Каждая SIM карта имеет уникальный номер - IMSI (международный идентификатор мобильного абонента). Судя по статье посвященной IMSI и комментам к ней,
данная технология замечена только в следующей семерке банков: НОМОС, ПСБ,
Альфа, ТКС, БРС, Сити, Сбер. Я больше согласен с автором статьи, чем с
комментариями, что на вопрос надо смотреть шире. Нет, не надо смотреть шире!
Типовые рабочие мошеннические схемы основаны именно на слабом звене – сотовой
связи, поэтому хорошо, когда банк поддерживает нелюбимые мошенниками технологии.
Также я бы порекомендовал включать эти условия SMS-информирования в клиентский договор.
В каких
случаях меняются SIM-карты:
- при утере телефона
- при замене с обычной на micro/nano
- в честь отмены мобильного
рабства
Приведу три
ссылки на описание реальных примеров уводов денег подобным способом: тыц, тыц, тыц. Какая
очевидная мера здесь напрашивается? Запрет на досрочное закрытие вклада или снятие
части вклада через интернет-банк. Этим также уже озадачены и на банках.ру,
поэтому неплохо бы иметь список таких банков.
Если одноразовый
код для подтверждения платежа генерируется банком случайным образом, то в SMS с кодом банк должен
показывать счет получателя и сумму перевода. В этом случае ответственность за
совершение операции лежит на стороне клиента. Если одноразовый код для подтверждения
платежа при генерации учитывает счет получателя и сумму перевода, а потом
вычисляется еще раз на пришедшем в банк платеже (защита от подмены реквизитов)
и сравнивается с первым вычислением, то ответственность будет на стороне банка.
Отсюда напрашивается вывод, что запрет на вывод вкладов и корректная обработка IMSI, по сути, эквивалентны
персональному OTP.
Хорошо
известно, что заметная часть левых переводов делается на одноразовые мобильные номера.
Предлагается следующая реализация антифрода. В интернет-банке устанавливается
три уровня доверия мобильных номеров.
1)
Личные номера клиента. Подтверждаются договорами
с операторами сотовой связи. Лимита на переводы нет.
2)
Номера из шаблонов. Те номера, по которым уже
были выполнены переводы, и по которым не поступало заявлений на опротестование
в течение, например, месяца. Лимит, скажем, в 15 000 руб. в месяц.
3)
Прочие номера. Лимит, скажем, в 1 000 в
месяц.
Таким образом,
дополнительно банки не будут позволять клиентам совершать платежные операции
через операторов связи, а будут подсказывать, что всё это можно сделать и через
собственный интернет-банк.