SMS та SIM-безпека: як працюють SIM-swap атаки
У січні 2024 року офіційний акаунт SEC у X (Twitter) був зламаний. Фейковий пост про затвердження Bitcoin ETF вплинув на ринки на мільярди доларів. Вектор атаки? SIM-swap — зловмисник переконав оператора перенести номер телефону SEC на свою SIM-картку, а потім використав його для скидання пароля.
Ваш номер телефону — це не просто спосіб зв'язатися з вами. Це ключ-скелет до вашої пошти, банківських акаунтів, крипто-гаманців та соцмереж. І його напрочуд легко вкрасти.
Як працюють SIM-swap атаки
SIM-swap атака — це форма крадіжки особистості, при якій зловмисник захоплює ваш номер телефону. Ось процес:
Крок 1: Збір персональної інформації
Зловмисник збирає ваші особисті дані — ім'я, адресу, дату народження, останні цифри ідентифікаційного номера — з витоків даних, соцмереж або сайтів брокерів даних. Цієї інформації часто достатньо для проходження перевірки безпеки оператора.
Крок 2: Зв'язок з оператором
Зловмисник дзвонить вашому мобільному оператору (або відвідує магазин) і видає себе за вас. Він стверджує, що загубив телефон або потребує нову SIM-картку. Використовуючи зібрану інформацію, він проходить верифікацію.
Крок 3: Захоплення номера
Оператор переносить ваш номер на SIM-картку зловмисника. Миттєво ви втрачаєте зв'язок. Зловмисник тепер отримує всі ваші дзвінки та SMS — включаючи SMS-коди верифікації.
Далі зловмисник скидає паролі для вашої пошти, банку та крипто-акаунтів через SMS-відновлення. Весь процес займає менше 30 хвилин.
Методи перехоплення SMS
Вразливість протоколу SS7
SS7 (Signaling System 7) — протокол, що з'єднує телефонні мережі по всьому світу. Він був розроблений у 1975 році з нульовим рівнем безпеки. Зловмисники, які отримують доступ до мережі SS7 (часто через корумпованих співробітників телекомів), можуть:
- Перехоплювати SMS у реальному часі
- Відстежувати місцезнаходження телефонів глобально
- Перенаправляти дзвінки на інші номери
У 2017 злочинці використали SS7-атаки для зняття коштів з банківських рахунків у Німеччині, перехоплюючи SMS-коди 2FA.
Шкідливе ПЗ на телефоні
Мобільне шкідливе ПЗ може читати вхідні SMS безпосередньо з вашого телефону. Деякі варіанти:
- Запитують дозволи на SMS під час встановлення
- Накладають фальшиві екрани на банківські додатки
- Безшумно пересилають повідомлення зловмиснику
Фальшиві базові станції (IMSI Catchers)
Пристрої типу Stingray імітують стільникові вежі, змушуючи телефони підключатися. Після підключення зловмисник може перехоплювати дзвінки та SMS.
Чому SMS 2FA недостатньо безпечна
- SMS не шифрується — повідомлення передаються відкритим текстом через мережу оператора
- SIM-swap — це легко — операторів навіть позивали за недбалість у swap-атаках
- SS7 зламаний — і не може бути виправлений без заміни всієї глобальної телефонної інфраструктури
- Коди відновлення йдуть через SMS — навіть якщо ви використовуєте автентифікатор, відновлення акаунту часто повертається до SMS
NIST (Національний інститут стандартів і технологій США) рекомендує уникати SMS-автентифікації з 2016 року.
Альтернатива? Додатки-автентифікатори (Google Authenticator, Authy) або апаратні ключі безпеки (YubiKey). Читайте наш повний гід з 2FA для інструкцій налаштування.
Реальні випадки SIM-swap
Злом Twitter SEC (2024)
Акаунт Комісії з цінних паперів і бірж США в X був зламаний через SIM-swap. Фейковий пост про затвердження Bitcoin ETF спричинив масову волатильність ринку.
Крадіжка криптовалюти на $400 млн (2023)
Координована SIM-swap атака була спрямована на крипто-інвесторів, спустошуючи гаманці, захищені SMS 2FA. ФБР заарештувало групу, але більшість коштів не було повернуто.
Twitter Джека Дорсі (2019)
Акаунт CEO Twitter був зламаний через SIM-swap. Якщо навіть CEO технологічної компанії не в безпеці, ніхто не в безпеці.
Як захиститися
1. Встановіть PIN на акаунті оператора
Зателефонуйте оператору та встановіть PIN, який потрібно назвати для будь-яких змін акаунту. Це найважливіший крок.
2. Перейдіть на додатки-автентифікатори
Замініть SMS 2FA на додаток-автентифікатор скрізь, де можливо. Коди генеруються на вашому пристрої і ніколи не передаються через мережу.
Рекомендовані додатки: Google Authenticator, Authy (має хмарне резервне копіювання), Microsoft Authenticator. Для максимальної безпеки використовуйте апаратний ключ YubiKey.
3. Увімкніть блокування номера
Більшість операторів пропонують функцію, яка запобігає перенесенню номера без особистої верифікації з документом. Увімкніть це зараз.
4. Використовуйте окремий номер для фінансів
Розгляньте використання номера Google Voice або додаткової передплаченої SIM виключно для банкінгу та фінансових сервісів.
5. Видаліть номер з публічних профілів
Номер телефону в соцмережах полегшує соціальну інженерію. Видаліть його з публічних профілів.
6. Моніторте ознаки SIM-swap
Якщо відбувається щось з переліченого, дійте негайно:
- Раптова втрата сигналу
- Повідомлення «SIM не активна» або «Немає обслуговування»
- Несподівані листи від оператора про зміни акаунту
- Неможливість дзвонити або надсилати SMS
Якщо це сталося: дзвоніть оператору з іншого телефону негайно. Потім змініть паролі для пошти та захистіть свої акаунти.
FAQ
Що таке SIM-swap атака?
SIM-swap атака — це коли злочинець переконує вашого мобільного оператора перенести ваш номер телефону на SIM-картку під його контролем. Після цього він отримує ваші дзвінки, SMS та коди верифікації.
Чи можна зламати телефон через SMS?
Так. Зловмисники можуть надсилати шкідливі посилання через SMS, використовувати вразливості SS7 для перехоплення повідомлень або SIM-swap для перенаправлення. Тому SMS не рекомендується для 2FA.
Як дізнатися, що мою SIM підмінили?
Найочевидніша ознака — раптова втрата зв'язку. Ви також можете отримати несподівані повідомлення від оператора. Негайно зв'яжіться з оператором з іншого телефону.
Пов'язані інструменти
- Генератор паролів — надійні паролі залишаються найкращим захистом, коли SMS підводить
- Гід з 2FA — перейдіть з SMS на безпечну автентифікацію
- Гід з відновлення пошти — що робити, коли акаунти скомпрометовані