Фото: Rawpixel.com

Представьте: вы идете по своим делам, и вдруг — ни сигнала, ни интернета. Телефон показывает, что сети нет. Перезагрузка не помогает.
На первый взгляд — обычный сбой у оператора, особенно сейчас, когда периодически отключают мобильный интернет в целях безопасности.

Но иногда за этим скрывается нечто гораздо опаснее — кража вашего номера, или SIM-swap-атака. Мошенники получают дубликат вашей SIM-карты, обратившись к оператору от вашего имени. Для этого они используют:

  • поддельные документы,
  • фишинговые сайты (где вы сами оставили паспортные данные),
  • утечки персональных данных.

Когда дубликат активируется, ваша настоящая SIM-карта перестает работать — телефон «молчит». С этого момента злоумышленник получает контроль над вашим номером, а вместе с ним:

  • над SMS-кодами подтверждения из банков,
  • над входами в социальные сети и мессенджеры,
  • над восстановлением паролей по телефону.
  • к аккаунту на «Госуслугах»;
  • к возможности оформления кредитов.

Фактически, номер телефона становится ключом к вашей цифровой жизни.

SIM-swap-атаки пока не являются массовым явлением, но оно набирает обороты. Такие случаи уже фиксировались в России, Европе и США:

В США житель Калифорнии, Джастин Чан, потерял около 38 000 долларов, когда злоумышленники получили контроль над его номером через SIM-swap. Они убедили оператора Xfinity Mobile перевести номер на новую SIM-карту, затем перехватили SMS-коды и вывели деньги с банковского счета. После продолжительной борьбы с банком часть средств удалось вернуть.

В январе 2024 года хакеры совершили атаку SIM-swap на официальный аккаунт Комиссии по ценным бумагам и биржам США (SEC) в соцсети X (бывший Twitter). Они перехватили номер, обошли защиту через SMS и разместили ложное сообщение о разрешении ETF на биткоин, что вызвало колебания курса. Позже один из участников атаки, житель Алабамы, признал вину в организации SIM-swap-компрометации аккаунта.

Житель Калифорнии Орен Дэвид Села в 2021–2023 годах использовал SIM-swap как часть мошеннической схемы.
Он подделывал документы, получал дубликаты SIM-карт жертв и через них входил в их банковские аккаунты.
Общий ущерб от его действий превысил 1,8 миллиона долларов.

В индийском штате Гуджарат правительство обязало банк ICICI и оператора Vodafone Idea выплатить компенсации пострадавшим от SIM-swap-мошенничества. Мошенники с поддельными документами получили дубликат SIM-карты и совершили 22 незаконных перевода со счета компании. Жертвам выплатили более 10 миллионов рупий, а банк и оператор признаны ответственными за утечку данных и халатность.

Несколько клиентов британского оператора O2 сообщили, что их номера были ошибочно перенесены на SIM-карты преступников.
Одна из жертв потеряла 4500 фунтов с кредитной карты, после чего не могла восстановить доступ к онлайн-банку из-за недоступных SMS-кодов. Компания признала наличие инцидентов и усилила внутренние проверки при замене SIM-карт.

Читайте также: Искусство обмана: как мошенники ловят нас на крючок фишинга

Атаку обычно готовят целенаправленно — против конкретного человека, у которого есть:

  • крупные счета в банке,
  • активная бизнес-деятельность онлайн,
  • или просто много сервисов, привязанных к номеру.

Особенно уязвимы люди, которые:

  • публикуют свои номера в открытом доступе,
  • не проверяют, где вводят паспортные данные,
  • игнорируют уведомления от банков и операторов.

Стоит насторожиться, если:

  1. Телефон внезапно теряет сеть, хотя у других все работает.
  2. Появляются странные письма или уведомления о входах в ваши аккаунты.
  3. Банк сообщает о попытке входа или изменении устройства.
  4. Служба поддержки оператора не сразу объясняет причину сбоя.

В этот момент важно действовать быстро.

  1. Позвоните оператору с другого телефона. Сообщите о подозрении на несанкционированную замену SIM-карты.
  2. Заблокируйте номер. Попросите временно приостановить обслуживание, пока не подтвердите личность.
  3. Свяжитесь с банками. Предупредите, что ваш номер могли перехватить.
  4. Проверьте доступ к почте и соцсетям. Смените пароли и отключите авторизацию по SMS, если возможно.
  5. Обратитесь в полицию. Особенно если уже были списания или утечка данных.

Меры защиты:

  • Используйте двухфакторную аутентификацию через приложения, а не через SMS (например, Google Authenticator, Authy и т.п.).
  • Не публикуйте свой номер телефона без необходимости. Для регистрации на сайтах лучше завести отдельный номер телефона и адрес электронной почты, который не привязан к банкам, сервисам и соцсетям.
  • Следите за утечками. Проверяйте, не попали ли ваши данные в открытый доступ.
  • Уточните у оператора, как можно усилить защиту: иногда можно установить дополнительный PIN на замену SIM-карты.
  • Будьте внимательны к фишинговым письмам и «службам поддержки» — особенно если вас просят подтвердить личность или код.

Современные мошенники действуют не только через вирусы или фишинг, но и через «легальные» каналы — операторы, банки, сервисы восстановления доступа. SIM-swap — это напоминание, что телефонный номер давно перестал быть просто номером. Это — центр вашей цифровой идентичности. И защищать его нужно так же тщательно, как банковскую карту.

Колумнист ДАН IT-специалист Антон Запольский