SIM-swapping
SIM-сваппинг (от англ. SIM swapping, SIM swap attack — атака с заменой SIM-карты) — это вид мошенничества, при котором злоумышленник, используя методы социальной инженерии и уязвимости в процедурах идентификации абонентов, добивается переноса телефонного номера жертвы на новую SIM-карту, находящуюся в его распоряжении. В результате атакующий получает контроль над входящими звонками и SMS-сообщениями, что позволяет ему обойти двухфакторную аутентификацию (2FA) и получить доступ к банковским счетам, аккаунтам в социальных сетях, электронной почте и другим критически важным цифровым сервисам жертвы.
История
Первые упоминания о SIM-сваппинге как о целенаправленном виде атак относятся к началу 2010-х годов. С ростом популярности двухфакторной аутентификации, основанной на SMS-кодах, мошенники начали искать способы её обхода. Первоначально атаки были точечными и требовали личного визита в салон сотовой связи с поддельными документами. С развитием цифровых каналов обслуживания (колл-центры, онлайн-чаты, мобильные приложения операторов) методы атак усовершенствовались, и злоумышленники стали чаще использовать социальную инженерию для обхода процедур проверки.
Значительный рост числа атак на SIM-сваппинг был зафиксирован в середине 2010-х годов, что совпало с массовым внедрением двухфакторной аутентификации в банковских приложениях и криптовалютных биржах. В 2019 году Федеральное бюро расследований США (FBI) выпустило предупреждение о росте числа жертв SIM-сваппинга, чьи финансовые потери исчислялись миллионами долларов. В России проблема также получила распространение: по данным Центрального банка РФ, в 2020-2023 годах фиксировался рост жалоб на несанкционированный перевыпуск SIM-карт.
Механизм атаки
Процесс SIM-сваппинга обычно включает несколько этапов:
- Сбор информации о жертве. Злоумышленник собирает открытые данные (из социальных сетей, утечек баз данных, фишинговых писем) или покупает их на теневых форумах. Цель — получить персональные данные, необходимые для прохождения идентификации у оператора связи: ФИО, дата рождения, паспортные данные, адрес регистрации, а также ответы на контрольные вопросы (например, девичья фамилия матери).
- Инициирование запроса на замену SIM-карты. Атакующий связывается с оператором сотовой связи одним из способов:
- Звонок в колл-центр: мошенник представляется абонентом и заявляет о потере или неисправности SIM-карты, просит заблокировать старую и выпустить новую. Для подтверждения личности он называет собранные данные.
- Визит в салон связи: атакующий предъявляет поддельный паспорт или использует подставное лицо.
- Онлайн-заявка: через личный кабинет или мобильное приложение оператора, если удаётся взломать учётную запись жертвы.
- Перенос номера. Оператор, удовлетворив запрос, деактивирует старую SIM-карту жертвы и активирует новую, которая находится у злоумышленника.
- Перехват контроля. Жертва теряет связь (телефон перестаёт ловить сеть), а все SMS и звонки начинают поступать на устройство мошенника. Атакующий использует это для сброса паролей и входа в аккаунты жертвы через SMS-коды.
Классификация методов
Методы SIM-сваппинга можно классифицировать по способу получения доступа к процедуре замены SIM-карты:
- Социальная инженерия: наиболее распространённый метод. Атакующий манипулирует сотрудником службы поддержки оператора, используя психологические приёмы и собранные данные. Включает в себя «вишинг» (голосовой фишинг) и претекстинг (создание правдоподобной легенды).
- Инсайдерские атаки: злоумышленник вступает в сговор с сотрудником оператора связи, который за вознаграждение проводит замену SIM-карты без надлежащей проверки.
- Использование уязвимостей в процедурах: атакующий находит слабые места в алгоритмах идентификации оператора (например, возможность подтвердить личность только по номеру договора или дате рождения, которые легко узнать).
- Физический доступ: кража или временное завладение паспортом жертвы для визита в салон связи.
Последствия для жертвы
Последствия SIM-сваппинга могут быть катастрофическими, так как злоумышленник получает доступ к основному каналу связи жертвы:
- Финансовые потери: кража денег с банковских счетов, списание средств с кредитных карт, оформление кредитов на имя жертвы, вывод средств с криптовалютных кошельков и бирж.
- Угон аккаунтов: потеря доступа к социальным сетям, мессенджерам, электронной почте. Эти аккаунты могут быть использованы для мошенничества от имени жертвы (рассылка сообщений с просьбой о деньгах, фишинг).
- Кража личных данных: доступ к облачным хранилищам, где могут храниться сканы документов, фотографии, переписка.
- Репутационный ущерб: публикация компрометирующих материалов от имени жертвы.
Методы защиты
Для снижения риска стать жертвой SIM-сваппинга рекомендуется:
- Использовать альтернативные методы 2FA: по возможности отказываться от SMS-кодов в пользу аппаратных ключей безопасности (например, YubiKey), TOTP-приложений (Google Authenticator, Authy) или push-уведомлений.
- Установить дополнительный пароль у оператора: многие операторы связи предоставляют возможность установить «кодовое слово» или PIN-код, который необходимо назвать при любом обращении в поддержку. Это серьёзно усложняет социальную инженерию.
- Ограничить публичную информацию: не публиковать в открытом доступе полные паспортные данные, дату рождения, адрес, номера телефонов.
- Использовать отдельный номер для 2FA: завести отдельную SIM-карту, которая не используется для звонков и не привязана к социальным сетям, и использовать её исключительно для получения кодов подтверждения от банков и критически важных сервисов.
- Быть внимательным к подозрительной активности: немедленно реагировать на внезапную потерю связи (телефон перестал ловить сеть при нормальном покрытии) и сообщать об этом оператору.
- Использовать eSIM: в некоторых случаях eSIM (встроенная SIM-карта) сложнее поддаётся замене злоумышленниками, так как процедура перевыпуска часто требует дополнительной верификации через устройство жертвы.
Юридические аспекты и ответственность
В России SIM-сваппинг квалифицируется как мошенничество (ст. 159 УК РФ) или неправомерный доступ к компьютерной информации (ст. 272 УК РФ), в зависимости от обстоятельств. Операторы связи несут ответственность за ненадлежащее выполнение процедур идентификации абонентов, установленных Федеральным законом «О связи» и правилами оказания услуг телефонной связи. В случае доказанного факта халатности сотрудника или нарушения регламента, пострадавший может взыскать ущерб с оператора в судебном порядке. Однако на практике судебные разбирательства сложны, и операторы часто ссылаются на действия третьих лиц (мошенников).
Известные случаи
Одним из самых громких случаев SIM-сваппинга стала атака на сооснователя компании Twitter Джека Дорси в 2019 году. Злоумышленники, используя уязвимости оператора связи, перехватили его номер и опубликовали оскорбительные сообщения в его аккаунте. В 2020 году группа подростков из США, используя SIM-сваппинг, взломала аккаунты известных личностей (Илон Маск, Билл Гейтс, Канье Уэст) и провела криптовалютную аферу, похитив более 100 тысяч долларов. В России в 2022 году была зафиксирована серия атак на клиентов крупных банков, где мошенники, используя поддельные доверенности, перевыпускали SIM-карты и выводили средства с депозитов.
Источники
- Федеральный закон «О связи» от 07.07.2003 N 126-ФЗ.
- «Правила оказания услуг телефонной связи», утверждённые Постановлением Правительства РФ от 09.12.2014 N 1342.
- Отчёты Центрального банка РФ о мошеннических операциях с использованием методов социальной инженерии.
- Публикации Федерального бюро расследований (FBI) о предупреждении SIM-своппинга (Public Service Announcement, 2019).
- Материалы расследований киберпреступлений, опубликованные компаниями Group-IB и Positive Technologies.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →