Двухфакторная аутентификация по SMS ощущается безопасной — код идёт на ваш телефон, а телефон у вас. Атака с подменой SIM ломает это допущение, крадя сам номер телефона. В России и СНГ эта атака набирает обороты: в 2023 году Центробанк официально предупреждал банки об учащении инцидентов с подменой SIM, а кейсы с угоном номеров операторов МТС, Билайн и МегаФон попадали в новости.
Что такое подмена SIM
Ваш номер телефона не привязан навсегда к SIM-карте в вашем телефоне. Мобильный оператор может перенести номер на новую SIM — это нормальная услуга, используемая, когда люди меняют телефоны или теряют SIM. Атака с подменой SIM злоупотребляет ею: злоумышленник связывается с вашим оператором, выдаёт себя за вас и убеждает перенести ваш номер на SIM, которую контролирует злоумышленник. С этого момента ваши звонки и сообщения идут к нему.
Технически это называется «SIM swap» или «port-out fraud». В России также используют термин «угон номера». В отличие от MNP (переход к другому оператору с сохранением номера), который требует личного визита в офис, перевыпуск SIM в рамках одного оператора часто можно оформить дистанционно — и именно этим пользуются злоумышленники.
Почему это так разрушительно
Когда у злоумышленника есть ваш номер, каждый SMS-код идёт к нему. Он может запрашивать сбросы паролей, подтверждаемые сообщением, и проходить двухфакторные проверки на основе SMS. Номер, который был вашей резервной защитой, становится главным ключом злоумышленника.
В российской цифровой среде последствия особенно болезненны, потому что номер телефона часто используется как основной идентификатор:
- Госуслуги — восстановление доступа идёт через SMS на привязанный номер.
- Сбербанк Онлайн, Тинькофф, Альфа-Банк и другие приложения банков — критичные операции подтверждаются по SMS или push с возможностью fallback на SMS.
- Telegram, WhatsApp, Viber — авторизация на новом устройстве по SMS-коду. Угон номера = угон чата.
- Маркетплейсы (Wildberries, OZON, Яндекс Маркет) — вход и подтверждение покупок по SMS.
- Криптобиржи (Binance, Bybit) — двухфакторная аутентификация часто завязана на SMS.
Это основная причина, по которой руководства по безопасности предпочитают аутентификацию на основе приложения, а не SMS.
Как злоумышленники это проворачивают
Подмена SIM опирается на социальную инженерию и информацию о вас. Злоумышленники собирают личные детали — часто из утечек данных (а их в РФ было много: Yandex Food, Delivery Club, СДЭК, Аэрофлот) — чтобы отвечать на вопросы оператора об идентичности.
Типовые сценарии:
- Звонок в саппорт оператора. Злоумышленник выдаёт себя за вас, ссылаясь на потерю/повреждение SIM. Знает ваши паспортные данные (из утечек), последние пополнения счёта, кому звонили — всё это подтверждает идентичность.
- Перевыпуск через салон связи. В небольших салонах сотрудник может выдать SIM по поддельной доверенности или копии паспорта.
- Внутренний сообщник. В крупных случаях задействован нечестный сотрудник оператора — за вознаграждение перевыпускает SIM «по запросу».
- Социальная инженерия через личный кабинет. Если у злоумышленника есть доступ к вашему email, он восстанавливает доступ к личному кабинету оператора и заказывает перевыпуск.
Слабое место — процесс оператора по доказательству того, кто вы, а не ваш телефон.
Признаки что вас угоняют прямо сейчас
- Внезапно пропала связь — нет сети там, где обычно есть. Особенно подозрительно если телефон показывает «SIM не зарегистрирована».
- Невозможно совершить звонок или отправить SMS.
- В мессенджеры приходит уведомление об авторизации на новом устройстве.
- Банковское приложение сообщает о входе с незнакомого устройства.
Если такое происходит — немедленно (с другого телефона!) звоните в саппорт оператора и просите заблокировать SIM. Параллельно — в банк, чтобы заморозить операции.
Как защититься
Уровень оператора. Попросите оператора добавить запрет на дистанционный перевыпуск SIM без личного визита в офис. У МТС это называется «Запрет на действия с SIM», у Билайн — «Защита SIM-карты», у МегаФон — «Защита SIM», у Tele2 — «Запрет на смену SIM». Услуга часто бесплатна или копеечная. После активации перевыпуск возможен только лично с паспортом — что отсекает 90% атак.
Уровень аккаунта. Где возможно — переведите 2FA с SMS на:
- Приложение-аутентификатор (Google Authenticator, Microsoft Authenticator, Authy, 2FAS). Код генерируется локально на устройстве, угон номера на него не влияет.
- Аппаратный ключ безопасности (YubiKey, Trezor, SoloKey). Самый сильный фактор — физический объект, который нужно физически приложить.
- Push-уведомления приложения банка вместо SMS. Push идёт по интернет-каналу на конкретное устройство, а не на SIM.
Уровень личных данных. Чем меньше публично известных деталей — тем сложнее злоумышленнику пройти проверку оператора:
- Не публикуйте полную дату рождения и паспортные данные в соцсетях.
- Регулярно проверяйте утечки своих данных — например через сервис haveibeenpwned (для email) и через локальные ресурсы по поиску утечек.
- Используйте уникальные пароли в личных кабинетах всех операторов и банков. Менеджер паролей (Bitwarden, 1Password, KeePass) — обязателен.
Что делать, если угон уже произошёл
- Сразу же свяжитесь с оператором с другого номера — заблокируйте SIM.
- Параллельно — звонок в банк, заморозьте все операции и попросите выпустить новые карты.
- Смените пароли всех аккаунтов, привязанных к этому номеру — начиная с email.
- Включите 2FA через приложение-аутентификатор везде, где возможно.
- Подайте заявление в полицию (через Госуслуги или лично) — это нужно для последующих споров с банком и оператором.
- По возможности обратитесь в банк за процедурой chargeback по операциям, совершённым после угона.
Частые вопросы
Можно ли как-то узнать, что мой номер уже угнан, до того как пропадёт связь?
Иногда — да. Если в вашем личном кабинете оператора есть журнал действий, проверяйте его периодически. Любая операция «перевыпуск SIM» или «изменение тарифа», которую вы не заказывали — красный флаг. Также подозрительно если приходят SMS с кодами от сервисов, в которые вы не входили.
Защищает ли eSIM от подмены SIM?
Частично. eSIM сложнее физически украсть, но дистанционный перевыпуск работает так же. eSIM защищает от потери SIM-карты, но не от социальной инженерии оператора.
Защитит ли VPN?
Нет. VPN меняет ваш сетевой трафик, но не имеет отношения к мобильному номеру. SIM-swap происходит на стороне оператора связи, до того как трафик доходит до интернета.
Можно ли вообще отказаться от SMS-2FA?
Да, и это рекомендуемая стратегия для всех чувствительных аккаунтов. Современные банковские приложения работают через push, госуслуги поддерживают аутентификатор-приложения, мессенджеры — облачные пароли и passkeys. SMS-2FA оставляйте только там, где альтернативы нет.
Помогает ли «дополнительный» номер на резервном телефоне?
Только если этот номер тоже защищён запретом на дистанционный перевыпуск. Иначе вы просто умножаете риск.
Вывод
Подмена SIM обращает ваш номер телефона против вас, перенося его на SIM злоумышленника. Это самая ясная причина, по которой SMS — самая слабая форма двухфакторной аутентификации. В российской цифровой среде последствия особенно болезненны, потому что номер часто = идентификатор Госуслуг, банка и мессенджера. Защитите аккаунт у оператора (запрет на дистанционный перевыпуск), переведите критичные сервисы на приложение-аутентификатор или аппаратный ключ, и держите личные данные подальше от публичного доступа.
