Мошенничество SIM Swap: как Япония достигла нуля случаев и чему стоит научиться

В 2022 году Япония столкнулась с резким ростом мошенничества SIM swap. Преступники использовали поддельные удостоверения личности (My Number Card) для получения новых SIM-карт в салонах операторов, перехватывали SMS-коды подтверждения и опустошали банковские счета и криптокошельки.

Результат: с мая 2023 года — ноль зарегистрированных случаев SIM swap.

Что такое SIM Swap?

SIM swap — это атака, при которой мошенник убеждает оператора связи перевести ваш номер на новую SIM-карту, которую он контролирует.

Цепочка атаки

1. Сбор данных — фишинг, соцсети, утечки данных
2. Подделка документов — создание поддельного удостоверения
3. Визит в салон оператора — выдача себя за жертву
4. Перехват SMS — все сообщения идут мошеннику
5. Захват аккаунтов — доступ к банку, почте, криптобиржам

Как Япония решила проблему

1. Электронная проверка чипа IC

Салоны операторов обязали проверять IC-чип удостоверения электронным считывателем. Подделки не проходят такую проверку.

2. Ужесточение процедур операторов

Все крупные операторы ввели обязательную очную верификацию личности при замене SIM.

3. Координация властей

Министерство пересмотрело нормативные документы, полиция ликвидировала мастерские по подделке документов.

Почему в России тоже стоит беспокоиться

В России SIM swap — реальная угроза. Мошенники используют поддельные доверенности, социальную инженерию в call-центрах операторов и коррумпированных сотрудников для перевыпуска SIM.

Фактор риска	Детали
SMS — основной способ 2FA	Банки, Госуслуги — всё через SMS
Социальная инженерия	Сотрудники салонов могут быть обмануты или подкуплены
Telegram привязан к номеру	Потеря номера = потеря Telegram
Мобильный банкинг	Привязка к номеру делает его ключом ко всему

Как защититься

Используйте приложения-аутентификаторы

• Google Authenticator — бесплатный, простой
• Microsoft Authenticator — с облачным бэкапом
• Authy — поддержка нескольких устройств

Переключите банк, почту и криптобиржу с SMS на приложение-аутентификатор.

Используйте passkey

FIDO2-based passkey не зависят от номера телефона и устойчивы к фишингу.

Безопасно храните резервные коды

Не храните так:

• В чате с самим собой в Telegram
• В заметках телефона без пароля
• В черновиках электронной почты

Храните так:

• На бумаге в сейфе
• В менеджере паролей
• В зашифрованной заметке LOCK.PUB

LOCK.PUB позволяет создать заметку, защищённую паролем. Даже серверы LOCK.PUB не могут прочитать содержимое.

Чек-лист безопасности

Действие	Сделано?
Банковская SMS-верификация заменена на приложение	☐
Криптобиржа защищена 2FA через приложение	☐
Резервные коды сохранены в безопасном месте	☐
Passkey включены для основных аккаунтов	☐
2FA проверена в соцсетях	☐
Установлен надёжный PIN у оператора	☐
Лишняя личная информация удалена из соцсетей	☐

Уроки Японии

1. Откажитесь от SMS — используйте приложения-аутентификаторы и passkey
2. Защитите коды восстановления — храните в зашифрованном виде, например на LOCK.PUB
3. Управляйте личными данными — меньше делитесь в соцсетях
4. Будьте в курсе — угрозы постоянно меняются

---

Нужно безопасное место для резервных кодов аутентификации? Попробуйте зашифрованную заметку с паролем на LOCK.PUB.