Как защитить сим карту от мошенников

Обновлено: 24.01.2025

Мы уже привыкли защищать наши профили в соцсетях, хранилища с фотографиями, смартфоны, компьютеры, банковские счета и кучу всяких других вещей. Но нередко мы забываем о защите одной мелочи, от которой в серьезной степени зависит безопасность всего вышеперечисленного. Речь идет о SIM-картах — зачастую последнем и в то же время самом беззащитном рубеже на пути к нашим персональным данным и/или деньгам.

Неприкосновенность ваших данных сильно зависит от того, насколько хорошо защищен доступ к вашей SIM-карте

Учитывая повсеместное распространение завязанной на одноразовые SMS-коды двухфакторной аутентификации, это значит, что SIM-карта в некоторой степени является ключом если не от всех, то от очень многих дверей: аккаунты в соцсетях, учетные записи во всевозможных сервисах и даже интернет-банкинг. И если прочность цепи определяется самым слабым ее звеном, то неприкосновенность наших данных нынче в значительной степени зависит от того, насколько хорошо защищен доступ к номеру мобильного телефона, то есть к SIM-карте.

Многие сайты вроде Gmail и Facebook, а также практически все сервисы интернет-банкинга предлагают дополнительно защитить аккаунт, привязав к нему номер своего мобильного телефона, на который будут приходить SMS с одноразовыми паролями.

В зависимости от настроек и желания пользователя они могут использоваться как для входа в учетную запись, так и для других действий — изменения пароля или подтверждения операций. Таким образом, если злоумышленник вдруг умудрится подобрать пароль от вашей учетной записи, то авторизоваться, не зная одноразовый код, все равно не сможет.

На сегодняшний день такую систему аутентификации можно назвать одной из самых надежных, хотя и у нее есть свой недостаток: этот вид защиты подразумевает, что доступ к привязанному номеру телефона есть только у владельца аккаунта, и никак не учитывает тот факт, что мобильный телефон может быть украден или позаимствован на время.

Что же может произойти, если ваш телефон или даже просто сама SIM-карта окажутся в чужих, не очень добрых и совсем не чистых руках?

Теоретически впоследствии несанкционированные транзакции можно будет оспорить. Но придется изрядно попотеть: банк будет упорно настаивать на том, что покупки были совершены именно вами, и переубедить его будет стоить немалых сил.

Для многих онлайн-операций нужны лишь данные банковской карты и одноразовый код, высылаемый в SMS, — основные логин и пароль к вашему онлайн-банку преступнику просто не потребуются

Вариант попроще — пропажа одной лишь трубки. В этом случае злоумышленнику будет сложнее добраться до ваших денег, но не составит труда получить доступ к личным данным в разнообразных интернет-сервисах. Сделать это несложно: восстановление пароля к некоторым сайтам возможно при наличии одного только телефона, на который придет эсэмэска с подтверждающим кодом.

Если после этого смартфон вместе с SIM-карточкой вернется к вам в руки, есть немалый шанс вообще не заметить, что произошло нечто неприятное. Таким образом, даже временная потеря безобидной карточки может стоить ее владельцу денег на банковском счете и других, более мелких, но все же ощутимых неприятностей.

SIM-хайджекинг, или свопинг — это, по сути, угон сим-карты. Он может выполняться программно, через клонирование, или с помощью социальной инженерии. В результате мошенники получают доступ к номеру телефону, а через него доступ к банкам, биржам, социальным сетям и другим ценным приложениям.

Что такое SIM-свопинг?

Каждый мобильный телефон оснащен картой модуля идентификации абонента, она же SIM-карта. Она содержит всевозможную уникальную информацию о телефоне, пользователе и его операторе. Самым важным элементом является номер телефона.

Мошенники используют копирование номера телефона у оператора мобильной связи на свою SIM-карту. Таким образом они получают доступ к различным ресурсам, связанным с мобильным телефоном жертвы. Атака ставит под угрозу методы двухфакторной аутентификации, которые используют SMS для авторизации.

Есть два основных метода сим-свопинга:

в основе первого — социальная инженерия. Мошенник узнает данные жертвы, включая имя, номер паспорта и сам номер телефона. Затем он подкупает, заговаривает или обманывает сотрудника телекоммуникационной компании, чтобы получить новую сим-карту в замен старой. Например, показывает копию паспорта и доверенность на лицо жертвы. Естественно, потерпевший ничего не знает и в один момент просто получает неработающую сим-карту.
второй — быть сотрудником поддержки оператора, сотрудником сервисного центра и любой другой компании, которая может получить доступ к вашей карте. Есть несколько программ для клонирования сим-карт без обращения к оператору.

Также к методам, не связанным непосредственно с копированием, относятся:

перехват смс по протоколу SS7,
установленная переадресация смс и звонков после взлома личного кабинета.

Ситуация в России

Все крупные мобильные операторы России заменяют сим-карту только при личном визите в офис со своим паспортом. Они также звонят владельцу, если кто-то приходит с заменой по доверенности. Переводы и банкинг запрещены на сутки, чтобы оградить от мошенничества. Тем не менее, это не защищает от злоумышленников полностью.

Во-первых, нужно надеяться на компетентных и честных сотрудников, которые не поддадутся уговорам и слезливым историям или не собираются продавать услугу замены карты на сторону.

Во-вторых, в интернете легко найти инструменты для копирования карты. Часто такие статьи размещаются с благой целью: создать себе дубликат на случай потери или для работы на двух телефонах. Но самое популярное использование таких программ совсем не в этом.

Редакция TJ связывалась с представителями «Мегафон» и «Билайн» о рисках копирования карт. Компании ответили, что таких случаев не было и для защиты от клонирования используется уникальный идентификатор. Тем не менее, несложно найти и программу для копирования Ki, по которому оператор проверяет подлинность карты. Мы не проверяли, насколько рабочие эти программы, но лишний уровень безопасности не помешает.

Как защититься от угона сим-карты?

У некоторых операторов можно подключить дополнительные услуги:

«Запрет действий по нотариальной доверенности»,
кодовое слово для смены,
опция «Статус» для банков с геолокацией, информацией об устройстве и прочем.

Для трейдеров есть отдельные советы, кроме общих советов по безопасности:

Привет, Хабр! В прошлой статье мы затронули тему, что аутентификация по СМС – не самый лучший способ многофакторной аутентификации. Такой способ используют многие веб-сервисы: соцсети, почтовые клиенты, платежные системы. Вдобавок номер телефона используется в качестве логина: для регистрации ВКонтакте, в Telegram и так далее.

Если SIM-карту угонят, а СМС перехватят, последствия будут плачевны. Многие пользователи переписываются в мессенджерах с коллегами и партнерами, поэтому под угрозой окажутся не только личные данные, но и корпоративные. Если в вашей компании не используется корпоративная инфраструктура для общения, то незащищенные аккаунты сотрудников ставят под угрозу бизнес. Так что стоит позаботиться о безопасности заранее.

В этой статье возьмем несколько популярных сервисов и заменим СМС-аутентификацию на более безопасные способы. Заодно разберемся, как дополнительно защитить аккаунты от угона и спать спокойно.

На статью нас вдохновил лонгрид MyCrypto, посвященный защите от SIM-джекинга (SimJacking). Мы изучили их рекомендации и составили актуальный список для России.

Зачем избавляться от аутентификации по СМС

Злоумышленники могут получить СМС и зайти в чужой аккаунт сразу несколькими способами:

Если смогут заполучить телефон с SIM-картой внутри.
Если перевыпустят SIM-карту по поддельным документам. Мошенники покупают слитые паспортные данные и подделывают доверенность или даже сам паспорт. Отправит ли оператор документы на проверку в службу безопасности, зависит от человеческого фактора.
Если угонят SIM-карту по сговору с сотрудниками оператора.
Если перехватят СМС с помощью уязвимостей в самой SIM-карте или в телефоне.

По каким признакам ясно, что симку угнали:

Как предупредить угон SIM-карты

Не выкладывайте в интернет сканы и номера персональных документов, в том числе на онлайн-диски, в соцсети, мессенджеры, обменники изображениями (исключений нет).
Зайдите в офис вашего сотового оператора и напишите заявление, которое запретит перевыпуск SIM-карты по доверенности. У операторов услуга называется «Запрет действий по нотариальной доверенности».
Усложните доступ к смартфону с помощью надежного пароля и аутентификации по отпечатку пальца/Face ID.
Купите отдельный мобильный телефон и выпустите симку, номер которой не известен никому. Это будет ваш «секретный номер» для СМС-кодов, если какой-то сервис не позволяет защитить аккаунт другим способом. Запретите перевыпуск симки по доверенности.

Что делать, если все-таки угнали

Если SIM-карту уже угнали, у вас будет не более суток на блокировку. Поэтому нужно держать под рукой сценарий быстрой блокировки:

придумайте способ позвонить оператору, если потеряли телефон, например, с ноутбука или планшета. К примеру, установите туда Skype или Viber;
пополните балансы для звонков;
найдите номер своего мобильного оператора и запишите его в журнал Skype или Viber;
отрепетируйте потерю телефона: вытащите симку и попробуйте позвонить оператору выбранными способами.

Как избавиться от СМС-аутентификации и защитить аккаунты

Наша общая рекомендация – откажитесь от СМС-аутентификации везде, где можно. Посмотрим, как это сделать для популярных веб-сервисов.

Сначала рассмотрим те, где используется СМС-аутентификация. А потом защитим те, где сам сервис привязан к номеру телефона.

Google-аккаунт

Пароль: проверьте, что ваш пароль надежен и уникален. Например, можно воспользоваться рекомендациями для создания сложных паролей.
Пароли приложений: проверьте и оставьте только те, которые вам нужны
Способы подтверждения личности – номер телефона: Уберите свой номер телефона. Вы можете восстановить доступ к аккаунту через другой фактор, если необходимо.
Способы подтверждения личности – резервный адрес электронной почты: уберите резервный адрес.

Яндекс

В Яндекс-аккаунте нет возможности включить двухфакторную аутентификацию без привязки номера. Поэтому мы будем использовать «секретный номер» и включать дополнительные факторы в других местах.

Пароль: проверьте свой пароль на надежность и уникальность (см. выше)
Контрольный вопрос: выберите наиболее сложный и неочевидный потенциальному злоумышленнику ответ. Используйте нестандартные способы записи ответа и мнемонические техники запоминания.
Включить пароли приложений: отдельные приложения могут подключаться к вашему аккаунту Яндекс. Отключите эту функцию, если ею не пользуетесь.

По возможности замените ее или привяжите к «секретному номеру» и добавьте вход по отпечатку пальца.

Аккаунт мессенджера привязан к номеру телефона, поэтому, помимо двухфакторной аутентификации, настроим дополнительную защиту.

Чтобы заполучить деньги с ваших карт, мошенникам вовсе не обязательно взламывать ваш телефон. Достаточно его украсть или найти. Поэтому лучше не дожидаться этих трагических событий, сработать на опережение и спасти сбережения.

Устраните основные дыры в безопасности

Сим-карта

Пока сим-карта вставлена в ваш телефон, вы обходитесь паролем, отпечатком пальца или Face ID и считаете, что данные в безопасности. Но стоит воткнуть её в другой гаджет, и мошенник получает к ней полный доступ. Вот что он может:

Проснувшись утром, я первым делом полез выбирать себе новый телефон и заказывать билеты на самолёт. Однако все сервисы упрямо писали, что на карте недостаточно средств. Сходив в ближайший банкомат, я обнаружил ужасное: неизвестный перевёл 115 тысяч на чужую карту.

Если у вас телефон, из которого легко можно вытащить сим-карту, остерегайтесь оставлять его без присмотра даже на короткое время.

Что делать

Установите ПИН-код на сим-карту. В этом случае воткнуть её в другой телефон будет недостаточно, нужно знать заветные четыре цифры. Разумеется, не храните ПИН-код в заметках телефона или в любом другом приложении без пароля: это опасно.

Если телефон украли, немедленно звоните оператору и блокируйте сим-карту. Кража денег здесь — лишь одна из проблем. Может, мошенник заодно решит запостить пару свастик на форумах или поругать власть — будете не только бедным, но и заключённым.

Данные Wallet на заблокированном экране

Чтобы использовать вашу сим-карту по полной программе, злоумышленник должен знать, клиентом какого банка вы являетесь. Если телефон заблокирован, мошенник всё равно сможет это сделать, но только с вашей помощью.

Разберём на примере программы Wallet для iPhone. Вы сложили туда все свои карты и радуетесь, как стало удобно. Чтобы было ещё комфортнее, вы включили функцию открытия кошелька двойным касанием кнопки «Домой» или боковой клавиши. Вам становятся доступны все карты, легко выбрать нужную. Но чтобы оплатить что-то, придётся подтвердить операцию с помощью Touch ID.

Звучит безопаснее, чем есть на самом деле. Мошенник не сможет воспользоваться картами, но легко выяснит, какими банками они выпущены. Немного манипуляций, и деньги со счетов устремятся в неведомые дали.

Что делать

Отключите вывод содержимого Wallet двойным касанием кнопки. Для этого нужно в настройках найти раздел «Wallet и Apple Pay» и передвинуть соответствующий бегунок.

Если вы настроили нечто подобное на Android, это тоже лучше отключить.

Вот только когда телефон окажется в чужих руках, мошеннику даже не нужно будет ничего предпринимать. Все СМС-коды от банков будут ему доступны.

Что делать

На iOS: «Настройки» → «Уведомления» → «Показ миниатюр» → «Никогда».
На Android: «Настройки» → «Защита и местоположение» → «Заблокированный экран» → «Скрыть конфиденциальные данные».

Smart Lock

Классно, удобно и технологично, когда смартфон распознаёт вас, например, по умным часам и разблокируется, если вы находитесь где-то неподалёку. Но радиус действия Bluetooth-сигнала немаленький, и злоумышленник легко получит доступ к внутренностям телефона, если заберёт его, но останется неподалёку от вас.

Что делать

Думать, насколько вам нужна эта функция. Если вы буквально не выпускаете телефон из рук, работаете из дома и действительно нуждаетесь в том, чтобы смартфон был разблокирован всегда в вашем присутствии, можете рискнуть.

Чтобы отключить Smart Lock на Android-смартфоне, перейдите в «Настройки» → «Защита и местоположение» → Smart Lock. Затем выберите опцию, к которой привязана разблокировка, например: «Надёжные устройства» → «Отключить» или «Удалить надёжное устройство».

Ваша нерасторопность

Помните, что телефон сейчас — не просто средство для звонков. Если обнаружили его пропажу, не ждите, что он чудом найдётся. Вам нужно сообщить о случившемся в банк как минимум для двух вещей:

Банк поставит себе галочку и не допустит, чтобы деньги со счёта уходили. Обговорите, как всё это будет происходить, чтобы защитить сбережения. Помните, что все разговоры записываются, и эти записи вам могут пригодиться. Для верности можете записать разговор сами.
Если вы уведомите банк о том, что доступ к вашим счетам могут получить мошенники, но транзакции всё равно пройдут, у вас будут основания выдвигать претензии к финансовому учреждению. Там работают не телепаты, поэтому вывод всех денег со счетов их может и не удивить. На ваши претензии там разведут руками: операции подтверждены положенными способами. А вот если вас обчистят уже после того, как вы позвоните в банк, вопросы можно будет задать уже его сотрудникам. Для этого и нужны записи разговоров.

Что делать

Немедленно звоните в банки, как только обнаружили пропажу смартфона. Лучше потом побегать для восстановления доступа к мобильным приложениям, если телефон найдётся, чем остаться без денег.

Придумайте по-настоящему сложный пароль

Год рождения — плохой пароль, лучше выбрать что-то подлиннее. А хороший графический ключ — тот, который ваши знакомые не могут ввести даже после того, как вы им показали, что рисовать пальцем.

Не прикрепляйте все карты к смартфону

Кто спорит, это очень удобно. Но лучше бы карты, на которых лежит целое состояние, оградить от липких рук мошенников. Тем более что физическая кража телефона — не единственный путь заполучить ваши деньги.

Отдельно обратите внимание на карты с кредитным лимитом. Кража с дебетовых карт делает вас беднее, с кредитных — загоняет в долги.

Активируйте функцию «Найти телефон»

В зависимости от смартфона она называется немного по-разному, но суть ясна. Если аппарат пропадёт, вы сможете быстро заблокировать устройства, а при необходимости и удалить с него все данные дистанционно.

Читайте также: