SIM Swap атака: что это, чем грозит и как защититься

В 2024–2025 годах SIM Swap стал одним из наиболее прибыльных методов атаки для киберпреступников. Жертвы теряют доступ к банковским аккаунтам, криптовалютным кошелькам, социальным сетям — иногда за считанные минуты. Самое тревожное: для этой атаки не нужен никакой технический взлом компьютера или телефона. Нужен лишь убедительный звонок в службу поддержки мобильного оператора.

Разберём, как именно работает SIM Swap, кто находится в зоне риска, как распознать атаку в реальном времени и что конкретно помогает защититься.

TL;DR: SIM Swap — это когда мошенник переносит ваш номер на свою SIM через звонок или визит в офис оператора, представившись вами. Защита: откажитесь от SMS как метода 2FA на критических аккаунтах, используйте TOTP-приложения, установите PIN у оператора и применяйте виртуальные номера для публичных регистраций, чтобы не раскрывать реальный номер.

Как работает SIM Swap: пошаговая схема

Схема атаки на удивление проста — и именно это делает её особенно опасной.

Шаг 1: Сбор информации о жертве. Злоумышленник собирает данные: имя, дата рождения, адрес, частично — номер телефона. Всё это нередко можно найти в открытых источниках: социальных сетях, базах данных, утечках, или получить через простой фишинг. Чем активнее жертва в социальных сетях — тем больше информации доступно.

Шаг 2: Звонок или визит к оператору. Мошенник звонит на линию поддержки мобильного оператора (или приходит в офис) и представляется жертвой. Говорит, что потерял телефон или SIM-карту, и просит перенести номер на новую SIM.

Шаг 3: Убеждение службы поддержки. Операторы обычно проверяют личность через «секретные вопросы» (девичья фамилия матери, дата рождения, последние цифры паспорта) — всё это злоумышленник уже собрал. В ряде случаев помогает взятка нечестному сотруднику оператора. Иногда достаточно просто уверенного тона и правильных персональных данных.

Шаг 4: Захват номера. После переноса SIM вся входящая SMS-связь с вашего номера идёт на телефон злоумышленника. Ваша SIM перестаёт работать — сеть исчезает. Именно это — первый видимый признак атаки.

Шаг 5: Захват аккаунтов. Имея контроль над номером, мошенник инициирует сброс паролей через SMS на всех важных сервисах: банк, криптобиржа, почта, социальные сети — всё, что верифицирует через SMS.

Шаг 6: Вывод средств. Атака обычно длится минуты — злоумышленник действует быстро, пока жертва не заметила потерю сети и не заблокировала SIM. За это время можно вывести деньги с банковских счётов и криптокошельков.

Насколько это распространено

По данным ФТК США, жалобы на SIM Swap выросли в 10 раз с 2016 по 2023 год. Средний ущерб от одной успешной атаки — десятки тысяч долларов. Наиболее крупные случаи — кражи криптовалюты на миллионы долларов. Жертвами становились крупные бизнесмены, криптоинвесторы и даже сотрудники крупных IT-компаний.

В России ситуация аналогична: число инцидентов растёт год от года. Российские операторы связи (МТС, Билайн, МегаФон, Tele2) периодически сообщают об инцидентах с мошеннической заменой SIM-карт.

Кто в зоне риска

Высокий риск:

Владельцы криптовалюты, использующие SMS как 2FA на биржах
Предприниматели с доступом к корпоративным финансовым аккаунтам
Люди с публичными профилями — много личной информации в открытом доступе
Те, кто использует один номер для всего: банка, почты, соцсетей, крипты

Средний риск:

Пользователи с активными банковскими аккаунтами, где SMS — единственный 2FA
Владельцы ценных аккаунтов в социальных сетях или игровых платформах

Вы уязвимее, если:

Ваш номер привязан к банковскому аккаунту как единственный метод верификации
Вы используете SMS 2FA на криптобиржах
Ваши личные данные (дата рождения, адрес, фото документов) доступны публично

Признаки того, что вас атакуют прямо сейчас

Первые минуты атаки критичны — быстрая реакция может спасти средства.

Телефон внезапно потерял сигнал без видимых причин (нет сети, хотя обычно есть)
SMS и звонки перестали приходить
Вы получили уведомление от оператора о смене SIM, которую не запрашивали
Вы получили SMS об изменении пароля на аккаунте, который вы не меняли
В банковском приложении появились неизвестные транзакции

Если это произошло — действуйте немедленно:

Позвоните оператору (не пишите через мессенджер — звоните голосом) и сообщите об атаке. Попросите заблокировать текущую SIM
Позвоните в банк, заблокируйте карты и онлайн-банк
Используйте другое устройство или Wi-Fi вместо мобильной сети
Меняйте пароли через email, а не через SMS — ваши SMS сейчас читает злоумышленник

Как защититься: конкретные шаги

1. Установите PIN у мобильного оператора

Большинство операторов позволяют установить дополнительный PIN или кодовое слово, которое запрашивается при обращении в поддержку для любых изменений аккаунта. Это существенно усложняет атаку — злоумышленник не сможет переоформить SIM без знания PIN.

МТС: личный кабинет → Безопасность → Секретное слово
Билайн: личный кабинет → Управление → Безопасность
МегаФон: личный кабинет → Профиль → Безопасность
Tele2: личный кабинет → Настройки → Безопасный номер

Используйте PIN, не связанный с публичными данными — не дату рождения, не год рождения, не простые числа.

2. Откажитесь от SMS как метода 2FA на критических аккаунтах

Это самый важный шаг. SMS — наиболее уязвимый метод двухфакторной аутентификации. Замените его на:

TOTP-приложения (Google Authenticator, Authy, 2FAS, Microsoft Authenticator) — генерируют коды локально на устройстве каждые 30 секунд. Не зависят от номера телефона и сотовой сети. Даже при успешном SIM Swap злоумышленник не получит TOTP-коды без физического доступа к вашему телефону.

Аппаратные ключи (YubiKey, Google Titan Key) — физическое устройство, которое невозможно угнать удалённо. Максимальный уровень защиты. Особенно рекомендуется для криптовалютных бирж и корпоративных аккаунтов.

Passkeys — современный стандарт аутентификации без паролей и SMS. Использует биометрию устройства (Face ID, Touch ID). Поддерживается всё большим числом сервисов.

Email 2FA — лучше SMS, но хуже TOTP. Достаточно только если email защищён надёжным TOTP-приложением.

Для банков: проверьте, предлагает ли ваш банк аутентификацию через приложение (push-уведомления или TOTP) вместо SMS. Многие современные банки предлагают такую опцию в настройках безопасности.

3. Минимизируйте привязку важных аккаунтов к публичному номеру

Чем меньше сервисов знают ваш личный номер — тем меньше поверхность атаки. Логика защиты простая:

Ваш реальный номер знают только сервисы, которым он действительно нужен: банк, Госуслуги
Всё остальное — регистрируйте через виртуальные номера
Злоумышленник не может угнать ваш номер через данные сервиса, который знает только виртуальный номер, а не реальный

Подробнее о том, как виртуальные номера защищают приватность, читайте в статье Безопасность виртуальных номеров.

4. Будьте осторожны с публичной информацией о себе

Проверьте, что вы раскрываете:

Имя + дата рождения + номер телефона — этого достаточно для ряда операторов
Не публикуйте фотографии документов, посылок с адресом, купленных билетов
Используйте разные email для разных категорий сервисов
Проверьте и ужесточите настройки приватности во всех социальных сетях

Атакующие часто начинают именно с OSINT (разведки по открытым источникам) — чем меньше данных в открытом доступе, тем дороже обходится атака.

5. Включите уведомления от оператора

Настройте SMS/email-уведомления о любых изменениях в аккаунте: смена тарифа, запрос на замену SIM, вход в личный кабинет с нового устройства. Раннее уведомление об атаке даёт время на реакцию — позвонить оператору и заблокировать SIM до её использования.

6. Разделите номера по функциям

Эффективная стратегия — иметь разные номера для разных целей:

«Финансовый» номер — только для банков и критически важных сервисов. Нигде публично не указываете, не используете для регистраций в интернете. Злоумышленник не может угнать то, о чём не знает.

«Публичный» номер — для всех остальных регистраций. Или лучше — виртуальный номер для каждого конкретного сервиса.

Что делать, если атака уже произошла

Немедленно позвоните оператору (не пишите — звоните) и сообщите об атаке. Попросите заблокировать текущую SIM и восстановить контроль. Объясните, что произошёл несанкционированный перевыпуск SIM.
Позвоните в банк, заблокируйте карты и онлайн-банк. Не используйте SMS-функции банка, пока не восстановите контроль над номером.
Смените пароли на важных аккаунтах через каналы, не связанные с телефоном: через email или резервные коды.
Подайте заявление в полицию — это важно для дальнейших претензий к оператору, возможных страховых случаев и фиксации инцидента.
Проверьте все аккаунты, привязанные к этому номеру: почта, соцсети, маркетплейсы, государственные сервисы.
После восстановления контроля включите TOTP на всех важных аккаунтах — больше не полагайтесь на SMS.

Роль виртуальных номеров в системе защиты

Виртуальные номера — не панацея от SIM Swap, но важный элемент в системе защиты приватности.

Что виртуальные номера дают:

Реальный личный номер остаётся неизвестным большинству сервисов
Злоумышленник не может собрать ваш реальный номер из публичных источников (соцсети, утечки баз данных)
Аккаунты, верифицированные через виртуальный номер, не создают риска SIM Swap вашей реальной SIM через их данные
Множество регистраций с разными виртуальными номерами делают невозможным отслеживание вашей цифровой активности через один номер

Чего виртуальные номера не дают:

Одноразовые виртуальные номера не подходят для постоянного 2FA — используйте их для регистрации, а затем настраивайте TOTP
Не защищают аккаунты, которые уже привязаны к реальной SIM и где нельзя сменить метод 2FA

Правильная стратегия защиты:

Регистрируйте большинство сервисов через виртуальные номера SMSCode
Для важных сервисов, требующих реальный номер (банк, Госуслуги) — обязательно включайте TOTP, не оставайтесь на SMS
Реальный номер держите в максимальном секрете
Установите PIN у оператора как обязательный элемент

Реальные случаи SIM Swap: что произошло с жертвами

Понимание реальных инцидентов помогает оценить масштаб угрозы.

Дело Терпина (США, 2018). Майкл Терпин, криптовалютный предприниматель, потерял миллиона в результате SIM Swap через AT&T. Мошенники убедили сотрудника оператора перевести его номер. Терпин подал иск на миллионов — против AT&T (за халатность) и против злоумышленника (за саму атаку). Дело создало прецедент ответственности операторов.

Группа «The Community» (США, 2018–2019). Группа подростков из нескольких штатов провела серию SIM Swap атак на участников криптовалютного рынка. Суммарный ущерб превысил .4 миллиона. Всем фигурантам предъявлены уголовные обвинения.

Европейский случай (Великобритания, 2020–2021). Серия атак на состоятельных владельцев криптовалюты через компрометацию сотрудников операторов связи. Мошенники платили инсайдерам от £100 до £400 за каждый успешный перевыпуск SIM. Часть сотрудников операторов была привлечена к ответственности.

Ситуация в России. Российские операторы также фиксируют инциденты. МВД России квалифицирует SIM Swap как мошенничество по статье 159 УК РФ. Специфика российского рынка: злоумышленники нередко используют поддельные доверенности при личном визите в офис оператора.

Технические средства защиты: аппаратные ключи и Passkeys

Помимо TOTP-приложений, существуют более надёжные технологические решения.

Аппаратные ключи безопасности (YubiKey, Google Titan Key). Физическое USB/NFC-устройство, которое генерирует криптографическую подпись при входе. Невозможно угнать удалённо — злоумышленнику нужен физический ключ. Поддерживается Google, Microsoft, Coinbase, Binance, Twitter/X. Стоимость: –60.

Passkeys. Современный стандарт аутентификации (FIDO2), использующий биометрию или PIN-код устройства вместо паролей и SMS. Поддерживается Chrome, Safari, Windows Hello. Apple, Google и Microsoft активно внедряют Passkeys. Это будущее аутентификации — без паролей, без SMS, без уязвимости к SIM Swap.

Менеджеры паролей с интегрированным TOTP. Bitwarden, 1Password хранят и пароли, и TOTP-коды в зашифрованном хранилище. Это удобно, хотя хранить пароли и 2FA в одном месте менее безопасно, чем держать TOTP в отдельном приложении.

Мониторинг утечек. Have I Been Pwned (haveibeenpwned.com) — бесплатный сервис проверки email и номера телефона в известных базах данных утечек. Регулярная проверка поможет знать, если ваши данные попали в даркнет — это маркер повышенного риска SIM Swap.

Законодательная база: FCC, PSD2 и российские регуляторы

Регуляторные ответы на проблему SIM Swap в разных странах.

США (FCC, 2023). Федеральная комиссия по связи обязала операторов внедрить обязательную верификацию при запросе перевыпуска SIM: уведомлять клиента на email или через приложение перед выдачей новой SIM, а не после. Правила вступили в силу в 2024 году.

Европа (PSD2). Директива о платёжных услугах обязала банки использовать «строгую аутентификацию» (SCA) при онлайн-платежах. SMS-коды считаются соответствующими SCA, но регуляторы рекомендуют переход на более защищённые методы. Банки в ЕС активно внедряют аутентификацию через приложение вместо SMS.

Россия. Роскомнадзор и операторы связи разработали рекомендации по предотвращению несанкционированной замены SIM, однако жёсткого регуляторного стандарта пока нет. ЦБ России рекомендует банкам двигаться к аутентификации через push-уведомления вместо SMS.

Для пользователей практический вывод один: не ждите, пока операторы и регуляторы решат проблему — принимайте меры самостоятельно уже сейчас.

FAQ

Могут ли сделать SIM Swap с виртуальным номером?

Виртуальный номер — это не физическая SIM, поэтому классический SIM Swap через оператора к нему неприменим. Однако если виртуальный номер привязан к важным аккаунтам как единственный метод 2FA, злоумышленник теоретически может получить к нему доступ другими путями (взлом платформы виртуальных номеров, социальная инженерия). Поэтому виртуальные номера не рекомендуются для долгосрочного хранения доступа к критическим сервисам — используйте TOTP.

Несут ли операторы ответственность за SIM Swap?

В большинстве стран — ограниченно. Ряд судебных прецедентов в США обязал операторов выплатить компенсации жертвам. В России практика только формируется. Оператор может нести ответственность, если не соблюдал установленные процедуры верификации клиента при выдаче новой SIM.

TOTP-приложение значительно лучше, чем SMS для 2FA?

Да, принципиально лучше. TOTP-коды генерируются локально на устройстве и не зависят от сотовой сети. Даже при успешном SIM Swap злоумышленник получает контроль над вашим номером, но не получает TOTP-коды — они генерируются только на вашем физическом устройстве без интернета и без SMS.

Как часто нужно менять PIN у оператора?

Нет необходимости менять его регулярно — главное, чтобы PIN был установлен и не был очевидным. Менять стоит если есть основания думать, что кто-то мог его узнать, или после смены мобильного устройства, или после подозрительных обращений к оператору.

Защищает ли VPN от SIM Swap?

Нет. VPN шифрует интернет-трафик, но SIM Swap — это атака через социальную инженерию на службу поддержки оператора. Она не связана с вашим IP-адресом или интернет-трафиком. VPN не помогает от этой угрозы.

Можно ли застраховать себя от потерь при SIM Swap?

Ряд страховых компаний начинает предлагать страхование кибер-рисков, включая SIM Swap. В России этот продукт только появляется. Лучшая «страховка» — профилактика: TOTP-аутентификатор + PIN у оператора + разделение номеров по функциям. Это надёжнее любой страховки.

Что делать, если я потерял телефон и боюсь SIM Swap?

Немедленно позвоните оператору с другого устройства и заблокируйте SIM. Измените пароли на важных аккаунтах с другого устройства. Обратитесь в офис оператора с паспортом для восстановления SIM и убедитесь, что никто не пытался выпустить новую SIM на ваш номер в течение последних дней.

SIM Swap и криптовалюта: самые дорогостоящие случаи

Именно в сфере криптовалют SIM Swap атаки приносят наибольший ущерб. Несколько причин делают криптовладельцев особенно уязвимыми:

Необратимость транзакций. В отличие от банковских переводов, криптовалютные транзакции невозможно отменить. Если злоумышленник вывел биткоин с вашей биржи — вернуть его нельзя. Банк может заморозить перевод и инициировать возврат, биржа — нет.

Псевдоанонимность. Крипта создаёт иллюзию анонимности, из-за чего многие не принимают должных мер безопасности. При этом сами биржи требуют верификацию через SMS — что и создаёт уязвимость.

Публичная активность. Многие криптовладельцы активны в социальных сетях, указывают свои крипто-адреса публично и обсуждают размеры своих портфелей. Это делает их очевидными мишенями.

Самые крупные подтверждённые случаи SIM Swap в крипто-сфере: кражи на 24 миллиона долларов в одном инциденте в 2018 году, 45 миллионов в серии атак в 2019–2020 годах. Все жертвы использовали SMS как 2FA на биржах.

Рекомендации для криптовладельцев:

Для каждой биржи где хранятся значительные средства — включите TOTP (Google Authenticator или Authy), настройте белый список адресов вывода и задержку вывода на новые адреса (24–48 часов). Отключите SMS как метод верификации везде, где это возможно. Рассмотрите аппаратный ключ безопасности (YubiKey) для самых важных аккаунтов.

Социальная инженерия: как мошенники убеждают операторов

Понимание техник социальной инженерии помогает операторам и пользователям лучше защититься. Вот как мошенники на практике убеждают службу поддержки:

Сценарий «срочная ситуация». Мошенник звонит в возбуждённом состоянии: «Я только что потерял телефон, нахожусь за границей, мне нужно срочно восстановить номер — завтра важная встреча!» Психологическое давление срочности снижает критическое мышление сотрудника поддержки.

Сценарий «подготовленный клиент». Мошенник методично называет все персональные данные жертвы, которые ему удалось собрать: дата рождения, адрес, последние звонки, частично — СНИЛС или паспортные данные. Сотрудник видит «подготовленного» клиента и склонен доверять.

Сценарий «инсайдер». В некоторых случаях мошенники подкупают сотрудников оператора напрямую. Это реже, но такие случаи зафиксированы. Защита от этого — PIN/кодовое слово, которое сотрудник обязан запросить по регламенту.

Почему это работает: службы поддержки операторов испытывают давление метрик скорости обработки обращений. Сотрудник, который часто «затрудняет» клиентам получение помощи, получает плохие оценки. Это системное противоречие между клиентским сервисом и безопасностью.

Законодательное регулирование SIM Swap

В разных странах регуляторы начинают принимать меры против SIM Swap:

США. FCC в 2023 году приняла правила, обязывающие операторов использовать более надёжные методы верификации при запросах на перенос номера. Операторы теперь обязаны уведомлять клиентов о запросах на замену SIM по нескольким каналам.

Европейский союз. Директива PSD2 требует от финансовых учреждений многофакторной аутентификации, что снижает риск финансовых потерь при SIM Swap. Операторы обязаны вести журналы запросов на замену SIM.

Россия. Регулирование в области противодействия SIM Swap находится на начальном этапе. Роскомнадзор и ЦБ РФ обсуждают требования к операторам по верификации при замене SIM-карт, но конкретные стандарты пока не приняты. Ответственность операторов за мошеннические замены SIM-карт в российском законодательстве не определена чётко.

Это означает, что в России защита от SIM Swap остаётся преимущественно личной ответственностью пользователя — никто другой не обязан защищать вас от этой угрозы по закону.

Может ли eSIM защитить от SIM Swap?

eSIM снижает, но не устраняет риск SIM Swap. Физическую карту нельзя потерять, но профиль eSIM может быть переоформлен удалённо через оператора — теми же методами социальной инженерии, что и обычная SIM. В некоторых случаях eSIM даже упрощает атаку, так как не требует физического присутствия. Защита остаётся та же: PIN у оператора, TOTP-аутентификатор, минимизация привязки важных аккаунтов к телефонному номеру.

Может ли социальная инженерия обойти даже TOTP-аутентификатор?

Теоретически — да, через атаку в реальном времени (real-time phishing). Злоумышленник создаёт фишинговый сайт, перехватывает вводимый TOTP-код и использует его немедленно на настоящем сайте. Однако это значительно сложнее и требует одновременного присутствия жертвы. Аппаратный ключ (YubiKey) защищает и от этого — он проверяет домен сайта и не сработает на фишинговой странице.