Краткий ответ

"Взломано" преувеличивает. SMS 2FA не сломан криптографически — сам 6-значный код остаётся секретным для пользователя-получателя. Атака — на SIM-карту: SIM-swap атаки убеждают мобильного оператора передать ваш номер на SIM, контролируемую атакующим, после чего SMS-коды идут к ним. По данным Касперского, в РФ в 2024 году зафиксировано свыше 4 000 SIM-swap случаев с потерями более 800 млн ₽ в крипте; фактическое число вероятно 5-10× выше, потому что большинство случаев не репортируется.

Как работает SIM-swap

Атакующий собирает PII о вас — имя, адрес, паспортные данные, последние суммы платежей — из утечки или социальной инженерии. Они звонят оператору (МТС, МегаФон, Билайн, Tele2), заявляют о потерянном телефоне, запрашивают SIM-swap на новую карту. С достаточным PII оператор соглашается.

В течение минут ваш телефон теряет сигнал. SIM атакующего теперь получает все SMS и голосовые звонки, предназначенные вашему номеру. Они идут в ваш банк, биржу, email-сервис — запрашивают сброс пароля через SMS — получают код на свою SIM, захватывают аккаунт.

Почему это специфическая крипто-проблема

Крипто-биржи, использующие SMS 2FA, уязвимы способом, которым банки нет, потому что:

  1. Withdrawal адрес может быть новым, attacker-controlled кошельком — средства пропали немедленно
  2. Транзакции необратимы — нет chargeback, нет fraud-реверса
  3. Долларовые суммы per-атака выше — средняя крипто SIM-swap потеря в РФ 2024 была 800 000 ₽

Банки реверсят мошеннические транзакции; крипто-биржи возвращают средства только по своему усмотрению (редко).

Защиты, ранжированные

1. Полностью откажитесь от SMS 2FA. Замените на TOTP (Google Authenticator, Authy, Яндекс.Ключ), Passkey или аппаратный security key (YubiKey). Это устраняет весь attack vector. Каждая крупная биржа поддерживает как минимум TOTP.

2. Carrier-side port-out защита. МТС "Запрет на изменения договора", МегаФон "Защита номера", Билайн "Защита от мошенничества" — все доступны, все недоиспользованы. Они добавляют пароль или PIN, требуемый перед SIM swap. Объём атак 2023 года резко упал бы, если бы они были универсально включены.

3. Отдельный телефон для крипты. Вторичный номер, использованный только для крипто-биржевых аккаунтов, без публичной ассоциации с вами. Купленный анонимно через посредника, не привязанный к Госуслугам.

Что фактически происходит у российских операторов в 2026

Утечки данных МТС 2022 и Билайн 2023 экспонировали миллионы клиентских записей к potential SIM-swap targeting. Операторы говорят, что улучшили port-out верификацию; статистика Касперского показывает, что инциденты SIM-swap продолжаются на рекордных уровнях.

Утечки Госуслуг 2023 и СДЭК 2024 предоставили дополнительный PII для атакующих.

Bottom line: не доверяйте оператору защищать ваш телефонный номер. Используйте 2FA методы, не полагающиеся на телефонный номер вообще.

Дополнительное чтение: SIM Swap, 2FA, Правда о 2FA.