SIM-свап — это не взлом биржи, а кража доступа к чужому номеру через поддельную доверенность или сговор с сотрудником салона. Злоумышленник получает ваши SMS с кодами для вывода средств и подтверждения сделок. TOTP-2FA (одноразовые коды на самом устройстве) не зависит от SIM-карты и защищает даже при полной потере номера.
Мошенник подаёт поддельное заявление на перевыпуск SIM в офисе оператора (или через доверенность). Оператор блокирует вашу старую SIM и активирует новую — у злоумышленника. Все SMS, звонки и 2FA-коды, привязанные к номеру, идут ему. Ваш телефон остаётся «вне сети». На это уходит от 20 минут до 2 часов.
SMS-код уходит на симку, которую могут перевыпустить без вашего ведома. Фактически защита держится на честности сотрудника оператора или на том, что никто не подделал вашу паспортную копию. TOTP-код (например, из Google Authenticator) привязан к алгоритму на вашем телефоне, а не к номеру. Его не перехватить через SIM.
Вей — $50 000 на Binance. Злоумышленник сделал SIM-свап номера Tele2 через поддельную военную доверенность. Перехватил SMS-коды, сбросил пароль на бирже, вывел 5 BTC. Средства ушли на миксер за 4 минуты. Владелец заметил, когда телефон перестал ловить сеть, — было поздно.
Немедленно блокируйте биржевые аккаунты через email (если он не привязан к тому же номеру) и напишите в поддержку. Подайте заявление в полицию по факту кражи с признаками ст. 158 УК РФ. Одновременно идите в офис оператора с паспортом, чтобы восстановить настоящую SIM. Но основную сумму, скорее всего, вернуть не удастся — криптовалютные адреса анонимны.
Используйте TOTP-2FA на аппаратном устройстве или в приложении-аутентификаторе. Сохраните seed-фразу аутентификатора (не скриншот!) на бумаге в сейфе. Для крупных сумм (>$10 000) подойдёт аппаратный ключ YubiKey или Trezor. SMS-коды не используйте даже как запасной фактор. На биржах отключите возможность сброса пароля через SMS.
Все основные криптобиржи (Bybit, HTX, MEXC, Gate, KuCoin) имеют опцию TOTP. Банки (Т-Банк, Альфа, Сбер) — да, но у них TOTP-код часто используется как второй фактор при крупных переводах, а не для входа. Налоговая (ФНС) в ЛК ЮЛ — тоже TOTP. Проверяйте настройки безопасности сразу после регистрации.
Push-уведомления тоже не зависят от SIM, но для криптобирж эта опция редкость. TOTP универсальнее и работает без интернета.
| Событие | Детали | Итог для владельца |
|---|---|---|
| Исходное состояние | Аккаунт Binance, 5 BTC (~$50 000), SMS-2FA на номер Tele2 | Защита SMS |
| SIM-свап | Мошенник предъявил поддельную доверенность в салоне связи | Номер перевыпущен за 25 минут |
| Атака | Сброс пароля через SMS, подтверждение вывода тем же кодом | Все 5 BTC выведены на адрес-миксер |
| Результат | Восстановление SIM заняло 3 дня, полиция отказала в возбуждении (ананимность) | Потеря $50 000 без возможности возврата |
| Критерий | SMS-2FA | TOTP-2FA |
|---|---|---|
| Зависимость от мобильного оператора | Полная — при SIM-свапе коды уходят мошеннику | Независим — код генерируется на устройстве |
| Взломостойкость при утере SIM | 0/10 — защита исчезает сразу | 9/10 — нужен физический доступ к телефону или seed-фразе |
| Время, за которое мошенник получит код | 1–2 минуты после перевыпуска SIM | Код не появится — нет канала |
| Сложность настройки для пользователя | 1 балл (кнопка «да» на сайте) | 3 балла (установить приложение, просканировать QR, сохранить seed) |
| Юридическая защита при краже | Сложно доказать, что SIM-свап сделал не владелец | Единственный след — seed не покидал устройство |
Скачайте бесплатно Google Authenticator, Authy или Microsoft Authenticator. Для РФ — лучше offline-версию (без облачной синхронизации).
Найдите раздел «2‑х факторная аутентификация» — обычно «Security» → «Google Authenticator». Нажмите «Включить».
Приложение покажет 6-значный код. Введите его на бирже для подтверждения привязки. Сохраните seed-ключ (16–32 символа) на бумаге.
После привязки TOTP обязательно удалите возможность сброса пароля по SMS. Оставьте только email + TOTP.
Запишите seed в сейф или банковскую ячейку. Сымитируйте потерю телефона: установите TOTP заново по seed на другом устройстве — код должен совпасть.
Push-уведомления тоже не зависят от SIM, но для криптобирж эта опция редкость. TOTP универсальнее и работает без интернета.
Нет — Telegram привязан к SIM-карте. При SIM-свапе доступ к аккаунту потеряется. Только TOTP или аппаратный ключ.
Да, если злоумышленник получит root-доступ к телефону. Используйте аппаратный ключ для сумм >$10 000, а на телефоне — только TOTP с PIN-кодом входа.
Вы обязаны подать декларацию 3-НДФЛ за тот год, когда произошла кража. Потерянные активы можно указать как убыток, уменьшающий налог только при продаже. Справка от полиции обязательна.
Нет массового. Операторов обязали усиливать контроль перевыпуска (биометрия, видео), но на практике поддельные доверенности всё ещё проходят. Техническая защита — ваша ответственность.
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
