SIM-swap — перевыпуск вашей SIM-карты мошенником через оператора. SMS-коды 2FA уходят злоумышленнику, и доступ к биржам теряется за минуты. Альтернативы — аппаратный ключ (YubiKey/Ledger) или TOTP-приложение (Google Authenticator/Authy), не привязанные к номеру телефона.
Через поддельную доверенность или колл-центр оператора. Зная ваши паспортные данные (часто из утечек), злоумышленник заказывает дубликат SIM. После активации все SMS, включая коды 2FA, приходят на его телефон. В 2025-2026 операторы ужесточили процедуру, но фишинг и подкуп сотрудников остаются.
Три основных: (1) TOTP-приложения (Google Authenticator, Authy) — генерируют 6-значные коды раз в 30 секунд; (2) аппаратные ключи (YubiKey, Ledger Nano как 2FA-токен) — требуют физического касания; (3) Passkeys/WebAuthn — биометрия или PIN на устройстве. Все три не зависят от SIM.
TOTP бесплатно и удобно, но seed-фраза может быть украдена при заражении смартфона. Аппаратный ключ дороже (1 500–8 000 ₽), но приватный ключ никогда не покидает устройство. Для среднего оборота до 500 000 ₽ TOTP достаточно, для крупных сумм — аппаратный ключ.
В 2026 — от 15 минут до 2 часов. Сценарий: мошенник звонит в техподдержку с поддельными документами или использует компрометацию данных из «Госуслуг». После активации дубликата оригинальная SIM перестаёт работать — вы теряете связь и блокируетесь от биржи.
Заблокировать счета у оператора через паспортные данные (офис или личный кабинет). Параллельно — вывести крипту с бирж, где ещё активна сессия (через VPN/другой компьютер). Затем сменить все пароли и 2FA на TOTP или аппаратный ключ. У NFT и DeFi-кошельков снять все approvals.
Да, НДФЛ 13-15% (15% при годовом доходе свыше 5 млн ₽). Под налогообложение попадает прибыль от продажи крипты за рубли или иностранную валюту (фиксация убытков не облагается). Декларация 3-НДФЛ подаётся до 30 апреля за предыдущий год. Риск — доначисление при отсутствии отчётности.
Мошенник получает дубликат вашей SIM-карты у оператора сотовой связи. Все SMS с кодами приходят ему, а вы остаётесь без связи.
| Метод | Риск SIM-swap | Стоимость оборудования |
|---|---|---|
| SMS-код | Полная уязвимость | 0 ₽ |
| TOTP-приложение | Низкий (при seed закрыт плечом) | 0 ₽ |
| Аппаратный ключ (YubiKey/Ledger) | Нулевой | 1 500 – 8 000 ₽ |
| Passkey/WebAuthn | Нулевой | 0 ₽ (встроен в смартфон/ноутбук) |
| Критерий | TOTP-приложение | Аппаратный ключ |
|---|---|---|
| Защита от SIM-swap | Зависит от seed-хранения | Неуязвим (нет SIM-привязки) |
| Устойчивость к вирусам | Средняя (malware может читать seed) | Высокая (ключ изолирован) |
| Резервирование доступа | Seed-бэкап (бумажный/зашифрованный) | Запасной ключ или seed (для Ledger) |
| Стоимость владения | Бесплатно (приложение + бэкап) | 1 500 – 8 000 ₽ + запасной ключ |
| Удобство ежедневного использования | Открыть приложение, скопировать код | Вставить в USB/приложить NFC, нажать кнопку |
Оцените объём активов. До 1 000 000 ₽ — TOTP (Authy с master-паролем или Google Authenticator). От 1 000 000 ₽ — аппаратные ключи: YubiKey 5 NFC (2 000-4 000 ₽) или Ledger Nano S Plus (около 6 000 ₽) как 2FA-токен. Учтите, что TOTP seed нужно хранить в офлайн-резерве.
Для TOTP — скачайте Google Authenticator (офлайн) или Authy (с облачной синхронизацией, зашифровано). Для аппаратного ключа — установите YubiKey Manager или Ledger Live, подключите ключ. Создайте резервную копию seed (для TOTP — в бумаж виде, для YubiKey — запись ключей резервирования).
Зайдите в настройки безопасности. Отключите SMS-2FA (обычно требуется подтверждение email или старого кода). Включите TOTP или аппаратный ключ. Важно: не удаляйте старый фактор, пока не проверите, что новый работает. Сделайте пробный вход.
Для TOTP — сохраните seed-код в сейф или в зашифрованном парольном менеджере (Bitwarden) с отдельным master-паролем. Для аппаратного ключа — приобретите второй ключ (или запишите seed-фразу для Ledger и храните её отдельно от основного ключа). Никогда не храните seed в облаке без шифрования.
Разлогиньтесь на бирже, попытайтесь войти через новый фактор. Если используете аппаратный ключ — проверьте, что он работает с браузером (U2F или FIDO2). Если TOTP — убедитесь, что приложение показывает код без интернета. После успешного теста удалите старую 2FA (SMS).
Мошенник получает дубликат вашей SIM-карты у оператора сотовой связи. Все SMS с кодами приходят ему, а вы остаётесь без связи.
Внезапно пропадает сотовая связь, телефон показывает «только экстренные вызовы». Банковские и биржевые уведомления перестают приходить. Немедленно звоните оператору.
Если злоумышленник уже сменил пароль и вывод, шансы минимальны. Если успели заблокировать SIM — свяжитесь с поддержкой биржи (желательно через верификацию по email и паспорту). Лучшая защита — не допускать SIM-swap.
Некоторые площадки (например, некоторые региональные биржи) используют SMS как обязательный резерв. Проверьте настройки безопасности — если SMS нельзя отключить, используйте виртуальный номер (Google Voice) или переходите на другую платформу.
Зловред может прочитать seed-файлы TOTP, если приложение их хранит незашифрованными. Google Authenticator хранит seed в ОС Android в изолированном хранилище, но риск остаётся. Для максимальной защиты используйте аппаратный ключ.
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
