Коротка відповідь
"Зламано" перебільшує. SMS 2FA не зламано криптографічно — сам 6-значний код залишається секретним для користувача-отримувача. Атака — на SIM-картку: атаки SIM-swap переконують мобільного оператора передати ваш номер на SIM, яку атакуючий контролює, після чого SMS-коди йдуть до них. В Україні Кіберполіція зафіксувала понад 800 випадків SIM-swap у 2024 році з втратами понад 320 мільйонів гривень.
Як працює SIM-swap
Атакуючий збирає достатньо PII про вас — ім'я, адресу, паспортні дані, останні суми платежів — з витоку або соціальної інженерії. Вони дзвонять оператору (Kyivstar, Vodafone Ukraine, lifecell), заявляють про загублений телефон, запитують SIM-swap на нову картку.
Протягом хвилин ваш телефон втрачає сигнал. SIM атакуючого тепер отримує всі SMS і голосові дзвінки.
Чому це специфічна крипто-проблема
Крипто-біржі, що використовують SMS 2FA, вразливі способом, яким банки ні:
- Withdrawal адрес може бути новим, attacker-controlled гаманцем — кошти пропали миттєво
- Транзакції незворотні — немає chargeback, немає fraud-реверсу
- Доларові суми per-атака вищі
Контекст атаки на Kyivstar 2023
Грудень 2023: російська група Solntsepek провела руйнівну атаку на Kyivstar, вимкнувши мобільні послуги для 24 мільйонів абонентів на 5 днів. Це показало, наскільки вразливою є телеком-інфраструктура — SMS 2FA не лише вразливий через SIM-swap, а й через атаки на саму інфраструктуру.
Захисти, ранжовані
1. Повністю відмовтесь від SMS 2FA. Замініть на TOTP (Google Authenticator, Authy), Passkey або апаратний security key (YubiKey). Це повністю ламає attack vector.
2. Carrier-side port-out захист. Kyivstar "Захист від портабельності", Vodafone "Безпечна СІМ", lifecell "Захист номера" — усі доступні.
3. Окремий телефон для крипти. Вторинний номер, використовуваний лише для крипто-акаунтів і ніколи публічно асоційований з вами.
Bottom line
Не довіряйте оператору захищати ваш телефонний номер. Використовуйте 2FA методи, що не покладаються на телефонний номер взагалі.
Подальше читання: SIM Swap, 2FA, Правда про 2FA.