SIM swapping — что это такое, как работает атака и как защититься

Если коротко, SIM swapping — это когда злоумышленники оформляют «перевыпуск» вашей SIM у оператора связи или уводят номер к другому провайдеру и получают полное управление звонками и SMS. Дальше всё предсказуемо: они перехватывают коды входа, запускают восстановление паролей и захватывают почту, мессенджеры, банки, криптокошельки. Противно то, что телефон в руках, а номер уже «живёт» на чужой карточке или eSIM. В этой статье — понятное объяснение, как именно происходят такие захваты, почему они до сих пор работают, что меняют регуляторы и какие реальные шаги снижают риск почти до нуля.

Что такое SIM swapping на практике

SIM swapping (ещё говорят «перенос номера без вашего участия», «порт-аут-мошенничество», «SIM-хайджек») — это не взлом вашего смартфона, а манипуляция процессами у оператора. Нападающий убеждает поддержку, что именно он — «вы», и просит привязать ваш номер к новой SIM или eSIM. Иногда номер переносят к другому оператору. С технической точки зрения для злоумышленника важен не сам чип, а право принимать звонки и SMS, ведь этого достаточно, чтобы пройти SMS-2FA и сбросить пароли в ключевых сервисах. Официальные описания схемы совпадают у разных ведомств: FBI/IC3, CISA, ENISA.

Важно отличать SIM swapping от схожих явлений. «SIM-клонирование» — редкий и более сложный криминальный сценарий с копированием секретов SIM; он встречается существенно реже. «Переадресация/диверт» — это перенастройка маршрутизации звонков/SMS без привязки номера к новой SIM; она тоже используется мошенниками, но решается у оператора быстрее. Классический же SIM swapping именно переносит номер на другую SIM/eSIM или к другому оператору, что даёт преступникам полноценный канал для перехвата кодов и восстановления доступа.

Почему это опасно: реальные масштабы

Сухая статистика здесь отрезвляет. По данным IC3, только за 2021 год в США зафиксировано 1 611 жалоб на SIM swapping с совокупным ущербом более $68 млн (в 2018–2020 годах — 320 жалоб и около $12 млн). Это цифры людей, которые дошли до отчёта; реальная картина шире. Жертвами становятся не только крипто-инвесторы и медийные лица, но и владельцы корпоративных админ-учёток — ведь один перехваченный SMS-код способен открыть дорогу к почте, облаку и доступам к админ-панелям.

Истории с арестами показывают, что это не «мелкие шалости». В 2021-м международная операция NCA/HSI задержала группу, атаковавшую известных спортсменов и музыкантов; после захвата номера злоумышленники меняли пароли, крали деньги и захватывали аккаунты в соцсетях. Это ровно тот сценарий, которого боится любой владелец аккаунтов с деньгами и аудиторией.

Как работает атака: шаг за шагом

Разведка и сбор данных

Сначала противник собирает персональные сведения, которые помогут пройти проверку в службе поддержки: ФИО, дата рождения, адреса, последние цифры номеров документов, ответы на «секретные вопросы». Источники — утечки баз, «сливы» из аккаунтов, фишинг-формы, соцсети, иногда — покупка данных на подпольных рынках. Параллельно преступники выясняют, кто ваш оператор, какой у него процесс подтверждения личности и как быстрее достучаться до сотрудника, готового нажать нужную кнопку.

Обман оператора или перенос номера

Дальше — одна из типовых развилок. Либо звонок/визит в офлайн-точку с убедительной легендой, либо взлом/подбор пароля от вашего личного кабинета у оператора, либо «продавленный» перенос номера к другому провайдеру (port-out). В некоторых случаях используется банальная коррупция — оплата услуг «инсайдера». Как прямо пишет IC3, используются социальная инженерия, инсайдерские злоупотребления и даже заражение рабочих систем оператора.

Захват каналов и взлом ваших сервисов

Как только номер «переехал», все звонки и сообщения приходят на чужой телефон. Начинается стандартный конвейер: запрос «забыли пароль?» в почте и банках, перехват SMS-кодов, смена паролей, удаление резервных адресов и замена 2FA-метода на удобный для злоумышленника. Если у вас включено восстановление через номер в нескольких сервисах — это «домино», которое падает очень быстро.

SIM swapping, eSIM и почему SMS-2FA всё чаще под запретом

Сам по себе переход на eSIM не решает проблему: номер по-прежнему можно незаконно привязать к новой eSIM удалённо, а SMS-коды всё ещё окажутся у нападающего. На уровне цифровой идентификации регуляторы и стандартизаторы давно сигналят: основной риск — использование публичной телефонной сети (PSTN) как «второго фактора». Документ NIST SP 800-63B рекомендует учитывать индикаторы риска вроде замены устройства, смены SIM или переноса номера перед отправкой одноразового секрета через голос/SMS. Иными словами, сам канал SMS признаётся уязвимым и требует дополнительных проверок.

Позиция киберведомств созвучна: CISA прямо описывает SIM swap и даже эксплуатацию слабостей SS7 для перехвата кодов, а в совместных бюллетенях по активным группам, например про Scattered Spider, регуляторы советуют переходить на FIDO/WebAuthn и PKI-MFA, которые иммунны к фишингу, push-бомбингу и перехвату номера.

Что меняют регуляторы и сама индустрия

В США FCC утвердила правила, обязывающие операторов использовать «безопасные методы» аутентификации перед выполнением SIM-замены или переноса номера, уведомлять клиента до выполнения операции, давать возможность «заблокировать» аккаунт от подобных действий и вести учёт эффективности своих мер. Эти требования поэтапно вступили в силу с января–июля 2024 года и должны уменьшить окна для социальной инженерии.

Европейские структуры тоже не сидят сложа руки: ENISA выпустила отдельное исследование с мерами для операторов и регуляторов, а отраслевое объединение GSMA продвигает API-проверки факта недавней SIM-замены — такие сигналы бизнес может использовать в антифрод-логике (например, запрещать рискованные операции в первые 24–72 часа после смены SIM). В Великобритании регулятор Ofcom параллельно закручивает гайки вокруг телеком-мошенничества в целом, закрывая технические лазейки для перехвата трафика и навязывая дополнительные противофрод-процедуры.

Признаки, что ваш номер уже захвачен

• Телефон внезапно теряет связь, появляется «No Service»/«Только экстренные вызовы». При этом поблизости нет проблем с покрытием у других абонентов.

• На резервную почту сыплются пуш-уведомления «код подтверждения» или письма о смене пароля, хотя вы к сервисам не прикасались.

• Оператор прислал уведомление о запросе SIM-замены или переноса номера — и вы такого не делали. По новым правилам в ряде стран провайдер обязан предупреждать о таких запросах заранее.

• Вы не можете войти в ключевые сервисы, а попытки «восстановить доступ» упираются в отправку кодов на номер, который больше не у вас.

Как защититься рядовому пользователю

Снизить «вес» номера в вашей цифровой жизни

Главное — перестать использовать SMS как второй фактор и как основной способ восстановления доступа. Перейдите на приложение-аутентификатор (TOTP), аппаратный ключ FIDO2/Passkey, резервные коды. Там, где возможно, включите вход по фишинг-устойчивой MFA. Проверьте все крупные сервисы: почта, облако, платежи, биржи, соцсети, Git-платформы, админ-панели. Чем меньше сервисов привязано к SMS-коду, тем меньше выгоды у злоумышленника.

Укрепить аккаунт у оператора

Задайте отдельный PIN/пароль в учётке оператора и, если доступно, включите «замок на номер» (port-out/SIM-change lock). Смысл прост: без ввода этого PIN и/или без снятия «замка» сотрудники не смогут перевыпустить SIM или перенести номер. В США это теперь прямо подкреплено регуляторно: FCC требует безопасных методов аутентификации и предупреждений до выполнения операций.

Уменьшить эффект внезапной потери номера

Заведите резервные контакты для восстановления в виде адресов-«ящиков», а не телефонного номера. Храните офлайн комплект recovery-кодов для ключевых сервисов. Для банковских операций выбирайте подтверждение в приложении, а не по SMS, и включите мгновенные уведомления о платежах. Если вы публичный человек или работаете с деньгами/инфраструктурой, имеет смысл завести «тихий» номер, который нигде не светится и используется только для слабосвязанных задач (но не для 2FA!).

Гигиена данных и реакция на фишинг

Сведите к минимуму следы личной информации в открытом доступе, не раздавайте номер подрядчикам и сайтам «по привычке». Используйте менеджер паролей, включайте проверку утечек в браузере и отрабатывайте навык узнавать фишинг по почерку: большинство SIM-свапов начинается именно с социальной инженерии и кражи ваших идентификаторов. Памятки от ENISA хорошо структурируют признаки и шаги профилактики.

Как защититься компаниям

Первое и базовое — убрать SMS/голос как второй фактор там, где есть хоть какой-то доступ к данным или администрированию. Включайте FIDO/WebAuthn и аппаратные ключи, давайте сотрудникам понятные инструкции по резервным кодам и экстренной замене ключей. Именно такой стек рекомендуют профильные ведомства, потому что он устойчив к фишингу, push-спаму и перехвату номера.

Второе — риск-сигналы. Реагируйте на «свежий» SIM-смену или порт-аут как на триггер повышенного риска: усиливайте проверки при смене пароля, входе с нового устройства, переводах денег, изменении реквизитов выплат. Это согласуется с логикой NIST 800-63B, который прямо указывает учитывать признаки «замены устройства/SIM» перед использованием PSTN в качестве канала доставки секрета. Для интеграций с мобильными операторами пригодится GSMA Open Gateway SIM Swap API — он позволяет проверить «свежесть» смены SIM у конкретного MSISDN и на лету усилить проверки при рисковых операциях.

Третье — процессы поддержки. Уберите «мягкие» проверки личности в бэкофисе, которые легко обходятся знанием публичных фактов. Введите «контр-социальную инженерию»: запрет на выполнение критичных действий по запросу по телефону или чату без криптографического подтверждения с зарегистрированного устройства. Обучайте специалистов на конкретных кейсах, включая попытки «выпросить» 2FA-код или инициировать смену номера на сотрудника, находящегося в командировке.

Что делать, если номер увели: план восстановления

1. Немедленно связаться с оператором с любой доступной линии (другой телефон, стационарный, eSIM на втором устройстве). Сообщите о несанкционированной SIM-замене или переносе и потребуйте экстренную блокировку операций с номером. Попросите оформить служебное расследование и выдать подтверждающую справку — это пригодится для банка и полиции. Требования FCC прямо предусматривают обязанность провайдеров помогать с документацией для жертв.

2. Перехватить критичные аккаунты. Начните с почты и облака — восстановите доступ без SMS (через резервные коды, приложения 2FA, аппаратные ключи). Сразу смените пароли и выкиньте сессии. Проверьте правила переадресации почты и доступ к почтовым приложениям.

3. Банки и биржи. Позвоните по номеру на обороте карты/на сайте и попросите временные ограничения на переводы, либо включите подтверждения в приложении. Восстановите 2FA на безопасный метод и удалите привязку номера из настроек.

4. Мессенджеры и соцсети. Включите защите паролем вход в аккаунт, отключите входы по SMS. В Telegram сразу выставьте код-пароль и двухэтапную проверку с паролем, а затем — аппаратный ключ/Passkey там, где это поддерживается.

5. Заявление в правоохранительные органы. В США дополнительно подайте жалобу в IC3, это помогает сопоставлять инциденты и ускоряет работу банка/страховой. За пределами США ориентируйтесь на местные киберполиции и омбудсменов связи.

Частые вопросы

Поможет ли PIN к SIM-карте?

SIM-PIN защищает от физического доступа к вашему чипу, если потеряли телефон или его украли. Но при классическом SIM swapping номер переставляют на другую SIM в инфраструктуре оператора, и локальный PIN не участвует. Ставить PIN стоит, но это другая плоскость защиты.

А если я на eSIM — меня это спасает?

Нет. Операторы умеют удалённо выпускать eSIM-профили. Без «замка» на операции и без строгих проверок личности злоумышленник сможет «прикрутить» ваш номер к своей eSIM. Поэтому и нужны аккаунт-PIN у оператора, блокировка переносов, а главное — отказ от SMS как второго фактора там, где это возможно.

Почему регуляторы давят на отказ от SMS-кодов?

Потому что телефонная сеть не создавалась как канал доверенной аутентификации. Перехват возможен через SIM swapping, фишинг у операторов, отдельные слабости в сигнальных протоколах. Документы NIST 800-63B и материалы CISA закрепляют этот подход и рекомендуют FIDO/WebAuthn.

Короткий «чек-ап» безопасности

• Проверьте, где включена SMS-2FA. Включите приложения-аутентификаторы или аппаратные ключи в почте, облаке, банке, крипто-сервисах и рабочих инструментах.

• Задайте у оператора отдельный PIN/пароль и включите запрет на порт-аут/SIM-смену. Сохраните номер контактного центра, куда звонить при инциденте.

• Уберите номер из настроек «восстановления доступа» там, где это не обязательно. Настройте резервные коды и вторую почту.

• Следите за утечками. Если «засветился» номер/почта — сразу усиливайте аутентификацию и мониторинг операций.

• Для бизнеса — включите проверку «свежести SIM-замены» через отраслевые API или антифрод-сервисы и закрутите правила повышенного риска при чувствительных операциях.

Итог

SIM swapping — это не про «хакинг смартфонов». Это про уязвимые и иногда слишком «человечные» процессы у операторов связи и про привычку сервисов полагаться на SMS-коды. Хорошая новость в том, что защита не требует магии: достаточно убрать SMS из критичных мест, поставить замки у оператора, не раздавать номер «на каждый чих» и держать под рукой план действий на случай «тишины в телефоне». Регуляторы уже подтягивают правила, индустрия даёт API-сигналы для антифрода, а значит, шансы у нападающих станут ниже — если мы сами не будем облегчать им работу.