SIM-swap и 851-П: как банки защищают SMS-канал в условиях новых требований регулятора
В январе 2025 года Банк России утвердил положение № 851-П, которое с октября 2025 года заменило прежний стандарт 683-П. Главная цель документа — усилить защиту от мошеннических переводов, совершаемых без ведома клиента. По данным регулятора, объём хищений в цифровых каналах в 2024 году достиг 27,5 млрд рублей, при этом банки возвращали клиентам лишь около 9,9% похищенных средств.
Почему SMS-коды перестают быть достаточной защитой
Одноразовые пароли, доставляемые по SMS, уязвимы сразу на нескольких уровнях. Протокол SS7, на котором строится глобальная сигнальная инфраструктура мобильных сетей, содержит известные уязвимости, позволяющие перехватывать сообщения. SIM-карта может быть перевыпущена мошенниками по поддельным документам — после этого злоумышленник получает полный контроль над номером и всеми приходящими на него SMS. Дополнительные векторы атаки: вредоносные программы на смартфоне клиента и методы социальной инженерии.
851-П формализует эту проблему. Положение требует, чтобы электронные сообщения при подтверждении банковских операций обеспечивали аутентичность отправителя, целостность данных и гарантию того, что операцию инициировало именно уполномоченное лицо. Технологически выполнить эти требования с помощью стандартных SMS-кодов невозможно — регулятор фактически указывает на необходимость перехода к криптографическому подтверждению операций.
Два пути: полная криптография и переходные решения
Полноценная криптография на клиентском устройстве — теоретически наилучший вариант с точки зрения безопасности. На практике его внедрение требует значительных инвестиций, затрагивает клиентские сценарии и занимает длительное время. Для большинства банков это горизонт в несколько лет, а не месяцев.
В этих условиях востребованы переходные решения, позволяющие существенно повысить защиту SMS-канала уже сейчас. Ключевой инструмент — IMSI-контроль.
Как работает IMSI-контроль
Каждая SIM-карта имеет уникальный международный идентификатор — IMSI (International Mobile Subscriber Identity). В отличие от номера телефона, IMSI привязан непосредственно к физической SIM-карте. При SIM-swap атаке номер остаётся прежним, но IMSI меняется — именно это изменение является сигналом о подмене.
Механика проверки: при регистрации клиента банк фиксирует IMSI его SIM-карты (в виде криптографического хэша). Перед каждой отправкой критического SMS — запрашивает актуальное значение IMSI напрямую у оператора. Совпадение — отправка разрешается. Несовпадение — операция блокируется, банк получает уведомление. Этот процесс происходит в реальном времени, до отправки сообщения.
Два варианта интеграции
Подключение через универсальный API подходит банкам, где бизнес-процессы гибко модифицируются. Вся логика принятия решений остаётся на стороне банковских систем: запрос IMSI, сравнение с сохранённым значением, блокировка или разрешение. Внедрение занимает до трёх недель.
Второй вариант — интеграция через SMS-шлюз. Он предназначен для крупных банков со сложной распределённой архитектурой, где модификация множества точек отправки затруднена. Fastgate берёт на себя всю логику: хранит IMSI абонентов, автоматически сравнивает значения перед каждой отправкой, блокирует SMS при несовпадении и уведомляет банковские системы.
Роль IMSI-check в контексте 851-П
IMSI-контроль не заменяет криптографию — это принципиально важно понимать. Но он закрывает конкретную уязвимость, которая приводит к большинству случаев несанкционированных переводов: подмену SIM-карты. Для банка это означает возможность выстраивать защиту поэтапно — не ломая существующие клиентские процессы и готовя инфраструктуру к будущему переходу на полноценную криптографию.