“Номер телефона давно перестал быть просто средством связи. Это корневой ключ от вашей цифровой жизни, который привязан ко всем важным сервисам. Система, построенная на этом удобстве, создала единую точку отказа для безопасности. Теперь, чтобы получить доступ к вашим средствам, не нужно взламывать пароль от банка — достаточно перехватить контроль над номером. И это делают системно”
.
Наивная ошибка: номер телефона, это просто «контакты»
Многие сосредотачиваются на защите пароля от банковского приложения, думая, что это главная цель злоумышленника. Но атака сместилась на уровень выше — на саму процедуру входа. Большинство критичных сервисов, включая банки, для восстановления доступа или подтверждения операций используют именно номер телефона. Пароль можно сменить, но номер остаётся неизменным идентификатором, привязанным к вам в десятках систем.
Ваш мобильный номер, это универсальный логин для социальных сетей, почты, мессенджеров, маркетплейсов, сервисов доставки и, что важнее всего, для личных кабинетов банков и госуслуг. Это превращает его в первостепенную цель.
С чего всё начинается: разведка и анализ
Первым делом мошенники не звонят вам и не шлют СМС. Они собирают информацию. В открытом доступе и на теневых форумах циркулируют тысячи утекших баз данных от различных онлайн-сервисов. В них содержатся не только номера телефонов, но и имена, даты рождения, а иногда и данные паспортов.
Эти базы загружаются в автоматизированные системы, которые проверяют, на какие популярные платформы зарегистрирован конкретный номер. Алгоритмы сканируют наличие аккаунта в VK, Одноклассниках, Яндекс.Услугах, а также определяют, клиентом какого банка вы являетесь, сопоставляя номер с утекшими списками держателей карт. Этот этап открытой разведки формирует цифровой портрет жертвы и определяет вектор атаки.
Ещё несколько лет назад злоумышленникам приходилось угадывать, в каком банке у жертвы счёт. Теперь, имея номер, они с высокой вероятностью это знают.
SIM-своппинг: атака на оператора связи
Самый опасный метод, это не фишинг, а SIM-своппинг. Его основа — социальная инженерия, направленная на сотрудника сотового оператора.
Мошенник, используя добытые ранее данные (ФИО, паспортные данные, кодовое слово), звонит в контакт-центр оператора. Он представляется владельцем номера, имитирует стрессовую ситуацию — например, сообщает о потере телефона — и убеждает сотрудника дистанционно перевыпустить SIM-карту, активировав её на своём устройстве.
В этот момент ваша оригинальная SIM-карта в телефоне теряет сеть. На экране появляется надпись «Нет сети» или «Только экстренные вызовы». Злоумышленник же начинает получать все входящие СМС, включая коды подтверждения от банков.
Каскадный взлом: от одного сервиса ко всем
Если прямой перехват SIM не удался, используется цепная реакция. Получив контроль над одним, даже не самым важным сервисом, можно добраться до остальных.
- Почта. Доступ к основному почтовому ящику, это доступ к функциям восстановления пароля на большинстве других сайтов. Коды придут на эту же взломанную почту.
- Социальные сети. Многие сервисы, включая некоторые финансовые, предлагают «быстрый вход» через аккаунт VK или OK. Взломав соцсеть (часто через функцию «Забыл пароль», которая требует подтверждения по номеру), мошенник получает ключ и к сторонним платформам.
Уникальные пароли на каждом ресурсе — хорошая практика, но она нивелируется, если механизм сброса пароля опирается на привязанный номер телефона или компрометированную почту.
Технические методы перехвата
Помимо социальной инженерии, существуют и технические способы, хотя они требуют больше ресурсов и встречаются реже.
- Вредоносные приложения. Троянец, установленный под видом полезной программы, может запрашивать права на чтение СМС и автоматически пересылать их на сервер злоумышленника.
- Боты и автоматизация. В теневом сегменте работают сервисы, автоматизирующие массовую рассылку фишинговых сообщений или звонков, имитирующих службы безопасности банков.
- Уязвимости сетевых протоколов. Теоретически существуют атаки на устаревшую сигнализацию SS7, позволяющие перенаправлять СМС. Однако для таргетированных атак на рядовых пользователей в России этот метод крайне маловероятен из-за сложности реализации.
Почему банки и операторы не могут полностью остановить это
Здесь возникает системный парадокс. Банки внедряют многофакторную аутентификацию, биометрию, Push-уведомления. Но вторым фактором по-прежнему часто остаётся СМС на номер телефона. Таким образом, финансовая безопасность зависит от инфраструктуры сотовой связи, которую банк не контролирует.
Операторы связи, в свою очередь, ориентированы на оказание услуг, а не на противодействие мошенничеству. Процедуры верификации в кол-центрах могут быть формальными, а сотрудники работают под давлением планов по скорости обработки обращений, что облегчает задачу социальным инженерам.
В итоге образуется «серая зона»: банк выполнил процедуру, отправив код на номер, оператор перевыпустил SIM-карту в соответствии со своими регламентами, а деньги уже списаны.
Что реально помогает: многоуровневая защита
Полной гарантии не даст ни одна мера, но их комбинация создаёт серьёзный барьер, делая атаку на вас нецелесообразной.
- Откажитесь от СМС для подтверждения операций. В настройках безопасности банковских приложений перейдите на Push-подтверждение внутри самого приложения или используйте аппаратный токен, если банк его предоставляет. СМС — самый ненадёжный канал.
- Включите запрет на дистанционный перевыпуск SIM у оператора. У всех крупных операторов есть услуга «Запрет обслуживания через контакт-центр» или аналогичная. Активируйте её. Это значит, что перевыпуск SIM-карты станет возможен только при личном визите в салон с паспортом.
- Заведите отдельный номер для критичных сервисов. Используйте второй, «тихий» номер, не светящийся в соцсетях или при заказах. Привяжите к нему только основной почтовый ящик и банковские аккаунты. Его единственная функция — получение кодов.
- Установите сложное кодовое слово у оператора. Замените простую комбинацию вроде даты рождения на бессмысленный набор символов, который нельзя подобрать или найти в открытых источниках.
- Контролируйте активные сессии. Периодически проверяйте списки устройств, с которых выполнен вход в ключевые аккаунты (почта, соцсети, банк), и завершайте подозрительные сессии.
Будущее идентификации: что придёт на смену номеру
Корень проблемы — в самой модели, где мобильный номер стал универсальным и при этом уязвимым корнем доверия. Эта система создавалась для удобства, а не для безопасности.
Движение идёт в сторону децентрализации и усиления локальной аутентификации. Биометрические датчики в самом устройстве (сканеры лица и отпечатков), защищённые аппаратные ключи (например, российские аналоги Yubikey) и государственные системы цифровой идентификации (через портал Госуслуг) постепенно должны вытеснить СМС из критичных сценариев. Однако этот переход будет постепенным.
Пока это не произошло, относитесь к номеру телефона не как к контакту, а как к главному ключу, дубликаты которого есть у многих сервисов. Контролировать его сохранность — ваша прямая ответственность.