Может ли VPN предотвратить атаку SIM swapping?

Нет. VPN защищает ваш интернет-трафик и скрывает IP-адрес, но не контролирует взаимодействие вашего мобильного оператора со службой поддержки. SIM swapping атакует саму инфраструктуру вашего номера телефона, а не интернет-соединение, поэтому VPN никак не препятствует этому типу атак.

Как узнать, что стал жертвой SIM swapping?

Наиболее распространённый первый признак — внезапная потеря мобильной связи: звонки и SMS перестают поступать без видимой причины. Вскоре после этого вы можете обнаружить, что потеряли доступ к электронной почте, банковским или другим аккаунтам. Если ваш телефон неожиданно теряет сигнал сети, немедленно свяжитесь с оператором — не по SIM-карте, а через Wi-Fi или с другого устройства.

Является ли SMS-аутентификация полностью небезопасной?

SMS-аутентификация значительно лучше, чем полное её отсутствие, однако она считается наиболее уязвимой формой двухфакторной аутентификации. По возможности её следует заменить на аутентификацию через приложение (например, Google Authenticator) или аппаратный ключ безопасности (например, YubiKey), которые не зависят от вашего номера телефона и не подвержены атакам SIM swapping.

Кто чаще всего становится жертвой SIM swapping?

Основными целями являются владельцы криптовалюты, поскольку транзакции необратимы и позволяют быстро похитить средства. Однако жертвой может стать любой человек, использующий SMS для двухфакторной аутентификации важных аккаунтов. Публичные личности, предприниматели и все, чей номер телефона легко найти в открытом доступе, подвергаются особенно высокому риску.

SIM Swapping

SIM Swapping: как преступники захватывают ваш номер телефона

Ваш номер телефона стал одним из самых важных ключей к вашей цифровой жизни. Банки, почтовые сервисы и платформы социальных сетей используют его для подтверждения вашей личности. SIM swapping — это форма кражи личных данных, которая эксплуатирует именно это доверие, и способна разрушить вашу онлайн-безопасность за считанные минуты.

Что такое SIM Swapping?

SIM swapping (также известный как SIM hijacking или port-out fraud) — это атака, при которой злоумышленник убеждает вашего мобильного оператора переназначить ваш номер телефона на новую SIM-карту, которой владеет он сам. После успешного проведения атаки все звонки и сообщения, предназначенные вам, — включая одноразовые пароли (OTP) и коды подтверждения входа — поступают прямо к злоумышленнику.

Самое пугающее? Ваш физический телефон продолжает работать. Вы просто теряете мобильную связь без каких-либо явных предупреждений, нередко принимая это за сбой в сети — пока не становится слишком поздно.

Как работает атака SIM Swap?

Атака состоит из двух этапов: сбора информации и социальной инженерии.

Разведка: злоумышленник сначала собирает персональные данные о вас — полное имя, адрес, номер аккаунта или последние четыре цифры номера социального страхования. Эти данные часто берутся из утечек баз данных, фишинговых писем или даже из ваших собственных профилей в социальных сетях.

Выдача себя за другого человека: располагая достаточным количеством личных данных, злоумышленник связывается с вашим мобильным оператором — по телефону, в онлайн-чате или даже лично в розничном магазине — притворяясь вами. Он заявляет, что телефон был утерян или повреждён, и просит перенести ваш номер на новую SIM-карту.

Захват: как только оператор выполняет запрос, злоумышленник начинает получать все ваши SMS-сообщения и звонки. Он незамедлительно инициирует процедуры восстановления пароля в вашей электронной почте, криптовалютных кошельках, банковских приложениях и любых других аккаунтах, привязанных к вашему номеру. В течение нескольких минут он может лишить вас доступа ко всему.

Вся атака может быть проведена менее чем за час, а некоторые операторы оказываются пугающе легко поддающимися обману.

Почему это важно для пользователей VPN и людей, заботящихся о конфиденциальности

Если вы используете VPN для защиты своей конфиденциальности, вы уже понимаете ценность защиты цифровой личности. Однако VPN не может защитить вас от SIM swapping — эта угроза действует на совершенно другом уровне.

SIM swapping напрямую подрывает двухфакторную аутентификацию (2FA) на основе SMS. Многие считают, что SMS-аутентификация делает их аккаунты абсолютно защищёнными. На самом деле она создаёт единую точку отказа, зависящую от практик службы поддержки вашего оператора.

Среди известных жертв — инвесторы в криптовалюту, потерявшие миллионы, журналисты, чьи источники были раскрыты, и руководители компаний, чьи корпоративные аккаунты были опустошены. Любой человек с публично известным номером телефона или значительными онлайн-активами является потенциальной целью.

Реальный пример

В 2019 году аккаунт генерального директора Twitter Джека Дорси в Twitter был взломан с помощью SIM swap. Злоумышленники на короткое время использовали его для публикации оскорбительного контента — это стало публичной и показательной демонстрацией того, насколько уязвимы даже влиятельные и технически грамотные люди.

Владельцы криптовалюты подвергаются особой опасности. Поскольку криптовалютные транзакции необратимы, злоумышленники, как правило, сразу переходят к атакам на биржевые аккаунты, защищённые SMS-аутентификацией, и переводят средства ещё до того, как жертва понимает, что произошло.

Как защитить себя

Перейдите на 2FA на основе приложений (например, Google Authenticator или Authy) вместо SMS везде, где это возможно.
Используйте аппаратные ключи безопасности (например, YubiKey) для критически важных аккаунтов.
Установите SIM PIN или код доступа у оператора — большинство операторов позволяют добавить дополнительный пароль, обязательный для любых изменений аккаунта.
Минимизируйте публичное раскрытие вашего номера телефона — не указывайте его в профилях социальных сетей.
Используйте VoIP-номер в качестве публичного контакта, сохраняя свой реальный номер в тайне.
Уточните у вашего оператора о функциях блокировки переноса номера или блокировки SIM-карты, ограничивающих несанкционированный перенос.

SIM swapping напоминает нам о том, что надёжная техническая защита мало что значит, если человеческие процессы поддаются манипуляциям. Многоуровневая безопасность — сочетание надёжных методов аутентификации, тщательного контроля над персональными данными и инструментов защиты конфиденциальности, таких как VPN, — обеспечивает наилучшую защиту от атак, которые стремятся обойти технологии напрямую.

SIM SwappingСредний