home *** CD-ROM | disk | FTP | other *** search
/ Telecom / 1996-04-telecom-walnutcreek.iso / security-fraud / politics.of.cell.fraud < prev    next >
Internet Message Format  |  1995-05-22  |  17KB
  1. From: jsm@mvulo.att.com
  2. Date: 15 Feb 95 00:06:00 -0500
  3. Subject: Re: Cellular Fraud: How Much of it is Real Money?
  4. Organization: AT&T
  5.  
  6.  
  7. Pat:
  8.  
  9. My $.02 worth in three parts, carrier perception now, what is wrong
  10. with that perception IMHO, and potential ramifications for future
  11. wireless offerings (purely prognostication on my part).  This is
  12. merely intended to share my experiences in a related subject.  I hope
  13. no one takes offense at anything I've said.  No finger pointing
  14. intended, only opinions based upon customer feedback.
  15.  
  16. Addressing fraud is an amazingly complex issue that requires numerous
  17. companies to work together jointly when in fact they are competing
  18. against one another in the very same businesses and constantly seeking
  19. leverage against one another.  It is a credit to the standards bodies
  20. that standards addressing these issues have been agreed upon by such
  21. diverse companies.  Implementing same, is another story.  No one
  22. company can implement the existing fraud and security standards alone.
  23. At that point, the only option is proprietary, which is what is being
  24. done now.  All in all, it was a thoroughly frustrating two years in an
  25. unbelievably dynamic environment, and by far the most enjoyable job I
  26. have held with my company.
  27.  
  28. BACKGROUND:
  29.  
  30. I spent the better part of the past two years traveling to various
  31. cellular providers to attempt to get them to distribute our cellular
  32. privacy/security products.  I had the unique opportunity to meet with
  33. carriers and their customers.  Although you may wonder what this has
  34. to do with fraud, there are in fact many similarities between the two.
  35.  
  36. For instance, addressing both requires something on both the subscriber 
  37. and switch ends, whether it be a user pressing a PIN sequence and the
  38. switch understanding the sequence or a phone with privacy/encryption
  39. built in and complementary adjunct at the switch or on a desk. Additionally, 
  40. one could argue that what C1 did in NYC just pushes the fraud out a
  41. level to the user (i.e. the calling card number you just gave the
  42. operator is now being used to someone elses benefit at your expense)
  43. which then enters the realm of privacy.  There was and is an interested 
  44. user base but the carriers are not interested.  Why? (NOTE - that
  45. these are not my opinions but those expressed to me by carrier
  46. personnel from engineering, marketing, product management, sales,etc.
  47. from regional VPs to engineers and sales execs):
  48.  
  49. THE CURRENT VISION:
  50.  
  51. 1) Cellular is still profitable despite fraud/security implications.
  52. Carriers sign up record numbers of users each year.  If you were reporting 
  53. positive financials up your management line, would you change and open
  54. up a potentially huge can of worms that could undermine your financials 
  55. given enough press?  There is little financial incentive to do anything 
  56. about fraud if the bottom line looks good already.
  57.  
  58. 2)  Digital will take over and have fraud protection (and higher security) 
  59. built in.  Within two years, analog will no longer be an issue and security 
  60. and fraud problems will disappear.
  61.  
  62. 3) I know some of my customers need it but I have to make a business case and 
  63. I don't think enough people care.
  64.  
  65. 4)  Our sales forces only know how to sell phones.  They have lost the ability
  66. to sell services.
  67.  
  68. 5)  We can't admit to our customers that our services are insecure!
  69.  
  70. 6)  Costs too much money -- the user will never pay for it.
  71.  
  72. 7)  If it were in a Motorola flip phone, we'd buy it in a minute. 
  73.  
  74. 8)  Most importantly, customers (including myself) continue to pay their 
  75. monthly cellular bills, which cover the operating expenses for the carrier 
  76. (including losses from fraud) and provide a tidy profit as well.
  77.  
  78. WHAT'S WRONG WITH THIS VISION:
  79.  
  80. 1) Analog subscriber growth continues at a record pace.  What is not
  81. taking off is airtime for potential high usage business users.  So,
  82. carriers are now looking for new services to offer (voice messaging,
  83. data, etc.) to attract same.  None of these services (or for that
  84. matter the basic cellular service) offer enhanced security (that meet
  85. the standards of many corporate security instructions) or built in
  86. fraud protection that is an inherent part of the switch and phone and
  87. yes for many reasons, digital is just as insecure as analog (we can
  88. debate this in another forum if you like).  
  89.  
  90. I read a recent report (WSJ I think) that fraud in the NYC area cost
  91. the local carriers $60M alone last year.  But if I had to guess, I'll
  92. venture that the financial picture for the NYC carriers show positive
  93. Economic Value Added as the numbers get passed up the corporate
  94. financial hierarchy.  Fundamentally, I believe there are two reasons
  95. why business customers limit air time -- cost and security.  Cost could
  96. be driven down if fraud could be controlled.  Security could increase
  97. call-minutes (and therefore carrier revenue), and like fraud an
  98. optimal solution involves both your subscriber piece and the switch.
  99. There are implications here for PCS (see prognostications below).  
  100. I have heard many stories how employees have been given cellular
  101. phones as perks and been told not to use them for business.  
  102.  
  103. 2) Two years ago, digital was going to replace analog by 1998.  Thanks
  104. to multiple digital standards, analog now has a rosy future.  In a
  105. recent quote in Mobile Phone News 12/12/94, Motorola says "Digital
  106. accounts for less than 5% of cellular growth in the U.S. As of
  107. October 1, there were 21.5 million analog users in the country,
  108. compared with 250,000 subscribers using TDMA..."  I have been told by
  109. Motorola, Nokia and NEC personnel that the bread and butter for the
  110. subscriber equipment portion of their business will continue to be
  111. analog for the forseeable future.  Actually, I would think that the
  112. thought of replacing 21.5 million analog phones would be an incentive
  113. for manufacturers to use any excuse to create a new analog version of
  114. existing phones with fraud and security built in.  
  115.  
  116. As an aside, when the Bar Associations in NY, MA, NH and other states
  117. rule it is unethical for an attorney to discuss client matters over a
  118. cellular phone, they are not differentiating between analog and
  119. digital.  From this I could draw one of two conclusions; either the
  120. carriers have done a poor job of positioning the advantages of digital
  121. to the user or maybe there are none. Anyone offering odds that CDMA
  122. (with whatever security/fraud standards are decided upon) will be
  123. rolled out in a diluted version first sans some portion of those
  124. standards?  
  125.  
  126. 3) Financial responsibility is extremely fragmented in cellular.  A
  127. good general rule is any addition to the MTSO needs to be cost
  128. justified for that MTSO.  This affects fraud/security in two ways.
  129. First, it dilutes the business case by forcing the regional managers
  130. to look at each expense (not unreasonable).  The net result is that
  131. corporate tends not to look at the problem as something it needs to be
  132. involved in because it is regional in nature.  McCaw San Francisco
  133. certainly has more fraud potential compared to McCaw Oklahoma, so let
  134. San Fran fix their problem.  
  135.  
  136. Second, it removes the corporate clout required to implement a
  137. solution within subscriber equipment.  Since corporate usually
  138. negotiates subscriber equipment purchases, regional managers have zero
  139. chance of independently approaching a major manufacturer such as
  140. Motorola, Nokia, etc.  If they are allowed such independence, their
  141. numbers and therefore bargaining power are still reduced.  
  142.  
  143. 4) Just an excuse for asking your sales people to sell high priced
  144. basic service and higher priced enhanced services to a varied customer
  145. base.  If my salary depended upon attaining a sales quota, you know
  146. I'd be concentrating on selling basic service and a Motorola phone to
  147. the "average" customer.  It's the easiest sell.  
  148.  
  149. 5) I would assert that the press is doing an adequate job of this on
  150. the house.  Also, isn't C1-DC's denial of roaming in NYC a tacit
  151. admission that they have no control over the fraud problem in NYC?
  152. Ditto for the Nynex, Bell Atlantic, C1-NY PIN deal.  And you know your
  153. in trouble when publications such as {Woman's Day} (7/20/93) say things
  154. like "So, if you'd rather keep your personal conversations private,
  155. make and take them on an old-fashioned, wired telephone".  Still,
  156. fraud and security are an extremely tough sell.  There are Fortune 100
  157. companies whose security departments routinely monitor executives
  158. cellular calls and provide them with transcripts.  I have given
  159. equipment to CEO's of some of these companies, only to have it
  160. politely returned with a note indicating that they didn't see the
  161. need.  Very likely, these same executives have appeared before
  162. Congress in the last couple of years to complain about their losses
  163. from foreign intercepts by the French, et. al. and they probably
  164. haven't addressed that problem yet either.  Losses due to
  165. communications fraud and lack of security are too intangible to
  166. measure by the average user that has to date been left in peace (or at
  167. least is unaware of events to the contrary), let alone the carriers
  168. (the press seems to be doing OK with this though).  
  169.  
  170. Now if your carrier sent you a letter saying that effective immediately 
  171. they were doubling your monthly rate and call charges to cover losses
  172. from fraud or told you that you would have to exchange your existing
  173. phone at your cost, would that get your attention?  Not to worry, they
  174. wouldn't risk losing the profitable business that they have by being
  175. so rash.  
  176.  
  177. 6) Maybe true.  Its amazing the excuses that people give for not
  178. buying products to protect them against fraud or intercept.  It's too
  179. big, heavy, costly, don't like the voice quality, wanted blue instead
  180. of black, doesn't say Motorola on it, and on and on.  However, the
  181. biggest excuse is that human beings tend not to take responsibility
  182. for the problems that occur, especially when their insurance does not
  183. cover the loss.  When a user is "hit" (and they often don't know that
  184. they have been), they believe it is the responsibility of the "telephone 
  185. company" to protect them or cover their losses (Ma still lives on in
  186. spirit).  You need only look at the reaction to PBX fraud as evidence.
  187. To their everlasting credit (and the good of their financial picture)
  188. telcos/carriers are perpetuating this "feel good" spirit by continuing
  189. to cover the losses.  The extra price of security and fraud control
  190. equipment is tangible, one can look at a purchase order and see the
  191. difference.  The losses due to fraud or lack of security can disappear
  192. at many finance levels with creative accounting.  
  193.  
  194. If users were truly concerned, then there would be many more than
  195. 250,000 TDMA subscribers now.  For all its shortcomings, TDMA does
  196. have better authentication, although initially this may not have been
  197. the case.  By the way, this is only a guess but I'd bet that the PIN
  198. arrangement is required for both dual mode and analog phones.  Can
  199. anyone confirm this?  
  200.  
  201. 7) It is very difficult if not impossible to get major phone manufacturers 
  202. to make changes to cookie cutter subscriber equipment to add anti-fraud or 
  203. enhanced security, even if it adheres to TIA standards.  These pieces
  204. are produced in lots of hundreds of thousands at a clip.  Carriers
  205. have painted themselves into a corner on subscriber equipment -- they
  206. have given it away at a loss for so long to get customers to sign up
  207. that customers have grown used to getting the equipment for free or
  208. minimal cost.  Carriers are loathe to change this successful equation.
  209. My Motorla digital flip user guide clearly stated that enhanced
  210. privacy was only available for digital calls.  Typical of the industry
  211. last year was the decision to move forward with digital and refrain
  212. from adding features such as enhanced privacy or authentication to the
  213. soon to be replaced analog system.  I never did find an area where the
  214. switch supported the enhanced privacy feature that the phone had.
  215. Maybe the industry has changed its mind by now.  But that still leaves
  216. a minimum of 21.5 million pieces of analog subscriber equipment that
  217. do not support any potential improvements to the switch, and those
  218. numbers increase by thousands every day.  Sounds a bit overwhelming to
  219. me, but I am still of the opinion (eternal optimist that I am) that it
  220. could be done by any of the carriers if managed properly.  
  221.  
  222. 8) Well, I guess that says it all.  I still pay my monthly bill but I
  223. don't turn the phone on much any more.  I used to be able to take care
  224. of business while driving between Phoenix and Tucson.  It made me much
  225. more efficient.  My cellular bills used to range between $300 and $600
  226. a month (and I didn't violate Corporate Security Instructions because
  227. I had an attached encryption device that I used faithfully).  Then I
  228. made that one clear phone call (sheer convenience) to make my travel
  229. arrangements to show my equipment to BellSouth in Atlanta.  Amazing
  230. how on a direct flight from MHT to ATL my luggage was broken open and
  231. five cellular phones, a scanner, and an ESN reader were left untouched,
  232. only the encryption/privacy equipment was destroyed.  
  233.  
  234. Since I changed jobs and gave my encryption devices back, I no longer
  235. travel and have a need to stay in touch and be more efficient in my
  236. new job (at least my new management probably isn't interested in
  237. paying that much for more efficiency). Now I try not to turn the phone
  238. on near Boston to let the ESN readers and scanners pick up someone
  239. else.  I don't even like to call home and find out my kids are home
  240. alone much less let the world know it.  I use the phone for directory
  241. assistance and calling stores.  Makes me a much more efficient
  242. shopper. Still its hard to pass up a $.10 pay phone (still have it
  243. here in NH) for three minutes knowing it will cost me $1.50 on the
  244. cellular.  Come to think of it, why do I need cellular service?  It's
  245. not as useful as it used to be.
  246.  
  247. PROGNOSTICATIONS (my favorite):
  248.  
  249. 1) Carriers need to get analog right.  If you attend a regional C1
  250. wireless expo, you will hear that PCS is already here today, and the
  251. speaker will hold up a dual-mode phone and describe all of the nice
  252. services available, meant to make your deskphone expendable.  In
  253. reality, that analogy is based upon the ubiquity of analog service.
  254. The concept of communications any time, anywhere is only available now
  255. because of analog infrastructure.  To date, carriers have shown no
  256. propensity to strengthen the notion that the wireless "deskphone" as
  257. it exists today is as secure and fraud resistant as the wired one
  258. (which is already on my desk and costs a lot less to operate).  They
  259. have already entrenched in customers minds the standards for PCS;
  260. expect more of the same.  They have made PCS sales much more difficult.  
  261. PCS sales people will have to overcome the weaknesses of analog, something 
  262. digital has not been able to do to date.
  263.  
  264. 2) Note several disturbing trends in the carrier responses to fraud.
  265. First, every carrier that attempts to deal with fraud is implementing
  266. its preferred method and they are dissimilar.  I have to wonder if the
  267. Nynex and C1-NY PIN strategies are compatible.
  268.  
  269. Second, anti-fraud efforts are concentrating on local territories.
  270. Your Nynex PIN is probably worthless on the West Coast where you
  271. probably stand at least an equal chance of being cloned.  
  272.  
  273. Third, all the "fixes" are user impacting and represent a step
  274. backward from direct dial capabilities.  In an age where cell phones
  275. are now being sold with dial tone (ostensibly to get users to
  276. transition more easily from the deskset), we are now faced with the
  277. probability that we either have to enter a PIN or talk to an operator
  278. (none of which I have to do from my deskset).  These are interim steps
  279. for an analog system that will continue to be much more than an
  280. interim system.  This interim analog system is the test market for
  281. enhanced PCS services and the response will not be "knock the door
  282. down, let me get this thing" if the price of these services are lack
  283. of security and increased exposure to fraud.  There is at least one
  284. district director whose carrier employer is committed to enhanced
  285. services that recognizes the risk he takes every time he powers his
  286. current generation PCS vehicle (aka cellular phone) up, places or
  287. receives a call.  
  288.  
  289. 3) The entire concept of the Wireless PBX is doomed unless security
  290. and fraud are addressed and solved both in the Campus environment and
  291. with the particpating carrier.  Too many corporate security instructions 
  292. exist which preclude discussion of proprietary business over cellular 
  293. phones.  Keep in mind also that with the winding down of the cold war,
  294. many ex-government security folks are now being hired by major corporations
  295. to address the security weaknesses of these companies, and they do
  296. know the score.
  297.  
  298.  
  299. John S. Maddaus    jmaddaus@attmail.com
  300.  
  301.  
  302. [TELECOM Digest Editor's Note: Thank you very much for such an interesting
  303. inside view on the cellular fraud problem. Your article was one of the
  304. best on the topic I've printed since this thread began.   PAT]
  305.