Man
Professional
- Messages
- 3,218
- Reaction score
- 783
- Points
- 113
SIM-своппинг (или SIM-jacking, SIM-hijacking) — это метод социальной инженерии, при котором злоумышленник получает контроль над телефонным номером жертвы, перенаправляя его на SIM-карту, находящуюся в его распоряжении. Это позволяет ему получать SMS, звонки и данные, включая коды двухфакторной аутентификации (2FA), что открывает доступ к аккаунтам жертвы (соцсети, банки, криптокошельки и т.д.).
Источники информации:
Пример сценария:
Как работает SIM-своппинг?
1. Сбор информации о жертве
Злоумышленник собирает личные данные жертвы, необходимые для подтверждения личности перед оператором связи:- Имя, фамилия, дата рождения.
- Адрес регистрации.
- Номер паспорта или ИНН.
- Имя матери/отца (часто используется в качестве секретного вопроса).
- Данные о предыдущих взаимодействиях с оператором (например, историю замены SIM-карт).
Источники информации:
- Социальные сети (Instagram, Facebook, LinkedIn).
- Утечки данных (через базы данных на даркнете).
- Фишинговые атаки (например, поддельные формы для сбора данных).
2. Обращение к оператору связи
Злоумышленник связывается с оператором мобильной связи жертвы, представляясь ею. Для убедительности он может:- Использовать поддельные документы (например, скан паспорта жертвы).
- Звучать уверенно, ссылаясь на "потерю SIM-карты" или "неисправность телефона".
- Использовать геолокацию (например, звонить с номера, зарегистрированного в регионе жертвы).
Пример сценария:
- Злоумышленник звонит в службу поддержки оператора и говорит:
"Я потерял телефон, мне срочно нужна новая SIM-карта. Могу ли я получить её сегодня в офисе?" - Оператор запрашивает подтверждение личности (например, имя матери). Злоумышленник предоставляет данные, собранные ранее.
- Оператор блокирует старую SIM-карту и активирует новую на имя жертвы, но в распоряжении злоумышленника.
3. Перехват данных
После активации новой SIM-карты:- Все звонки и SMS жертвы начинают приходить на устройство злоумышленника.
- Он может сбросить пароли от аккаунтов жертвы, используя функцию восстановления через SMS.
- Например, если жертва использует SMS-коды для 2FA, злоумышленник получает доступ к её банковскому аккаунту или криптокошельку.
Пример атаки: Как SIM-своппинг привел к краже криптовалюты
- Злоумышленник находит в соцсетях пользователя, который владеет биткоинами.
- Он собирает его данные через фишинговую кампанию (например, поддельный сайт банка).
- Звонит оператору и перехватывает SIM-карту жертвы.
- Через SMS-коды сбрасывает пароль от биржи криптовалюты (например, Binance) и выводит средства на свой кошелек.
Почему SIM-своппинг опасен?
- Доступ к критическим аккаунтам :
- Банковские счета (через SMS-подтверждение).
- Криптокошельки (например, Coinbase, Binance).
- Соцсети (для дальнейших атак на друзей жертвы).
- Потеря контроля над номером:
Жертва остается без связи, пока не восстановит SIM-карту через оператора. - Сложность доказательства вины:
Операторы часто не признают свою ответственность, а жертва сама должна доказывать, что стала объектом атаки.
Как защититься от SIM-своппинга?
1. Отказ от SMS-кодов в пользу более безопасных методов 2FA
- Используйте аппаратные токены (например, YubiKey) или приложения-аутентификаторы (Google Authenticator, Authy, Microsoft Authenticator).
- Настройте безопасный ключ в Google и Apple для входа в аккаунт.
2. Добавьте защиту у оператора связи
- Установите PIN-код или пароль для доступа к вашему аккаунту у оператора.
- Включите уведомления о любых изменениях в учетной записи (например, замена SIM-карты).
3. Ограничьте доступ к личным данным
- Не публикуйте в открытом доступе:
- Дату рождения.
- Адрес регистрации.
- Имя матери/отца.
- Используйте приватный профиль в соцсетях.
4. Регулярно проверяйте активные сеансы
- В аккаунтах (почта, соцсети, банки) проверяйте список активных устройств и выходите из подозрительных сеансов.
5. Используйте виртуальные номера
- Для регистрации в сервисах используйте виртуальные номера (например, через сервисы вроде Google Voice или TextNow).
Юридические последствия
SIM-своппинг считается преступлением в большинстве стран:- США: Нарушение Computer Fraud and Abuse Act (до 10 лет тюрьмы).
- Россия: Статья 162 УК РФ (угон или вымогательство средств через SIM-своппинг).
- ЕС: Нарушение GDPR (неправомерный доступ к персональным данным).
Образовательные ресурсы
Если вы хотите изучать защиту от SIM-своппинга и других атак:- Книги: "Hacking Exposed 7" ( McGraw-Hill), "The Art of Invisibility" (Kevin Mitnick).
- Платформы: TryHackMe (курсы по социальной инженерии), OWASP.
- Сертификации: CEH (Certified Ethical Hacker), CISSP (Certified Information Systems Security Professional).