IMSI-check для банков: защита от SIM-swap без дорогостоящей криптографии

В январе 2025 года Банк России утвердил новое положение № 851-П «Об установлении обязательных требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента». Документ заменил прежнее положение № 683-П и полноценно вступил в силу 1 октября 2025 года.

Главная цель нового положения — существенно усилить требования к информационной безопасности банков и создать эффективные механизмы для предотвращения мошеннических переводов.

Риски, которые 851-П пытается устранить

Одна из ключевых уязвимостей, на которые нацелен 851-П, — мошенничество, связанное с подменой SIM-карт (так называемые SIM-swap / SIM-подмена). При таком сценарии злоумышленники, получив контроль над номером телефона клиента, могут перехватить одноразовые пароли (OTP) и, как следствие, управлять его банковскими операциями.

• объем хищений в цифровых каналах в РФ вырос до 27,5 млрд рублей в 2024 
• банки компенсируют клиентам лишь около 9,9% украденных средств

Такой рост убытков от мошенничества происходит именно за счет транзакций, подтверждаемых через уязвимые для атак каналы аутентификации — прежде всего, через обычные SMS.

851-П усиливает требования к защите электронных сообщений: теперь банки должны гарантировать целостность данных, аутентичность отправителя и подтверждение операции уполномоченным лицом. Для этого необходимо:

• использовать усиленную электронную подпись или СКЗИ (средства криптографической защиты информации) с функцией имитозащиты и аутентификацией отправителя 
• гарантировать, что сообщение действительно было составлено уполномоченным лицом 
• обеспечивать неизменность данных после их подписания
• исключать сценарии, при которых злоумышленник может получить код, перехватить сообщение или инициировать операцию от имени клиента

Ключевой вывод: выполнить эти требования при помощи традиционных SMS-кодов технологически невозможно.

Уязвимости SMS-кодов 

SMS-коды, как механизм защиты, перестают быть надежными в банковской сфере с точки зрения современных стандартов безопасности. Это обусловлено наличием слабых мест по всей цепочке доставки сообщения:

• фундаментальные уязвимости протокола SS7, который позволяет перехватывать сообщения
• инфраструктура мобильных операторов и SMS-агрегаторов может быть подвержена атакам
• SIM-карту можно перевыпустить по поддельным документам, получив полный контроль над номером
• коды могут массово перехватываться вредоносным ПО, установленным на смартфоне клиента
• жертвы часто сами передают коды мошенникам под действием психологических манипуляций

Вызовы для банков

Для банковского бизнеса новые требования по использованию средств криптографии для подтверждения операций создают определенный контур проблем:

• внедрение полноценной криптографии на клиентском устройстве зачастую ломает привычный и удобный пользовательский опыт
• на рынке сегодня отсутствуют дешевые «промышленные» решения, позволяющие быстро закрыть требования регулятора
• банковские команды опасаются, что реализация криптографических механизмов будет крайне дорогостоящей 

Именно в этом сложном контексте банки остро нуждаются в переходных решениях, которые позволяют защитить коммуникации уже сейчас, не меняя кардинально всю архитектуру и не нарушая клиентские процессы.

Что есть на рынке: криптография и IMSI

На рынке безопасности сегодня можно выделить 2 основных решения, которые используются банками в борьбе с SIM-swap и SMS-фродом.

Полная криптография на устройстве клиента

Это идеальный с точки зрения безопасности вариант, но его внедрение требует серьезных инвестиций, длительных сроков, и часто связано с изменением клиентских сценариев.

IMSI-контроль

IMSI-контроль занимает уникальную позицию. Это единственный на сегодня способ проверить не просто номер телефона, а ту самую физическую SIM-карту, которая была зарегистрирована у клиента ранее.

Каждая SIM-карта имеет уникальный международный идентификатор — IMSI (International Mobile Subscriber Identity), который привязан к абоненту, а не только к номеру телефона. 

Если мошенники смогут подменить SIM, номер останется прежним, но IMSI изменится — и без дополнительных мер это изменение незаметно для банка. Поэтому для удовлетворения требований 851-П и надежной защиты от подобных атак важно иметь механизм, который отслеживает смену SIM/IMSI до отправки критических SMS.

Проще говоря, если номер тот же, а IMSI другой — SIM была перевыпущена. Именно такие атаки и приводят к несанкционированным переводам.

IMSI-check от i-Digital: как работает и зачем нужен банкам

IMSI-check — сервис i-Digital, который проверяет уникальный идентификатор SIM-карты (IMSI) перед тем, как банк отправляет SMS.

Как это работает:

1. При первой регистрации номера или в момент совершения первой безопасной операции банк фиксирует IMSI клиентской SIM-карты (в виде криптографического хэша или в исходном виде).
2. Перед каждой последующей отправкой SMS банк делает автоматический запрос у сервиса i-Digital на получение актуального IMSI, привязанного к данному номеру.
3. i-Digital в реальном времени получает актуальный IMSI напрямую от операторов связи.
4. Если полученный IMSI совпадает с хранящимся в банке — SMS разрешается к отправке.
5. Если IMSI не совпадает — операция немедленно блокируется, а банк мгновенно получает уведомление для принятия дальнейших мер.

Это единственный технологический способ на уровне SIM-идентификатора подтвердить, что номер телефона действительно принадлежит клиенту — простая, понятная и быстро разворачиваемая мера защиты.

Варианты интеграции IMSI-check в инфраструктуру банка

i-Digital предлагает два подхода, которые подходят как гибким цифровым банкам, так и крупным инфраструктурным организациям.

1. Подключение IMSI-check через универсальный API

Этот вариант оптимально подойдет банкам, где бизнес-процессы легко модифицируются. При интеграции через API банк напрямую взаимодействует с сервисом IMSI-check от i-Digital, а вся логика принятия решений остается на стороне банковских систем.

• быстрое внедрение (до трех недель)
• простая логика: запрос → сравнение → решение
• непрерывная техническая поддержка и взаимодействие с операторами на стороне i-Digital

Схема работы:

1. Постановка абонента на мониторинг

Когда банк впервые получает номер клиента (например, при регистрации в мобильном банке или привязке телефона), его система:

• определяет номер клиента
• отправляет в IMSI i-Digital запрос на получение текущего хэша IMSI
• получает хэш IMSI и сохраняет его у себя 

Далее номер помещается на мониторинг у операторов, которые отправляют i-Digital событийные уведомления (регистрация абонента в сети, снятие с регистрации, обновление IMSI). IMSI i-Digital собирает и агрегирует эти данные в реальном времени.

2. Проверка IMSI перед отправкой SMS

Когда банку нужно отправить клиенту SMS:

1. Банковская система отправляет запрос IMSI по номеру абонента в сервис i-Digital
2. i-Digital запрашивает у операторов текущее хэш-значение IMSI
3. Текущее значение отправляется в банк
4. Банк сравнивает его со значением, которое было сохранено при первой регистрации

3. Принятие решения

Если IMSI совпадает — банк продолжает сценарий: отправляет SMS и разрешает операцию.
Если не совпадает — банк принимает решение: заблокировать номер / остановить операцию / уведомить клиента о подозрительной активности.

2. Подключение IMSI-check через шлюз Fastgate

Этот вариант удобен для крупных банков со сложной, распределенной архитектурой, где модификация множества точек отправки сообщений затруднена. Шлюз Fastgate берет на себя всю логику обработки данных:

• сохраняет IMSI нового абонента при первой регистрации
• автоматически сравнивает IMSI перед каждой отправкой сообщения
• блокирует отправку SMS при обнаружении несовпадения
• отправляет информационное сообщение в банковские системы
• автоматически снимает номер с мониторинга при длительной неактивности

Такой способ подключения представляет собой более автоматизированную модель, в которой большая часть логики вынесена в инфраструктуру i-Digital. Fastgate играет роль «промежуточного слоя» между банком и IMSI-check. 

Схема работы:

1. Постановка абонента на мониторинг

Когда банк впервые регистрирует номер клиента, он передает его в Fastgate. Далее Fastgate:

• определяет оператора абонента
• направляет запрос в IMSI-check
• получает актуальный хэш IMSI
• сохраняет IMSI и ставит номер на мониторинг у операторов

2. Мониторинг и обновление IMSI

Когда у оператора изменяется IMSI (например, при перевыпуске SIM), оператор отправляет событие в IMSI-check.

IMSI-check передает обновление в Fastgate. Fastgate обновляет IMSI у себя и может автоматически инициировать проверку у банка.

3. Проверка IMSI по запросу банка

Если банку нужно отправить SMS клиенту:

1. Система банка отправляет запрос в Fastgate
2. Fastgate запрашивает актуальный IMSI у IMSI-check
3. IMSI-check возвращает данные
4. Fastgate сравнивает старый и новый IMSI сам — без участия банка
5. Результат передается в систему банка

4. Блокировка абонента на стороне Fastgate

Если IMSI изменился:

• Fastgate блокирует номер
• не дает отправить SMS
• отправляет банку отчет о блокировке
• и, если настроено, отправляет информационное уведомление клиенту

Это избавляет банк от необходимости реализовывать собственные правила блокировки.

IMSI-check как инструмент выполнения требований 851-П

Хотя 851-П в своей основе требует перехода к криптографическому подтверждению операций, в реальности большинство банков продолжают использовать SMS — и будут вынуждены использовать этот канал еще долгое время. В этот переходный период IMSI-check выполняет критически важные функции:

• снижает риск проведения операций без согласия клиента
• сокращает SIM-swap мошенничество
• защищает канал, который по определению регулятора считается уязвимым
• обеспечивает юридически значимые и технологически обоснованные доказательства при внутренних и внешних разбирательствах
• позволяет выстроить поэтапную переходную архитектуру, совместимую с будущей полноценной криптографией

Важно подчеркнуть: IMSI-check не заменяет криптографию в долгосрочной перспективе, но он делает использование SMS-канала максимально защищенным технически и соответствующим требованиям регулятора.