Что такое SIM-swapping? Простыми словами

Здравствуй, дорогой Читатель! На днях выходила статья про многофакторную аутентификацию. И один из факторов звучал как «владение», где примером подтверждения владения был код из СМС. Сегодня же хочется порассуждать на тему почему условный «код из СМС» не является гарантией защиты? Поговорим про SIM-swapping.

Автор решил разобраться: что это за зверь такой? Как можно украсть деньги, просто «поговорив с админом»? И главное — как защитить себя, свою семью и свои сбережения от этой напасти?

Сегодня говорим простыми словами, без сложной схемотехники, зато с примерами и нашими старыми знакомыми. Отдельно хочется обратить внимание читателя на то, что ситуации описанные дальше не реальны. Они слишком сильно преувеличины.

Что это такое?

Представьте себе самую обычную семью. У Ильи, Алисы и маленькой Арины есть сим-карты. Арина вообще не понимает, зачем нужен телефон, кроме как чтобы таскать его в зубах, но симка у неё есть — мама вставила в старый смартфон, чтобы иногда включать малышке мультики.

Илья, Алиса и Арина даже не подозревают, что их сим-карты могут стать целью злоумышленника. А Почтальон уже здесь...

Алисе 4 года, и она уже вовсю тычет в экран, скачивает игры и знает, что для покупки нового скина в Roblox нужно спросить у папы код из СМС.

Илья — старший. Ему 14, у него есть свой смартфон, привязанная к нему банковская карта (на карманные расходы), аккаунты в соцсетях, почта и, конечно же, тот самый Roblox, куда он задонатил свои честно заработанные (помощью по дому) деньги.

Так вот, SIM-своппинг — это ситуация, когда коварный злодей приходит к оператору сотовой связи и, используя всю свою хитрость, убеждает сотрудника, что он — это Илья.

— Здравствуйте, я Илья, — говорит мошенник в окошко салона связи или по телефону техподдержки. — Я потерял телефон! Мне срочно нужна новая сим-карта с моим старым номером. Да, подтвердить по СМС я не могу — телефон же потерян! Но вы можете проверить меня по паспортным данным? Я их назову.

Почтальон убедил оператора, что он — это Илья. Теперь новая симка у злоумышленника, а Илья остался без связи.

И если сотрудник ведётся, происходит страшное: оператор блокирует старую симку Ильи и выдаёт новую — злодею. Телефон Ильи в этот момент теряет сеть. «Упала вышка?» — думает Илья. А в это время у мошенника на новой симке оживает номер Ильи.

И теперь все СМС, все коды подтверждения, все звонки приходят не Илье, а дяде - мошеннику. А Илья сидит без связи, и пока он ищет Wi-Fi, чтобы написать маме в Telegram, мошенник спокойно заходит в его банк, нажимает «Забыли пароль?», вводит код из СМС и вычищает карманные деньги Ильи. Обидно? Ещё как. Особенно когда копишь на новый джойстик.

Как это работает?

Давайте разберём атаку на примере всё того же Ильи. Это не взлом телефона, это именно взлом личности через оператора.

И важное замечание! Процессы и безопасность сотовых операторов на много превосходит ту, что описана в этой истории. Зато она более наглядно описывает способ взлома!

Этап 1: Разведка

Злоумышленник собирает данные: дату рождения, адрес, фото документов — всё, что Илья сам выложил в сеть.

Мошеннику нужен номер жертвы. Номер Ильи, например, 8-999-123-45-67. Но этого мало. Чтобы убедить оператора, нужно знать «секретные данные»: ФИО, дату рождения, иногда паспортные данные или кодовое слово. Откуда это берётся? Из соцсетей, где Илья выложил фото паспорта (бывает и такое!), из утечек баз данных (помните, все эти сливы с сайтов?), из фишинговых писем, где Илья перешёл по ссылке и сам всё ввёл.

Этап 2: Звонок оператору

"Я — Илья, подтвердите по паспортным данным!" — голос Почтальона звучит убедительно.

Вооружившись данными, мошенник звонит в службу поддержки сотового оператора. Включается в роль:
— Здравствуйте, меня зовут Илья Петров, номер 8-999-123-45-67. Я разбил телефон, симка не читается. Мне срочно нужно перевыпустить её на новую, я жду важный звонок от мамы (или от начальника, если жертва взрослая)!
— Для подтверждения вам придёт СМС-код, — отвечает робот или оператор.
— Девушка (парень), у меня телефон не работает, я с вами с другого звоню! Я не могу получить СМС! Давайте я паспортные данные назову или кодовое слово?

Этап 3: Убеждение

Если у оператора слабая защита или сотрудник попался уставший/невнимательный, он идёт навстречу. Мошенник называет данные, которые собрал на первом этапе. Сотрудник сверяет их с базой — всё сходится! Вуаля — процедура запущена.

Этап 4: Перехват

Старая симка Ильи умерла. Все СМС теперь у Почтальона.

Через несколько минут новая сим-карта активируется. Теперь она в телефоне мошенника. Телефон Ильи в этот момент теряет сеть. Индикатор сигнала показывает пустоту. «Странно», — думает Илья. А мошенник уже видит на своём экране: «Ваш код: 1234».

Этап 5: Кража

Деньги уходят на счета мошенников, а Илья даже не получил уведомления — связи-то нет.

Дальше дело техники. Мошенник идёт в банковское приложение жертвы, нажимает «Восстановить пароль». Код приходит на его симку. Пароль сброшен. Деньги уходят. То же самое с почтой, аккаунтами в соцсетях, играми, криптокошельками — всем, что привязано к номеру.

Типы SIM-своппинга

Четыре способа украсть номер: от простого обмана до инсайдерских схем.

Как и в любом искусстве, в искусстве отъёма денег есть свои школы и направления. Автор выделил несколько основных типов.

Классический

Это как в истории с Ильёй. Никакого хакерства, только чистая психология и обман. Мошенник просто «втирается в доверие» к сотруднику салона или техподдержки. По статистике Автора, это самый частый случай. Люди верят людям, особенно если те говорят убедительно и знают какие-то личные данные.

Инсайдерский

Это когда «крот» работает внутри самого оператора. Недобросовестный сотрудник за скромную плату (или не очень скромную) перевыпускает симки без лишних вопросов и проверок. Встречается реже, потому что операторы борются с этим, но, увы, метко.

Фишинговый

Здесь мошенник сначала ловит жертву на удочку. Присылает СМС: «Ваш номер будет заблокирован, перейдите по ссылке», или письмо: «Вы выиграли приз, подтвердите паспортные данные». Жертва сама отдаёт все нужные данные. А потом мошенник с этими данными идёт к оператору.

Поддельная доверенность

Самый хлопотный для мошенника, но и самый надёжный способ. Он делает поддельную нотариальную доверенность от имени жертвы и приходит с ней в салон. Сотрудники верят бумажке с печатью. Редко, но бывает, и ущерб от таких атак обычно колоссальный.

Разбор мифов

Автор часто видит в комментариях самоуверенные заявления. Давайте развеем иллюзии, пока это не сделали мошенники.

Миф 1: «У меня сложный пароль в Telegram и в банке. Меня не взломают!»

Пароль не спасёт, если код для сброса приходит в СМС, которое теперь у Почтальона.

SIM-своппингу глубоко безразличен ваш суперсложный пароль qwerty123!. Мошенник не будет его подбирать. Он нажмёт кнопку «Забыли пароль?». Система пришлёт СМС с кодом сброса. И этот код придёт мошеннику, потому что симка теперь у него. Ваш пароль — как сейф с замком, а симка — это ключ от этого сейфа, который вы отдали чужому дяде.

Миф 2: «Я же пользуюсь eSIM! Это же современно и безопасно. Меня это не коснётся»

eSIM — та же симка, только виртуальная. Мошеннику без разницы.

Увы, но eSIM — это та же самая сим-карта, только встроенная в телефон. Это не физический кусочек пластика, а программный. Мошенник точно так же может прийти к оператору и попросить перевыпустить ваш профиль eSIM на своё устройство. Технология спасает от потери симки, но не от социальной инженерии.

Миф 3: «Мой банк надёжный, меня предупредят. Я сразу всё заблокирую»

Пока Илья ищет сеть, Почтальон уже прочитал все "предупреждения" за него.

Как вы заблокируете, если ваша симка умерла, а интернета (мобильного) нет? Пока вы ищете Wi-Fi, чтобы позвонить в банк с мессенджера, мошенник уже выводит деньги. А банк шлёт СМС-предупреждения... на симку мошенника.

Миф 4: «Я мелкая сошка, никому не нужен. Это только олигархов воруют»

Целью может стать кто угодно — от олигарха до школьника с карманными деньгами.

Мошенники не гнушаются ничем. Им всё равно, миллион у вас на счету или тысяча рублей. Аккаунт в игре с донатом, красивая страница в Instagram, доступ к вашей почте (чтобы рассылать спам вашим контактам) — всё это товар. К тому же, автоматизированные системы атак часто бьют по слитым базам данных, где ваш номер есть просто по факту регистрации в каком-нибудь магазине.

Все ли так плохо?

SIM-своппинг — проблема глобальная. Он есть везде, где есть сотовая связь. Особенно часто он процветает там, где операторы связи халатно относятся к проверке личности при перевыпуске симок.

За последние годы в России вступило в силу или готовится к принятию множество законодательных мер, которые делают классический SIM-своппинг всё более сложным занятием для мошенников.

Почему это до сих пор работает?

Законы работают, но только если их правильно применять. И здесь есть несколько «но».

• Человеческий фактор остаётся. Можно принять хоть сто законов, но если сотрудник салона связи в попыхах не сверит IMEI или примет липовую доверенность за настоящую, схема сработает. Особенно это касается пожилых людей, за которых «заботливый внук» может прийти перевыпускать симку.
• Новые технологии — новые лазейки. SIM-своппинг эволюционирует. Вместо прямого обмана оператора, мошенники всё чаще используют сим-боксы и виртуальные АТС для подмены номеров, а фишинг становится настолько качественным, что отличить поддельный сайт «Госуслуг» от настоящего может только специалист .

Так что проблема существует ровно до тех пор, пока существует невнимательность, доверчивость и техническая безграмотность.

Что нас защищает?

А теперь — хорошие новости. За последнее время была выстроена целая система защиты. Давайте посмотрим, как новые законы бьют по рукам Почтальону.

Поставил запрет на Госуслугах — и Почтальон может хоть до хрипоты спорить с оператором. От ворот поворот.

Закон против SIM-своппинга: что работает уже сегодня

• Самозапрет на дистанционную смену симки. Через «Госуслуги» или МФЦ теперь можно поставить запрет на оформление сим-карт без личного присутствия. Мошенник может обзванивать техподдержку сколько угодно — если стоит запрет, оператор просто откажет .
• Защита кодов от «Госуслуг». Теперь код подтверждения от портала не приходит во время телефонного разговора. Мошенники больше не могут сказать: «Сейчас вам придет СМС, продиктуйте его». Пока вы говорите по телефону, код просто не доставляется .
• Антифрод-платформа. Создаётся государственная система, которая в реальном времени обменивается данными между операторами и банками. Если по номеру замечена подозрительная активность (например, попытка перевыпуска симки и сразу же перевод денег), система это видит и может заблокировать операцию.
• Запрет на передачу сим-карт третьим лицам. По закону, передавать свою симку кому-то кроме близких родственников нельзя. Это усложняет жизнь дропперам — тем, кто оформляет симки на себя, а потом продаёт их мошенникам .
• Маркировка звонков. Теперь на экране телефона при входящем звонке от организации отображается её название. Если вам звонит «Служба безопасности банка», а на экране написано «Неизвестный абонент» или какая-то ерунда — вешайте трубку .
• IMEI-привязка (готовится). Скоро вступит в силу закон, обязывающий привязывать сим-карту к конкретному устройству по его уникальному IMEI-коду. Просто переставить симку в другой телефон будет недостаточно — нужно будет регистрировать смену устройства у оператора. Это делает перехват управления через перевыпуск симки бессмысленным, если у мошенника другое железо .
• «Детские» сим-карты. Вводится отдельный статус для номеров, которые оформляются на несовершеннолетних. Операторы будут применять к ним усиленные меры защиты, чтобы оградить детей от мошеннических схем .
• Ответственность банков. Банки теперь обязаны компенсировать ущерб, если будет доказано, что они не приняли достаточных мер для защиты клиента от мошенников. Это стимулирует банки вкладываться в безопасность .

Что делать прямо сейчас?

Несмотря на все законы, базовая гигиена всё ещё работает лучше любой магии. Вот что советует Автор, чтобы Почтальон ушёл несолоно хлебавши.

Поставил запрет на Госуслугах — и Почтальон может хоть до хрипоты спорить с оператором. От ворот поворот.

1. Поставьте самозапрет на «Госуслугах». Это займёт пять минут, но отсечёт 90% попыток дистанционного перевыпуска. Зайдите на портал или в МФЦ и активируйте эту опцию .
2. Не диктуйте коды. Даже если вам звонят «из полиции» или «из банка». Особенно если просят продиктовать код из СМС во время разговора — помните, закон теперь не даст ему прийти, но мошенники могут давить на вас, чтобы вы перезвонили или прислали код в мессенджер.
3. Включите контроль личных данных. Периодически проверяйте в приложении оператора, сколько сим-карт оформлено на ваш паспорт. Если увидите лишнюю — срочно блокируйте и разбирайтесь.
4. Используйте отдельный номер для банков. Идеально, если номер, привязанный к финансовым сервисам, будет известен только вам и банку, и вы не будете светить его на форумах и в соцсетях.
5. Следите за новостями. Законы меняются, мошенники адаптируются. Подпишитесь на канал Автора, чтобы быть в курсе новых схем и способов защиты.

Если было полезно и вы хотите разбираться в технологиях без заумных слов и скучных лекций — подписывайтесь на канал Автора. Впереди ещё много интересного: и про безопасность, и про гаджеты, и про то, как объяснить бабушке, что такое «облако».

UPD

Этот пост — сознательное упрощение для широкой аудитории. Те, кто хочет копнуть глубже, должны знать, что существуют и другие, более сложные методы перехвата, не связанные с обманом сотрудников.

• SS7-уязвимости: Это «чёрный ход» в самом протоколе связи, через который теоретически можно перехватывать СМС, не касаясь сим-карты. Обычно это уровень спецслужб или очень продвинутых группировок.
• Портирование номера: Мошенник может уйти с вашим номером к другому оператору, используя поддельные документы. Это ещё опаснее, так как вернуть номер сложнее.
• Перехват через уязвимости Sigb0x: Есть программы, которые используют уязвимости в оборудовании операторов для перехвата трафика.

Но для 99% случаев, как говорится, «медведь — это не просто зверь, а очень большой зверь». Чаще всего срабатывает банальная социальная инженерия, описанная выше. Берегите себя и свои данные