Важно СМС - защита не безопасна. Ваши деньги под угрозой

Вообще все банки якобы защищены от взлома смс-проверкой.

Но у каждого банка, зная телефон клиента банка можно по смс зайти в личный кабинет или приложение и собственно распоряжаться деньгами, также по смс можно и войти во всякие-там госуслуги и т.д.

Сейчас опустим мошенников, которые под разными предлогами могут попытаться завладеть кодом из смс, кстати на самом деле любой может попасться на такой развод.)

Но есть ещё и другая угроза.

Давайте поговорим про SIM Swap.

SIM Swap (или SIM-swapping, SIM-хайджек) — это атака, при которой злоумышленник перехватывает управление над вашим мобильным номером, убедив оператора выдать новую SIM-карту с вашим номером.

Это не технический взлом SIM-карты, а социальная инженерия, направленная на мобильного оператора.

Как работает SIM Swap

1. Злоумышленник узнаёт ваш номер телефона и личные данные
   • ФИО, дату рождения, e-mail, последние цифры паспорта — можно получить из утечек или соцсетей.
   • Иногда используется фишинг, утечки баз, социнженерия.
2. Обращается в службу поддержки оператора
   • Притворяется вами.
   • Говорит: "Я потерял телефон, заблокируйте старую SIM и дайте новую."
3. Получает новую SIM с вашим номером
   • Вставляет в свой телефон.
   • Теперь все звонки и SMS приходят ему, а вы остаетесь без связи.
4. Использует это для взлома аккаунтов
   • Получает SMS-коды для входа в банки, почту, соцсети.
   • Может сбросить пароли и получить полный контроль.

Чем опасен SIM Swap​

• Перехват двухфакторной авторизации по SMS (2FA).
• Взлом банков, криптокошельков, почты.
• Кража денег, данных, аккаунтов.
• Потенциально — полный контроль над онлайн-личностью.

Пример из жизни​

1. У жертвы подключен банк с SMS-верификацией.
2. Мошенник делает SIM Swap.
3. Заходит на сайт банка, жмёт «восстановить пароль».
4. Получает SMS-код на свою (уже подменённую) SIM.
5. Восстанавливает доступ и переводит деньги.

🛡 Как защититься от SIM Swap​

1. Ограничь информацию о себе в интернете
   • Не публикуй свой номер телефона и личные данные.
2. Установи PIN/пароль на SIM у оператора
   • У некоторых операторов можно настроить «секретный код» или запрет удалённой замены SIM.
3. Не используй SMS как единственный способ 2FA
   • Лучше использовать приложения: Google Authenticator, Authy, Aegis, U2F-ключи (YubiKey).
4. Подключи уведомления в банке
   • Email-уведомления, пуши и прочее — чем больше каналов, тем лучше.
5. Следи за подозрительными событиями
   • Внезапная потеря связи? Возможно, это уже атака. Срочно звони в поддержку оператора с другого номера.

Короче дыра жесткая, пора менять СМС-авторизацию на токены, либо другие методы.
И отменять возможность доступа только по СМС.

 

[RedFox]

После замены SIM карты сутки не приходят сообщения от банков. Неужели хозяин SIM карты оставшись без связи за сутки не поймет что у него увели SIM карту?

 

[0x42]

Может и не понять...
Вообще смс, очень не надежная защита, надо это менять и к этому придут.

Альтернативы, это токены и биометрия.

Но пока к этому придут, будет очень много мошеничества и краж.

Вот лично меня напрягает, что зная пароль от смс могут привязать все мои карты к платежной системе и оплачивать ими, взять кредит, слить все мои данные.

При-том что эти коды смс передаются в открытом виде, даже примитивного шифрования нет.