SIM-swap атака на крипто-кошелёк: как работает и как защититься с помощью 2FA

Атака включает три этапа: сбор персональных данных жертвы (через утечки, соцсети, фишинг); обращение к оператору связи от имени жертвы с просьбой перевыпустить SIM-карту (лично, по телефону или через онлайн-поддержку с использованием персональных данных); после перевыпуска все SMS и звонки поступают злоумышленнику. Далее — сброс пароля на бирже через SMS и вывод средств. В РФ перевыпуск SIM требует паспорта, однако социальная инженерия сотрудников операторов остаётся рабочим вектором атаки. Риск: жертва узнаёт об атаке по исчезновению сигнала — реакции остаются минуты.

SMS-код передаётся по незащищённым каналам сотовой сети и может быть перехвачен не только через SIM-swap, но и через атаки на протокол SS7, используемый операторами связи по всему миру. Кроме того, SMS-восстановление доступа — стандартная функция большинства сервисов, превращающая номер телефона в единую точку отказа для всей цепочки аккаунтов. TOTP-приложения генерируют коды локально без передачи по сети. Риск: даже замена SMS на TOTP не защищает, если email-аккаунт, привязанный к бирже, по-прежнему восстанавливается через SMS.

TOTP (Time-based One-Time Password) генерирует шестизначный код локально на устройстве каждые 30 секунд — без передачи по мобильной сети. Перехват SMS при SIM-swap не даёт злоумышленнику доступа к TOTP-кодам. Приложения работают офлайн и не зависят от качества связи. Популярные решения: Google Authenticator, Aegis (Android, открытый код), Raivo (iOS). Риск: при потере телефона без сохранённых резервных кодов восстановление доступа к аккаунтам будет длительным и сложным — храните резервные коды в защищённом офлайн-месте отдельно от телефона.

Аппаратный ключ (YubiKey, Google Titan Key) — физическое устройство стандарта FIDO2/WebAuthn, требующее физического присутствия и нажатия кнопки для подтверждения входа. Ключ привязан к конкретному домену сайта, что делает его иммунным к фишингу: на поддельном сайте он просто не сработает. Это наиболее надёжный из доступных методов 2FA для крупных крипто-аккаунтов. Риск: потеря единственного ключа без резервного означает утрату доступа к аккаунтам — всегда регистрируйте два аппаратных ключа или сохраняйте резервные коды восстановления в надёжном месте.

Превентивные меры на уровне оператора в РФ: лично обратитесь в офис оператора и установите запрет на перевыпуск SIM без личного присутствия с паспортом; подключите услугу «запрет удалённых операций» (доступна у ряда операторов); установите PIN-код на SIM-карту в настройках телефона. Параллельно: минимизируйте использование номера телефона как метода входа и восстановления на криптосервисах. Риск: даже при установленных ограничениях атака через социальную инженерию сотрудника офиса оператора теоретически возможна — дополнительные уровни защиты через TOTP/аппаратный ключ остаются обязательными.

Признак атаки — внезапное исчезновение сигнала сотовой сети или SMS от оператора о замене SIM. Немедленные действия: позвоните оператору с другого телефона или через Wi-Fi звонок и заблокируйте номер; с другого устройства войдите на биржи через сохранённый TOTP-код и переведите средства на холодный кошелёк или другой аккаунт; смените пароли на биржах и email; отключите SMS-2FA везде где возможно. Риск: злоумышленники действуют быстро — от перевыпуска SIM до вывода средств проходит менее 30 минут; скорость реакции критична для сохранения активов.

Классический TOTP не защищает от фишинга в реальном времени: злоумышленник перехватывает код на поддельном сайте и немедленно использует его на настоящем. Аппаратные ключи FIDO2 защищают от этого — они привязаны к домену и не работают на фишинговых копиях сайтов.