Симсвап крипта: как через номер телефона теряют деньги и что делать

Симсвап крипта: как через номер телефона теряют деньги и что делать Когда у пользователя «уводят крипту», чаще всего не взламывают блокчейн и не подбирают приватные ключи к сети. Уязвимость находится ближе: в номере телефона, который годами используют как универсальный ключ к аккаунтам, восстановлению доступа и подтверждению операций через СМС. SIM-swap в этой схеме выглядит почти бытовым событием: номер остается прежним, а SIM-карта под ним становится чужой. Дальше включается цепная реакция: одноразовые коды, сброс пароля, доступ к почте, мессенджерам и кабинетам на биржах. В итоге криптоактивы уходят через легитимные для сервиса действия, просто инициированные не владельцем.

Почему атакуют номер телефона, а не криптографию

Криптография и устройство публичных блокчейнов таковы, что «взлом сети» как способ кражи для большинства злоумышленников экономически бессмысленен. Гораздо проще обойти безопасность через инфраструктуру идентификации: телефонный номер остается точкой, где сходятся банки, биржи, кошельки и мессенджеры. В России это дополнительно усиливается привычкой подтверждать вход и операции по СМС. В терминах риска СМС становится не вторым фактором, а критическим звеном восстановления: потеря номера означает потерю контроля над тем, как сервисы проверяют личность. Поэтому атака на SIM-карту часто эффективнее атаки на конкретный кошелек. Статистика ущерба в цифровых каналах подчеркивает, почему регуляторы и банки так болезненно относятся к этой теме: за 2024 год потери банков от хищений через цифровые каналы достигли 27,5 млрд рублей, при этом возмещение пострадавшим составило около 9,9% суммы. В наборе уязвимостей отдельно выделяются СМС-коды и подмена SIM, потому что это масштабируемый путь к «переводам без согласия клиента».

Как работает SIM-swap в криптосценарии: где ломается цепочка доверия

SIM-swap чаще всего используют не как самостоятельный трюк, а как стартовый доступ. После подмены SIM атакующий получает контроль над входящими СМС и, если требуется, над звонками. Этого достаточно, чтобы пройти типовые процедуры восстановления: получить одноразовый код, сменить пароль, привязать новое устройство, подтвердить вывод средств. Для крипторынка это особенно опасно из-за скорости необратимых операций. Как только злоумышленник прошел аутентификацию и инициировал вывод, вернуть транзакцию в блокчейне нельзя. Остается только расследование на уровне сервисов и правоохранительных органов и надежда на то, что средства еще не ушли дальше по цепочке. В российской практике попадались и «приземленные» сценарии, где крипта выводилась через вспомогательные инструменты. Например, в Москве мошенник через SIM-swap получил доступ к номеру, затем к Telegram-боту и вывел 1,09 BTC, что на тот момент оценивалось примерно в 700 тыс. руб. Показательно, что ключевой точкой входа оказался не кошелек как таковой, а связка «номер плюс сервис, который доверяет номеру». В крупных международных кейсах логика та же. В истории с банкротством FTX в публичном поле обсуждалось, что одним из факторов потерь стали схемы с подменой SIM, позволявшие получать доступ к критичным аккаунтам. Масштаб там другой, но уязвимость остается прежней: номер телефона как слабое место модели безопасности.

Что меняется в России: давление регулятора и переосмысление СМС как «второго фактора»

В инфраструктуре защиты заметен разворот от идеи «СМС достаточно» к идее проверки устойчивости канала связи. С 1 октября 2025 года банки обязаны соблюдать обновленные требования Банка России по защите информации при переводах без согласия клиента по положению № 851-П. В практическом контуре это означает, что SIM-подмена и SMS-фрод официально рассматриваются как риск, который нужно снижать системно, а не точечно. Один из обсуждаемых технологических ответов со стороны банковской безопасности — контроль IMSI, уникального идентификатора SIM-карты. Логика проста: если номер прежний, а IMSI изменился, это сигнал о возможной подмене SIM. Такой контроль позволяет банку не «догадываться» по косвенным признакам, а фиксировать смену SIM на уровне телеком-сущности и реагировать до того, как деньги уйдут. Параллельно формируется потребительский контур. Подготовлен законопроект, по которому граждане смогут через «Госуслуги» установить самозапрет на оформление SIM-карт без личного участия, а также запрет на звонки и СМС из-за рубежа. Это важный сдвиг: государство признает, что проблема не только в конкретных мошенниках, но и в легкости перевыпуска и «переоформления» связанного с номером доступа.

Как защищают крипту на практике, если номер телефона уже стал точкой атаки

Базовый вывод для криптопользователя неприятный, но конструктивный: номер телефона нужно считать не средством связи, а элементом безопасности. Если он участвует в подтверждениях, восстановлении и уведомлениях, его компрометация равна компрометации аккаунта. Поэтому рынок постепенно уходит от SMS-2FA в сторону аутентификаторов и аппаратных ключей. Приложения-аутентификаторы и hardware-ключи решают проблему именно канала: даже при подмене SIM злоумышленник не получает второй фактор. Там, где сервисы позволяют, усиливают ограничения на изменения критичных параметров и вывод средств, вводят доверенные устройства и дополнительные проверки. На стороне самого номера остаются меры, которые выглядят «телефонными», но работают против крипторисков. Речь о PIN и PUK на SIM-карте: рекомендация сменить заводской PIN и включить PUK-защиту снижает вероятность того, что SIM окажется активируемой без кода. Не менее важна дисциплина реакции: уведомления о смене SIM, внезапные обрывы связи и любые сообщения «от оператора» должны вести не по ссылкам, а в официальный канал поддержки. Наконец, архитектура хранения. Чем больше средств находится в горячих кошельках и биржевых аккаунтах, тем выше роль учетной записи и процедур восстановления, где номер телефона традиционно живет дольше всех. Распределение активов и уход основной доли в холодное хранение снижают цену любой компрометации СМС и мессенджеров: в этой модели телефон перестает быть ключом к «всему сразу». На уровне последствий SIM-swap для крипты важна еще одна деталь: даже если шансы вернуть активы невысоки, фиксация инцидента через обращение в полицию остается частью защиты. Чем больше формализованных кейсов, тем легче регуляторам и сервисам обосновывать изменения процедур, а рынку — отказываться от СМС как якорного механизма доверия.