Что такое подмена SIM-карты и как защитить себя от мошенничества

Мошенничество с сим-картами — распространенная схема обмана. Завладев номером телефона жертвы, аферист получает доступ к банковским счетам, паролям от мессенджеров и другой личной информации. Рассказываем об опасностях и как себя защитить. 

В этой статье:

1. Подмена симки — что это
2. Почему это опасно
3. Как мошенники крадут SIM-карты
4. Как понять, что симку украли
5. Как защититься

Подмена симки — что это

Подмена SIM-карты, или SIM Swapping, — вид мошенничества, когда злоумышленник обманом получает контроль над чужим мобильным номером. Иными словами, мобильный номер «угоняют» и переносят на другую SIM-карту. А ваша тут же блокируется. 

Схема: мошенники убеждают мобильного оператора выдать новую сим-карту под предлогом, что телефон потерялся или сломался. Для этого используют социальную инженерию, поддельные документы или даже сговор с сотрудниками мобильной компании.

Результат: открыт доступ к звонкам, SMS и, главное, одноразовым кодам для входа в аккаунты (банковские приложения или соцсети).

Сим-карта и номер телефона — не одно и то же.

SIM-карта — чип в телефоне (маленький белый пластик). Она привязывает номер к устройству и оснащает мобильную связь: звонки, сообщения и интернет. Идентификаторы симки (например, ICCID), или IMSI, можно перенести на другую карту, чем и пользуются мошенники. 

Популярность свопов растет. Слишком много информации привязано к мобильным номерам: пароли от социальных сетей, доступ к банковским картам, электронной почте. 

Поэтому номер стал лакомым кусочком для злоумышленников — он уязвим перед такими схемами и провернуть обман легко.

Почему это опасно

Часто SIM-карты крадут, чтобы завладеть деньгами. Но иногда цель — шантаж, в том числе корпоративный, или перепродажа доступа к номеру. Жертвы могут до последнего не замечать атаку, пока не потеряют деньги или связь.

Классический пример, как могут взломать симку. Злоумышленник воспользовался уязвимостью двухфакторной аутентификации. В опасности оказались не только банковские приложения. При помощи номера мошенники получили доступ к аккаунту в социальной сети и мессенджеру, чтобы «разводить» людей из списка друзей или контактов на деньги. 

Как мошенники крадут SIM-карты

Правила оформления симок с 1 января 2025 года ужесточились. Например, иностранцы и лица без гражданства должны зарегистрироваться на Госуслугах, подтвердить личность по биометрии и предоставить СНИЛС. Купить карту им можно только в офисе оператора. 

Но мошенники постоянно «совершенствуют» способы кражи и находят слабые места в системе безопасности. Рассмотрим два распространенных способа: классический и современный.

Классический способ

Мы упоминали его в примере выше. Расскажем подробнее: 

1. Злоумышленники добывают информацию о жертве: из баз, которые «утекли» в сеть, на черном рынке персональных данных или при помощи фишинга — например, отправляют жертве письмо якобы от оператора с просьбой ввести сведения на поддельном сайте. 
2. Звонят мобильному оператору, выдают себя за хозяина и сообщают, что телефон потерялся, сломался или его украли. Для большей убедительности предоставляют поддельный паспорт. Аферисты просят активировать новую симку, которая уже есть.
3. Как только оператор переносит номер на «левую» сим-карту, старую отключают. Владелец телефона остается без связи. С этого момента звонки, SMS и коды двухфакторной аутентификации уходят мошеннику. Они получают доступ к банковским счетам и соцсетям, перехватывают коды для подтверждений, меняют пароли. 

В редких случаях в схеме участвует сотрудник оператора, и тогда все становится проще.

Жертва часто не замечает атаку, пока не теряет связь или деньги. Поэтому нередко схему проворачивают ночью, пока человек спит. 

Классический способ 5–10 лет назад был популярен. Но со временем мобильные операторы ввели строгие правила и уже не переносят номер на другую карту так же легко. Впрочем, никто не застрахован от кражи на сто процентов.

Помните Жоржа Милославского и его цитату: «Граждане! Храните деньги в сберегательной кассе!»? А ведь это практически реклама банковских вкладов.

Вклады и правда надежный способ сохранить сбережения. Мошенникам гораздо сложнее добраться до них. Так деньги сбережете и еще заработаете на процентах. Сплошная выгода!

Современный

eSIM — встроенная в телефон электронная SIM-карта, которая заменяет физическую. Она похожа на микрочип, к которому привязывают один или несколько номеров — можно переключаться между ними в нужный момент. Выручает, если абонент часто путешествует. 

Но в руках мошенников электронная симка — инструмент обмана. Аферисты переносят номер с физической симки на чужое устройство с eSIM. Для этого: 

1. Взламывают личный кабинет жертвы на сайте оператора, используют фишинг или подбирают пароль. 
2. Создают заявку на перевод номера с физической SIM-карты на eSIM, запрашивают QR-код или код активации SM-DP+. 
3. Номер привязывают к другому устройству, а оператор отключает симку жертвы.

Рост атак связан с популярностью виртуальных операторов, где подключение eSIM упрощено и требует лишь доступа в интернет. 

Как понять, что симку украли

Как узнать, есть ли дубликат сим-карты:

• Внезапная потеря связи. Если нельзя звонить, отправлять SMS или пропал интернет, это признак, что симка деактивирована из-за действий злоумышленников. 

Конечно, может случиться сбой. Поэтому свяжитесь со службой поддержки оператора, например через сайт, или обратитесь в ближайший офис. 

• Странные уведомления: коды авторизации, которые не запрашивали, или сообщение от оператора об активации нового устройства, которое не подключали.
• Несанкционированные транзакции по банковским картам. 
• Необычная активность в соцсетях (посты или сообщения, которые вы не создавали) или потеря доступа к почте, мессенджерам и аккаунтам.

При первых подозрениях свяжитесь с оператором, уточните статус SIM-карты и заблокируйте ее, если опасения подтвердились. Внимательность к этим сигналам защитит финансы и данные.

Как защититься

Предупрежден — значит вооружен. Действиям мошенников можно и нужно противостоять. 

Что предпринять:

• Усильте аутентификацию

Включите многофакторную аутентификацию для всех аккаунтов. 

Не назначайте в качестве этапа подтверждения номер телефона. SMS-код легко перехватить при подмене SIM. 

Безопасная альтернатива — приложения-аутентификаторы (например, FreeOTP или «Яндекс Ключ»), которые генерируют одноразовые коды (TOTP). Это привязывает защиту к устройству, а не номеру.

• Не размещайте личную информацию в интернете

Мошенники собирают данные через фишинг, соцсети или вредоносное ПО, например вирусы. Не делитесь в сети адресом или датой рождения, игнорируйте подозрительные ссылки и письма, где просят ввести конфиденциальные сведения. Не вводите паспортные данные.

• Защитите номер у оператора

Оформите запрет действий (или обслуживания) по доверенности. Услуга запретит перевыпуск сим-карты без личного участия. Как подключить — зависит от оператора. У одних — только лично в офисе с паспортом, у других — через звонок. Услуга доступна у всех операторов, хотя не везде ее афишируют.

• Используйте надежные пароли

Создавайте длинные пароли и не используйте один и тот же для нескольких аккаунтов. Генераторы случайных паролей усилят защиту. Это снижает риск взлома через кейлогеры. Включите уведомления о входе, чтобы сразу реагировать на подозрительную активность.

• Дополнительные меры

Не привязывайте аккаунты к номеру телефона — используйте электронную почту. Настройте обратный звонок от банка или оператора перед изменениями в аккаунте. Если сдаете телефон в ремонт, вынимайте SIM-карту, при потере устройства — сразу блокируйте.

Эти шаги минимизируют риск подмены SIM-карты, защитят данные и деньги даже при утечке информации. Главное — будьте внимательными и не полагайтесь только на SMS.