SIM swap scam

Основой мошенничества является возможность оператора мобильной связи незаметно для пользователя перенести (портировать) телефонный номер на SIM-карту, находящуюся в другом устройстве. Возможность переноса мобильного номера обычно применяется при утере или краже телефона либо при смене телефона пользователем.

Мошенник предварительно собирает персональные данные жертвы: через фишинговые письма, путём покупки у других преступников^[3], методом прямого социального инжиниринга^[4], либо получая их из утечек данных в интернете^[5].

Имея необходимую информацию, мошенник связывается с оператором мобильной связи жертвы. Используя техники социального инжиниринга, он убеждает компанию перенести номер жертвы на свою SIM-карту — например, выдавая себя за владельца, предоставляя персональные сведения и утверждая, что телефон утерян. В ряде стран, таких как Индия и Нигерия, для подтверждения переноса SIM-карты требуется, чтобы жертва нажала цифру 1 на телефоне^[6][7][4].

Получив личную информацию жертвы, злоумышленники обычно выдают себя за неё при обращении в службу технической поддержки оператора связи и убеждают сотрудников перенести телефонный номер жертвы на свою SIM-карту^[8][9]. В некоторых случаях сотрудники телефонных компаний соглашались на взятки и меняли SIM-карты напрямую^[10][5]. Мошенники могут искать сотрудников компаний, включая T-Mobile и Verizon, в социальных сетях или по корпоративным спискам, пытаясь завербовать их для подобных действий, иногда предлагая вознаграждение в криптовалюте за каждый перенесённый номер^[11][12].

После успешного переноса номера телефон жертвы теряет связь с сетью, а все SMS и голосовые вызовы получает мошенник. Это позволяет перехватывать одноразовые пароли, направляемые по SMS или телефону для двухфакторной аутентификации. Поскольку во многих сервисах восстановление доступа к аккаунту возможно только по подтверждённому телефону, преступник получает доступ почти к любому аккаунту, привязанному к захваченному номеру. Это позволяет переводить средства с банковских счетов, заниматься вымогательством или продавать аккаунты на чёрном рынке для последующего мошенничества и кражи личности.

Данный метод был использован для ряда резонансных взломов, в том числе в социальных сетях В 2019 году посредством SIM swap scam был взломан аккаунт Джека Дорси^[13].

В мае 2020 года был подан иск против 18-летнего старшеклассника школы в Ирвингтоне, Нью-Йорк — Эллиса Пински. Его и 20 предполагаемых сообщников обвинили в хищении $23,8 млн у инвестора в цифровую валюту Майкла Терпина (основателя и генерального директора Transform Group) в 2018 году, когда Пински было 15 лет. Средства были украдены при помощи данных, добытых из смартфонов посредством подмены SIM-карт. Иск был подан в федеральный суд округа Уайт-Плейнс, и пострадавший потребовал тройной компенсации ущерба^[14][15].

В начале 2022 года ФБР США сообщило о резком росте финансовых потерь среди потребителей от этого вида мошенничества за 2021 год, тенденция продолжалась и в 2022 году^[16][17]. Только за 2021 год потери составили $68 млн, что в пять раз больше, чем за три предыдущих года вместе взятые ($12 млн за 2018—2020 годы). В ФБР поступило 1600 жалоб на сим-своппинг за 2021 год — резкое увеличение по сравнению с тремя предыдущими годами. Переносы номеров происходят достаточно быстро, если у мошенников имеется достаточная информация, чтобы убедить оператора мобильной связи назначить похищенный номер на их устройство; получение кодов двухфакторной аутентификации приводит к дальнейшему хищению средств^[17].

В Южной Корее с начала 2022 года зафиксированы случаи атак с подменой SIM-карт. Типичный сценарий включает внезапное прекращение работы мобильной службы у жертвы и уведомление о смене номера. После этого жертвы обнаруживают, что их банковские и криптовалютные аккаунты взломаны^[18].