SIM-свопинг (подмена SIM-карты) — страшное слово для любого современного человека. Представьте, что однажды утром вы просыпаетесь и обнаруживаете, что банковское приложение, социальные сети и аккаунты на крупных криптовалютных биржах, привязанные к номеру мобильного телефона, теперь уже не ваши. Доступ к ним получил совершенно посторонний человек, и вы можете только наблюдать, как исчезают ваши деньги. Страшно? Увы, это возможно.
SIM-карту в России можно получить только лично, предъявив паспорт, так что украсть номер телефона вообще практически невозможно, считает обыватель. Ну разве что завладев смартфоном другого человека на короткое время. Все так, но не совсем.
Популярный тиктокер и видеоблогер Вадим Спириденков (Дикий Вадик) с аудиторией более 10 млн подписчиков стал жертвой SIM-свопинга в феврале текущего года. Мы решили рассказать его поучительную историю, чтобы ни у кого не оставалось заблуждений — SIM-свопинг возможен и в России, причем потерять можно очень много, если вовремя не защитить свои аккаунты.
Что произошло
В начале февраля Вадим вдруг утратил доступ к своим аккаунтам в социальных сетях. Их объединяло отсутствие двухфакторной аутентификации и регистрация на один и тот же номер мобильного телефона. Так как аккаунты являются его рабочими инструментами, блогер оказался в затруднительном положении.
Довольно быстро выяснилось, что злоумышленник воспользовался процедурой удаленного перевыпуска SIM-карты сотового оператора МТС. Активировав новую SIM, он без труда, выбрав удобное время (раннее утро, когда все спали), зашел в социальные сети, поменял пароли и единолично завладел аккаунтами в Инстаграме* и Тик-Токе. Тик-Ток аккаунт удалось вернуть в тот же день и потеря составила всего $1000 (мошенник смог вывести их себе на карту). А аккаунт в Инстаграме вернулся к законному владельцу только на днях и каким-то чудом.
Свою грустную историю с хорошим концом Вадим изложил в видеоролике.
Как это возможно технически?
У мошенника был скан паспорта жертвы. Это важно. При обращении в контактный центр МТС с просьбой о перевыпуске SIM-карты, необходимо представиться, сообщить паспортные данные абонента и адрес, по которому нужно привезти SIM-карту. Процедура перевыпуска SIM бесплатна для абонентов.
И тут должно появиться слабое звено. И сотрудник Почты России, и курьер МТС, обязаны удостовериться в том, что карту получает предъявитель паспорта, на который была зарегистрирована SIM-карта. Злоумышленник может воспользоваться подделкой документа или предъявить фальшивую доверенность от владельца паспорта и, соответственно, SIM. А еще может каким-то образом уговорить курьера или сотрудника Почты России выдать отправление без предъявления документов.
Интересная подробность: оператор МТС принимая заявку на перевыпуск карты видеоблогера, поинтересовался у звонившего, какими были последние набранные номера. Мошенник назвал номер брата блогера, так как знал его лично и предполагал, что блогер частенько разговаривает с братом.
Еще одна интересная подробность — в момент совершения звонка, блогер как ни в чем не бывало пользовался своим номером — то есть он был в сети, в тысячах километров от мошенника, платил по счетам и совершал звонки. Но эта нестыковка не заинтересовала оператора сотовой связи.
Кто виноват
Виноват, безусловно, злоумышленник — им оказался бывший менеджер популярного блогера, который завладел сканом паспорта законным путем в результате сотрудничества. Знание некоторых фактов жизни Вадима Спириденкова было только на руку. Однако остается один самый важный вопрос: какова роль сотового оператора во всем этом? С этим разберется следствие. Однако блогер уверен — у МТС серьезные проблемы и доверять ему не стоит.
Вадим предупреждает своих подписчиков в другом видео:
Ребят, я вам серьезно говорю. Не покупайте номера МТС и не держите свои аккаунты на номерах МТС. Потому что у МТС явные проблемы.
Как можно этого избежать?
Необходимо всегда включать двухфакторную аутентификацию на всех важных аккаунтах. И пользоваться для нее специальными приложениями. Двухфакторная аутентификация защищает гораздо лучше, чем обычный пароль. Приложения генерируют верификационный код, который привязан не к номеру телефона, а к самому устройству. И если оно у вас в руках — вы надежно защищены.
Случай Спириденкова показывает, что МТС имеет уязвимость к SIM-свопингу, и пока эта проблема безопасности не устранена, вам стоит рассмотреть вопрос о смене сотового оператора. Особенно, если вам есть, что терять.
* Продукт компании Meta, деятельность которой признана экстремистской, запрещена на территории России по решению Тверского суда Москвы от 21.03.2022.
▼