SIM swap – це атака, під час якої зловмисник намагається перенести ваш номер телефону на іншу SIM або eSIM. Якщо це вдається, SMS і дзвінки приходять уже не вам, а людині, яка контролює номер.
Найнебезпечніше не саме перехоплення дзвінків, а те, що номер часто використовується для входу в акаунти, відновлення пароля, банківських підтверджень і двофакторної автентифікації. Тому номер телефону варто захищати як окремий цифровий актив.
Що таке SIM swap простими словами
У звичайній ситуації ваш номер прив'язаний до SIM-картки або eSIM у вашому телефоні. При SIM swap зловмисник переконує оператора, що саме він є власником номера, або використовує слабке місце в процедурі відновлення.
Після цього номер можуть перенести на іншу SIM/eSIM. Ваш телефон втрачає мережу, а нова SIM у зловмисника починає отримувати SMS, дзвінки та коди підтвердження.
Чому це небезпечно
Номер телефону часто використовується як запасний ключ до інших сервісів. Якщо зловмисник отримує контроль над номером, він може спробувати:
- скинути пароль від пошти;
- отримати SMS-код для входу в банк або фінансовий сервіс;
- зайти в месенджер, якщо акаунт прив'язаний тільки до номера;
- відновити доступ до соцмереж;
- перехопити коди двофакторної автентифікації;
- підтвердити операції, якщо сервіс усе ще покладається на SMS.
Саме тому SMS не варто вважати надійним другим фактором для важливих акаунтів.
Ознаки, що з номером щось не так
На SIM swap можуть вказувати такі симптоми:
- телефон раптово втратив мобільну мережу без очевидної причини;
- SIM перестала працювати, хоча баланс і покриття в нормі;
- оператор повідомляє про заміну SIM або підозрілу зміну в акаунті;
- приходять повідомлення про спроби входу або скидання пароля;
- ви перестали отримувати SMS-коди;
- у месенджерах або пошті з'явилися незнайомі сесії;
- банк або сервіс повідомляє про підозрілу активність.
Одна ознака не завжди означає атаку, але поєднання кількох сигналів краще не ігнорувати.
Як захистити номер у мобільного оператора
Перший рівень захисту – ваш акаунт у мобільного оператора. Саме через оператора номер можуть перенести, відновити або перевипустити.
Що варто зробити:
- увімкнути пароль або кодове слово для звернення до оператора;
- перевірити, які документи або дані потрібні для перевипуску SIM;
- заборонити дистанційну заміну SIM, якщо оператор це дозволяє;
- увімкнути повідомлення про зміни в акаунті;
- захистити особистий кабінет оператора сильним паролем;
- увімкнути 2FA для кабінету оператора, якщо така опція є;
- прибрати старі або зайві номери для відновлення доступу;
- перевірити, хто має доступ до корпоративного або сімейного акаунта.
Якщо номер використовується для бізнесу, фінансів або критичних сервісів, варто окремо уточнити в оператора процедуру відновлення і заміни SIM.
Чому SMS-2FA краще замінити
SMS-коди краще, ніж повна відсутність другого фактора, але вони слабші за додатки 2FA, passkeys або апаратні ключі. Проблема в тому, що SMS прив'язаний до номера, а номер залежить від оператора і процедури відновлення.
Для важливих акаунтів краще використовувати:
- додаток автентифікації;
- passkeys, якщо сервіс їх підтримує;
- апаратний ключ безпеки для найважливіших акаунтів;
- резервні коди, збережені в безпечному місці.
SMS можна залишити тільки як тимчасовий або запасний варіант там, де немає кращої альтернативи.
Які акаунти перевірити в першу чергу
Почніть з акаунтів, через які можна відновити доступ до інших сервісів або втратити гроші.
Пріоритетний список:
- основна пошта;
- банківські та фінансові сервіси;
- Apple ID або Google акаунт;
- месенджери;
- соціальні мережі;
- акаунт мобільного оператора;
- хмарні сховища;
- робочі сервіси;
- криптогаманці та біржі, якщо вони використовуються.
Для кожного акаунта перевірте, чи можна прибрати SMS як основний спосіб входу або відновлення.
Як захистити пошту
Пошта часто є головним акаунтом, через який відновлюються інші сервіси. Якщо пошта захищена тільки паролем і номером телефону, SIM swap може стати частиною атаки на весь цифровий профіль.
Мінімальний захист пошти:
- унікальний сильний пароль;
- 2FA через додаток, passkey або апаратний ключ;
- актуальні резервні коди;
- перевірені резервні email-адреси;
- видалені старі номери й застарілі способи відновлення;
- регулярна перевірка активних сесій.
Якщо ви захищаєте тільки один акаунт, почніть саме з пошти.
Як захистити месенджери
Месенджери часто прив'язані до номера, тому їх потрібно налаштувати окремо.
Для Telegram варто:
- увімкнути двоетапну перевірку з паролем;
- додати резервну пошту для відновлення;
- перевірити активні сесії;
- завершити невідомі сесії;
- не передавати коди входу нікому, навіть якщо повідомлення виглядає переконливо.
Для інших месенджерів перевірте, чи є PIN, пароль, резервний ключ або додатковий захист від повторної реєстрації номера.
Що робити, якщо підозрюєте SIM swap
Діяти потрібно швидко, бо зловмисник може використовувати номер для скидання паролів.
Перші кроки:
- зателефонувати оператору з іншого номера;
- попросити заблокувати підозрілу SIM або перенесення номера;
- відновити контроль над номером тільки після перевірки особи;
- змінити пароль основної пошти;
- перевірити активні сесії в пошті, месенджерах і банках;
- завершити невідомі сесії;
- перевірити правила пересилання пошти;
- змінити паролі важливих акаунтів;
- звернутися в банк, якщо є фінансові ризики.
Якщо номер пов'язаний з бізнесом, потрібно також перевірити доступи співробітників, CRM, рекламні кабінети, домени і хостинг.
Чеклист захисту номера
Короткий практичний список:
- встановити кодове слово у мобільного оператора;
- захистити кабінет оператора сильним паролем;
- перевірити процедуру перевипуску SIM/eSIM;
- прибрати SMS-2FA з пошти, банків і критичних сервісів;
- увімкнути додаток 2FA, passkeys або апаратний ключ;
- зберегти резервні коди в безпечному місці;
- перевірити активні сесії в пошті та месенджерах;
- увімкнути двоетапну перевірку в Telegram;
- записати план дій на випадок втрати номера;
- не публікувати основний номер там, де це не потрібно.
Висновок
Номер телефону не повинен бути єдиним ключем до ваших акаунтів. Його варто захищати у оператора, але ще важливіше – зменшити залежність важливих сервісів від SMS.
Найкраща стратегія проста: захистити кабінет оператора, прибрати SMS з критичних акаунтів, увімкнути сильніший 2FA і мати план відновлення на випадок втрати номера.
FAQ
Чи захищає eSIM від SIM swap?
eSIM може зменшити ризик фізичної крадіжки SIM, але не прибирає ризик перенесення номера через оператора. Якщо процедура відновлення слабка, eSIM сама по собі не вирішує проблему.
Чи можна повністю відмовитися від SMS-кодів?
Для багатьох важливих акаунтів так, але не для всіх сервісів. Якщо сервіс не підтримує кращий спосіб 2FA, SMS краще залишити як тимчасовий варіант і компенсувати ризик сильним паролем, захистом оператора та моніторингом активності.
Що важливіше захистити першим?
Почніть з основної пошти, банківських сервісів, акаунта мобільного оператора і месенджерів. Саме через них найчастіше можна відновити доступ до інших акаунтів.
Чи потрібно міняти номер після підозри на SIM swap?
Не завжди. Спочатку треба повернути контроль над номером, змінити паролі, перевірити сесії та прибрати SMS з критичних акаунтів. Зміна номера має сенс, якщо старий номер став публічним, часто атакувався або використовується в небезпечних зв'язках.