Главная / Статьи / Как злоумышленники взламывают банковские приложения через SIM-карты?

Как злоумышленники взламывают банковские приложения через SIM-карты?

10.04.2025

Введение: угроза в вашем телефоне.

С развитием цифровых технологий банковские приложения стали неотъемлемой частью жизни миллионов людей. Однако удобство несёт и риски: мошенники нашли способ обходить защиту, используя уязвимости SIM-карт. Как показало расследование, злоумышленники могут получить доступ к счетам, перехватывая SMS-сообщения или даже полностью захватывая контроль над номером телефона. Чем опасна эта схема и как защититься?

Мошенник

Механизм атаки: Как работает мошенничество через SIM-карту?

Основная цель злоумышленников — получить доступ к кодам подтверждения, которые банки отправляют via SMS. Вот как это происходит:

а) Подмена SIM-карты (SIM-swap):

Мошенники собирают персональные данные жертвы (ФИО, паспорт, номер телефона) через фишинговые сайты или утечки баз данных.
Затем они обращаются к оператору связи, представляясь владельцем номера, и заявляют о «потере» SIM-карты.
Если сотрудник оператора не проверяет личность достаточно тщательно, злоумышленник получает дубликат SIM-карты. Теперь все SMS, включая коды из банка, приходят к ним.

б) Перехват SMS через SS7-протокол:

Устаревшая технология сигнализации SS7, используемая в мобильных сетях, содержит уязвимости. Хакеры могут перехватывать SMS и голосовые вызовы, даже не имея физического доступа к SIM-карте.

в) Социальная инженерия. Иногда мошенники комбинируют методы. Например, звонят жертве, представляясь сотрудником банка, и просят сообщить код из SMS «для отмены подозрительной операции». Прочитать подробнее про социальную инженерию Вы можете здесь.

Реальные случаи: жертвы теряют миллионы!

Пример 1: Жительница Москвы лишилась 2,3 млн рублей после того, как мошенники перевыпустили её SIM-карту. За ночь они совершили 11 переводов.
Пример 2: В Санкт-Петербурге злоумышленники, используя утечку данных из соцсетей, получили доступ к номеру предпринимателя. Исчезновение 5 млн рублей обнаружилось лишь утром.

По данным Центробанка, в 2023 году 18% всех краж с банковских счетов были связаны с компрометацией SIM-карт.

Почему это возможно? Уязвимости системы.

а) Слабая идентификация у операторов. Не все компании связи строго проверяют личность при перевыпуске SIM-карты. Иногда достаточно копии паспорта (которую мошенники могут подделать) или ответов на контрольные вопросы («Девичья фамилия матери»).

б) Зависимость банков от SMS. Несмотря на рекомендации переходить на более безопасные методы аутентификации (например, push-уведомления в приложениях), многие кредитные организации по-прежнему используют SMS-коды.

в) Низкая осведомлённость пользователей. Большинство людей не знают, как защитить свой номер, и легко попадаются на уловки социальной инженерии.

Последствия для пользователей

Потеря средств: Мошенники могут опустошить счета за минуты.

Кредитные риски: Злоумышленники берут кредиты на имя жертвы.

Репутационный ущерб: Взломанные аккаунты соцсетей или почты используются для рассылки спама.

Как защититься? Советы от экспертов.

а) Для всех пользователей:

Откажитесь от SMS-аутентификации. Используйте приложения-аутентификаторы (Google Authenticator, Authy) или биометрию.
Установите запрет на перевыпуск SIM-карты. Обратитесь в офис оператора и подключите дополнительную проверку личности для таких операций.
Не публикуйте личные данные в соцсетях. Номер паспорта, адрес, дата рождения — это инструменты для мошенников.

б) Если SIM-карта внезапно перестала работать:

Немедленно свяжитесь с оператором и заблокируйте номер.
Предупредите банк о возможной атаке.

в) Для банков и операторов связи:

Внедрение многофакторной аутентификации (например, подтверждение через приложение + голосовой звонок).
Обучение сотрудников: Работники кол-центров должны уметь распознавать подозрительные запросы.

Мнение регуляторов и компаний.

Центробанк РФ рекомендует кредитным организациям отказаться от SMS-кодов к 2025 году.
МТС, Билайн, МегаФон внедряют систему дополнительной верификации: для перевыпуска SIM-карты требуется личное посещение офиса с паспортом.
Роскомнадзор разрабатывает поправки в закон «О связи», ужесточающие процедуру идентификации.

Заключение: Безопасность начинается с вас.

Мошенничество через SIM-карты — это не техническая ошибка, а следствие цепочки уязвимостей: от человеческого фактора до устаревших протоколов. Пока регуляторы и компании совершенствуют защиту, пользователям важно быть настороже. Помните: ни один банк не попросит вас сообщить код из SMS.

Как говорит глава Лиги цифровой экономики Сергей Плуготаренко: «Цифровая гигиена — это не сложно. Заблокируйте ненужные услуги, настройте двухфакторную аутентификацию и учитесь распознавать манипуляции. Эти простые шаги спасут ваши деньги».

P.S. Если вы получили подозрительное SMS или звонок — не паникуйте. Положите трубку и перезвоните в банк по официальному номеру. Ваша внимательность — главный щит против мошенников. 🔒