SIM swap — также называется SIM-card hijacking или port-out fraud — это когда злоумышленник убеждает мобильного оператора передать номер телефона цели на SIM-карту, которую злоумышленник контролирует. Однажды успешно, каждый SMS и звонок, отправленный на этот номер, достигает злоумышленника. Оригинальный SIM умирает. Для любого аккаунта, защищённого SMS 2FA, это эквивалентно передаче второго фактора.

Как это реально работает в РФ

Злоумышленник собирает достаточно личной информации о цели (имя, адрес выставления счетов, последние четыре цифры паспорта, иногда суммы последних платежей), чтобы пройти проверку "верифицируйте свою идентичность" оператора. Они звонят оператору, заявляют о потерянном или повреждённом телефоне и запрашивают SIM swap на новый физический SIM, который злоумышленник имеет. С МТС, МегаФон, Билайн или Tele2 процесс может занять пятнадцать минут, если социальная инженерия компетентна.

Сбор личной информации — это лимитирующий шаг. Утечки данных российских банков 2022-2024 (Тинькофф, Сбер, Альфа в разной степени), утечка СДЭК 2024 и утечка Госуслуг 2023 предоставили именно тот тип идентифицирующей информации, которая питает SIM-swap атаки сегодня. Атака масштабируется с размером слитого датасета; SIM swap были устойчивой пяти-шестизначной ежемесячной категорией потерь в РФ с 2019 года.

Крипто-контекст

SIM swap особенно опасен для крипто-холдеров, потому что обходит SMS 2FA на каждой централизованной бирже, которая ещё разрешает. По данным Касперского, в 2024 году в РФ зафиксировано более 4 000 случаев SIM-swap с потерями свыше 800 миллионов рублей; криптовалюта была классом активов в большинстве случаев высокой стоимости.

Громкий случай 2024 года в Северном Бутово (Москва), где владелец стека на 4,7 миллиона рублей потерял всё через SIM-swap с МегаФон — атакующий сначала собрал PII через утечку Госуслуг, затем оформил порт через колл-центр под предлогом потери телефона, затем сбросил Bybit-пароль через email и SMS-восстановление.

Что реально защищает

Три слоя, ранжированные по эффективности:

Первое, откажитесь от SMS 2FA на каждом биржевом аккаунте. Замените на TOTP (Google Authenticator, Authy, Яндекс.Ключ) как минимум, аппаратный ключ (YubiKey) или Passkey идеально. Это полностью ломает атаку для SIM-swap-уязвимых аккаунтов.

Второе, настройте carrier-side port-out защиту. МТС "Запрет на изменения договора", МегаФон "Защита номера", Билайн "Защита от мошенничества" — все доступны, все недоиспользованы. Они добавляют пароль или PIN, который должен быть представлен перед обработкой port-out; злоумышленник теперь нуждается в пароле в дополнение к остальному вводу социальной инженерии.

Третье, используйте отдельный номер для восстановления аккаунтов высокой стоимости. Второй SIM (купленный анонимно, не привязанный к Госуслугам), используемый только для крипто-аккаунтов и никогда публично ассоциированный с вами. Это значительно поднимает планку, потому что злоумышленник должен сначала обнаружить, какой номер контролирует какой аккаунт.

Что делать в первый час после SIM swap

Если ваш телефон внезапно теряет сигнал в контексте, где не должен (без режима полёта, нормальное cell покрытие, телефон перезапускается и SIM больше не регистрируется), предполагайте SIM swap. С любого другого устройства:

  1. Заблокируйте каждый CEX-аккаунт немедленно — смените пароли, отключите SMS 2FA, установите withdrawal whitelist.
  2. Заблокируйте email-аккаунты (Gmail, Яндекс) — смените пароли, отзовите активные сессии.
  3. Позвоните оператору с другого телефона — отмените SIM swap, настройте port-out защиту.
  4. Подайте заявление в Кибер-полицию — это важно для страховых претензий и любого последующего гражданского иска. По ст. 159.6 УК РФ "мошенничество в сфере компьютерной информации" SIM-swap может квалифицироваться.

Дополнительное чтение: 2FA, Правда о 2FA, Passkey.