Открыть сервис

SIM-swap

SIM-свап (от англ. SIM swap — замена SIM-карты) — это вид мошенничества, при котором злоумышленник, используя социальную инженерию или уязвимости в процедурах идентификации, добивается от оператора сотовой связи переноса номера телефона жертвы на новую SIM-карту, находящуюся под его контролем. В результате атакующий получает доступ к SMS-сообщениям и звонкам, предназначенным для жертвы, что позволяет ему обойти двухфакторную аутентификацию (2FA) и получить контроль над банковскими счетами, аккаунтами в социальных сетях, криптовалютными кошельками и другими онлайн-сервисами.

История

Случаи SIM-свапа стали фиксироваться с начала 2010-х годов, по мере распространения двухфакторной аутентификации через SMS. Первые громкие инциденты были связаны с кражей криптовалют: в 2016 году хакеры использовали SIM-свап для взлома аккаунтов пользователей биржи Bitcoin. В последующие годы количество атак росло параллельно с популярностью криптовалют и цифровых финансовых услуг.

В России первые массовые случаи SIM-свапа были отмечены в 2019–2020 годах. По данным Центрального банка РФ, в 2021 году объём хищений с использованием методов социальной инженерии, включая SIM-свап, превысил 10 миллиардов рублей. В 2022 году МВД России зафиксировало рост числа преступлений, совершённых с использованием SIM-свапа, на 30% по сравнению с предыдущим годом.

Механизм атаки

SIM-свап обычно реализуется в несколько этапов:

  1. Сбор информации. Злоумышленник собирает персональные данные жертвы: паспортные данные, дату рождения, адрес, информацию о банковских картах, номера счетов. Источниками служат утечки баз данных, фишинговые сайты, социальные сети, а также данные, полученные через вредоносное ПО.
  1. Взлом или обман оператора. Атакующий связывается с колл-центром оператора связи или посещает салон связи, выдавая себя за жертву. Используя собранные данные, он проходит процедуру идентификации и заявляет о потере или неисправности SIM-карты, требуя её замены. В некоторых случаях используются поддельные доверенности или подкуп сотрудников оператора.
  1. Перевыпуск SIM-карты. Оператор блокирует старую SIM-карту и активирует новую, которая оказывается у злоумышленника. Жертва теряет доступ к своему номеру телефона.
  1. Сброс паролей. Получив контроль над номером, атакующий использует функцию «забыли пароль» на сайтах банков, криптобирж, электронной почты и других сервисов. Код подтверждения, отправленный по SMS, приходит на SIM-карту злоумышленника, что позволяет ему сменить пароль и получить доступ к аккаунту.
  1. Вывод средств. После получения доступа к финансовым сервисам злоумышленник переводит деньги на свои счета или обналичивает их через подставных лиц (дропов).

Методы защиты

Для пользователей

  • Использование аппаратных ключей безопасности (например, YubiKey, Trezor) вместо SMS для двухфакторной аутентификации.
  • Применение приложений-аутентификаторов (Google Authenticator, Authy, Microsoft Authenticator), которые генерируют одноразовые коды локально на устройстве.
  • Установка PIN-кода на SIM-карту (SIM-пин) — при каждой перезагрузке телефона или установке SIM-карты в другое устройство требуется ввод кода.
  • Использование отдельных номеров для финансовых операций и для повседневного общения.
  • Ограничение публикации личных данных в социальных сетях.
  • Подключение услуги «запрет перевыпуска SIM-карты без личного присутствия» у оператора связи (доступна у некоторых российских операторов).

Для операторов связи

  • Ужесточение процедур идентификации при замене SIM-карты: обязательное личное присутствие, проверка паспорта по базе МВД, биометрическая верификация.
  • Внедрение систем автоматического выявления подозрительных запросов (например, массовые запросы на замену с одного IP-адреса, запросы на номера, недавно менявшие владельца).
  • Уведомление абонента о любых изменениях, связанных с SIM-картой, через альтернативные каналы (электронная почта, push-уведомления в приложении).

Для финансовых организаций

  • Отказ от SMS как единственного метода двухфакторной аутентификации.
  • Внедрение поведенческого анализа транзакций и блокировка подозрительных операций.
  • Использование биометрической верификации (голос, лицо, отпечаток пальца) для подтверждения критических операций.

Известные случаи

В 2020 году в США группа хакеров, известная как «The SIM Swappers», похитила криптовалюты на сумму более 100 миллионов долларов, используя SIM-свап для взлома аккаунтов на биржах Coinbase, Kraken и Gemini. В 2021 году в России была раскрыта группировка, совершившая SIM-свап-атаки на клиентов банка «Тинькофф» (ныне — Т-Банк) и «Сбербанка», похитившая более 50 миллионов рублей. В 2022 году жертвой SIM-свапа стал известный предприниматель Илон Маск, чей аккаунт в Twitter (социальная сеть X) был временно взломан для продвижения криптовалютной аферы.

Правовое регулирование

В России SIM-свап квалифицируется как мошенничество (ст. 159 УК РФ) или кража (ст. 158 УК РФ), в зависимости от обстоятельств. В 2023 году Госдума РФ рассматривала законопроект, обязывающий операторов связи вводить обязательную биометрическую верификацию при замене SIM-карты, однако на начало 2025 года закон не принят. В США SIM-свап регулируется на уровне штатов: в Калифорнии, Техасе и Нью-Йорке приняты законы, требующие от операторов усиления мер безопасности. В Европейском союзе действует директива PSD2, которая обязывает банки использовать многофакторную аутентификацию, не основанную только на SMS.

Критика

Основной недостаток существующих мер защиты — их фрагментарность. Операторы связи часто не заинтересованы в ужесточении процедур, так как это снижает удобство обслуживания и увеличивает нагрузку на колл-центры. Банки и криптобиржи, в свою очередь, не могут контролировать процессы у операторов. Пользователи, особенно пожилые люди, часто игнорируют рекомендации по безопасности, считая SIM-свап маловероятным. Эксперты отмечают, что единственным надёжным способом защиты является полный отказ от SMS как канала аутентификации, но это требует масштабной миграции на аппаратные ключи или биометрию, что пока не реализовано в массовом масштабе.

Источники

  • Отчёт Центрального банка РФ «Обзор мошеннических операций с использованием методов социальной инженерии» за 2021 год.
  • Материалы МВД России по уголовным делам о кибермошенничестве (2022–2023).
  • Публикации Лаборатории Касперского о методах SIM-свапа (2020–2024).
  • Статья «SIM Swap Fraud: A Growing Threat» в журнале «IEEE Security & Privacy» (2022).
  • Данные Федеральной торговой комиссии США (FTC) о жалобах на SIM-свап (2021–2023).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →