SIM-свопинг или как воруют наши SIM-карты
Телефонный номер превратился в универсальный цифровой ключ. Доступ к банковским счетам, почте, соцсетям и криптокошелькам часто зависит от SMS-кода, приходящего на этот номер. Здесь и возник SIM-свопинг (или SIM-угон), когда текущий номер телефона переносится на SIM-карту мошенника.
Эволюция угрозы
Ранние случаи SIM-свопинга требовали физического присутствия злоумышленника в офисе оператора связи с фальшивыми документами.
Сегодня процесс значительно упростился и стал дистанционным. Есть данные, что мошенники научились подделывать учетные записи у оператора для перевыпуска eSIM. В результате прежний владелец мгновенно теряет доступ к своему номеру, а весь входящий трафик (включая критически важные коды подтверждения) начинает поступать на устройство преступника.
Реальные истории
Истории жертв SIM-свопинга красноречиво демонстрируют масштаб угрозы и уязвимость SIM-карт.
100 000 долларов за урок (Шон Кунс)
Инженер криптостартапа Шон Кунс потерял всю сумму со своего счета на бирже Coinbase — 100 000 долларов — из-за угона номера. Его электронная почта, привязанная к бирже, использовала двухфакторную аутентификацию (2FA) через SMS.
Мошенники в США воспользовались услугой "Authorized SIM Porting", позволяющей оператору перенести номер на новое устройство при смене телефона или сети. Собрав доступную информацию о Шоне в открытых источниках, преступники убедили оператора в своей легитимности. Получив контроль над номером, они сбросили пароль к почте, перехватили код для Coinbase и опустошили счет. Шон назвал это "самым дорогим уроком в жизни".
24 миллиона долларов и судебная тяжба (Майкл Терпин)
В 2017 году хакеры с помощью SIM-свопинга завладели номером соучредителя Bitangels Майкла Терпина. Используя доступ к номеру, они похитили биткоины на сумму 24 миллиона долларов с его криптокошельков.
Терпин подал в суд на своего оператора, AT&T, обвиняя компанию в незаконном предоставлении доступа к его номеру без должной проверки. Несмотря на признание судьей "недальновидности" действий AT&T, иск был отклонен в 2023 году. Суд счел, что истцу не удалось в полной мере доказать причинно-следственную связь между действиями оператора и кражей криптовалюты, особенно учитывая, что компания действовала по внутренним инструкциям. Адвокаты Терпина рассматривают возможность подачи уточненного иска.
Тюремные сроки за крипто-кражу через SIM-своп (Мейггс и Харрингтон)
В 2023 году двух жителей Массачусетса, Эрика Мейггса и Деклана Харрингтона, приговорили к тюремному заключению (по 2 года) за серию SIM-своп атак. Их жертвами стали преимущественно руководители криптокомпаний и владельцы крупных криптосчетов на биржах вроде Coinbase и Block.io, а также обладатели ценных аккаунтов в соцсетях.
Используя социальную инженерию, они убеждали операторов перенести номера жертв на свои SIM-карты, а затем взламывали привязанные аккаунты, похитив в общей сложности более 330 000 долларов в криптовалюте.
Российская специфика: доверенности вместо цифрового портинга
В РФ отсутствует услуга "Authorized SIM Porting" в американском понимании, но SIM-карты массово угоняют с помощью другой схемы. Мошенники находят или покупают персональные данные жертвы (ФИО, адрес, дата рождения, паспортные данные – часто через утечки или открытые источники).
Далее скачивается шаблон доверенности (часто доступный на сайте самого оператора), который заполняется этими данными. Такая доверенность не требует нотариального заверения. С поддельной доверенностью злоумышленник обращается в салон связи и получает дубликат SIM-карты, аргументируя это "потерей" оригинала. Человеческий фактор и желание сотрудников салонов быстрее выполнить запрос играют на руку преступникам. Получив дубликат, мошенник перехватывает все SMS, включая коды доступа к банковским приложениям и почте.
Глобальный масштаб проблемы
Проблема SIM-свопинга не ограничивается отдельными странами или типами жертв:
- Статистика FBI (США). В 2021 году ФБР зафиксировало резкий скачок убытков от SIM-свопинга. Потери составили 68 миллионов долларов, что в пять раз превышает сумму за три предыдущих года вместе взятых (2018-2020: 12 млн). Количество жалоб в 2021 году достигло 1600.
- Южная Корея. С начала 2022 года документируются случаи, когда жертвы сталкиваются с внезапным прекращением работы мобильной связи и уведомлением о "изменении", после чего обнаруживают опустошенные банковские и криптовалютные счета.
- Подростковая преступность. В 2020 году был подан иск против 18-летнего Эллиса Пински (на момент кражи – 15 лет) и 20 сообщников. Их обвинили в краже 23,8 миллиона долларов у инвестора Майкла Терпина в 2018 году именно через SIM-свопинг.
Как противостоять SIM-свопингу
Учитывая серьезность угрозы, необходимы многоуровневые меры предосторожности.
Усиление защиты у оператора
Запросите дополнительный пароль/PUK-код в салоне. Некоторые операторы позволяют установить дополнительный кодовый пароль для совершения любых операций с номером (перевыпуск, восстановление, изменение тарифа) в точках продаж и кол-центрах. Узнайте о такой возможности у своего оператора.
Ограничьте дистанционные операции. По возможности, договоритесь с оператором, чтобы важные операции (перевыпуск SIM, подключение eSIM, портирование номера) выполнялись ТОЛЬКО при личном визите в салон с паспортом.
Отказ от SMS как метода 2FA для критически важных сервисов
Это ключевая рекомендация. Для защиты банковских аккаунтов, почты (особенно основной!), криптобирж и кошельков, аккаунтов в соцсетях, используйте приложения-аутентификаторы (TOTP), например, Google Authenticator.
Коды генерируются на самом устройстве, не зависят от номера телефона и недоступны при его угоне.
Заключение
SIM-свопинг — это не техническая уязвимость в чистом виде, а атака, эксплуатирующая доверие между клиентом и оператором связи, а также зависимость современных систем безопасности от мобильного номера. Истории Шона Кунса, Майкла Терпина, жертв Мейггса и Харрингтона, а также тревожная статистика ФБР и случаи по всему миру показывают, что угроза реальна и масштабна.