SIM-свап (перевыпуск SIM) — метод, при котором атакующий получает дубликат вашей SIM-карты по поддельным документам или через инсайдера у оператора. После этого перехватываются SMS с кодами 2FA и восстанавливается доступ к биржам, кошелькам, почте. Для инвестора в РФ 2026 это прямой путь к потере активов: налоги и штрафы тут ни при чём — просто уводят крипту.
Это когда мошенник заказывает дубликат вашей SIM-карты, используя поддельные паспортные данные или сговор с сотрудником салона связи. Оператор блокирует старую SIM, новая — у атакующего. Все SMS (в том числе коды 2FA) уходят ему. В крипте это даёт доступ к биржам, кошелькам, email.
Резко пропадает сеть — телефон не ловит сигнал, хотя деньги на счету есть, а сим-карта рабочая. Если это длится больше 10 минут — звоните оператору. В РФ операторы обязаны блокировать старую SIM при перевыпуске, но не всегда уведомляют. Проверяйте баланс и статус через личный кабинет на сайте оператора.
TOTP (Time-based One-Time Password) генерирует код на вашем устройстве (Google Authenticator, Authy). Он не передаётся через SMS, его не перехватить при SIM-свапе. Код привязан к секретному ключу, хранящемуся на телефоне. Даже если SIM-карту украли, TOTP-коды остаются у вас. Единственный риск — физическая кража телефона без блокировки.
На всех крупных биржах (Bybit, OKX, Binance (для РФ — через зеркала), Garantex, CommEX) в настройках безопасности выберите «Google Authenticator» или «TOTP». Отсканируйте QR-код приложением. Обязательно сохраните seed-фразу (бэкап ключа) офлайн — на бумаге, а не в телефоне. После активации TOTP отключите SMS-2FA.
Не все биржи позволяют полностью удалить номер — часто он остаётся как резерв. Но можно сделать: 1) установить TOTP как основной метод входа; 2) отключить «SMS recovery»; 3) привязать email с отдельным паролем и 2FA. На российских P2P-площадках номер обязателен — там держите минимальный баланс. Для холодных кошельков (Ledger, Trezor) номер не нужен вообще.
У операторов РФ (МТС, Билайн, Мегафон, Tele2) есть услуга «контрольная фраза», «PIN-код на смену SIM» или «кодовое слово» — без него перевыпуск карты невозможен. В личном кабинете или в салоне установите сложное кодовое слово (не дата рождения, не фамилия). При любой попытке перевыпуска оператор запросит его. Плюс — отключите удалённую замену SIM через колл-центр.
Да. Установите PIN у оператора и используйте аппаратный ключ (YubiKey, Ledger) — он не требует интернета. TOTP-приложение можно синхронизировать раз в месяц при подключении к Wi-Fi.
| Метод | Уровень защиты | Риски |
|---|---|---|
| SMS-2FA | Низкий | Перехват кодов при SIM-свапе; взлом через оператора |
| TOTP-приложение | Высокий | Потеря seed-фразы, кража телефона (если не заблокирован) |
| Отвязка номера от аккаунта | Средний | Некоторые площадки требуют номер; доступ к email может быть атакован отдельно |
| PIN-код у оператора | Высокий | Если злоумышленник знает паспортные данные + PIN — взлом всё равно возможен; но без PIN — почти гарантированный перевыпуск |
| Критерий | TOTP | SMS 2FA |
|---|---|---|
| Привязка к SIM | Нет | Полная |
| Возможность перехвата при SIM-свапе | Нет | Да |
| Восстановление доступа при утере телефона | Через seed-фразу (офлайн) | Через дубликат SIM у оператора |
| Рекомендация для РФ 2026 | Обязательно | Не использовать как единственный фактор |
| Совместимость с биржами | 95% крупных площадок | 100%, но устаревший стандарт |
Зайдите в настройки безопасности каждой биржи. Отсканируйте QR-код в приложении (Google Authenticator, Microsoft Authenticator, Authy). Сохраните seed-фразу на бумаге в сейфе. Удалите SMS как опцию входа.
Для МТС — «Кодовое слово» в личном кабинете; Билайн — «Контрольная фраза»; Мегафон — «PIN-защита SIM»; Tele2 — «Кодовое слово». Задайте сложную фразу из 8+ символов. Не используйте даты рождения или «12345».
Для холодных кошельков (Ledger, Trezor) номер не нужен — уберите его полностью. Для бирж — переведите номер в статус «только для уведомлений» (не для входа). На российских P2P-площадках (BestChange, Garantex) номер обязателен — там минимизируйте баланс.
В настройках оператора активируйте SMS-уведомление о любых изменениях номера. В МТС — «Контроль SIM-карты». В Билайн — «Блокировка смены SIM». Это даст вам 10-15 минут на реакцию, если атака началась.
Используйте почту (Яндекс, Mail.ru, Gmail) с TOTP и СЛОЖНЫМ уникальным паролем (не тем, что от биржи). Настройте код доступа к аккаунту почты через «приложение-пароль». Ни в коем случае не используйте SMS-2FA для почты.
Да. Установите PIN у оператора и используйте аппаратный ключ (YubiKey, Ledger) — он не требует интернета. TOTP-приложение можно синхронизировать раз в месяц при подключении к Wi-Fi.
Немедленно звоните оператору — требуйте блокировку дубликата. Восстановите доступ к email (через резервную почту или паспорт). Затем сбросьте пароли на всех биржах через email — если там нет TOTP, действуйте через техподдержку с паспортом.
По ст. 41 НК РФ убытки от кражи не учитываются. Если крипта была на учёте (декларирована), вы не обязаны платить НДФЛ с украденного — пишите объяснительную в ФНС. Если не декларировали — штраф 20–40% от незадекларированной суммы (налоговая база — рыночная цена на момент утраты).
Все четыре больших оператора (МТС, Билайн, Мегафон, Tele2) борются с мошенничеством, но до сих пор есть случаи сговора сотрудников. Самый низкий порог — у Tele2 (бывает, что перевыпускают без кодового слова). Рекомендую МТС или Билайн с установленным PIN.
Да. Используйте только хардверные кошельки (Ledger, Trezor, SafePal) без привязки телефона. Биржи — через API-ключи с IP-ограничением и TOTP. Для экстренного доступа — почта с аппаратным ключом (YubiKey). Телефон останется только для уведомлений, не для операций.
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
