SIM-свопінг: атаки на абонентів Київстар, Vodafone UA та lifecell

Ваш український номер телефону — ключ до всього цифрового життя. Він прив'язаний до рахунків PrivatBank і Monobank, цифрових документів Дії, Telegram і Viber та практично кожного онлайн-сервісу. SIM-свопінг — коли злочинець переносить ваш номер на SIM-картку під своїм контролем — став одним із найруйнівніших кіберзлочинів в Україні. Коли це вдається, зловмисник отримує всі ваші SMS-коди, може скинути банківські паролі й захопити вашу ідентичність за лічені хвилини.

Розповідаємо, як SIM-свопінг працює проти абонентів Київстар, Vodafone та lifecell, і як захистити себе.

Як SIM-свопінг працює в Україні

Базова атака відбувається за такими кроками:

1. Злочинець збирає вашу особисту інформацію — ім'я, номер телефону, паспортні дані, ІПН — через фішинг, витоки даних або соціальну інженерію
2. Він відвідує магазин оператора або звертається до підтримки, видаючи себе за вас, стверджуючи, що SIM-картка втрачена або пошкоджена
3. Оператор видає нову SIM-картку з вашим номером злочинцю
4. Ваш телефон одразу втрачає сигнал — «Немає мережі» або «SIM не зареєстрована»
5. Злочинець тепер отримує всі ваші дзвінки та SMS — включно з банківськими OTP-кодами
6. Він використовує SMS-коди для скидання паролів банківських рахунків, Дії, пошти та соцмереж
7. Він спустошує ваші рахунки ще до того, як ви зрозумієте, що сталося

Весь процес від SIM-свопу до спустошення рахунку може зайняти менше години.

Чому українські оператори вразливі

Київстар

Як найбільший мобільний оператор України з понад 24 мільйонами абонентів, Київстар — найчастіша ціль. Попри покращену безпеку після масштабної кібератаки в грудні 2023 року, SIM-свопінг залишається ризиком через:

• Шахрайські запити в авторизованих точках продажу (не офіційних магазинах)
• Соціальну інженерію працівників колл-центру
• Використання підроблених документів
• Внутрішні загрози в точках продажу

Vodafone Ukraine

Vodafone Україна обслуговує мільйони клієнтів із подібними вразливостями:

• Мережа сторонніх дилерів із різними стандартами безпеки
• Онлайн-процеси заміни SIM, які можна експлуатувати
• Представники служби підтримки, яких можна обманути

lifecell

Як третій за розміром оператор, абоненти lifecell стикаються з:

• Меншою дилерською мережею з потенційно нижчим рівнем підготовки щодо запобігання шахрайству
• Подібними процесами верифікації, які можна обійти з підробленими документами

Що відбувається після SIM-свопу

Коли злочинець контролює ваш номер, каскад шкоди стрімкий:

Система	До чого отримує доступ
PrivatBank / Monobank	SMS OTP-коди для скидання паролю й авторизації переказів
Дія	Доступ до всіх цифрових документів і держпослуг
Telegram / Viber	Повне захоплення месенджер-акаунтів
Пошта (Gmail, Ukr.net)	Скидання паролю через SMS, доступ до всього прив'язаного
Соцмережі	Захоплення акаунтів, використання для подальшого шахрайства
Криптобіржі	Доступ до акаунтів бірж, прив'язаних до номера

Ознаки SIM-свопу

• Телефон раптово показує «Немає мережі» або «Лише екстрені виклики» в зоні нормального покриття
• Ви отримуєте неочікуване SMS про зміну SIM, якої не запитували
• Ви не можете дзвонити чи надсилати SMS, хоча телефон показує сигнал
• Ви отримуєте сповіщення про скидання паролів, яких не ініціювали
• Банківський додаток перестає працювати й показує помилки сесії

Якщо помітили будь-яку з цих ознак — дійте негайно. На рахунку кожна хвилина.

Як захистити себе

Зверніться до оператора

1. Встановіть SIM-lock PIN у оператора — Київстар, Vodafone та lifecell пропонують цю опцію
2. Додайте усний пароль безпеки до акаунту, який потрібно назвати при будь-яких змінах SIM
3. Вимкніть дистанційну заміну SIM, якщо оператор пропонує таку опцію
4. Зареєструйтесь із паспортом в офіційному магазині оператора (не у стороннього дилера), щоб вашу особу було належно верифіковано

Зменшіть залежність від SMS

1. Перейдіть на двофакторну автентифікацію через додаток (Google Authenticator, Authy) замість SMS де можливо
2. Увімкніть біометричний вхід у банківських додатках замість SMS OTP
3. Використовуйте підтвердження транзакцій у додатках PrivatBank і Monobank замість SMS-кодів
4. Налаштуйте push-сповіщення замість SMS для банківських сповіщень

Захистіть свої акаунти

1. Увімкніть двоетапну верифікацію в Telegram (Налаштування → Конфіденційність → Двоетапна верифікація) з надійним паролем
2. Увімкніть верифікацію входу у Viber
3. Використовуйте надійний унікальний пароль для кожного акаунту — менеджер паролів допоможе
4. Увімкніть сповіщення про вхід на всіх важливих акаунтах
5. Видаліть номер телефону як варіант відновлення з email-акаунтів де можливо, замінивши додатком-автентифікатором

Захистіть персональні дані

1. Ніколи не діліться паспортними даними або ІПН через незашифровані канали — шахраям потрібна ця інформація для SIM-свопу
2. Будьте обережні з особистою інформацією онлайн — профілі соцмереж, публічні реєстри та пости на форумах можуть бути використані для збору даних
3. Знищуйте документи з вашим номером телефону та особистими даними

Що робити, якщо ви жертва

Дійте за хвилини — не за години.

1. Зателефонуйте на екстрену лінію оператора з іншого телефону:
   • Київстар: 466 (з Київстар) або +380 44 466 0466
   • Vodafone: 111 (з Vodafone) або +380 50 100 0111
   • lifecell: 5433 (з lifecell) або +380 63 543 3000
2. Вимагайте негайного блокування SIM і повідомте про шахрайський свопінг
3. Зателефонуйте до банку — PrivatBank: 3700, Monobank: через додаток на іншому пристрої — заблокуйте всі картки та онлайн-банкінг
4. Змініть паролі пошти, Telegram, Viber та всіх критичних акаунтів з безпечного пристрою
5. Відвідайте магазин оператора з паспортом, щоб відновити номер на новій SIM
6. Подайте заяву в Кіберполіцію на cyberpolice.gov.ua
7. Перевірте акаунт Дії на предмет несанкціонованого доступу

Безпечна передача даних акаунтів

Коли потрібно поділитися деталями телефонного акаунту, PUK-кодами або PIN-кодами з довіреним членом сім'ї (для екстреного доступу), ніколи не надсилайте їх через ті самі месенджери, що залежать від вашого номера. Якщо номер скомпрометовано, ці повідомлення стають доступними зловмиснику.

Скористайтеся LOCK.PUB, щоб створити захищене паролем посилання з автовидаленням для передачі конфіденційних телеком- та банківських даних. Поділіться посиланням через один канал, а паролем — через інший. Навіть якщо один канал скомпрометовано, ваші дані залишаться захищеними.

Підсумок

SIM-свопінг — один із найнебезпечніших кіберзлочинів в Україні, бо ваш номер телефону — це головний ключ до банкінгу, держпослуг і цифрової ідентичності. Найкращий захист — профілактика: встановіть SIM-lock PIN у оператора, перейдіть з SMS-автентифікації де можливо та захищайте персональні дані, потрібні злочинцям для здійснення свопу.

Якщо телефон раптово втрачає сигнал без причини — вважайте це надзвичайною ситуацією. Негайно телефонуйте оператору та банку. На рахунку кожна хвилина. А для передачі конфіденційної інформації довіреним особам використовуйте зашифровані інструменти з автовидаленням, як-от LOCK.PUB — бо месенджери на вашому телефоні безпечні лише настільки, наскільки безпечна ваша SIM-картка.