SIM-swap атака — Как защититься (2026)

SIM-swap атака — Как защититься (2026)
SMSCode Team
SMSCode Team
· 12 мин чтения

В феврале 2026 года Роскомнадзор зафиксировал очередную волну жалоб: пользователи теряли контроль над банковскими аккаунтами без кражи телефона, без фишинга, без вредоносного ПО. Только один телефонный звонок в службу поддержки оператора — и деньги со счёта ушли. Это SIM-swap — одна из самых разрушительных атак современного цифрового мира. По данным ФБР (США), только в 2023 году ущерб от SIM-swap атак превысил 48 миллионов долларов. В России статистика не публикуется систематически, но число обращений в правоохранительные органы растёт ежегодно.

В отличие от технического взлома, SIM-swap не требует хакерских навыков. Нужны лишь немного личной информации о жертве и умение убедительно говорить по телефону. Именно это делает её такой опасной — и такой недооценённой.

TL;DR: SIM-swap — это когда мошенник переносит ваш номер телефона на свою SIM через колл-центр или салон оператора. Защита: запрет на замену SIM без личного присутствия (через Госуслуги), PIN у оператора, отказ от SMS 2FA на критичных аккаунтах. Виртуальный номер для публичных регистраций убирает ваш реальный номер из публичного пространства.

Что такое SIM-swap и как это работает

Название говорит за себя: это «подмена SIM». Злоумышленник убеждает оператора связи, что вы — это он, и просит перенести ваш номер на новую SIM-карту. После этого все входящие звонки и SMS, предназначенные вам, идут к злоумышленнику.

Технически атака называется «несанкционированный перевыпуск SIM». В России — статья 159 УК (мошенничество) и статья 272 УК (несанкционированный доступ к компьютерной информации). Доказать и привлечь исполнителей крайне сложно.

Шаг 1: Разведка и сбор данных

Первый этап — сбор информации о жертве. Злоумышленнику нужно знать о вас достаточно, чтобы убедить оператора в том, что он — это вы.

Откуда берут данные:

  • Социальные сети. Имя, дата рождения, город, фото — всё это публично. Иногда там же указан номер телефона
  • Утечки баз данных. В открытом доступе находятся миллионы записей с именами, телефонами, адресами
  • Фишинг. Поддельные сайты банков, Госуслуг, интернет-магазинов, собирающие данные
  • Социальная инженерия. Звонок под видом сотрудника банка или компании с просьбой «подтвердить данные»
  • Корпоративные инсайдеры. В ряде задокументированных случаев сотрудники операторов продавали данные клиентов за вознаграждение

Шаг 2: Контакт с оператором

Имея достаточно данных, злоумышленник обращается в службу поддержки оператора:

  • Звонок на горячую линию оператора
  • Визит в точку продаж с поддельными или настоящими (купленными) документами
  • Онлайн-запрос через личный кабинет (если он взломан)

Легенда: «потерял телефон», «SIM сломалась», «нужно переоформить на новую карту».

Шаг 3: Верификация (самое слабое звено)

Операторы обязаны верифицировать личность при перевыпуске SIM. На практике проверка часто сводится к вопросам: назовите ФИО, укажите последние звонки, назовите дату рождения, ответьте на «секретный вопрос».

Если злоумышленник имеет данные из открытых источников и утечек — он проходит эту проверку. Часть инцидентов происходит через подкуп: за 5 000–50 000 рублей недобросовестный сотрудник переводит номер без полноценной проверки.

Шаг 4: Захват номера

После перевыпуска ваша SIM теряет сетевой сигнал. Новая SIM злоумышленника активируется с вашим номером. Вы видите на телефоне «Нет сети» или «Нет SIM».

Шаг 5: Захват аккаунтов

Имея контроль над номером:

  1. Инициирует «Забыл пароль» на почте, привязанной к номеру
  2. Получает SMS-код подтверждения
  3. Сбрасывает пароль почты
  4. Через почту сбрасывает пароли банков и других сервисов
  5. Выводит деньги или продаёт доступ к аккаунтам

Весь процесс от захвата SIM до вывода денег с банковского счёта занимает менее 30 минут. Если жертва замечает пропажу сети ночью — пока она спит, уже всё кончено.

Кто в группе риска

SIM-swap направлен прежде всего против тех, у кого есть что украсть.

Повышенный риск:

  • Держатели криптовалюты, использующие SMS 2FA на биржах
  • Предприниматели с корпоративными банковскими счетами
  • Публичные личности (блогеры, медийные люди) — о них больше публичных данных
  • Пользователи, у которых номер телефона — основной логин в банке
  • Те, кто использует один номер для всего: банка, почты, соцсетей, Госуслуг

Вы уязвимее, если:

  • В ваших соцсетях указан номер телефона
  • Ваш номер легко найти через поиск (объявления на Avito, публичные страницы)
  • SMS — единственный метод 2FA на важных аккаунтах
  • У вашего оператора нет установленного PIN-кода

Признаки того, что атака происходит прямо сейчас

Первый и главный сигнал — на вашем телефоне:

  • Пропала сеть («Нет SIM», «Нет услуги», «Emergency only»), хотя раньше всё работало
  • Перестали приходить звонки и SMS
  • Вы получили SMS от оператора о смене SIM, которую не запрашивали
  • Пришло уведомление о смене пароля или входе с нового устройства

Если хотя бы один признак есть — действуйте немедленно:

  1. С другого телефона позвоните оператору и сообщите об атаке — попросите заблокировать перевыпуск и восстановить ваш номер
  2. Позвоните в банк и заблокируйте карты, онлайн-доступ
  3. Смените пароли на важных аккаунтах через резервный email
  4. Завершите все активные сессии

Время критично. Каждая минута промедления — потенциальный дополнительный ущерб.

Как защититься: конкретные шаги

Защита 1: Самозапрет через Госуслуги (обязательно)

С 2024 года в России действует возможность установить самозапрет на заключение договоров с операторами связи без личного присутствия.

Как установить:

  1. Войдите на gosuslugi.ru
  2. Найдите услугу «Самозапрет на заключение договора об оказании услуг связи»
  3. Активируйте запрет

После активации ни один оператор не вправе перевыпустить вашу SIM по звонку, через представителя или онлайн. Только при личном визите в офис с паспортом.

Это не абсолютная защита от инсайдеров в офисе, но существенно повышает порог для атакующего через колл-центр — основной канал SIM-swap в России.

Защита 2: PIN-код у оператора

У каждого крупного оператора есть инструмент — кодовое слово, которое запрашивается при любом обращении в поддержку.

  • МТС: Личный кабинет → Безопасность → Кодовое слово
  • Билайн: «Мой Билайн» → Настройки → Кодовое слово
  • МегаФон: «Мой МегаФон» → Профиль → Кодовое слово
  • Ростелеком: запрос через поддержку или офис

Требования к PIN:

  • Не связан с датой рождения, именем, адресом, телефонным номером
  • Уникальный — не используется нигде больше
  • Минимум 6–8 символов, лучше случайная комбинация
  • Храните в менеджере паролей, не в заметках телефона

Защита 3: Откажитесь от SMS 2FA на критичных аккаунтах

Это самый важный технический шаг. SMS — слабейшее звено в двухфакторной аутентификации. Замените на:

TOTP-приложения (Google Authenticator, Authy, 2FAS, Microsoft Authenticator):

  • Коды генерируются локально на вашем устройстве каждые 30 секунд
  • Не зависят от сотовой сети и оператора
  • При SIM-swap злоумышленник не получит TOTP-код — он не приходит по SMS

Аппаратные ключи (YubiKey, Google Titan Key):

  • Физический токен — нужно вставить в USB или поднести к NFC
  • Невозможно атаковать удалённо
  • Поддерживается Google, Facebook, Binance, Coinbase

Passkeys:

  • Современный стандарт на основе биометрии устройства
  • Поддерживается Apple, Google, Microsoft, ВКонтакте
  • Не требует ввода пароля, не зависит от номера

Начните с: основной email → интернет-банк → криптобиржи → Госуслуги → соцсети.

Защита 4: Минимизируйте публичность номера

Если злоумышленник не знает ваш номер — SIM-swap невозможен. Чем меньше мест, где номер публичен, тем меньше векторов атаки.

Сделайте прямо сейчас:

  • Скройте номер в ВКонтакте: Настройки → Конфиденциальность → «Только я»
  • Скройте номер в Telegram: Настройки → Конфиденциальность → «Никто»
  • Уберите номер из объявлений на Avito (используйте «Позвонить через Avito»)
  • Никогда не указывайте реальный номер на форумах, в комментариях, публичных постах

Защита 5: Виртуальный номер для публичных регистраций

Если ваш реальный номер не засвечен нигде, кроме банка и Госуслуг — провести SIM-swap значительно сложнее.

Схема:

  • Реальный номер — только для банка, Госуслуг, медицины, близких людей
  • Виртуальный номер — для всех интернет-сервисов, регистраций, покупок, форумов

Если база данных какого-то сервиса утечёт — в ней окажется виртуальный номер. Он не связан с реальной SIM. SIM-swap этого номера не нанесёт вам вреда — он не привязан ни к банку, ни к критичным аккаунтам.

Виртуальные номера от SMSCode — от 4.69₽, 200+ стран, 1000+ сервисов.

Защита 6: Настройте уведомления

Ранее обнаружение атаки минимизирует ущерб.

  • SMS от оператора: убедитесь, что включены уведомления о любых изменениях аккаунта
  • Email-уведомления: настройте оповещения о входах с новых устройств в Gmail, VK, Instagram
  • Банковские push: включите мгновенные уведомления о каждой транзакции — несанкционированное движение по счёту будет видно немедленно
  • Уведомления об аутентификации: в Google и Apple — включите уведомления о входе с нового устройства

Реальные случаи SIM-swap в России

Чтобы угроза не казалась абстрактной — несколько типичных сценариев из практики.

Сценарий 1: Криптовалютный трейдер. Трейдер публично обсуждал портфель в Telegram-канале, номер телефона был виден в профиле. Злоумышленник нашёл номер, позвонил в МТС, представился, назвал ФИО и дату рождения из открытых источников. Получил перевыпуск SIM, зашёл на Binance через SMS-верификацию, вывел 0.8 BTC (~₽5 миллионов на тот момент).

Сценарий 2: Малый бизнес. Предприниматель указал личный номер на сайте компании. Злоумышленник через несколько недель «социальной инженерии» собрал данные, перевыпустил SIM через Beeline. Получил доступ к Сбербанк Онлайн, перевёл 800 000 рублей на транзитные счета. Деньги вернуть не удалось.

Сценарий 3: Неудавшаяся атака. Блогер с 300 000 подписчиков получил SMS от МТС «Ваш номер переносится» в 3 часа ночи. Немедленно позвонил в МТС с другого телефона, заблокировал номер. Атака не успела завершиться — блогер потерял только 2 часа сна.

Разница между вторым и третьим сценарием — скорость реакции и наличие второго телефона для звонка оператору.

Что делать, если атака уже произошла

  1. Немедленно позвоните оператору с другого телефона. Сообщите об атаке, попросите восстановить ваш номер и заблокировать перевыпуск.

  2. Позвоните в банк и заблокируйте карты, онлайн-банкинг, все активные операции.

  3. Смените пароли на всех важных аккаунтах через email или резервные коды. Начните с почты — именно через неё сбрасывают остальные пароли.

  4. Завершите все сессии на критичных сервисах — банк, почта, криптобиржи, соцсети.

  5. Подайте заявление в полицию — необходимо для страхового возмещения и претензий к оператору.

  6. Уведомите контакты — мошенники используют взломанные аккаунты для обмана знакомых жертвы.

  7. Подайте жалобу в Роскомнадзор — если оператор допустил халатность при верификации, это нарушение лицензионных условий.

Может ли SIM-swap затронуть виртуальный номер?

Классический SIM-swap невозможен для виртуального номера. SIM-swap — атака на физические SIM-карты и операторов мобильной связи. Виртуальный номер не является физической SIM и не может быть «переведён» через колл-центр оператора.

Однако: если виртуальный номер привязан к критичным аккаунтам (банк, Госуслуги) — его можно скомпрометировать другими способами, например через взлом аккаунта на платформе виртуальных номеров. Поэтому рекомендации остаются: виртуальные номера — для публичных регистраций, реальный номер с максимальной защитой — для банков и госсервисов.

FAQ

Как понять, что мой оператор выдал мой номер мошеннику?

Главный признак — телефон потерял сеть («Нет SIM», «SIM не зарегистрирована»), хотя раньше работал нормально. Одновременно могут прийти email-уведомления о попытках сброса паролей. Позвоните оператору с другого телефона — они скажут, был ли перевыпуск.

Несёт ли оператор ответственность за SIM-swap?

В России практика только формируется. Ряд случаев рассматривался в судах, и операторы выплачивали компенсации при доказанной халатности. Заявление в полицию и претензия к оператору — обязательные шаги. Без этого возмещение практически невозможно.

PIN у оператора действительно помогает?

Да, PIN существенно повышает порог для атаки через колл-центр. Но он не защищает от визита в офис с поддельным документом или от инсайдера в точке продаж. В сочетании с запретом через Госуслуги — защита становится значительно надёжнее.

Что лучше: Google Authenticator или Authy?

Оба намного лучше SMS. Google Authenticator проще и не требует аккаунта — коды хранятся только на устройстве. Authy удобнее при смене телефона — шифрованный бэкап в облаке. Если боитесь потерять телефон — Authy. Если хотите максимальную изоляцию — Google Authenticator без бэкапа.

Могут ли мошенники провести SIM-swap, если я за рубежом?

Технически — да, если оператор обработал запрос дистанционно. На практике большинство SIM-swap в России происходит через местных сотрудников операторов или физические точки продаж. Установленный самозапрет через Госуслуги работает вне зависимости от вашего местонахождения.

Стоит ли использовать виртуальный номер вместо реального для банка?

Нет. Банки требуют верифицированный российский номер физического оператора — это юридическое требование. Виртуальный номер — для сервисов, где анонимность уместна. Банк и Госуслуги — всегда реальный номер с максимальной защитой: PIN у оператора, запрет через Госуслуги, TOTP вместо SMS 2FA.

Как часто происходят SIM-swap атаки в России?

Официальная статистика не публикуется систематически. По оценкам экспертов по кибербезопасности (Group-IB, Positive Technologies), ежегодно в России происходят тысячи подтверждённых инцидентов SIM-swap. Реальная цифра выше — многие жертвы не обращаются в полицию или не понимают, что именно произошло. Рост атак коррелирует с ростом использования криптовалюты и онлайн-банкинга.

Что такое самозапрет через Госуслуги и как его активировать?

С 2024 года россияне могут установить запрет на выдачу новых SIM-карт без личного присутствия прямо через Госуслуги: раздел «Связь» → «Запрет на оформление SIM-карт». После активации оператор обязан отказывать в любых удалённых заявках на переоформление вашего номера — по звонку, через сайт или через третьих лиц. Снять запрет можно только лично с паспортом. Это одна из наиболее эффективных бесплатных защитных мер для россиян — в сочетании с PIN-кодом у оператора создаёт двойной барьер для атаки.

Могут ли меня атаковать через SIM-swap, если я пользуюсь Signal или Viber, а не Telegram?

Тип мессенджера не влияет на уязвимость к SIM-swap. Атака направлена на телефонный номер, а не на конкретное приложение. Если Signal, Viber или любой другой мессенджер привязан к вашему реальному номеру и его перехватят — злоумышленник получит доступ через SMS-восстановление. Защита одна: минимизировать привязку реального номера к чувствительным аккаунтам и включить TOTP везде, где это поддерживается.

Нужно ли беспокоиться о SIM-swap, если у меня немного денег на счёте?

Да. Финансовая ценность — не единственная цель SIM-swap. Злоумышленники также ищут доступ к e-mail аккаунтам (чтобы получить данные для других атак), соцсетям (шантаж, рассылка от вашего имени), аккаунтам на маркетплейсах (мошенничество с продавцом), корпоративным системам (если личный номер связан с рабочими аккаунтами). Даже небольшой Telegram-канал или аккаунт Авито с историей могут представлять ценность. Принцип «у меня нечего взять» не защищает — защищает системная настройка безопасности.

#guide#privacy#virtual-number

Хотите попробовать SMSCode?

Создайте аккаунт и получите первый виртуальный номер менее чем за две минуты.

Начать →