Открыть сервис

SIM-свопинг

SIM-свопинг (от англ. SIM swapping, SIM swap scam) — это вид мошенничества, при котором злоумышленник, используя социальную инженерию или технические уязвимости, добивается переноса абонентского номера жертвы на новую SIM-карту, находящуюся в его распоряжении. В результате атакующий получает доступ к SMS-сообщениям и звонкам, предназначенным для жертвы, что позволяет обойти двухфакторную аутентификацию (2FA) и получить контроль над банковскими счетами, аккаунтами в социальных сетях, криптовалютными кошельками и другими цифровыми сервисами.

История и распространение

Первые случаи SIM-свопинга были зафиксированы в начале 2010-х годов, одновременно с массовым внедрением двухфакторной аутентификации через SMS. Мошенники быстро осознали, что привязка аккаунтов к номеру телефона создаёт уязвимость: если злоумышленник получает контроль над номером, он может сбросить пароли и войти в учётные записи.

В 2017—2019 годах произошёл резкий рост числа атак в США и Европе. По данным Федеральной торговой комиссии США (FTC), только в 2020 году было зарегистрировано более 20 000 жалоб на SIM-свопинг, а общий ущерб превысил 68 миллионов долларов. В 2021 году эта цифра выросла до 100 миллионов долларов. В России аналогичные схемы стали активно применяться с 2020 года, хотя точная статистика потерь не публикуется.

Механизм атаки

Социальная инженерия

Основной метод — звонок от имени жертвы в службу поддержки мобильного оператора. Мошенник, используя заранее собранные персональные данные (паспортные данные, адрес, дату рождения, ответы на секретные вопросы), убеждает сотрудника оператора перенести номер на новую SIM-карту. В некоторых случаях злоумышленники подкупают или вступают в сговор с сотрудниками операторов.

Технические методы

  • Фишинг — получение данных через поддельные сайты или сообщения.
  • Утечки данных — использование баз данных, содержащих паспортные и контактные данные клиентов операторов.
  • Вредоносное ПО — перехват SMS-сообщений на устройстве жертвы (в этом случае замена SIM не требуется, но цель аналогична).

Этапы атаки

  1. Сбор информации — мошенник узнаёт номер телефона жертвы, её провайдера, а также личные данные (часто через утечки или социальные сети).
  2. Инициирование замены — злоумышленник связывается с оператором, представляясь жертвой, и запрашивает замену SIM-карты.
  3. Перехват номера — после успешной замены SIM-карта жертвы перестаёт работать, а все звонки и SMS поступают на устройство мошенника.
  4. Сброс паролей — используя доступ к SMS, злоумышленник восстанавливает доступ к аккаунтам жертвы (банкам, электронной почте, соцсетям).
  5. Кража средств — мошенник выводит деньги со счетов, переводит криптовалюту или совершает покупки.

Виды и цели атак

Финансовое мошенничество

Самая распространённая цель — доступ к банковским счетам. После получения SMS с кодом подтверждения злоумышленник может перевести деньги, оформить кредит или изменить реквизиты.

Криптовалютные атаки

Владельцы криптовалютных кошельков становятся частыми целями, так как многие биржи используют SMS-аутентификацию. Известны случаи хищения миллионов долларов в биткоинах через SIM-свопинг.

Кража аккаунтов в социальных сетях

Мошенники могут захватить аккаунт для шантажа, распространения спама или продажи «красивого» имени пользователя (например, короткие никнеймы в Instagram или Twitter).

Компрометация корпоративных систем

Если номер телефона жертвы привязан к корпоративной почте или VPN, атака может привести к утечке конфиденциальных данных.

Защита от SIM-свопинга

Для пользователей

  • Использование альтернативных методов 2FA — замена SMS-кодов на аутентификаторы (Google Authenticator, Authy), аппаратные ключи (YubiKey) или биометрию.
  • Установка PIN-кода или пароля для SIM-карты — на большинстве операторов можно установить дополнительный пароль, который требуется при смене SIM.
  • Ограничение публичной информации — не публиковать в открытом доступе номер телефона, паспортные данные, адрес.
  • Мониторинг активности — регулярная проверка банковских счетов, подключение уведомлений о любых изменениях.
  • Использование виртуальных номеров — для регистрации на второстепенных сервисах можно использовать временные или виртуальные номера.

Для мобильных операторов

  • Многофакторная аутентификация при замене SIM — запрос не только паспортных данных, но и дополнительных кодов, биометрии или личного визита в офис.
  • Задержка на перенос номера — введение временной задержки (например, 24 часа) перед активацией новой SIM-карты, чтобы пользователь мог заметить проблему.
  • Обучение сотрудников — тренинги по выявлению попыток социальной инженерии.
  • Уведомления — отправка SMS и push-уведомлений на старый номер о запросе замены SIM.

Известные случаи

  • 2020 год, США — жертвой SIM-свопинга стал Майкл Терпин, бывший генеральный директор Twitter. Мошенники получили доступ к его криптовалютному кошельку и украли около 1 миллиона долларов.
  • 2021 год, Россия — в СМИ сообщалось о серии атак на клиентов банков, где злоумышленники через подставных сотрудников операторов меняли SIM-карты и выводили деньги. Точные суммы не раскрывались.
  • 2022 год, Европа — группа хакеров, известная как «The SIM Swappers», атаковала более 50 человек, включая предпринимателей и знаменитостей, похитив криптовалюту на сумму около 5 миллионов долларов.

Критика и юридические аспекты

SIM-свопинг критикуется за то, что ответственность за безопасность часто перекладывается на пользователя, тогда как операторы связи не всегда внедряют достаточные меры защиты. В ряде стран (например, в США и Великобритании) пострадавшие подавали иски к операторам, выигрывая дела о возмещении ущерба.

В России ответственность за SIM-свопинг наступает по статье 159 УК РФ («Мошенничество»), а также по статье 272 УК РФ («Неправомерный доступ к компьютерной информации»). Однако на практике привлечь злоумышленников сложно из-за анонимности и использования подставных SIM-карт.

Источники

  • Федеральная торговая комиссия США (FTC), отчёты о мошенничестве за 2020—2022 годы.
  • Материалы расследований Group-IB (российская компания в сфере кибербезопасности) за 2021—2023 годы.
  • Публикации «Лаборатории Касперского» по теме SIM-свопинга и социальной инженерии.
  • Статьи в издании «Коммерсантъ» о случаях мошенничества с SIM-картами в России (2021—2022).
  • Материалы судебных дел в США (например, Terpin v. AT&T).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →