Как защитить свои сим-карты от перевыпуска по фальшивой доверенности

----------
Цитата

dima_ekb пишет:
там что, опсос сам чтоли должен банку сигнализировать о смене SIM карты?
----------

http://www.banki.ru/forum/index.php?PAGE_NAME=message&FID=13&TID=94463&MID=2478274#message2478274
----------
Цитата

Тинькофф_Кредитные Системы, 01.01.2014 13:54

А что касается ситуации по ссылке, то в нашем Банке такая схема бы не сработала, поскольку мы реализовали проверку IMSI. Чуть ниже приведем информацию для справки, "что это за зверь и с чем его едят."

IMSI (International Mobile Subscriber Identity) - это международный идентификатор мобильного абонента, как правило, состоящий из 15 цифр.

Идентификатор IMSI хранится на SIM-карте, мобильный аппарат передает IMSI при регистрации в сети.
При отправке из Банка сообщений об активации карты и получении временного пароля для входа в Интернет-Банк происходит привязка IMSI к номеру контактного мобильного телефона.

В случае замены SIM-карты (без изменения номера телефона) изменяется IMSI, при этом автоматическая перепривязка в системах Банка не происходит. То есть если злоумышленник, зная номер мобильного Клиента, попробует получить логин и пароль/код подтверждения операции, сообщение ему не поступит, так как перед отправкой подобных сообщений Банк производит проверку IMSI, и если они не совпадают, то и сообщение не отправляется, поступает следующее SMS:

«В целях безопасности отправка паролей на мобильный телефон была заблокирована по причине замены SIM-карты. Для разблокировки, пожалуйста, позвоните в банк. ТКС Банк (ЗАО)»

----------

----------
Цитата

Ибирь пишет:
В случае замены SIM-карты (без изменения номера телефона) изменяется IMSI, при этом автоматическая перепривязка в системах Банка не происходит. Т
----------

Ибирь, это же вода водяная, не находите?
При замене SIM карты в ларьке на улице задрючинской, как об этом узнает сбер?
Варианта 2
1) МТС сам ему передаст инфу об этом. Так себе вариант, МТС не обязан этого делать
2) Сбер при входе каждого чека в и-банк делает некий запрос куда-то. Уже лучше, но надежность всяких промежуточных звеньев типа http://smsc.ru/testhlr/ тоже под вопросом

dima_ekb,
вы не поняли. IMSI записан на SIM-карте. В банке лежит IMSI симки, которая была зарегистрирована в интернет-банке или для СМС-оповещений. При смене симкарты хоть в салоне связи, хоть в ларьке получают новую с другим IMSI, который не совпадет с записанным у банка в системе и клиенту будет необходимо позвонить в банк и подтвердить ,что симку поменял он сам. И никакие третьи лица в этом процессе не нежны.

----------
Цитата

dima_ekb пишет:
банк делает некий запрос куда-то
----------

не куда-то, а в БД оператора, подробнее http://www.b2b-mobile.ru/imsi-i-hlr-zaprosy
и как написал drac013 банк проверяет это значение

----------
Цитата

drac013 пишет:
И никакие третьи лица в этом процессе не нежны.
----------

Я все прекрасно понял, схема вообще-то рабочая.
Третьим лицом (а точнее, четвертым) является b2b-mobile.ru
Т.е.
1) клиент
2) банк
3) мтс
4) b2b-mobile.ru
Если где-то у двух последних сбой, то проверить imsi не удается, видимо, этим и объясняются сообщения о том, что "привязка не работает". Учитывая, какая чернуха в ИТ системах того же МТС, сбои вполне себе возможны- ведь опсос ответсвенности не несет.

dima_ekb,
если бы сервисы проверки IMSI работали нестабильно, то были бы периодические и повсеместные сбои в работе роуминга. Значит, число сбоев если и не нулевое, то близко к нему. Кроме того, регистрация IMSI происходит при подключении телефона к сети и без этого его работа невозможна. Т.е. если произошел сбой, то пользователь это заметит скорее всего ,когда попытается воспользоваться телефоном. Поэтому банк может с чистой совестью не производить отправку сообщения, если IMSI проверить не удалось (ИМХО, так сейчас и происходит, ведь если телефон выключен, то сообщение не отправишь).

Откуда тогда отзывы, здесь же, что крали деньги именно после перевыпуска симки, по крайней мере, у сбера

----------
Цитата

dima_ekb пишет:
Откуда тогда отзывы, здесь же, что крали деньги именно после перевыпуска симки, по крайней мере, у сбера
----------


потому что в Сбербанке не работает система проверки IMSI, хоть и заявлена Сбербанком, как действующая:
http://www.banki.ru/blog/KiraSoft/5278.php

dima_ekb,
потому что неизвестно как проверяет Сбер IMSI. Может он это делает через раз. Или СБЕРОВСКИЙ сервис проверки IMSI жуть глючная. Другие же банки делают все нормально, когда захотят.

----------
Цитата

drac013 пишет:
ведь если телефон выключен, то сообщение не отправишь).
----------

Вы говорите о телефоне отправляющей стороны, т.е. банка?

----------
Цитата

dima_ekb пишет:
Откуда тогда отзывы, здесь же, что крали деньги именно после перевыпуска симки, по крайней мере, у сбера
----------

У Сбера избирательный подход:
http://www.sberbank.ru/moscow/ru/person/dist_services/inner_sbol/
----------
Цитата

Лимиты на операции

Операции, совершаемые в системе «Сбербанк ОнЛ@йн» и подтверждаемые SMS-паролем без проверки на смену SIM-карты клиента (лимит для IMSI).
не более 80 000 руб.*
...
* Суточный кумулятивный лимит действует 24 часа с момента проведения операции. Суточный кумулятивный лимит устанавливается на расходные операции одного клиента. При совершении операции по счету в иностранной валюте пересчет суммы операции в рубли осуществляется по курсу ОАО «Сбербанк России» в соответствии с условиями обработки финансовых операций, предусмотренными Тарифами Банка. Сумма лимита может быть снижена.
----------