SIM-swap

SIM-swap (подмена SIM-карты) — социнженерная атака, при которой мошенник убеждает оператора связи (МТС, Билайн, МегаФон, Tele2 в РФ) выпустить дубликат SIM-карты жертвы на новый чип. После активации атакующего жертва теряет связь, а все SMS — включая 2FA-коды и push для входа в банк/биржу — приходят атакующему.

Как происходит

1. Атакующий собирает данные жертвы: ФИО, паспорт, дата рождения, девичья фамилия матери, последние операции — обычно из утечек баз или фишинга.
2. Приходит в офис оператора (или звонит в поддержку) под именем жертвы. Заявляет «потерял телефон, выпустите дубликат SIM на эту физическую карту».
3. Сотрудник оператора запрашивает паспорт (часто хватает скана или копии), кодовое слово, последние номера на которые звонили.
4. Если социнжeнерия удалась — SIM-карта жертвы блокируется, новая активируется у атакующего.
5. Жертва теряет связь.
6. Атакующий заходит в email через «forgot password → SMS code», получает код. Получает доступ к почте.
7. Заходит на биржу, делает «forgot password» там — приходит код на email + SMS-2FA на ту же подменённую SIM. Получает полный контроль.
8. Выводит крипту в течение 30-60 минут.

Главные исторические кейсы

• Michael Terpin (2018) — основатель Transform Group, потерял $24 млн крипты через SIM-swap. Подал в суд на AT&T.
• Twitter-хак (июль 2020) — SIM-swap начинающее звено в захвате аккаунтов Илона Маска, Барака Обамы, Apple. Мошенники собрали $120к в BTC через скам.
• Сотни менее громких случаев в 2020-2024 — теряли по $100к — $5 млн.

В РФ

В России атаки происходят регулярно. Особенно уязвимы:

• Номера в офисах МТС/Билайн в провинциальных городах с слабым обучением сотрудников.
• Корпоративные номера — иногда выпускают по доверенности.
• Номера, привязанные к нескольким онлайн-сервисам (банки + биржи + email).

Защита

Главное правило

Никогда не использовать SMS как 2FA для крипто-аккаунтов. Только TOTP (Google Authenticator, Authy) или hardware-key (YubiKey).

Дополнительные меры

1. Поставить пароль на SIM у оператора. В МТС / Билайне можно установить «кодовое слово» — без него никаких операций по SIM не выполняется. Запомнить и не светить.
2. Запрет на дубликаты SIM удалённо. Многие операторы дают опцию «выпуск дубликата SIM только при личном визите с паспортом + 2 свидетеля».
3. Отдельный номер только для крипты. Не светите его в соцсетях / на сайтах. Не используйте для повседневных дел.
4. Email — отдельный, без публичной известности. Не тот же что в LinkedIn / Telegram.
5. eSIM более устойчив — выпуск через QR-код требует личного присутствия с паспортом.
6. Hardware-key (YubiKey) для критичных аккаунтов биржи — не пробивается через SMS вообще.

Признаки атаки

Внезапная потеря связи, SIM не работает «не определена сетью», звонки не проходят — немедленно позвонить оператору с другого номера, заблокировать SIM, проверить email/биржевые аккаунты.

См. также: 2FA, фишинг, приватный ключ.