home *** CD-ROM | disk | FTP | other *** search
/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / PHREAK / MISP55.TXT < prev    next >
Text File  |  1994-07-17  |  8KB  |  251 lines

  1.      
  2.  
  3. $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
  4. $                                     $
  5. $  ---------------------------------  $
  6. $  !   investigative procedures.   !  $
  7. $  !--------------------------------  $
  8. $                                     $
  9. $                of                   $
  10. $                                     $
  11. $  ---------------------------------  $
  12. $  ! electronic toll fraud devices !  $
  13. $  ---------------------------------  $
  14. $                                     $
  15. $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
  16.  
  17.  
  18. **investigative procedures**
  19. --------------- -----------
  20.  
  21.  
  22. this section reviews the investiga tive
  23. procedures used by the security 
  24. department of ma bell.
  25.  
  26. most of the discussion will concern
  27. blue box investigations because of the
  28. frequency of the blue box cases
  29. referred to law enforcement officials
  30. for prosecution.
  31.  
  32. the security department may initially
  33. discover evidence of etf activity. This
  34. may result from an analysis of calling
  35. patterns to particular numbers. Such
  36. analyses may reveal abnormal calling
  37. patterns which possibly are the result
  38. of etf activity
  39. . Moreover, cases of suspected etf are 
  40. referred to the security department 
  41. from the various operating departments 
  42. of bell, from other telephone companies
  43. , or from law enforcement officials. In
  44. some instances, detection and indenti-
  45. fication of a calling station origin-
  46. ating suspected blue box tones can be 
  47. provided by use of a special non-
  48. monitoring test equipment.
  49.  
  50. if initial indications are that there
  51. is a substantial possibility that a
  52. blue box is being used on a partic-
  53. ular line, the security department 
  54. determines certain information about 
  55. the line. The name of the subscriber to
  56. that line is identified, and an 
  57. inventory is made of the line and 
  58. station equipment being provided to 
  59. him. A discreet background investi-
  60. gation (record) is conducted to 
  61. establish the subscriber's identity. 
  62. after this preliminary data is gathered
  63. , etf detection units are installed on
  64. the suspected line to establish 
  65. "probable cause" for further investi-
  66. gation. If the "probable cause" 
  67. equipment indicates repeated etf 
  68. activity on the line, other equipment 
  69. is then installed to document such 
  70. activity.
  71.  
  72. the "probable cause" equipment 
  73. ascertains the presence of multi-
  74. frequency tones on the subscribers end 
  75. of the line which would not be present 
  76. in normal usage. The "probable cause" 
  77. device now being used by some bell 
  78. central offices register each and every
  79. application of 2600hz tones in 
  80. single-frequency (sf) signalling and/
  81. or 2600hz tone followed by kp tones 
  82. used in multi-frequency (mf) signalling
  83. . As previously stated, such tones 
  84. should not normally be present on the 
  85. line.
  86.  
  87. if "probable cause" is established, 
  88. other detection, indentification and 
  89. documentation equipment is installed. 
  90. the primary equipment now being used is
  91. the dialed number recorder (dnr), 
  92. coupled with an auxillary tape 
  93. recorder. The dnr is activated when the
  94. suspect subscriber's phone goes 
  95. "off-hook" andb prints on paper tape 
  96. the following information concerning 
  97. the call: the date and time of the call
  98. and the digits dialed over the suspects
  99. line. Moreover, the dnr records on the 
  100. paper tape an indicator of the presence
  101. of 2600hz tones on the line and the 
  102. presence of multi-frequency signalling 
  103. tones on the subscriber's line. The 
  104. auxiliary tape recorder is activated
  105. *only* after the presence of 2600hz 
  106. tone on the line is detected by the dnr
  107. (indicating the use of a blue box)
  108. . Once the tape recorder is activated, 
  109. it records the tones being emitted by 
  110. the blue box, other signalling tones, 
  111. and the ringing cycle on the called end
  112. . It also records a minimum amount of 
  113. ensuing conversation for the purpose of
  114. (1) establishing that the fraudulent 
  115. call was consummated
  116. (2) establishing the identity of the 
  117. fraudulent caller. The timing duration 
  118. of the tape recorder is pre-set. A time
  119. of one-minute (including pulsing, 
  120. ringing and conversation) is the stand 
  121. ard setting; however, if the blue box 
  122. user is suspected of making overseas 
  123. calls, the timing may be set for 2 
  124. minutes because of the greater time 
  125. required by the blue box user to 
  126. complete the call. Upon termination of 
  127. the call, the dnr automatically prints 
  128. the time of termination and the date. 
  129. it should be pointed out that the 
  130. presence of 2600hz tones *plus* multi-
  131. frequncy signalling tones on a 
  132. subscriber's line positively estab-
  133. lishes that a blue box is being used to
  134. place a fraudulent call because such 
  135. tones are not normally originated from 
  136. a subscribers line.
  137.  
  138. once the raw data described above is 
  139. gathered, the security department 
  140. collects and formulates the data into 
  141. legally admissable evidence of criminal
  142. activity. Such evidence will establish:
  143. (1) that a fraudulent call was placed
  144. by means of an etf device,
  145. (2) that conversation ensued,
  146. (3) that the fraudulent call was placed
  147. by an identified individual, and(4)
  148. that such call was not billed to the
  149. subscriber number from which the blue
  150. box call originated. The evidence which
  151. is then available consists of documents
  152. and also of expert witness testimony by
  153. telephone company personnel concerning
  154. the contents of those documents, the
  155. oper-
  156. ation of the blue box, and the oper-
  157. ation of the detection equipment. 
  158. (note- similar techniques are used in
  159. the investigation of other forms of 
  160. etf.)
  161.  
  162. -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
  163.  
  164. presentation of evidence to prosecutors
  165. ------------ -- -------- -- -----------
  166.  
  167.  
  168. the evidence accumulated by the 
  169. security department is carefully review
  170. ed by the legal department for the 
  171. purpose of determining whether suff-
  172. icient evidence exists to warrent the 
  173. presentation of the evidence to law 
  174. enforcement officials. If the evidence 
  175. does warrent such action, it is pres-
  176. ented under appropriate circumstances 
  177. to the proper law enforcement officials
  178. . In all cases where prosecution is 
  179. recommended, a professionally invest-
  180. igated and documented summary of the 
  181. case will be preparted and presented by
  182. the security department to the 
  183. prosecutor's office. Each case 
  184. recommended for prosecution will be 
  185. prepared as completely as possible, 
  186. usually necessitating little or no 
  187. pre-trial investigation for the 
  188. prosecutor. The summary of the case 
  189. will include the following:
  190.  
  191. (a) a background of the case with 
  192. details of the defendant's activities 
  193. and a summary of all pertinent invest-
  194. igative steps and interviews conducted 
  195. in the course of the investigation.
  196. (b) identification of witnesses.
  197.  
  198.  
  199. (c) synopsis of pertinent points to
  200. which each witness can testify.
  201. (d) description of all documents and
  202. items of evidence and the suggest-
  203. ed order of proof showing the chron-
  204. ology of events. The physical evidence 
  205. presented will normally consist of one 
  206. or more of the following: magnetic 
  207. tapes from the auxilairy tape recorder,
  208. paper tapes from the dnr, worksheets 
  209. and notes prepared in connection with 
  210. the analysis of each fraudulent call, 
  211. the suspect's toll billing records 
  212. covering the period during which the 
  213. fraudulent activity occured, computer 
  214. printouts which established probably 
  215. cause or a statement of the source of 
  216. the "probable cause", and the tele-
  217. phone company records of equipment 
  218. being provided to the suspect.
  219.  
  220. (e) upon request, the law applicable to
  221. the case.
  222.  
  223.  
  224. other pertinent company records will be
  225. furnished under subpoena or demand of
  226. lawful authority. If an arrest or 
  227. search warrent is sought, the security 
  228. representitives will cooperate fully 
  229. and furnish affidavits required to 
  230. support the application for the warrent
  231. s, nevertheless, upon request, such 
  232. representatives will accompany the 
  233. executing officers to assist in the 
  234. identification of any suspected etf 
  235. equipment found. The security repre-
  236. sentitive will also be available to 
  237. suggest pertinent areas for interro-
  238. gation of the persons suspected of 
  239. engaging in the fraudulent activity.
  240.  
  241. (i hope that this will help most of you
  242. who blu