Коротко: Подмена SIM-карты (SIM-swap) — это когда мошенник переносит ваш номер телефона на свою SIM, чтобы перехватывать звонки, SMS и одноразовые коды подтверждения. Получив номер, он сбрасывает пароли и заходит в банк, почту и мессенджеры от вашего имени. Главный признак — телефон внезапно теряет сеть без причины. Защита строится на трёх вещах: уйти с SMS-кодов на приложение-аутентификатор или аппаратный ключ, поставить у оператора запрет на перевыпуск SIM без личного визита, и проверить через «Госуслуги», какие номера оформлены на ваш паспорт.
Что такое подмена SIM-карты
Подмена SIM-карты (по-английски SIM-swap или SIM swapping) — это разновидность мошенничества, при которой злоумышленник добивается переноса вашего мобильного номера на SIM-карту, которая находится у него. С точки зрения оператора всё выглядит как обычный перевыпуск: клиент «потерял» карту и просит выдать новую с тем же номером. Как только новая SIM активируется, ваша перестаёт работать, а весь поток входящих звонков и сообщений уходит к мошеннику.
Опасность в том, что номер телефона давно превратился в универсальный ключ. К нему привязаны банковские приложения, «Госуслуги», электронная почта, мессенджеры и маркетплейсы. Большинство сервисов до сих пор шлют коды подтверждения и ссылки для сброса пароля именно в SMS. Перехватив эти сообщения, атакующий обходит защиту, даже не зная ваших паролей: он просто нажимает «Забыли пароль?» и получает код на «ваш» номер.
Важно отделять SIM-swap от кражи самого телефона или от заражения его вирусом. Здесь устройство остаётся у вас в руках и внешне исправно — уводят не аппарат, а привязку номера к железу. Именно поэтому атаку часто замечают слишком поздно.
Как мошенники перехватывают номер
Единого сценария нет, но почти всегда всё начинается со сбора данных о жертве. Чем больше о вас известно, тем убедительнее злоумышленник выглядит в разговоре с поддержкой оператора.
Социальная инженерия и поддельные документы
Классический способ — позвонить или прийти в салон связи под видом владельца номера. Мошенник заранее собирает ваши ФИО, дату рождения, паспортные данные и последние операции — из утёкших баз, соцсетей и фишинговых анкет. С этим набором он убеждает сотрудника, что «потерял телефон в отпуске» и срочно просит перевыпустить SIM. Иногда используются поддельные или украденные документы.
Инсайдер у оператора
Отдельная категория атак опирается на подкупленного или внедрённого сотрудника салона связи, который оформляет перевыпуск в обход проверок. Против такого сценария бессильны любые ваши пароли — защищает только оператор-ские настройки вроде запрета на дистанционный перевыпуск.
Фишинг под перенос номера
Иногда жертву заранее выманивают на поддельную страницу «оператора» или «Госуслуг», где просят ввести код из SMS — якобы для подтверждения личности. На самом деле этот код и запускает перенос номера. Поэтому базовое правило: код из SMS — это пароль, его нельзя диктовать никому и вводить нигде, кроме официального приложения.
Почему номер — это ключ ко всему
Корень проблемы — привычка сервисов использовать SMS как второй фактор входа. Двухфакторная аутентификация через SMS задумывалась как дополнительная защита, но у неё есть слабое место: она доверяет не вам, а вашему номеру. Стоит номеру оказаться на чужой SIM — и «второй фактор» работает против вас.
Цепочка захвата обычно выглядит так. Сначала атакующий получает контроль над номером. Затем через восстановление пароля заходит в электронную почту — а почта часто служит точкой сброса паролей для всего остального. Дальше идут банковские приложения, криптокошельки, аккаунты в маркетплейсах и соцсетях. Каждый следующий сервис падает быстрее предыдущего, потому что коды подтверждения приходят на уже захваченный номер.
Отсюда вывод, который стоит запомнить: снижать зависимость аккаунтов от номера телефона нужно заранее, а не в момент атаки. Как выстроить эшелонированную защиту входа, подробно разобрано в материале как защитить аккаунт от взлома.
Признаки, что вашу SIM подменили
Атака почти всегда оставляет заметные следы — если знать, на что смотреть. Насторожить должны такие сигналы:
- Телефон резко теряет сеть. Пропадает мобильная связь, не проходят звонки и SMS, хотя вы в зоне покрытия и с аппаратом всё в порядке.
- Приходят уведомления об изменении услуг. Сообщения о перевыпуске SIM, смене тарифа или переносе номера, которые вы не запрашивали.
- Внезапные письма о входе. Уведомления о входе в почту, банк или соцсети с незнакомых устройств и из других городов.
- Не приходят ожидаемые коды. Вы запрашиваете код подтверждения, но SMS не доходит — потому что уходит на чужую SIM.
- Списания и заявки на кредит. Незнакомые операции по картам или уведомления о попытке оформить заём.
Если телефон потерял сеть без видимой причины и не восстанавливается после перезагрузки, не ждите — звоните оператору с другого номера и блокируйте SIM. В подобных ситуациях счёт идёт на минуты.
Разные способы подтверждения входа и их устойчивость
Не все вторые факторы одинаково устойчивы к подмене SIM. Разница между ними и определяет, насколько легко угнать ваши аккаунты вслед за номером.
| Способ входа / 2FA | Устойчивость к SIM-swap | Комментарий |
|---|---|---|
| Только пароль | Низкая | Пароль и без SIM-swap уязвим к утечкам и подбору. |
| Код из SMS | Низкая | Именно этот канал перехватывает атакующий, получив ваш номер. |
| Код из звонка на номер | Низкая | Тоже завязан на номер — уходит вслед за SIM. |
| Приложение-аутентификатор (TOTP) | Высокая | Коды генерируются в самом приложении и не зависят от SIM. |
| Push-подтверждение в приложении банка | Высокая | Привязано к устройству, а не к номеру (если вход не восстановить по SMS). |
| Аппаратный ключ (FIDO2 / passkey) | Очень высокая | Физический ключ невозможно перехватить удалённо. |
Если сервис позволяет выбрать способ второго фактора, отдавайте предпочтение приложению-аутентификатору или аппаратному ключу, а SMS оставляйте только там, где альтернативы нет. Про современный беспарольный вход по ключам мы писали отдельно — начните с материала как защитить электронную почту от взлома, ведь именно почта чаще всего становится первой целью после захвата номера.
Как защитить свой номер: чек-лист
Полностью исключить риск нельзя, но реально свести его к минимуму. Пройдитесь по списку — большинство пунктов настраивается за один вечер:
- Уберите SMS-коды где можно. Переведите почту, банк и ключевые аккаунты на приложение-аутентификатор (TOTP) или аппаратный ключ вместо SMS.
- Поставьте запрет на дистанционный перевыпуск SIM. Многие операторы позволяют запретить перевыпуск и перенос номера без личного визита с паспортом — включите эту опцию.
- Заведите отдельный «секретный» номер для банков. Номер, который не светится в соцсетях, объявлениях и анкетах, сложнее связать с вашей личностью.
- Проверьте свои номера на «Госуслугах». Сервис «Сим-карты» показывает, какие номера оформлены на ваш паспорт, и позволяет заблокировать лишние.
- Установите кодовое слово у оператора. Дополнительный секрет, который спрашивают при любых операциях с номером в поддержке.
- Не публикуйте номер в открытом доступе. Чем меньше сервисов и объявлений знают ваш номер, тем меньше данных у мошенника для убедительного звонка в поддержку.
- Минимизируйте цифровой след. Регулярно проверяйте, не утекали ли ваши данные, и удаляйте лишние привязки — как проверить утечку персональных данных, мы описывали пошагово.
- Включите уведомления обо всех входах. Мгновенное письмо о входе с нового устройства даёт вам фору, чтобы среагировать.
Что делать, если SIM уже подменили
Если признаки совпали и вы подозреваете подмену, действуйте по порядку и быстро:
- Позвоните оператору с другого телефона и заблокируйте номер, попросите отменить незаконный перевыпуск.
- Зайдите в банк и заблокируйте карты и переводы; предупредите банк о возможном мошенничестве с вашим номером.
- Смените пароли на почте и в ключевых сервисах, начиная с почтового ящика — он открывает доступ к остальному.
- Отключите SMS как способ восстановления там, где успеваете, и переключитесь на аутентификатор.
- Проверьте историю входов и активные сессии, завершите все незнакомые.
- Зафиксируйте ущерб и подайте заявление в полицию и оператору — это понадобится для оспаривания операций.
После того как острая фаза пройдена, стоит пересмотреть защиту счетов целиком: как выстроить безопасный доступ к деньгам, разобрано в гайде про безопасный онлайн-банкинг.
Где здесь VPN и приватность
Скажем честно: VPN не останавливает подмену SIM-карты напрямую — это атака на уровне оператора связи, а не на ваш интернет-канал. Никакой сервис не должен обещать вам обратного. Но у VPN есть своя роль в общей картине защиты номера и аккаунтов, и она вполне конкретна.
Во-первых, SIM-swap почти всегда начинается со сбора данных о жертве — а часть этих данных утекает как раз через незащищённые соединения. Когда вы заходите в почту или банк из кафе, аэропорта или отеля, открытый Wi-Fi позволяет перехватывать трафик. Шифрованный туннель LiMP VPN закрывает эту щель: даже в чужой сети ваши сессии и данные для входа не читаются посторонними. Подробнее о рисках открытых точек — в статье про защиту телефона от слежки.
Во-вторых, VPN скрывает ваш реальный IP-адрес и затрудняет составление цифрового профиля, по которому мошенники подбирают жертв и делают атаку адресной. Меньше данных о вас в открытом доступе — меньше материала для убедительного звонка в поддержку оператора.
VPN — это один слой эшелонированной защиты, а не замена приложению-аутентификатору и запрету на перевыпуск SIM. Работают они вместе. Если хотите закрыть базовый уровень — шифрование трафика на всех устройствах — посмотрите тарифы LiMP VPN: единая подписка защищает и смартфон, и планшет за 100 ₽ в месяц.
Частые вопросы
Может ли мошенник подменить SIM, если у меня стоит PIN-код на карте?
Да. PIN-код SIM защищает физическую карту в вашем телефоне от использования в чужом устройстве, но не мешает оператору выпустить новую SIM с тем же номером. Против перевыпуска работает не PIN, а запрет на дистанционную выдачу и кодовое слово у оператора.
eSIM безопаснее обычной SIM в этом смысле?
Сам формат eSIM не делает вас неуязвимым: перенос номера на новый профиль — это та же процедура перевыпуска у оператора, и её тоже можно провести обманом. Но eSIM нельзя незаметно вытащить из потерянного телефона, а профиль защищён паролем устройства — это плюс к общей гигиене.
Мне пришёл код подтверждения, который я не запрашивал. Это опасно?
Это тревожный сигнал: кто-то пытается войти в ваш аккаунт или инициировать операцию с номером. Никому не сообщайте этот код и не вводите его на сторонних сайтах. Проверьте недавние входы в аккаунт и при возможности замените SMS-подтверждение на аутентификатор.
Почему банки до сих пор шлют коды в SMS, если это небезопасно?
SMS остаётся самым массовым каналом: он работает на любом телефоне без установки приложений. Это компромисс между удобством и безопасностью. Там, где банк предлагает push-подтверждение в приложении или вход по биометрии, выбирайте их вместо SMS.
Помогает ли смена номера после атаки?
Смена номера обрывает контроль мошенника, но сама по себе не восстанавливает захваченные аккаунты — их нужно возвращать через службы поддержки и менять способ входа. Гораздо важнее отвязать критичные сервисы от SMS, иначе новый номер со временем окажется в тех же базах.
Как понять, что мои данные для такой атаки уже утекли?
Признак — рост спама, звонков «из банка» и писем с попытками входа. Стоит регулярно проверять свой адрес почты и номер в сервисах проверки утечек и включить уведомления о входах во всех важных аккаунтах, чтобы замечать чужую активность на раннем этапе.
