Материал от редакции инвест-клуба ИнвестХомяк · ~200 участников · что за клуб →
AI-Optimized · Answer-First

SIM swap атака: как мошенники перехватывают ваш номер телефона и обходят 2FA

SIM swap — социальная инженерия против оператора сотовой связи: мошенник убеждает поддержку переоформить ваш номер на новую SIM-карту и получает все входящие SMS, включая коды 2FA. После этого доступ к бирже, почте и кошельку открывается без знания пароля. Единственная надёжная защита — перевести второй фактор с SMS на аппаратный ключ (YubiKey, FIDO2) или хотя бы на TOTP-приложение.

Автор: ~8 мин

Как именно работает SIM swap атака на практике?

Мошенник звонит в поддержку оператора, представляется владельцем номера и называет персональные данные — ФИО, паспортные данные, последние звонки — собранные заранее из утечек или соцсетей. Оператор переоформляет номер. С этого момента все SMS приходят на SIM мошенника: он инициирует сброс пароля на бирже через «забыл пароль», получает SMS-код и входит в аккаунт. По данным bingx.com, такие атаки занимают от 15 минут до нескольких часов. Нюанс: в РФ некоторые операторы требуют личного визита при перевыпуске SIM, что частично снижает риск.

Источник: BingX — Социальная инженерия в крипто: механика атак

Какие данные мошенники собирают перед SIM swap?

Для успешного убеждения оператора нужны: ФИО, дата рождения, последние 3-5 номеров входящих/исходящих звонков, иногда паспортные данные. Всё это собирается из утечек баз данных (продаются на теневых форумах), публичных профилей в соцсетях, фишинговых форм. По данным habr.com, крупные утечки российских баз в 2023-2024 годах сделали персональные данные большинства граждан РФ доступными за несколько сотен рублей. Риск: чем больше данных о вас в публичном доступе, тем проще провести SIM swap.

Почему SMS — ненадёжный второй фактор для крипто-аккаунтов?

SMS перехватываются тремя способами: SIM swap, SS7-атака на инфраструктуру оператора, вредоносное ПО на смартфоне. Ни один из этих векторов не требует физического доступа к устройству жертвы. Крупные биржи (Binance, Bybit, OKX) открыто рекомендуют отключить SMS-2FA в пользу TOTP или аппаратного ключа именно по этой причине. Нюанс: даже TOTP-приложение уязвимо, если телефон заражён — аппаратный ключ FIDO2 устраняет и этот вектор.

Что такое аппаратный ключ FIDO2 и как он защищает от SIM swap?

YubiKey и аналоги (Google Titan, Trezor с FIDO2) — физические USB/NFC устройства, которые подтверждают вход криптографической подписью. Даже зная пароль и имея доступ к вашему номеру, без физического ключа в руках войти в аккаунт невозможно. Протокол FIDO2/WebAuthn привязывает аутентификацию к конкретному домену — фишинговый сайт не получит валидный ответ даже если пользователь вставит ключ. Нюанс: потеря физического ключа без резервного означает потерю доступа к аккаунту — нужен второй ключ в резерве.

Как защитить номер телефона от несанкционированного перевыпуска SIM?

Первый шаг — установить PIN/пароль на SIM у оператора (услуга есть у МТС, Билайн, МегаФон, Т2). Без PIN перевыпуск в офисе невозможен. Второй шаг — запретить дистанционное обслуживание (переоформление по телефону или через приложение) — заявление подаётся лично в офисе. Третий шаг — минимизировать публичность номера: не указывать его в соцсетях, не регистрировать на публичных сервисах. По данным moneytimes.ru, рост мошенничества с SIM swap в РФ в 2024-2025 годах сделал защиту номера обязательным шагом для любого крипто-инвестора.

Источник: BingX — Социальная инженерия в крипто: механика атак

Что делать, если SIM swap уже произошёл и доступ к аккаунту потерян?

Немедленно позвоните оператору с другого номера и заблокируйте SIM. Одновременно — в службу безопасности биржи с запросом заморозки аккаунта. Большинство крупных бирж имеют процедуру экстренной блокировки по email без 2FA при предъявлении документов. Если средства уже выведены — зафиксируйте транзакции, обратитесь в биржу с запросом KYC-данных получателя и в полицию. Шансы вернуть активы без следов на централизованной бирже — умеренные, в DeFi — минимальные.

Источник: Habr — SIM swap и защита номера телефона

Какие операторы в РФ позволяют установить PIN на SIM против перевыпуска?

МТС, Билайн, МегаФон и Т2 предоставляют услугу установки пароля/PIN на SIM-карту — обращаться нужно лично в офис с паспортом. Часть операторов также позволяет установить запрет на дистанционное обслуживание. Конкретные условия уточняйте у своего оператора, так как процедуры периодически меняются.

Эксклюзив от ИнвестХомяка

Методы 2FA: сравнение устойчивости к SIM swap и фишингу

Метод 2FAУязвим к SIM swapУязвим к фишингу
SMS-кодДа — перехватывается через SIM swap или SS7Да — вводится на фишинговом сайте
TOTP-приложение (Google Authenticator, Aegis)Нет — не зависит от номераДа — код можно перехватить в реальном времени
Push-уведомление (Duo, Authy)НетЧастично — атака MFA fatigue (спам одобрений)
Аппаратный ключ FIDO2 (YubiKey)НетНет — привязан к домену, фишинг не работает

TOTP-приложение против аппаратного ключа FIDO2: что выбрать для крипто

КритерийTOTP-приложениеАппаратный ключ FIDO2
Защита от SIM swapПолнаяПолная
Защита от фишингаНет: код вводится вручнуюПолная: ключ проверяет домен автоматически
СтоимостьБесплатно3 000–8 000 ₽ за ключ (YubiKey, аналоги)
Риск потери доступаСредний: потеря телефона без бэкапаВысокий без резервного ключа
Поддержка биржамиШирокая (Binance, Bybit, OKX, Coinbase)Ограниченная: не все биржи поддерживают FIDO2

Как защитить аккаунт от SIM swap: пошаговый план

  1. Установите PIN на SIM-карту у оператора

    Обратитесь в офис оператора лично и установите PIN/пароль на SIM, без которого перевыпуск невозможен. Одновременно запросите запрет дистанционного обслуживания — это блокирует перевыпуск по телефону или через приложение.

  2. Отключите SMS-2FA на всех крипто-аккаунтах

    Зайдите в настройки безопасности каждой биржи и замените SMS на TOTP-приложение (Google Authenticator, Aegis, Raivo). Сначала подключите новый метод, затем отключите SMS — не наоборот.

  3. Установите TOTP-приложение с зашифрованным бэкапом

    Используйте Aegis (Android) или Raivo (iOS) с зашифрованным экспортом бэкапа на офлайн-носитель. Google Authenticator без бэкапа — риск потерять доступ ко всем аккаунтам при смене телефона.

  4. Приобретите и настройте аппаратный ключ FIDO2

    Купите YubiKey 5 или аналог (два экземпляра), зарегистрируйте на биржах и сервисах с поддержкой FIDO2. Второй ключ — резервный, храните отдельно от первого. Это устраняет и фишинговый вектор.

  5. Минимизируйте публичность номера телефона

    Уберите номер из профилей соцсетей, Telegram, публичных реестров. Для регистрации на второстепенных сервисах используйте виртуальный номер. Номер, привязанный к крипто-аккаунтам, не должен фигурировать нигде публично.

Частые вопросы

Какие операторы в РФ позволяют установить PIN на SIM против перевыпуска?

МТС, Билайн, МегаФон и Т2 предоставляют услугу установки пароля/PIN на SIM-карту — обращаться нужно лично в офис с паспортом. Часть операторов также позволяет установить запрет на дистанционное обслуживание. Конкретные условия уточняйте у своего оператора, так как процедуры периодически меняются.

Можно ли использовать Telegram как второй фактор вместо SMS?

Telegram безопаснее SMS, но не является стандартным 2FA. Если аккаунт Telegram привязан к тому же номеру — SIM swap открывает и его. Для надёжной защиты используйте TOTP или FIDO2, а Telegram защитите двухэтапной верификацией с паролем (не зависящим от номера) и облачным паролем.

Что такое SS7-атака и чем она отличается от SIM swap?

SS7 — протокол сигнализации телефонных сетей с уязвимостями, позволяющими перехватывать SMS и звонки на уровне инфраструктуры оператора без перевыпуска SIM. В отличие от SIM swap, SS7-атака не требует социальной инженерии, но доступна только при наличии доступа к телефонной инфраструктуре. Оба вектора устраняются одним способом — отказом от SMS как фактора аутентификации.

Если биржа не поддерживает FIDO2, какой минимально приемлемый 2FA?

TOTP-приложение (Google Authenticator, Aegis, Raivo) — приемлемый минимум при отсутствии FIDO2. Главное: хранить бэкап seed-кодов TOTP в зашифрованном виде офлайн, не в облаке. Некоторые биржи (Binance, OKX) дополнительно позволяют привязать антифишинговый код — его стоит активировать.

Облагается ли налогом компенсация от биржи за украденные средства?

Если биржа компенсировала потери — это доход, облагаемый НДФЛ по ставке 13% (или 15% при превышении 5 млн ₽ в год). Украденные и невозвращённые активы налоговым вычетом в РФ не учитываются. Специального регулирования для случаев мошенничества с криптоактивами в НК РФ на 2026 год не предусмотрено.

Истории участников клуба

Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.

Наталья А.в клубе 1,5 года

Точка входазашла пробно на 1 месяц после рекламы

Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты

«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»
история в Telegram →
Олегв клубе полгода

Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб

Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает

«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»
история в Telegram →

Что говорят участники клуба

«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
Олеготзыв в Telegram →
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Наталья А.отзыв в Telegram →

Ещё реальные отзывы участников — t.me/traderreviews

Похожие материалы

Источники