вторник, 18 февраля 2014 г.

Симки, вклады, телефоны

Каждая SIM карта имеет уникальный номер - IMSI (международный идентификатор мобильного абонента). Судя по статье посвященной IMSI и комментам к ней, данная технология замечена только в следующей семерке банков: НОМОС, ПСБ, Альфа, ТКС, БРС, Сити, Сбер. Я больше согласен с автором статьи, чем с комментариями, что на вопрос надо смотреть шире. Нет, не надо смотреть шире! Типовые рабочие мошеннические схемы основаны именно на слабом звене – сотовой связи, поэтому хорошо, когда банк поддерживает нелюбимые мошенниками технологии. Также я бы порекомендовал включать эти условия SMS-информирования в клиентский договор.
В каких случаях меняются SIM-карты:
- при утере телефона
- при замене с обычной на micro/nano
- в честь отмены мобильного рабства
Приведу три ссылки на описание реальных примеров уводов денег подобным способом: тыц, тыц, тыц.  Какая очевидная мера здесь напрашивается? Запрет на досрочное закрытие вклада или снятие части вклада через интернет-банк. Этим также уже озадачены и на банках.ру, поэтому неплохо бы иметь список таких банков.
Если одноразовый код для подтверждения платежа генерируется банком случайным образом, то в SMS с кодом банк должен показывать счет получателя и сумму перевода. В этом случае ответственность за совершение операции лежит на стороне клиента. Если одноразовый код для подтверждения платежа при генерации учитывает счет получателя и сумму перевода, а потом вычисляется еще раз на пришедшем в банк платеже (защита от подмены реквизитов) и сравнивается с первым вычислением, то ответственность будет на стороне банка. Отсюда напрашивается вывод, что запрет на вывод вкладов и корректная обработка IMSI, по сути, эквивалентны персональному OTP.
Хорошо известно, что заметная часть левых переводов делается на одноразовые мобильные номера. Предлагается следующая реализация антифрода. В интернет-банке устанавливается три уровня доверия мобильных номеров.
1)      Личные номера клиента. Подтверждаются договорами с операторами сотовой связи. Лимита на переводы нет.
2)      Номера из шаблонов. Те номера, по которым уже были выполнены переводы, и по которым не поступало заявлений на опротестование в течение, например, месяца. Лимит, скажем, в 15 000 руб. в месяц.
3)      Прочие номера. Лимит, скажем, в 1 000 в месяц.
Таким образом, дополнительно банки не будут позволять клиентам совершать платежные операции через операторов связи, а будут подсказывать, что всё это можно сделать и через собственный интернет-банк.


Комментариев нет:

Отправить комментарий