SIM swap detection: поймать кражу номера до того, как банк потеряет деньги
Атакующий перевыпускает SIM на имя клиента, перехватывает SMS-OTP, выводит деньги. Detection — комбинация network signals и customer behaviour.
Обсудить задачуСценарий
Атакующий собирает данные жертвы (паспорт, номер, дата рождения), приходит в дилерскую точку оператора, заявляет утерю SIM. Получает новую SIM на тот же номер. Через 30 минут SMS-OTP от банка приходят на его SIM. Жертва остаётся без связи и без денег на счёте.
Это growing fraud-vector везде, где банки и кошельки используют SMS-OTP как единственный 2FA. Оператор оказывается в роли источника риска и точки defense одновременно.
Сигналы для детекции
Network signals:
- Изменение IMEI на новой SIM (атакующий использует другой телефон).
- Сразу после swap — звонки на банковские IVR-номера.
- Geolocation расходится с обычной зоной клиента.
Customer behaviour signals:
- За 24 часа до swap — увеличение неудачных login-попыток в банковских apps клиента (атакующий пробует пароли).
- Свежий phishing-incident в зоне клиента (по threat intel).
Operational signals:
- Дилер с историей подозрительных swap’ов.
- Документы клиента — copies из публичных утечек (если оператор имеет доступ к threat intelligence).
Действие
Не блокировать swap автоматически — велик риск false positives.
Step-up authentication: при подозрительных signals требовать дополнительной верификации (видеозвонок с оператором, biometric, visit в брендированный магазин).
Notification клиенту через альтернативный channel (email, push в банковском app через partnership) о факте swap-запроса.
Quarantine period — 24 часа после swap, банковские партнёры получают warning «не доверять SMS-OTP с этого MSISDN».
Что меряется
SIM swap incidents per month — total volume.
Detection rate — какая доля swap-attempts классифицирована как suspicious.
False positive rate — сколько legit swap’ов попало под suspicion (UX deterioration).
Fraud loss prevented — оценка денежного ущерба, которое могло бы случиться без detection.
Time from swap to detection — minutes/hours.
Что не делать
Не блокировать swap у legit клиентов — они потеряют связь, доверие, и пойдут к конкуренту.
Не передавать «подозрительный список» партнёрам без legal framework.
Не делать step-up слишком тяжёлым — клиенты в emergency (потеря телефона) не пройдут.
Не игнорировать дилерский канал — большая доля swap-fraud проходит через сговор с дилерами.
Как SamaraliSoft подключается
Sprint SIM Swap Use Case — 6-8 недель. Анализ historical swap-cases, дизайн detection rules, integration с банковскими партнёрами, pilot с измерением fraud prevented.
Связанное
- /solutions/telecom-fraud-platform/ — fraud platform
- /insights/telecom-sim-swap-fraud/ — sim swap fraud detail
- /architecture/telecom-ekyc-architecture/ — eKYC
- /solutions/telecom-trust-platform-cornerstone/ — trust platform
Что ещё стоит изучить
Темы из этой же области, которые часто разбираем вместе с этой
CRM
Не коробочный CRM, а правильно выстроенный контур управления клиентами — от первого контакта до лояльности.
→РешениеBI
Аналитика — не красивые графики на стене. Это ответ на вопрос 'почему?' до того, как проблема станет убытком.
→РешениеКонтакт-центр
Контакт-центр — не телефонная станция, а точка, где клиент решает: остаться с вами или уйти. Вопрос в том, как он устроен внутри.
→РешениеИнтеграции
Интеграции — невидимый, но критический слой. Когда он работает — системы общаются. Когда нет — данные теряются, а люди копируют из окна в…
→Об этом не просто пишу — могу прийти, разобрать вашу ситуацию и спроектировать решение под ваш контур.
Обсудить применение →Готовы обсудить вашу задачу?
Расскажите, что не работает или что нужно построить. Первый разговор — без обязательств.
Обычно отвечаю в течение нескольких часов