Содержание статьи:
Что такое SIM-свопинг
Во многих онлайн-сервисах, в том числе, и криптовалютных, номер телефона чаще всего используется для двойной аутентификации. Казалось бы, это «золотой стандарт», надежно защищающий средства клиентов с помощью одноразовых паролей по SMS. Но на деле все не так безопасно.
SIM-свопинг или подмена SIM-карты – распространенная практика среди хакеров, благодаря которой они осуществляют кражи на миллионы долларов в криптовалютах и фиате. Суть схемы заключается в том, что злоумышленник завладевает данными жертвы, в частности, телефонным номером, после чего обращается к оператору мобильной связи с просьбой перевыпустить карту, выдавая себя за другого человека. После того, как в руках хакера оказывается SIM-карта, он может войти в любой сервис, к которому привязана проверка по номеру телефона, в том числе и в криптовалютный кошелек.
Однако SIM-свопинг довольно сложно реализовать: он технически возможен при совпадении очень многих параметров, рассказывает операционный директор 10Guards Виталий Якушев.
«Иногда в новостях о том, что где-то украли какие-то деньги, ее (схему SIM-свопинга) используют как прикрытие каких-то мошеннических действий, поэтому не следует утверждать, что все взломы, о которых говорили, были благодаря этому», – отмечает специалист.
Поэтому большинство заявлений о SIM-свопинге очень похожи на отмывание денег. Но, тем не менее, лучше быть в курсе этой проблемы.
«SIM-свопинг – это когда мою личную SIM-карту восстанавливает другой человек. Такое возможно только в том случае, если имеет место нарушение по процедуре восстановления SIM-карты у мобильного оператора либо схема подкупа сотрудников, либо если у реального владельца анонимная карта, которую может восстановить любой человек, так как неизвестно, кто ее хозяин», – объясняет Виталий Якушев.
В таком случае, говорит эксперт, достаточно сообщить оператору определенную информацию, которая доказывает, что SIM-карта принадлежит именно вам и можно перевыпустить эту карту, заблокировав старую.
«Суть атаки SIM-своп заключается в том, чтобы установить, у кого из владельцев каких-нибудь активов, например, криптовалютных, или любых сервисов, есть двухфазная аутентификация с получением информации по SMS или звонка на номер телефона», – рассказывает Виталий Якушев.
По словам специалиста, как только злоумышленники получают доступ к ресурсам через номер телефона, уже можно получить доступ и к криптовалютным активам, банковским активам и прочей информации.
Масштабы SIM-свопинга
Согласно данным Федеральной торговой комиссии (FTC), случаи завладения личными данными через SIM-карты в 2013 году составляли 3,2% от всех похищений личной информации, а уже в начале 2016 года их число увеличилось почти вдвое, составив 6,3% от всех случаев кражи личных данных. С каждым годом ситуация усугубляется и хакеры успешно пользуются клонированием SIM-карт или их подменой для получения доступа не только к аккаунтам социальных сетей, но и банковским или криптовалютным счетам.
В 2018 году криптовалютный стартап Crowd Machine при помощи SIM-свопинга атаковали хакеры и смогли вывести 1 млрд токенов проекта. Также в прошлом году путем подмены SIM-карты злоумышленникам удалось вывести $50 000 в криптовалюте с биржи Binance. Весной 2019 года у предпринимателя из США хакеры похитили $23,8 млн, получив доступ к SIM-карте. К слову, клонировать карту им удалось удаленно после 11 неудачных попыток сделать это в магазинах оператора сотовой связи. А в конце октября криптоинвестор из Калифорнии пострадал от SIM-свопинга и потерял $1,8 млн в криптовалюте на кошельках разных бирж.
Как уберечь криптоактивы
Несмотря на то, что проблема SIM-свопинга довольно распространена, можно предпринять ряд мер, которые помогут уберечь активы от кражи. Виталий Якушев рассказывает о первом правиле, которое нужно помнить для избежания хакерских атак.
«Нужно обязательно понимать, что к важным ресурсам привязывать двухфакторную аутентификацию через номер телефона – это заведомо опасно. Если использовать фактор, то лучше, чтобы это было либо мобильное приложение для получения второго фактора, либо аппаратный ключ, который выдает второй фактор», – говорит эксперт.
Но, если нет возможности использовать в качестве второго фактора ничего, кроме номера телефона, то желательно, чтобы это было контрактное подключение. Эксперт объясняет, что в таком случае по паспорту восстанавливается SIM-карта и проводятся все остальные процедуры с номером телефона. Также он рекомендует посетить офис мобильного оператора и написать заявление о том, чтобы любые действия с SIM-картой производилось только после предъявления паспорта, и, возможно даже, только в определенном отделении. Это, по словам Виталия Якушева, позволит держать под контролем все действия с SIM-картой.
Аналитик и трейдер Игорь Порох считает, что уберечь свои активы можно при помощи хранения на холодных кошельках.
«Я бы рекомендовал, в первую очередь, холодные кошельки, такие как Ledger, Trezor. Это первоочередные ресурсы, на которых можно спокойно и безопасно хранить свои активы», – рассказывает эксперт.
Также он советует криптовалютные кошельки JAXX или Exodus, которые можно установить на компьютере, поскольку в них не нужно привязывать номер телефона или Google Authenticator.
«Если же использовать SIM-карту, я бы просто приобрел еще один телефон и еще одну SIM-карту, на которую установил бы Authy или Google Authenticator и этот номер нигде бы не показывал. То есть, у меня был бы отдельный номер телефона, о котором я нигде не буду заявлять публично, и никто о нем знать не будет», – рассказывает специалист.
Поскольку в криптовалютном сообществе SIM-свопинг является довольно частым явлением, то нужно использовать все доступные методы его предотвращения. Также следует помнить, что двухфазовая аутентификация по SMS сопряжена с риском мошенничества даже в том случае, если комплексно подходить к защите личных данных.