Traffic Cardinal
написал 18.11.2025
Traffic Cardinal
написал 18.11.2025
Представьте: сидите вы в кальянной, чиллите, чекаете статку… Как вдруг, вам приходит увед о списании всех денег с карты. Как так, подумаете вы? У меня же все привязано к SMS-уведомлениям, а телефон — невзламываемая цифровая крепость. Штош… Во-первых, взломать можно все. Во-вторых, взламывать вас необязательно — ведь существует SIM swapping. О том, что это такое, мы и расскажем в сегодняшней статье.
Что такое SIM swapping
SIM swapping — это атака с помощью подмены SIM-карты. И можно было бы подумать, что речь о замене симки в телефоне, чтобы обойти необходимость ввода PIN-кода, но нет. Речь о подмене симки у оператора — когда хацкеры получают копию вашей SIM, а оператор думает, что настоящая — это копия. Справедливости ради уточним, что с технической точки зрения «копия» SIM-карты ее копией в буквальном смысле не является. Но это уже детали. Куда важнее то, что на нее можно получать все те же коды авторизации, что должны были приходить на ваш телефон.
А еще с помощью SIM swapping можно позвонить вашим родственникам или близким, рассказать им душещипательную историю и попросить денег на лечение/откуп от МВД/покупку котенка/etc. Либо же, если вы обладаете какими-либо полномочиями, можно развести ваших коллег/подчиненных. Хотя такие атаки — это уже, как правило, целенаправленные действия от тех, кто точно знает, где вы работаете. Короче говоря, штука максимально неприятная. А хуже того — от вас никак не зависящая.
Почему SIM swapping вообще возможен?
Таким вопросом вполне резонно задаются практически все, кто впервые об этой теме слышит. И это закономерно, ведь SIM-карта сегодня — это буквально ключ от всего. Вот только изначально она вообще не задумывалась как ключ от чего бы то ни было. Единственное, для чего была предназначена SIM-карта, — это идентификация абонента. Обратите внимание, не пользователя, а абонента, то есть цель симки — передать на соту правильный номер.
Да, по мере того как SIM-карты начали использоваться для авторизации, их защиту то и дело доводили до ума. Но даже в этом случае никто не застрахован от пресловутого человеческого фактора. Ничто не мешает мошеннику присесть на уши представителю мобильного оператора и убедить его, что перед ним стоите вы. В особенности — если кроме социальной инженерии в дело вступают поддельные документы. А еще бывает предварительный сговор…
И это мы не рассматриваем способы технического взлома (потому что рассматривать их незаконно, да и не умеем в такое — чего у аж там) серверов мобильных операторов с последующим свопингом прямо внутри операторской БД. В подобных случаях даже записи с камеры не будет. А вот скопировать вашу симку, буквально находясь где-то недалеко от вас, хоть гипотетически и возможно, на деле — нет.
Как защититься от SIM swapping
Никак. Нет, серьезно, а как вы хотите защититься от уязвимости оператора? Ну можно стать оператором и сделать защиту круче… Но камон? Реально защититься можно лишь от последствий свопинга. Например, подвязывая везде, где только можно, дополнительное подтверждение по email. Иронично, правда? Раньше все подвязывали телефон, чтоб избежать взлома по email, а сегодня — наоборот.
Кроме того, помочь защититься от последствий свопинга могут следующие советы:
Избегайте подвязки двухфакторки на SMS-кодах — сама двухфакторка нужна, но если есть вариант подтвердить не по SMS, то выбирайте его.
Включайте оповещение о входе — во всех критически важных аккаунтах вроде ЛК банка обязательного включите оповещение о входе через пуши.
Заведите отдельный номер — для банков, для соцсетей, для всего! Так вы обезопасите хотя бы часть того, что имеете, — свопинг даст доступ не ко всему сразу, а лишь к тому, где подвязан конкретный номер.
А на этом, собственно, и все. Разве что можно также посоветовать заранее обговорить с родным какие-то кодовые фразы на случай ЧП. Чтоб они могли проверить, вы на том конце провода или нет. Ну и четко прописывать полномочия и должностные инструкции, если вы руководитель. Чтобы даже в случае свопинга вашей SIM-карты, ваши сотрудники не боялись вашего звонка, а просто следовали установленному вами же алгоритму.
Все остальное — уже на совести оператора. Увы.
Саммари
SIM swapping — это максимально неприятная атака, от которой практически нет защиты. Впрочем, не все так плохо — ведь далеко не каждый кибергопник захочет общаться с представителями оператора вживую, тем самым рискуя засветиться. Но это не значит, что проблемы нет. Она есть, более того — набирает обороты. Так что к рекомендациям выше советуем все же прислушаться.
