SIM Swapping: як злочинці викрадають ваш номер телефону

Ваш номер телефону став одним із найпотужніших ключів до вашого цифрового життя. Банки, поштові сервіси та платформи соціальних мереж використовують його для підтвердження вашої особи. SIM swapping — це форма крадіжки особистих даних, яка експлуатує саме цю довіру, і може зруйнувати вашу онлайн-безпеку за лічені хвилини.

Що таке SIM Swapping?

SIM swapping (також відомий як SIM hijacking або port-out fraud) — це атака, під час якої зловмисник переконує вашого мобільного оператора прив'язати ваш номер телефону до нової SIM-картки, якою він володіє. Після успішного виконання атаки всі дзвінки та повідомлення, призначені вам, — включно з одноразовими паролями (OTP) та кодами підтвердження входу — надходять безпосередньо до зловмисника.

Найстрашніше те, що ваш фізичний телефон продовжує працювати. Ви просто втрачаєте мобільний зв'язок без жодного очевидного попередження, нерідко сприймаючи це як збій у мережі — аж доки не стає надто пізно.

Як працює атака SIM Swap?

Атака складається з двох фаз: збору інформації та соціальної інженерії.

  1. Розвідка: спочатку зловмисник збирає особисті відомості про вас — ваше повне ім'я, адресу, номер облікового запису або останні чотири цифри номера соціального страхування. Ці дані часто отримують із витоків даних, фішингових листів або навіть з ваших власних профілів у соціальних мережах.
  1. Видавання себе за іншу особу: маючи достатньо особистих даних, зловмисник зв'язується з вашим мобільним оператором — телефоном, у чаті, або навіть особисто в магазині — видаючи себе за вас. Він стверджує, що загубив або пошкодив телефон, і просить перенести ваш номер на нову SIM-картку.
  1. Захоплення контролю: після того як оператор виконує запит, зловмисник починає отримувати всі ваші SMS-повідомлення та дзвінки. Він негайно запускає процедури відновлення паролів у вашій електронній пошті, криптовалютних гаманцях, банківських додатках та будь-яких інших акаунтах, прив'язаних до вашого номера. За лічені хвилини він може заблокувати вам доступ до всього.

Вся атака може бути успішно здійснена менш ніж за годину, а деяких операторів виявилося напрочуд легко обдурити.

Чому це важливо для користувачів VPN та людей, які дбають про конфіденційність

Якщо ви використовуєте VPN для захисту своєї конфіденційності, ви вже розумієте цінність захисту цифрової особистості. Однак VPN не може захистити вас від SIM swapping — ця атака діє на абсолютно іншому рівні.

SIM swapping безпосередньо підриває двофакторну автентифікацію (2FA) на основі SMS. Багато людей вважають, що SMS-автентифікація робить їхні акаунти надійно захищеними. Насправді вона створює єдину точку відмови, яка залежить від практик обслуговування клієнтів вашого оператора.

Серед відомих жертв — інвестори в криптовалюту, які втратили мільйони, журналісти, чиї джерела були розкриті, та керівники компаній, чиї бізнес-акаунти були спустошені. Будь-хто з публічно відомим номером телефону або значними онлайн-активами може стати мішенню.

Реальний приклад

У 2019 році акаунт у Twitter генерального директора компанії Twitter Джека Дорсі був захоплений за допомогою SIM swap. Зловмисники ненадовго використали його для публікації образливих матеріалів — це стало публічною та ганебною демонстрацією того, що навіть впливові та технічно підготовлені люди є вразливими.

Власники криптовалюти є особливо частими мішенями. Оскільки криптовалютні транзакції незворотні, зловмисники, як правило, одразу переходять до атаки на біржові акаунти, захищені SMS-автентифікацією 2FA, і переводять кошти ще до того, як жертва встигає зрозуміти, що сталося.

Як захистити себе

  • Перейдіть на 2FA на основі застосунків (наприклад, Google Authenticator або Authy) замість SMS, де це можливо.
  • Використовуйте апаратні ключі безпеки (наприклад, YubiKey) для критично важливих акаунтів.
  • Встановіть PIN-код SIM або пароль оператора — більшість операторів дозволяють додати додатковий пароль, необхідний для будь-яких змін в акаунті.
  • Мінімізуйте публічне розголошення вашого номера телефону — не вказуйте його у профілях соціальних мереж.
  • Використовуйте VoIP-номер як публічний контактний номер, зберігаючи ваш реальний номер у таємниці.
  • Запитайте свого оператора про функції port freeze або SIM lock, які обмежують несанкціоноване перенесення номера.

SIM swapping нагадує нам, що потужний технічний захист мало що означає, якщо людські процеси можна маніпулювати. Багаторівневий підхід до безпеки — поєднання надійних методів автентифікації, обережного поводження з персональними даними та інструментів конфіденційності, таких як VPN, — забезпечує найкращий захист від атак, які намагаються обійти технологічні засоби безпеки.