Что такое SIM-swap
SIM-swap — это когда оператор сотовой связи переводит ваш номер на SIM-карту, контролируемую злоумышленником. После этого коды подтверждения, звонки и SMS идут не вам, а хакеру. С технической стороны это портирование номера или замена SIM в профиле абонента на стороне оператора.
Как проходит атака — пошаговая механика
- Сбор данных о жертве. В открытых источниках, социальных сетях, утечках — имя, дата рождения, адрес, последние транзакции. Часто цель — человек, публично ассоциируемый с криптой или крупными суммами.
- Социальная инженерия или подкуп сотрудника. Злоумышленники звонят в кол-центр оператора, представляются вами (или сотрудником техподдержки) и просят «перенести» номер на новый SIM. Иногда это делается через пункты продаж — с подкупом или подделкой документов.
- Перенос номера. Оператор выполняет портирование/замену — и смартфон жертвы теряет сигнал. На устройстве злоумышленника появляется ваш номер.
- Доступ к аккаунтам. С полученными SMS/звонками злоумышленник восстанавливает пароли, отключает MFA, переводит деньги и выводит средства. Часто применяют цепочки: сначала почта, дальше банки и криптоплатформы.
Почему SIM-swap так опасен
Когда злоумышленник получает контроль над SIM-картой, он фактически перехватывает главный «мастер-ключ» к вашей цифровой идентичности. Именно поэтому последствия такой атаки выходят далеко за рамки одного украденного номера.
- SMS-MFA — уязвимый канал. SMS-код — централизованный и легко перехватываемый механизм. Даже если пароль сильный, номер — это ключ ко многим восстановительным процедурам.
- Метаданные и следы. После атаки остаются логи, device-fingerprint и связка IP, которые используют кредиторы и PSP для блокировок и регресса. Эти следы потом сложно «стереть».
- Организованные группы. Современные APT-и преступные группировки (например, известные по докладам CISA) включают SIM-swap в набор социальных инженерных тактик для доступа к корпоративным сетям.
Реальные кейсы — почему это не гипотеза
- В 2024–2025 годах несколько крупных дел по SIM-swap привели к арестам и уголовным расследованиям: от краж сотен тысяч долларов у крипто-инвесторов до случаев с атаками на корпоративные аккаунты. Одним из громких расследований стала история, связанная с крахом фондов и крупными кражами через перехваты номеров.
Признаки, что вас уже «поймали»
- Вдруг нет сети, хотя телефон в зоне покрытия.
- Не приходят SMS, хотя сервисы присылают код.
- Уведомления о новых сессиях / авторизациях на устройствах, которые вы не использовали.
- Неожиданные письма от банка с запросом подтверждений или уведомления о смене номера.
- Если что-то из этого — действуйте мгновенно.
Что делать, если случилось: пошаговый план реагирования
- Сразу же свяжитесь с оператором — через публичный номер, не через номер, который мог быть скомпрометирован. Попросите блокировку перевода номера и восстановление контроля.
- Сообщите в банк и все финансовые сервисы — поставьте временную заморозку счетов.
- Зафиксируйте доказательства: скриншоты, письма, переписку с продавцами/операторами.
- Если кража крупная — заявите в полицию и в регуляторы (для финансовых преступлений это важно).
- После возврата контроля — отключите SMS-MFA и переведите 2FA на приложение-генератор кодов или аппаратный ключ.
Как предотвратить SIM-swap: технически жёсткие и рабочие рекомендации
- Не используйте SMS как единственную MFA. Переводите критичные сервисы на аппаратные ключи (FIDO2) или на TOTP-приложения (Google Authenticator, Authy). Аппаратный ключ — лучшая защита.
- Установите PIN/пароль на профиль у оператора. Большинство операторов позволяют задать отдельный код для работы с аккаунтом — используйте его и держите в секрете.
- Минимум привязок номера к финансам. По возможности не используйте номер для восстановления банковского аккаунта — привяжите вместо номера почту и 2FA-ключ.
- Контролируйте публичные данные. Чем меньше личных данных в сети — тем сложнее собрать «паспорт» для атаки.
- Мониторинг и алерты. Подключите уведомления о новых сессиях, двухфакторных изменениях и входах с новых IP. Быстрое реагирование сокращает ущерб.
Юридические и операционные последствия для бизнеса
Для компаний SIM-swap — не только риск потерь, но и угроза репутации и регуляторных претензий. Эквайеры и PSP реагируют жёстко: чарджбеки, регресс, блокировки — всё это может прилететь к организации, если злоумышленник использовал номер для финансовых операций.
В корпоративной политике нужно прописывать: запрет на SMS-код как критическую 2FA, обязательный FIDO2 для сотрудников с доступом к денежным потокам, и RBAC вместо общих логинов.
В корпоративной политике нужно прописывать: запрет на SMS-код как критическую 2FA, обязательный FIDO2 для сотрудников с доступом к денежным потокам, и RBAC вместо общих логинов.
Практический чек-лист для читателя
- Установить аплет-аутентификатор (TOTP) для всех критичных сервисов.
- Приобрести аппаратный ключ FIDO2 и привязать к главным аккаунтам.
- Поставить PIN на аккаунт оператора; по возможности заменить SMS для восстановления.
- Включить уведомления о новых входах и странных сессиях.
- Уменьшить публичную доступность личных данных в соцсетях.
- Подготовить контакты банка и оператора в «известном» месте (чтобы позвонить с другого номера при атаке).
Ну или не связываться с покупкой номеров и аккаунтов.
Итог — экспертное заключение
SIM-swap — это не «модная страшилка», а эффективный инструмент атаки, который входит в арсенал современных злоумышленников и APT-групп. Защита от него требует системного подхода: отказ от SMS-MFA для критичных операций, внедрение аппаратных ключей и корпоративных политик, обучение сотрудников и готовность реагировать. Для тех, кто работает с финансами или криптой, SIM-swap — базовый риск, который нужно минимизировать до нуля, а не «отбросить на потом».
