Практически каждый онлайн-сервис сегодня предлагает двухфакторную аутентификацию – подтверждение личности не только паролем, но и кодом из СМС. По сути, это работает: даже если злоумышленник и может где-то из слитой базы данных раздобыть ваш пароль, то получить доступ к вашему телефону он, казалось бы, вряд ли сможет.
Именно поэтому нас постоянно предупреждают: никому не сообщайте коды из СМС. Многие уверены, что, соблюдая это правило, они надежно защищены.
Но знаете ли вы, что мошенники могут получить доступ не к вашему телефону, а к вашей сим-карте, а значит – и к тем самым подтверждающим СМС? Рассказываем о том, как работает эта схема и какие меры предпринимает государство, чтобы защитить пользователей.
Подмена SIM-карты через офис
Одна из самых опасных схем цифрового мошенничества – SIM-свопинг (от английского SIM swapping). Это подмена сим-карты, когда номер вашего телефона переносят с вашей сим-карты на другую, которую контролируют злоумышленники. Опасность в том, что пользователь практически не имеет инструментов, чтобы этому помешать.
Сама преступная схема чаще всего реализуется очно, через офис сотового оператора: мошенники приходят в салон связи и оформляют перевыпуск сим-карты. В этот момент старая симка блокируется (например, как потерянная), а новая выдается на руки преступникам.
Но ведь, казалось бы, для этого нужно подтверждение личности владельца номера? И тут в ход идут поддельные документы: доверенности, паспорт, заявления или другие бумаги, которые якобы «уполномочивают» мошенника действовать от имени реального владельца. Бывают случаи, когда в схеме участвует сообщник – сотрудник салона, подделывающий или игнорирующий документы.
Итог здесь очевиден: мошенники получают все СМС-сообщения, включая коды двухфакторной аутентификации, на свои устройства и фактически берут под контроль ваши аккаунты и банковские операции. А владелец номера остается без связи и, нередко, без денег.
Обновление данных
Еще один способ подмены сим-карты не требует личного присутствия злоумышленника: сменить карту можно и дистанционно. Для его реализации необходимо получить личные данные пользователя.
Обычно все начинается со звонка: мошенник представляется сотрудником оператора связи и сообщает о необходимости «обновить устаревшие данные» или «активировать новые условия обслуживания». Далее он присылает ссылку на фишинговую страницу, где жертве предлагают ввести паспортные данные, номер договора, код из СМС или другую «служебную информацию».
Разумеется, сайт-подделка никакие данные не обновляет, а только передает их в руки мошенникам. И их уже достаточно для того, чтобы дистанционно инициировать SIM-свопинг через службу поддержки оператора и заполучить доступ к карте.
Взлом личного кабинета
Далеко не все люди старшего поколения знают, у каждого абонента мобильного оператора есть личный кабинет — и пользоваться им вовсе не обязательно. В нем можно узнавать свои тарифы, подключать новые и отключать старые, узнавать о расходах – а также подавать заявления на замену сим-карты.
Авторизация в личном кабинете зачастую проще, чем кажется. Для этого используется, как правило, двухфакторная аутентификация, то есть подтверждение входа кодом из СМС.
На этом этапе жертве поступает звонок: мошенник вновь представляется сотрудником оператора. Далее запускается классическая схема: злоумышленник убеждает человека продиктовать код из СМС, после чего получает доступ к личному кабинету. Этого уже достаточно, чтобы инициировать замену сим-карты и полностью «перехватить» номер.
Слитые базы данных
Ни для кого не секрет, что в даркнете регулярно появляются слитые базы данных, порой даже от сервисов, которые кажутся максимально надежными. Это могут быть частные клиники, службы доставки, интернет-магазины и другие компании, которым вы доверяете свои персональные данные. В итоге в таких базах оказываются телефоны, адреса, паспортные данные, история заказов – то, что, казалось бы, должно храниться надежно и в безопасности.
Тем, кто далек от этой темы, сложно поверить, что подобные массивы информации продаются буквально за копейки.
Но именно эти данные облегчают мошенникам работу. С их помощью проще подделать доверенность, подать заявление через техподдержку оператора связи, ввести жертву в заблуждение. Все это помогает провести подмену сим-карты любым из описанных выше способов, а значит, получить доступ и к номеру телефона, и к аккаунтам, и к финансам владельца.
Новые меры защиты сим-карт
Рост мошенничества, связанного с подменой сим-карт, стал одной из причин появления целого ряда новых норм и сервисов, направленных на защиту абонентов.
Запрет на передачу сим-карты
С 1 сентября 2025 года предусмотрена административная ответственность за передачу сим-карты другому пользователю. Под действие закона попадают и случаи, когда карта передается друзьям, родственникам или знакомым. Логика проста: одна сим-карта – один пользователь.
Так государство стремится сократить количество «серых» номеров, которые злоумышленники активно используют в мошеннических схемах. Для граждан предусмотрен штраф до 1000 рублей.
Сервис «Сим-карты» на «Госуслугах»
На «Госуслугах» появилась возможность отслеживать все номера, зарегистрированные на конкретного пользователя1. Это могут быть как личные номера, например, если вы пользуетесь несколькими номерами или симками разных операторов, так и номера других людей, например, детей.
Это помогает:
- убедиться, что на ваше имя не оформлены посторонние сим-карты;
- заблокировать лишние или подозрительные номера;
- управлять сим-картами детей или дополнительными личными номерами.
Период «охлаждения» для сим-карт
Еще одно нововведение – механизм 24-часового «охлаждения» сим-карты, вступивший в силу 10 ноября 2025 года2. Он направлен на борьбу с беспилотниками, которые нередко управляются через мобильную связь.
Хотя эта мера направлена в первую очередь на предотвращение атак дронов, она косвенно усиливает и защиту от мошенников: злоумышленнику сложнее сразу использовать только что активированную или «свежеполученную» сим-карту.
Период «охлаждения» включается в двух случаях:
- если сим-карта не использовалась в течение 72 часов;
- при возвращении абонента из международного роуминга (включая соседние страны – Белоруссию, Абхазию и др.).
Он длится 24 часа, в течение которых пользователь не может выходить в интернет и отправлять СМС – хотя все еще может совершать голосовые вызовы.
Чтобы восстановить полноценную работу, необходимо будет подтвердить, что карта используется человеком, а не автоматизированной системой. Разблокировать сим-карту несложно – нужно либо позвонить в колл-центр оператора и пройти идентификацию по телефону, либо через капчу: на телефон придет СМС со ссылкой для авторизации.
Если нет доступа к интернету, можно воспользоваться Wi-Fi или связаться с оператором по телефону.
Чем больше цифровых сервисов становится частью нашей повседневности, тем шире набор инструментов у мошенников. Подмена сим-карты позволяет злоумышленникам получить доступ ко всем сервисам, где номер используется для входа или подтверждений, а значит, последствия могут быть критическими.
Именно поэтому государство усиливает контроль, а пользователям важно сохранять внимательность: следить за своими сим-картами, не передавать их другим людям и осторожно относиться к любым «звонкам от операторов» и просьбам обновить данные.
Источники:
1. На Госуслугах заработал сервис «Сим-карты». Ссылка
2. В России запустили механизм «охлаждения» для сим-карт. Ссылка
