Всем привет, пользуюсь популярным сервисом по звонкам с подменой номера. Скажите пожалуйста, Как работают эти звонки с подменой номера? За счет чего происходит подмена и на каком этапе? И Могут ли крупные фирмы типа Банков , определять подменен ли номер при звонке
Работает приблизительно так звонок идет приблизительно так звонящий-сервиспоподмене-ippbx-сеть оператора1-сеть оператора получателя звонка-получатель звонка. до айпипбикс все идет по айпи. айпипбикс подключен к оператору связи1 предположим по е1 потоку, оператор связи1 позволяет айпипбиксу самостоятельно устанавливать поле "А-номер" на свое усмотрение и не фильтрует его, а передает дальше, оператор получателя звонка получает звонок из сети оператора связи1 и пропускает поле А-номер на свою сеть без изменений (либо, если у него есть продвинутая платформа для контроля а номера, то не пропускает, либо заменяет на какой-то свой (большая редкость такое))). Вся фишка в том, что оператор1 к которому подключен твой сервис, должен поддерживать установку custom caller id и передавать ее дальше в неизмененном виде.
По запросу по идее могут пробить, тут как с анонимностью, смотря что за оператор и насколько сильно это кому то нужно. В реальном времени проверить на доступность/валидность запросто могут ping-sms, либо hlr запросы.
То есть арендовав/купив Е1 у провайдера я могу сам подмены делать? Астериском к примеру. Или провайдеры это контролируют как-то и нужно искать темного провайдера?
1. Не обязательно Е1(дорого же и оборудование дорогое), можно найти провайдера в которого по sip можно покупать аналогичное. 2. Провайдер/оператор должен пропускать определенные поля во внешнюю сеть без фильтрации. По идее, ключевое это найти такого провайдера. А реализовать можно, как на астериске, или любом другом софтверном пбиксе, или даже банально в обычном сип клиенте вручную прописывать.
сейчас многие банки автоматизируют процедуру идентификации, суть которой заключается в обращении к базе соответствия MSISDN-IMSI. сам механизм простой, доступный и копеечный (HLR запрос).
В данном случае этот механизм не поможет. Банк в ответ на запрос мсисдн х получит ответ имси у, имси в процессе звонка нигде кроме оператора владельца симкарты не фигурирует, что ничего банку не даст. Теоретически, Есть другие извращенные методы узнать, но гораздо проще сделать правильный сценарий идентификации, при котором "подделка мсисдна" ничегозлоумышленнику не дает. Например. Для осуществления подтверждения финансовой операции абоненту нужно (разные варианты при которых подделка callerid для авторизации ничего не даст): 1. отправить смс с некоторым текстом на короткий номер 2. осуществить звонок на короткий номер 3. Принять звонок от оператора на свой номер Эти сценарии, конечно, тоже можно обходить, но методы их обхода нетривиальны и требуют дополнительных знаний, контактов, оборудования, опыта или всего вышеперечисленного
предполагаю банки сейчас договариваются с операторами на допуслуги по предоставлению дополнительных параметров о звонке. я подозреваю, что при входящем звонке оператор может передать актуальную инфу о текущем звонке (IMSI который инициировал данную сессию) меня был случай, когда из за рубежа звонил в свой банк и от меня требовали пасп.данные и кодовое слово, а когда звоню из домашнего региона по ГСМ таких вопросов не задавали ( вопрос о последней транзакции)
100% договариваются по обмену данными с целью уменьшения фрода, в частности, знаю об одном проекте банка с оператором, в котором банк при обращении клиента к ним подает запрос к оператору в режиме реального времени, не менял ли абонент симкарту в течении некоторого периода в Х часов/дней, если менял, то для некоторых операций требуется дополнительная идентификация клиента (это, фактически, технически то же, что ты писал в сообщении 6 этой темы). Просто для противодействия подмены номера именно этот тип запросов не поможет.
