of six years. The automatic analysis is based on attacks and operates independently of single SIP messages. The field test results of this thesis demonstrate that SIP-based threats increase over time and attack tools are optimized and enhanced. The increasing number of Toll Fraud attempts to international or premium numbers reveals that Toll Fraud attacks can cause the account owner substantial financial damage in a very short amount of time if there is insufficient attack detection and mitigation. Hence, it is necessary to implement an attack detection which is able to identify the different attack stages and sends a notification to mitigation components before a Toll Fraud call is established. In this thesis, the Security Sensor System was developed to maximize the monitoring scope and to realize the distributed, automatic attack detection in real-time. The light-weight sensor component provides worldwide signature-based attack detection. Additional to the location-based attack detection, all attack notifications are sent to a central service which correlates the incoming alarm messages and provides a comprehensive attacker identification to inform mitigation components in real-time. The comparison of different sensor nodes in the Internet shows that the analyzed attack patterns do not only occur in the University testbed, but also temporally coherent in other networks. Thus, the results are valid for different network environments and it is crucial to know that Toll Fraud attacks are already performed in reality

A comprehensive framework for detecting and preventing VoIP fraud and misuse

The SUNSHINE framework presented in this paper aims at detecting and preventing VoIP fraud and misuse. The SUNSHINE architecture is modular, and considers both prevention and detection at the network as well as the application level. SUNSHINE offers a combination of firewalling and intrusion detection, a distributed sensing system, a CDR analysis based on statistical analysis and artificial intelligence, a component for correlating and aggregating alarms, and a DNS-based real-time blacklist for VoIP. The SUNSHINE framework has been implemented based on components contributed by the project partners and first insights from initial deployment are already available