Как защитить свои сим-карты от перевыпуска по фальшивой доверенности

----------
Цитата

Liss41 пишет:
человеческий фактор...
----------

И сильно это поможет, если деньги уведут?

----------
Цитата

Миша Японец пишет:
Единственная защита сейчас - пользуйтесь банками с проверкой IMSI.
----------

Насколько я понимаю, защита через IMSI работает через раз. У меня вообще нет уверенности, как она работает: там что, опсос сам чтоли должен банку сигнализировать о смене SIM карты? Тогда это вообще тухлый номер

----------
Цитата

dima_ekb пишет:
были только права. Девочка охотно поменяла ему симку.
----------

Ни чего удивительного, текучка большая) У меня подруга в салоне работала, рассказывала, что начальник подкатывал с просьбой восстановить пару симок "для хорошего человека". Ума хватило, отказала.

----------
Цитата

dima_ekb пишет:
У меня вообще нет уверенности, как она работает: там что, опсос сам чтоли должен банку сигнализировать о смене SIM карты?
----------

Вполне возможно через HLR-запрос http://smsc.ru/testhlr/
Почему работает коряво и через раз? Не удивлюсь, если из-за человеческого фактора)

dima_ekb,
----------
Цитата

опсос сам чтоли должен банку сигнализировать о смене SIM карты
----------

Естественно. А как иначе?
У меня эта опция сработала с "точностью наоборот" - никакой замены карты не было и в помине, однако банк потребовал пройти идентификацию заново.

----------
Цитата

dima_ekb пишет:
там что, опсос сам чтоли должен банку сигнализировать о смене SIM карты?
----------

http://www.banki.ru/forum/index.php?PAGE_NAME=message&FID=13&TID=94463&MID=2478274#message2478274
----------
Цитата

Тинькофф_Кредитные Системы, 01.01.2014 13:54

А что касается ситуации по ссылке, то в нашем Банке такая схема бы не сработала, поскольку мы реализовали проверку IMSI. Чуть ниже приведем информацию для справки, "что это за зверь и с чем его едят."

IMSI (International Mobile Subscriber Identity) - это международный идентификатор мобильного абонента, как правило, состоящий из 15 цифр.

Идентификатор IMSI хранится на SIM-карте, мобильный аппарат передает IMSI при регистрации в сети.
При отправке из Банка сообщений об активации карты и получении временного пароля для входа в Интернет-Банк происходит привязка IMSI к номеру контактного мобильного телефона.

В случае замены SIM-карты (без изменения номера телефона) изменяется IMSI, при этом автоматическая перепривязка в системах Банка не происходит. То есть если злоумышленник, зная номер мобильного Клиента, попробует получить логин и пароль/код подтверждения операции, сообщение ему не поступит, так как перед отправкой подобных сообщений Банк производит проверку IMSI, и если они не совпадают, то и сообщение не отправляется, поступает следующее SMS:

«В целях безопасности отправка паролей на мобильный телефон была заблокирована по причине замены SIM-карты. Для разблокировки, пожалуйста, позвоните в банк. ТКС Банк (ЗАО)»

----------

----------
Цитата

Ибирь пишет:
В случае замены SIM-карты (без изменения номера телефона) изменяется IMSI, при этом автоматическая перепривязка в системах Банка не происходит. Т
----------

Ибирь, это же вода водяная, не находите?
При замене SIM карты в ларьке на улице задрючинской, как об этом узнает сбер?
Варианта 2
1) МТС сам ему передаст инфу об этом. Так себе вариант, МТС не обязан этого делать
2) Сбер при входе каждого чека в и-банк делает некий запрос куда-то. Уже лучше, но надежность всяких промежуточных звеньев типа http://smsc.ru/testhlr/ тоже под вопросом

dima_ekb,
вы не поняли. IMSI записан на SIM-карте. В банке лежит IMSI симки, которая была зарегистрирована в интернет-банке или для СМС-оповещений. При смене симкарты хоть в салоне связи, хоть в ларьке получают новую с другим IMSI, который не совпадет с записанным у банка в системе и клиенту будет необходимо позвонить в банк и подтвердить ,что симку поменял он сам. И никакие третьи лица в этом процессе не нежны.

----------
Цитата

dima_ekb пишет:
банк делает некий запрос куда-то
----------

не куда-то, а в БД оператора, подробнее http://www.b2b-mobile.ru/imsi-i-hlr-zaprosy
и как написал drac013 банк проверяет это значение

----------
Цитата

drac013 пишет:
И никакие третьи лица в этом процессе не нежны.
----------

Я все прекрасно понял, схема вообще-то рабочая.
Третьим лицом (а точнее, четвертым) является b2b-mobile.ru
Т.е.
1) клиент
2) банк
3) мтс
4) b2b-mobile.ru
Если где-то у двух последних сбой, то проверить imsi не удается, видимо, этим и объясняются сообщения о том, что "привязка не работает". Учитывая, какая чернуха в ИТ системах того же МТС, сбои вполне себе возможны- ведь опсос ответсвенности не несет.

dima_ekb,
если бы сервисы проверки IMSI работали нестабильно, то были бы периодические и повсеместные сбои в работе роуминга. Значит, число сбоев если и не нулевое, то близко к нему. Кроме того, регистрация IMSI происходит при подключении телефона к сети и без этого его работа невозможна. Т.е. если произошел сбой, то пользователь это заметит скорее всего ,когда попытается воспользоваться телефоном. Поэтому банк может с чистой совестью не производить отправку сообщения, если IMSI проверить не удалось (ИМХО, так сейчас и происходит, ведь если телефон выключен, то сообщение не отправишь).

Откуда тогда отзывы, здесь же, что крали деньги именно после перевыпуска симки, по крайней мере, у сбера

----------
Цитата

dima_ekb пишет:
Откуда тогда отзывы, здесь же, что крали деньги именно после перевыпуска симки, по крайней мере, у сбера
----------


потому что в Сбербанке не работает система проверки IMSI, хоть и заявлена Сбербанком, как действующая:
http://www.banki.ru/blog/KiraSoft/5278.php