Атака с подменой SIM-карты: как хакеры перехватывают ваш номер телефона
Ваш номер телефона незаметно становится главным ключом к вашим деньгам. Ваш банк, ваша электронная почта, ваша криптовалютная биржа — все они доверяют ему, чтобы подтвердить вашу личность, обычно с помощью SMS-сообщения с кодом. Атака с подменой SIM-карты забирает этот ключ и передает его незнакомцу, часто в тот момент, когда вы замечаете, что индикатор сети на вашем экране падает до «Нет сети». К тому времени, как вы восстановите соединение, злоумышленник может сбросить ваши пароли и опустошить ваши счета. Для владельцев криптовалюты ущерб еще больше — как только монеты покидают кошелек, никто не может их вернуть.
В этом руководстве пошагово объясняется, что такое атака с подменой SIM-карты, как она работает, почему она стала излюбленным инструментом для кражи криптовалюты и какие изменения позволяют её предотвратить.
Что такое атака с подменой SIM-карты и почему она работает?
Атака с подменой SIM-карты — это мошенничество с захватом учетной записи, нацеленное на слабое место двухфакторной аутентификации: текстовые сообщения. Ваша SIM-карта, сокращение от «модуль идентификации абонента», — это небольшой чип, который связывает ваш мобильный номер с вашим телефоном. При подмене SIM-карты злоумышленник никогда не прикасается к вашему устройству. Вместо этого он убеждает вашего оператора мобильной связи перенести ваш номер на новую SIM-карту, которая находится у него. В момент завершения подмены все звонки и сообщения, предназначенные для вас, включая коды безопасности, поступают на его телефон.
Вот что люди неправильно понимают. Это не взлом телефона и не взломанный алгоритм шифрования. Это взлом службы поддержки клиентов. Уязвимость, которую используют, заключается в контроле над номером телефона и ложном предположении, что контроль над номером телефона доказывает личность. Отбросим терминологию, и подмена SIM-карты — это просто кто-то убеждает компанию передать ваш номер, а затем использует его, чтобы получить доступ ко всему, что этот номер защищает. Специалисты по безопасности не зря относят мошенничество с подменой SIM-карт к краже личных данных. Злоумышленник охотится не только за вашими деньгами; какое-то время он владеет всей вашей цифровой личностью, которая проходит через один обычный мобильный телефонный аккаунт, который вы считали своим.
Как работает атака с подменой SIM-карты: пошаговое руководство
Практически в каждом деле используются одни и те же три этапа, и ни один из них не требует сложных хакерских навыков. Необходимы терпение и убедительная история.
Шаг 1: Сбор вашей личной информации
Сначала злоумышленник составляет ваш профиль. Он извлекает личную информацию из старых утечек данных, продаваемых в даркнете, из фишинговых писем, которые обманом заставляют вас ввести свои данные, и из ваших собственных социальных сетей. Дата рождения здесь, имя питомца там, последние четыре цифры открытки из утекшей базы данных — и у него достаточно личных данных, чтобы в телефонном разговоре звучать как вы. Чем больше информации вы опубликовали публично, тем дешевле обходится этот шаг. Большая часть этих личных данных вовсе не недавно украдена. Они просочились много лет назад в результате какой-то забытой утечки, и злоумышленник просто собирает разрозненные фрагменты в убедительное целое.
Шаг 2: Выдача себя за другого человека перед перевозчиком.
Затем они выдают себя за вас перед вашим оператором мобильной связи. Иногда это телефонный звонок с заранее заготовленной историей о потерянном или сломанном телефоне. Иногда это просто визит в розничный магазин с поддельным удостоверением личности. В худших случаях злоумышленник просто подкупает или вербует сотрудника оператора, превращая всю систему защиты в одного нечестного инсайдера. Это социальная инженерия, а не программирование, и она работает, потому что сотрудники службы поддержки обучены быть полезными и быстро обрабатывать запросы.
Шаг 3: Обмен и поглощение
Как только оператор активирует новую SIM-карту — решающий момент всей атаки — ваш основной телефон перестаёт работать. Теперь злоумышленник контролирует номер. Он заходит в вашу электронную почту или Exchange, нажимает «забыли пароль» и получает код сброса в виде SMS-сообщения, которое он может прочитать. Он перехватывает это SMS, сбрасывает пароль и получает доступ. Захватив вашу электронную почту, он получает доступ ко всем остальным связанным с ней учётным записям. Полный захват учётных записей может произойти за считанные минуты — задолго до того, как большинство людей поймут, почему их телефон перестал работать.
Почему SIM-смена — это машина для кражи криптовалюты
Многие атаки могут опустошить банковский счет, но банки могут отменить мошеннические переводы. С криптовалютами все иначе, и именно это различие объясняет, почему подмена SIM-карты так разрушительна в этой сфере финансов.
SMS-двухфакторная аутентификация является единственной точкой отказа.
Большинство бирж по-прежнему позволяют пользователям защищать учетную запись с помощью кода, отправляемого по SMS. Это кажется безопасным, пока вы не поймете, что вся защита основана на одном предположении: что только вы получаете свои SMS-сообщения. Подмена SIM-карты полностью разрушает это предположение. Один перехваченный код сбрасывает логин, и двухфакторная аутентификация по SMS, которая должна быть вашей защитой, становится открытой дверью. Злоумышленнику не нужен ваш пароль, если он может сбросить его через ваш номер. Хуже того, тот же трюк обходит сам пароль, потому что многие биржи позволяют восстановить забытый пароль по SMS. SMS-код вовсе не является вторым замком; это единственный замок, и подмена SIM-карты держит ключ. Даже институциональные инвесторы попадают в ловушку: в 2024 году учетная запись X самой SEC была взломана с помощью подмены SIM-карты и использована для публикации поддельного одобрения Bitcoin ETF, что ненадолго потрясло рынок.
Необратимый по своей конструкции.
Банк может заморозить платеж и отменить его. Блокчейн этого сделать не может. Как только злоумышленник переводит ваши монеты в кошелек, который он контролирует, перевод считается окончательным, без возможности отмены платежа и обращения в службу поддержки. Эта необратимость — особенность криптовалют, но она превращает замену SIM-карты из пугающей ситуации в необратимую потерю, поэтому злоумышленники целенаправленно охотятся за известными держателями криптовалюты. Суммы в долларах показывают, сколько стоит на кону.
| Случай | Год | Количество | Как это произошло |
|---|---|---|---|
| Майкл Терпин против AT&T | 2018 | 24 миллиона долларов | Номер телефона перенесен, криптовалютные счета опустошены. |
| Ограбление в день банкротства FTX | 2022 | около 400 миллионов долларов | Замена SIM-карты во время краха телефонной станции |
| кража биткоинов в Вашингтоне, округ Колумбия | 2024 | 4100 BTC, около 263 миллионов долларов. | Социальная инженерия плюс подмена SIM-карт, 9 обвинительных приговоров |
| Пострадавший в арбитражном разбирательстве с T-Mobile | 2020 | Присуждено 33 миллиона долларов | Сбой в системе безопасности оператора связи, неоднократные замены оборудования. |
| Взлом учетной записи SEC X | 2024 | фейковый пост, влияющий на рынок | Замена SIM-карты в аккаунте агентства |
Насколько распространены атаки с подменой SIM-карты на самом деле?
Честный ответ — парадокс. По количественным данным, такие атаки редки, но в расчете на одну жертву они катастрофичны, а официальные цифры сильно занижают потери от криптовалюты.
Сначала взгляните на опубликованные данные. Центр по борьбе с интернет-преступлениями ФБР зарегистрировал 982 случая подмены SIM-карт в 2024 году, что привело к убыткам в размере примерно 26 миллионов долларов, по сравнению с пиковым показателем около 72,6 миллионов долларов в 2022 году. Microsoft отмечает, что менее 0,3% атак с использованием подмены SIM-карт вообще совершаются, что ничтожно мало по сравнению с обычным фишингом. Уже одних этих цифр может быть достаточно, чтобы отмахнуться.
| Год | Сообщения о потерях при замене SIM-карт (FBI IC3) |
|---|---|
| 2022 | 72,6 миллиона долларов |
| 2023 | 48,8 млн долларов |
| 2024 | 26,0 миллионов долларов (982 жалобы) |
Давайте посмотрим внимательнее. В том же году, когда официальные убытки от SIM-свопов составили около 26 миллионов долларов, в одном случае в Вашингтоне, округ Колумбия, было перемещено примерно 263 миллиона долларов в биткоинах, а в результате кражи на FTX было украдено около 400 миллионов долларов. Ни один из этих случаев не попадает в категорию SIM-свопов, поскольку следователи относят их к более широким категориям мошенничества или кражи. Вывод не в том, что эта атака безобидна. Дело в том, что она редка, точечная и направлена на людей с реальными деньгами, особенно криптовалютой, где один успех компенсирует тысячу неудач. В среднем, каждая зарегистрированная афера с SIM-свопом в 2024 году обошлась жертве примерно в 26 000 долларов, и это только те случаи, которые достаточно малы, чтобы быть зарегистрированными как SIM-свопы. Криптокражи, исчисляющиеся десятками или сотнями миллионов, относятся к совершенно другим категориям.
Признаки атаки с подменой SIM-карты
Обычно вы получаете одно предупреждение о том, что выполняется замена SIM-карты, и отсчет времени начинается в момент приземления. Здесь важны минуты, а не часы.
Самый главный признак предельно прост: ваш телефон внезапно теряет связь без видимой причины. Полная батарея, никаких сбоев в работе оператора, у всех вокруг есть сигнал, а у вас он просто пропал. В центре города это не сбой. Воспринимайте это как тревожный сигнал, которым, вероятно, и является. Другие признаки проявляются на том устройстве, которое еще работает. Вас блокируют в учетной записи, которой вы пользовались вчера. Приходит SMS-сообщение с просьбой сбросить пароль, которое вы не запрашивали. Ваш оператор отправляет электронное письмо с «подтверждением» новой SIM-карты, которую вы не запрашивали. Заметив любой из этих признаков на других своих мобильных устройствах, предположите, что кто-то пытается прямо сейчас захватить ваш мобильный номер. Что бы вы ни делали дальше, делайте это быстро, потому что злоумышленник уже это делает.
Как предотвратить подмену SIM-карты и защитить себя
Вы не сможете остановить целеустремленного преступника, пытающегося обмануть колл-центр с помощью методов социальной инженерии, но вы можете сделать свой номер для него бесполезным. Одно изменение гораздо важнее остальных.
Получите деньги за SMS
Один шаг важнее всех остальных. Перестаньте использовать текстовые сообщения в качестве второго фактора для всего, что имеет ценность. Переведите все данные для входа в биржевые счета, банки и электронную почту на приложение- аутентификатор или, еще лучше, на аппаратный ключ безопасности, который злоумышленнику пришлось бы украсть лично. Это уже не паранойя. В конце 2024 года ФБР и CISA призвали общественность полностью отказаться от SMS-кодов, а новейшие федеральные правила идентификации от NIST больше не считают SMS достаточным для защиты конфиденциальных учетных записей. Если сервис предлагает только текстовые сообщения, вложите свои серьезные деньги туда, где поддерживается приложение или ключ. Причина проста. Код-аутентификатор хранится только на вашем устройстве. Аппаратный ключ нельзя скопировать или выманить у вас по телефону. Ни то, ни другое не останется с вами, когда ваш номер будет украден, поэтому в результате обмена будет получен номер, который ничего не разблокирует.
Заблокируйте носитель и свой след.
Затем укрепите сам номер. Добавьте PIN-код SIM-карты или блокировку переноса номера у вашего оператора связи, чтобы без этого не произошло никакой смены номера. Многие провайдеры теперь предлагают это бесплатно, например, функция SIM Protection от Verizon, которая блокирует изменения, пока вы её не отключите. Используйте надежный, уникальный пароль и менеджер паролей, чтобы одна утечка данных не разблокировала всё. И прекратите рекламировать свои криптовалютные активы, потому что публичное хвастовство — это то, как злоумышленники выбирают себе цели. Тихие кошельки грабят гораздо реже, чем публичные.
Что делать, если вас подменили SIM-картой?
Скорость определяет масштабы мошенничества с заменой SIM-карты, поэтому действуйте последовательно. Во-первых, позвоните своему оператору связи с другого телефона, чтобы сообщить о захвате SIM-карты и вернуть свой номер. Затем, с устройства, которому вы доверяете, сбросьте пароли от электронной почты и учетных записей на бирже и отключите двухфакторную аутентификацию по SMS на всех этих устройствах. Если вы храните криптовалюту, заморозьте вывод средств на бирже и переведите средства, если это еще возможно. Затем задокументируйте все действия и подайте заявления в Центр по борьбе с интернет-преступлениями ФБР и в Федеральную торговую комиссию. Ничто из этого не отменяет уже совершенную кражу, но может остановить атаку, которая еще продолжается, и предотвратить захват учетной записи до того, как она распространится.
Атака с подменой SIM-карты нацелена на самое слабое звено.
Атака с подменой SIM-карты не обходит вашу систему безопасности; она обходит её, используя телефонную компанию, которая никогда не была создана для защиты ваших сбережений. Ваш номер никогда не предназначался для идентификации личности, но мы внедрили его во всё, что имеет значение. Для всего, что хранит деньги, безопасное предположение простое: считайте двухфакторную аутентификацию по SMS уже неработоспособной и переходите на приложение или аппаратный ключ сегодня, а не после того, как вы потеряете связь в какой-нибудь случайный день. Решение скучное, полное и занимает около десяти минут. Так что вот единственный важный вопрос: если ваш телефон сейчас отключится, насколько далеко сможет добраться посторонний человек, прежде чем вы его вернёте?
