SIM swap — також зветься SIM-card hijacking або port-out fraud — це коли зловмисник переконує мобільного оператора передати номер телефона цілі на SIM-картку, яку зловмисник контролює. Одного разу успішно, кожен SMS і дзвінок, відправлений на цей номер, досягає зловмисника. Оригінальний SIM помирає. Для будь-якого акаунта, захищеного SMS 2FA, це еквівалентно передачі другого фактора.

Як це реально працює в Україні

Зловмисник збирає достатньо особистої інформації про ціль (ім'я, адреса виставлення рахунків, останні чотири цифри паспорта, іноді суми останніх платежів), щоб пройти перевірку "верифікуйте свою особистість" оператора. Вони дзвонять оператору, заявляють про втрачений або пошкоджений телефон і запитують SIM swap на новий фізичний SIM, який зловмисник має. З Kyivstar, Vodafone Ukraine або lifecell процес може зайняти п'ятнадцять хвилин, якщо соціальна інженерія компетентна.

Збір особистої інформації — це лімітуючий крок. Хакерська атака на Kyivstar у грудні 2023 року (5 днів простою, 24 мільйони абонентів постраждали, можливо вкрадені дані абонентів) і витоки даних Дії та інших державних реєстрів 2022-2024 надали саме той тип ідентифікуючої інформації, що живить SIM-swap атаки сьогодні.

Крипто-контекст

SIM swap особливо небезпечний для крипто-голдерів, тому що обходить SMS 2FA на кожній централізованій біржі, яка ще дозволяє. Реальний кейс 2024 року: голдер з Подолу (Київ) втратив 47 ETH через SIM-swap з lifecell — атакуючий спочатку зібрав PII через витік Дії, потім оформив порт через колл-центр під приводом втрати телефона, потім скинув пароль Bybit через email і SMS-відновлення.

За даними Кіберполіції, у 2024 році в Україні зафіксовано понад 800 випадків SIM-swap з втратами понад 320 мільйонів гривень; криптовалюта була класом активів у більшості випадків високої вартості.

Що реально захищає

Три шари, ранжовані за ефективністю:

Перше, відмовтесь від SMS 2FA на кожному біржовому акаунті. Замініть на TOTP (Google Authenticator, Authy) як мінімум, апаратний ключ (YubiKey) або Passkey ідеально. Це повністю ламає атаку для SIM-swap-вразливих акаунтів.

Друге, налаштуйте carrier-side port-out захист. Kyivstar "Захист від портабельності", Vodafone "Безпечна СІМ", lifecell "Захист номера" — всі доступні, всі недовикористані. Вони додають пароль або PIN, що має бути представлений перед обробкою port-out; зловмисник тепер потребує пароль на додаток до решти вводу соціальної інженерії.

Третє, використовуйте окремий номер для відновлення акаунтів високої вартості. Другий SIM (куплений анонімно, не прив'язаний до Дії), що використовується лише для крипто-акаунтів і ніколи публічно асоційований з вами. Це значно піднімає планку.

Що робити в першу годину після SIM swap

Якщо ваш телефон раптово втрачає сигнал у контексті, де не повинен (без режиму польоту, нормальне cell покриття, телефон перезапускається і SIM більше не реєструється), припускайте SIM swap. З будь-якого іншого пристрою:

  1. Заблокуйте кожен CEX-акаунт негайно — змініть паролі, відключіть SMS 2FA, встановіть withdrawal whitelist.
  2. Заблокуйте email-акаунти (Gmail, Outlook, Ukr.net) — змініть паролі, відкличте активні сесії.
  3. Подзвоніть оператору з іншого телефона — скасуйте SIM swap, налаштуйте port-out захист.
  4. Подайте заяву до Кіберполіції (вул. Богомольця 10, Київ або через cybercrime.gov.ua) — це важливо для страхових претензій і будь-якого подальшого цивільного позову. За ст. 190 ККУ "шахрайство" і ст. 361 "несанкціоноване втручання в роботу комп'ютерних систем" SIM-swap може кваліфікуватися.

Подальше читання: 2FA, Правда про 2FA, Passkey.