सिम स्वैप अटैक: हैकर्स आपके फ़ोन नंबर को कैसे हाईजैक करते हैं

प्रकाशित किया गया Jun 10, 2026 लिखा गया Marco Lucchetti

आपका फ़ोन नंबर आपके पैसों की कुंजी है। आपका बैंक, आपका ईमेल, आपका क्रिप्टोकरेंसी एक्सचेंज, सभी आपकी पहचान साबित करने के लिए इस नंबर पर भरोसा करते हैं, आमतौर पर एक कोड भेजकर। सिम स्वैप अटैक से यह कुंजी छीन ली जाती है और किसी अजनबी को दे दी जाती है, अक्सर इतने कम समय में कि आप अपनी स्क्रीन पर "नो सर्विस" सिग्नल देख पाते हैं। जब तक आप दोबारा कनेक्ट होते हैं, हमलावर आपके पासवर्ड रीसेट कर चुका होता है और आपके खाते खाली कर चुका होता है। क्रिप्टोकरेंसी धारकों के लिए नुकसान और भी बुरा होता है - एक बार सिक्के वॉलेट से निकल जाएं, तो उन्हें वापस पाना असंभव है।

यह गाइड बताती है कि सिम स्वैप अटैक क्या है, यह चरण दर चरण कैसे काम करता है, क्रिप्टोकरेंसी चुराने के लिए यह पसंदीदा तरीका क्यों बन गया है, और वे कुछ बदलाव जो वास्तव में इसे रोकते हैं।

सिम स्वैप अटैक क्या है और यह कैसे काम करता है

सिम स्वैप अटैक एक प्रकार का धोखाधड़ी का तरीका है जो टू-फैक्टर ऑथेंटिकेशन की एक कमजोर कड़ी, यानी टेक्स्ट मैसेज को निशाना बनाता है। आपका सिम, जिसका पूरा नाम सब्सक्राइबर आइडेंटिटी मॉड्यूल है, वह छोटी सी चिप होती है जो आपके मोबाइल नंबर को आपके फोन से जोड़ती है। सिम स्वैप में, हमलावर आपके डिवाइस को छूता भी नहीं है। इसके बजाय, वे आपके मोबाइल कैरियर को मना लेते हैं कि वे आपका नंबर अपने पास मौजूद एक नए सिम कार्ड पर ट्रांसफर कर दें। जैसे ही यह स्वैप पूरा होता है, आपके लिए आने वाले सभी कॉल और टेक्स्ट मैसेज, जिनमें सिक्योरिटी कोड भी शामिल हैं, हमलावर के फोन पर पहुंच जाते हैं।

यही वो हिस्सा है जिसे लोग गलत समझते हैं। यह न तो फ़ोन हैकिंग है और न ही एन्क्रिप्शन एल्गोरिदम में गड़बड़ी। यह ग्राहक सेवा हैकिंग है। इसमें जिस कमजोरी का फायदा उठाया जा रहा है, वह है कैरियर में मौजूद व्यक्ति, और यह गलत धारणा कि फ़ोन नंबर पर नियंत्रण पहचान साबित करता है। तकनीकी शब्दों को सरल शब्दों में कहें तो, सिम स्वैप का मतलब सिर्फ इतना है कि कोई व्यक्ति किसी कंपनी को आपका नंबर देने के लिए मना लेता है, और फिर उस नंबर से सुरक्षित हर चीज़ में घुसपैठ कर लेता है। सुरक्षा शोधकर्ता सिम स्वैप घोटालों को पहचान की चोरी की श्रेणी में रखते हैं, और इसका एक ठोस कारण है। हमलावर न केवल आपके पैसे के पीछे होता है; बल्कि कुछ समय के लिए वह आपकी पूरी डिजिटल पहचान पर कब्ज़ा कर लेता है, जो एक साधारण मोबाइल फ़ोन खाते के माध्यम से संचालित होती है जिसे आप केवल अपना ही मानते थे।

सिम-स्वैप-अटैक

सिम स्वैप अटैक कैसे काम करता है, चरण दर चरण

लगभग हर मामले में एक ही तरह के तीन चरण होते हैं, और इनमें से किसी में भी उन्नत हैकिंग की आवश्यकता नहीं होती है। इनमें धैर्य और एक विश्वसनीय कहानी की आवश्यकता होती है।

चरण 1: आपकी व्यक्तिगत जानकारी का संग्रहण

सबसे पहले हमलावर आपकी प्रोफ़ाइल बनाता है। वे डार्क वेब पर बिकने वाले पुराने डेटा लीक से, आपको अपनी जानकारी टाइप करने के लिए बहकाने वाले फ़िशिंग ईमेल से और आपके सोशल मीडिया से आपकी व्यक्तिगत जानकारी निकालते हैं। एक जन्मदिन, एक पालतू जानवर का नाम, लीक हुए डेटाबेस से कार्ड के अंतिम चार अंक - इनसे उन्हें फ़ोन कॉल पर आपकी तरह बात करने के लिए पर्याप्त व्यक्तिगत जानकारी मिल जाती है। आपने जितनी ज़्यादा जानकारी सार्वजनिक रूप से पोस्ट की है, यह प्रक्रिया उतनी ही सस्ती होती जाती है। इस व्यक्तिगत डेटा का अधिकांश भाग हाल ही में चुराया नहीं गया है। यह वर्षों पहले किसी भूले-बिसरे डेटा लीक में शामिल था, और हमलावर बस बिखरे हुए टुकड़ों को जोड़कर एक विश्वसनीय डेटा बना रहा है।

चरण 2: कैरियर के सामने आपकी पहचान का गलत इस्तेमाल करना

इसके बाद वे आपके मोबाइल सेवा प्रदाता के सामने आपकी पहचान का इस्तेमाल करते हैं। कभी-कभी यह खोए हुए या खराब फोन की पहले से तैयार कहानी सुनाकर किया गया फोन कॉल होता है। कभी-कभी वे नकली आईडी लेकर किसी रिटेल स्टोर में चले जाते हैं। सबसे बुरे मामलों में हमलावर सीधे तौर पर किसी सेवा प्रदाता कर्मचारी को रिश्वत देकर या उसे अपने साथ मिला लेता है, जिससे पूरी सुरक्षा व्यवस्था एक बेईमान अंदरूनी व्यक्ति पर निर्भर हो जाती है। यह सोशल इंजीनियरिंग है, कोड नहीं, और यह इसलिए काम करता है क्योंकि सहायता कर्मचारियों को मददगार होने और कतार को जल्दी निपटाने के लिए प्रशिक्षित किया जाता है।

चरण 3: अदला-बदली और अधिग्रहण

जैसे ही कैरियर नया सिम एक्टिवेट करता है - जो पूरे हमले का निर्णायक क्षण होता है - आपका असली फोन बंद हो जाता है। अब हमलावर आपके नंबर को नियंत्रित कर लेता है। वे आपके ईमेल या एक्सचेंज पर जाते हैं, "पासवर्ड भूल गए" पर क्लिक करते हैं और रीसेट कोड को एक टेक्स्ट मैसेज के रूप में आने देते हैं जिसे वे पढ़ सकें। वे उस एसएमएस को इंटरसेप्ट करते हैं, पासवर्ड रीसेट करते हैं और एक्सेस प्राप्त कर लेते हैं। आपके ईमेल पर नियंत्रण होने के बाद, वे इससे जुड़े हर दूसरे अकाउंट तक पहुंच जाते हैं। सभी अकाउंट पर नियंत्रण कुछ ही मिनटों में हो सकता है - इससे पहले कि ज्यादातर लोगों को पता चले कि उनका फोन बंद क्यों हो गया।

सिम स्वैप क्रिप्टोकरेंसी चोरी का एक जरिया क्यों है?

कई हमलों से बैंक खाते खाली हो सकते हैं, लेकिन बैंक धोखाधड़ी वाले हस्तांतरणों को वापस ले सकते हैं। क्रिप्टो इससे अलग है, और यही अंतर वित्तीय क्षेत्र में सिम स्वैप को इतना विनाशकारी बनाता है।

एसएमएस 2FA विफलता का एकमात्र बिंदु है।

अधिकांश एक्सचेंज अब भी उपयोगकर्ताओं को टेक्स्ट द्वारा भेजे गए कोड से खाता सुरक्षित रखने की सुविधा देते हैं। यह तब तक सुरक्षित लगता है जब तक आपको यह एहसास नहीं होता कि पूरी सुरक्षा एक ही धारणा पर टिकी है: कि केवल आपको ही टेक्स्ट संदेश प्राप्त होते हैं। सिम स्वैप इस धारणा को पूरी तरह से तोड़ देता है। एक इंटरसेप्ट किया गया कोड लॉगिन को रीसेट कर देता है, और एसएमएस टू-फैक्टर ऑथेंटिकेशन, जो आपकी सुरक्षा का कवच होना चाहिए, एक खुला दरवाजा बन जाता है। हमलावर को आपके पासवर्ड की आवश्यकता नहीं होती यदि वे आपके नंबर के माध्यम से इसे रीसेट कर सकते हैं। इससे भी बुरा, यही तरकीब पासवर्ड को भी बेकार कर देती है, क्योंकि कई एक्सचेंज आपको टेक्स्ट द्वारा भूले हुए पासवर्ड को रिकवर करने की सुविधा देते हैं। एसएमएस कोड कोई दूसरा ताला नहीं है; यह एकमात्र ताला है, और सिम स्वैप ही चाबी है। यहां तक कि संस्थान भी इसकी चपेट में आ जाते हैं: 2024 में, SEC के अपने X खाते को सिम स्वैप के माध्यम से हैक कर लिया गया था और इसका उपयोग एक फर्जी बिटकॉइन ETF अनुमोदन पोस्ट करने के लिए किया गया था जिसने थोड़े समय के लिए बाजार को हिला दिया था।

डिजाइन के अनुसार अपरिवर्तनीय

एक बैंक वायर ट्रांसफर को फ्रीज कर सकता है और चार्ज को रिवर्स कर सकता है। ब्लॉकचेन ऐसा नहीं कर सकता। एक बार हमलावर आपके कॉइन को अपने नियंत्रण वाले वॉलेट में ट्रांसफर कर देता है, तो ट्रांसफर फाइनल हो जाता है, न तो चार्जबैक की संभावना रहती है और न ही सपोर्ट के लिए कोई संपर्क किया जा सकता है। यह अपरिवर्तनीयता क्रिप्टो की एक विशेषता है - लेकिन यह सिम स्वैप को एक मामूली डर से स्थायी नुकसान में बदल देती है, यही कारण है कि हमलावर विशेष रूप से ज्ञात क्रिप्टो धारकों को निशाना बनाते हैं। डॉलर के आंकड़े बताते हैं कि कितना कुछ दांव पर लगा है।

मामला	वर्ष	मात्रा	यह कैसे हुआ
माइकल टेरपिन बनाम एटी एंड टी	2018	24 मिलियन डॉलर	नंबर पोर्ट किया गया, क्रिप्टो खाते खाली हो गए
FTX दिवालियापन-दिवस की डकैती	2022	लगभग 400 मिलियन डॉलर	एक्सचेंज के बंद होने के दौरान सिम स्वैप
वाशिंगटन डीसी में बिटकॉइन की चोरी	2024	4,100 बीटीसी, लगभग 263 मिलियन डॉलर	सोशल इंजीनियरिंग और सिम स्वैप, 9 दोषसिद्धि
टी-मोबाइल मध्यस्थता पीड़ित	2020	33 मिलियन डॉलर का पुरस्कार दिया गया	कैरियर सुरक्षा विफलता, बार-बार अदला-बदली
एसईसी एक्स खाता अपहरण	2024	बाजार को प्रभावित करने वाली फर्जी पोस्ट	एजेंसी के खाते का सिम स्वैप

वास्तव में सिम स्वैप हमले कितने आम हैं?

इसका सीधा जवाब विरोधाभासी है। संख्या के हिसाब से देखें तो ये हमले दुर्लभ हैं, लेकिन पीड़ितों के हिसाब से ये विनाशकारी होते हैं, और आधिकारिक आंकड़े क्रिप्टोकरेंसी में हुए नुकसान को बहुत कम करके बताते हैं।

सबसे पहले दर्ज आंकड़ों पर नज़र डालें। एफबीआई के इंटरनेट क्राइम कंप्लेंट सेंटर ने 2024 में सिम स्वैपिंग की 982 शिकायतें दर्ज कीं, जिनमें लगभग 26 मिलियन डॉलर का नुकसान हुआ, जो 2022 में लगभग 72.6 मिलियन डॉलर के उच्चतम स्तर से कम है। माइक्रोसॉफ्ट ने बताया है कि पहचान संबंधी हमलों में से 0.3% से भी कम में सिम स्वैपिंग का इस्तेमाल होता है, जो सामान्य फ़िशिंग की तुलना में बहुत कम है। इन आंकड़ों को देखकर शायद आप उदासीन हो जाएं।

वर्ष	सिम स्वैप से संबंधित नुकसान की रिपोर्ट (एफबीआई आईसी3)
2022	72.6 मिलियन डॉलर
2023	48.8 मिलियन डॉलर
2024	26.0 मिलियन डॉलर (982 शिकायतें)

फिर गौर से देखिए। जिस साल आधिकारिक तौर पर सिम स्वैप से होने वाला नुकसान लगभग 26 मिलियन डॉलर था, उसी साल वाशिंगटन डीसी में एक मामले में लगभग 263 मिलियन डॉलर बिटकॉइन का लेन-देन हुआ और FTX की चोरी में लगभग 400 मिलियन डॉलर का नुकसान हुआ। इनमें से कोई भी सिम स्वैप की श्रेणी में नहीं आता, क्योंकि जांचकर्ता इन्हें धोखाधड़ी या चोरी की व्यापक श्रेणियों में दर्ज करते हैं। इसका मतलब यह नहीं है कि यह हमला हानिरहित है। बल्कि यह है कि यह असामान्य, सुनियोजित और उन लोगों को निशाना बनाता है जिनके पास वास्तव में पैसा है, खासकर क्रिप्टो, जहां एक सफलता हजारों असफलताओं की भरपाई कर देती है। औसतन, 2024 में रिपोर्ट किए गए प्रत्येक सिम स्वैप घोटाले में पीड़ित को लगभग 26,000 डॉलर का नुकसान हुआ, और ये तो केवल वे मामले हैं जो सिम स्वैप के रूप में दर्ज किए जाने लायक छोटे हैं। लाखों या करोड़ों डॉलर की क्रिप्टो चोरियां, जो सुर्खियों में रहती हैं, बिल्कुल अलग खातों में दर्ज होती हैं।

सिम स्वैप हमले के चेतावनी संकेत

सिम स्वैप होने की सूचना आपको आमतौर पर एक बार मिलती है, और सिम के कनेक्ट होते ही समय शुरू हो जाता है। यहाँ मिनट मायने रखते हैं, घंटे नहीं।

सबसे आम संकेत तो बिल्कुल सीधा-सादा है: आपका फ़ोन बिना किसी कारण के नेटवर्क खो देता है। बैटरी पूरी तरह चार्ज है, कंपनी में कोई समस्या नहीं है, आपके आस-पास सभी के फ़ोन में नेटवर्क है, और आपका फ़ोन अचानक गायब हो जाता है। शहर के केंद्र में, यह कोई मामूली गड़बड़ी नहीं है। इसे एक चेतावनी समझें, जैसा कि यह वास्तव में है। अन्य संकेत आपके उन डिवाइसों पर दिखाई देंगे जो अभी भी काम कर रहे हैं। आप उस खाते से लॉक आउट हो जाते हैं जिसका उपयोग आपने कल किया था। आपको पासवर्ड रीसेट करने का एक टेक्स्ट मैसेज मिलता है जिसके लिए आपने कभी अनुरोध नहीं किया था। आपकी कंपनी आपको एक नए सिम कार्ड की "पुष्टि" करने के लिए ईमेल भेजती है जिसके लिए आपने अनुरोध नहीं किया था। अपने अन्य मोबाइल डिवाइसों पर इनमें से कोई भी संकेत देखें और समझ लें कि कोई इस समय आपके मोबाइल नंबर पर नियंत्रण करने की कोशिश कर रहा है। इसके बाद आप जो भी करें, जल्दी करें, क्योंकि हमलावर पहले ही आप पर नियंत्रण कर चुका है।

सिम-स्वैप-अटैक

सिम स्वैपिंग से कैसे बचें और खुद को कैसे सुरक्षित रखें

आप किसी शातिर अपराधी को कॉल सेंटर को सोशल इंजीनियरिंग के जरिए हैक करने से नहीं रोक सकते, लेकिन आप अपना नंबर उनके लिए बेकार बना सकते हैं। एक बदलाव बाकी सब से कहीं ज्यादा मायने रखता है।

एसएमएस पर छूट पाएं

एक कदम बाकी सभी से ज़्यादा महत्वपूर्ण है। किसी भी महत्वपूर्ण चीज़ के लिए टेक्स्ट मैसेज को अपने दूसरे सुरक्षा कारक के रूप में इस्तेमाल करना बंद कर दें। हर एक्सचेंज, बैंक और ईमेल लॉगिन को किसी ऑथेंटिकेटर ऐप या उससे भी बेहतर, हार्डवेयर सिक्योरिटी की पर ले जाएं, जिसे हमलावर को व्यक्तिगत रूप से चुराना होगा। यह अब सिर्फ़ मामूली डर नहीं है। 2024 के अंत में FBI और CISA ने जनता को SMS कोड का इस्तेमाल पूरी तरह बंद करने की सलाह दी थी, और NIST के नवीनतम संघीय पहचान नियमों के अनुसार संवेदनशील खातों के लिए SMS अब पर्याप्त नहीं है। यदि कोई सेवा केवल टेक्स्ट मैसेज की सुविधा देती है, तो अपना पैसा ऐसी जगह लगाएं जो ऐप या सुरक्षा कुंजी को सपोर्ट करती हो। इसका कारण सरल है। एक ऑथेंटिकेटर कोड केवल आपके डिवाइस पर रहता है। हार्डवेयर कुंजी को न तो कॉपी किया जा सकता है और न ही फ़ोन पर मीठी-मीठी बातें करके हासिल किया जा सकता है। आपका नंबर चोरी होने पर इनमें से कोई भी आपके साथ नहीं जाता, इसलिए अदला-बदली करने से आपको एक ऐसा नंबर मिलता है जो किसी काम का नहीं होता।

कैरियर और अपने पदचिह्न को लॉक करें

सबसे पहले, अपने नंबर को सुरक्षित करें। अपने कैरियर के साथ एक सिम पिन या नंबर-ट्रांसफर लॉक जोड़ें ताकि इसके बिना कोई भी नंबर स्वैप न हो सके। कई प्रदाता अब यह सुविधा मुफ्त में देते हैं, जैसे कि वेरिजॉन का सिम प्रोटेक्शन, जो इसे बंद करने तक बदलावों को रोकता है। एक मजबूत, अद्वितीय पासवर्ड और एक पासवर्ड मैनेजर का उपयोग करें ताकि एक बार डेटा लीक होने से सब कुछ अनलॉक न हो जाए। और अपनी क्रिप्टो होल्डिंग्स का प्रचार करना बंद करें, क्योंकि सार्वजनिक रूप से शेखी बघारना ही हमलावरों को अपना निशाना बनाने का पहला तरीका होता है। चुपचाप रखे गए वॉलेट, शोर मचाने वाले वॉलेट की तुलना में बहुत कम बार लूटे जाते हैं।

सिम स्वैप होने पर क्या करें

सिम स्वैप धोखाधड़ी कितनी गंभीर हो सकती है, यह तेज़ी से तय होता है, इसलिए क्रमबद्ध तरीके से काम करें। सबसे पहले, किसी दूसरे फ़ोन से अपने कैरियर को कॉल करके सिम हैकिंग की रिपोर्ट करें और अपना नंबर वापस पाएं। इसके बाद, किसी ऐसे डिवाइस से जिस पर आप अभी भी भरोसा करते हैं, अपने ईमेल और एक्सचेंज खातों के पासवर्ड रीसेट करें और सभी से एसएमएस टू-फैक्टर ऑथेंटिकेशन हटा दें। यदि आपके पास क्रिप्टोकरेंसी है, तो अपने एक्सचेंज से निकासी रोक दें और यदि संभव हो तो फंड ट्रांसफर कर लें। फिर सब कुछ डॉक्यूमेंट करें और एफबीआई के इंटरनेट क्राइम कंप्लेंट सेंटर और एफटीसी में रिपोर्ट दर्ज करें। इनमें से कोई भी चीज़ चोरी को पूरी तरह से रोक नहीं सकती, लेकिन यह चल रहे हमले को रोक सकती है और खाते पर कब्ज़ा फैलने से पहले ही उसे खत्म कर सकती है।

सिम स्वैप अटैक सबसे कमजोर कड़ी को निशाना बनाता है

सिम स्वैप अटैक आपकी सुरक्षा को भेद नहीं सकता; यह उसे दरकिनार कर देता है, उस फ़ोन कंपनी के ज़रिए जो आपकी बचत की सुरक्षा के लिए कभी बनी ही नहीं। आपका नंबर कभी पहचान पत्र बनने के लिए नहीं था, फिर भी हमने इसे हर उस चीज़ से जोड़ दिया है जो मायने रखती है। पैसे रखने वाली किसी भी चीज़ के लिए, सबसे सुरक्षित उपाय यही है: एसएमएस टू-फैक्टर ऑथेंटिकेशन को पहले से ही टूटा हुआ मान लें, और किसी ऐप या हार्डवेयर कुंजी पर आज ही स्विच कर लें, न कि किसी दिन अचानक सेवा बंद होने के बाद। इसका समाधान उबाऊ, संपूर्ण और लगभग दस मिनट का है। तो यहाँ बस एक ही सवाल मायने रखता है: अगर आपका फ़ोन अभी बंद हो जाए, तो आपके वापस मिलने से पहले कोई अजनबी कितनी रकम निकाल सकता है?

Marco Lucchetti

Marco Lucchetti is a senior content strategist and blockchain analyst at Plisio. With over 7 years of experience in cryptocurrency research, DeFi protocols, and payment technologies, Marco specializes in creating clear, data-driven content for a global crypto audience. His work focuses on transaction tracing, crypto compliance, and the future of blockchain infrastructure.