Звичайний робочий день, кілька пропущених дзвінків із незнайомих номерів, а вже за кілька годин — порожні банківські рахунки, заблоковані акаунти та паніка. Саме так сьогодні виглядає одна з найнебезпечніших шахрайських схем в Україні — SIM-swap. Попри те, що цей метод давно відомий правоохоронцям та мобільним операторам, злочинці постійно вдосконалюють свої підходи, а кількість постраждалих продовжує зростати.
Суть схеми полягає в тому, що шахраї отримують контроль над мобільним номером жертви. Після цього вони можуть перехоплювати смс-повідомлення, коди підтвердження, дзвінки від банків та фактично отримують ключ до цифрового життя людини. У сучасному світі мобільний номер давно перестав бути просто засобом зв’язку. Це — універсальний ідентифікатор, через який прив’язані банківські рахунки, соціальні мережі, месенджери, електронна пошта та державні сервіси.
Особливо небезпечним є те, що жертва часто навіть не підозрює про атаку до моменту, коли вже стає надто пізно. Людина може просто не відповідати на підозрілі дзвінки, бути зайнятою на роботі або вважати повідомлення спамом. Тим часом шахраї вже формують історію дзвінків, збирають персональні дані та готують перевипуск сім-картки.
Класична схема SIM-swap довгий час будувалася саме на перевипуску сім-картки через мобільного оператора. Для цього зловмисникам потрібно було переконати оператора, що вони є справжнім власником номера. Раніше достатньо було назвати кілька номерів, на які здійснювалися дзвінки, або вказати приблизний баланс рахунку. Саме тому жертвам часто телефонували з різних номерів — щоб потім використати цю інформацію як “доказ” володіння сім-карткою.
Сьогодні механізми захисту стали жорсткішими, але й шахраї адаптувалися. Тепер головний інструмент — соціальна інженерія. Людям телефонують нібито від імені мобільного оператора, банку чи служби безпеки. Вони можуть повідомляти про закінчення терміну дії сім-картки, необхідність переходу на 4G, технічні роботи або “підозрілу активність” на рахунку. Головна мета — змусити людину самостійно передати код із смс або інші дані.
Саме людська довірливість залишається головною слабкою ланкою. За оцінками операторів, майже всі подібні випадки пов’язані із соціальною інженерією. Злочинці дедалі рідше покладаються лише на технічні методи злому. Натомість вони тиснуть психологічно, створюють атмосферу терміновості, страху чи паніки, змушуючи людину діяти імпульсивно.
Особливу небезпеку становить фінансовий номер — мобільний телефон, який використовується для банківської авторизації. Отримавши контроль над ним, шахраї можуть заходити в онлайн-банкінг, скидати паролі, оформлювати кредити та переводити гроші на підконтрольні рахунки. У деяких випадках вони навіть використовують державні цифрові сервіси для проходження ідентифікації та відкриття нових рахунків на ім’я жертви.
Правоохоронці регулярно повідомляють про викриття організованих груп, які спеціалізуються саме на таких схемах. Збитки від окремих кримінальних проваджень вимірюються мільйонами гривень, а кількість постраждалих — сотнями людей. Особливо активно шахраї полюють на українців, які перебувають за кордоном і тривалий час не користуються своїми українськими номерами. Якщо сім-картка довго неактивна, оператор може повторно видати номер іншому користувачу, чим і користуються зловмисники.
Окремою загрозою стало поширення eSIM. Хоча технологія значно спрощує користування мобільним зв’язком, вона відкриває нові можливості для шахрайства. Через фішингові сайти або злам особистих кабінетів злочинці можуть перевести номер на електронну сім-картку без фізичного доступу до телефону жертви. У результаті людина просто втрачає зв’язок, тоді як усі смс-коди починають надходити шахраям.
Експерти наголошують: головний захист — це уважність і цифрова гігієна. Якщо хтось телефонує від імені мобільного оператора чи банку і просить назвати код із смс, PUK-код, пароль або паспортні дані — це майже гарантовано шахрайство. Справжні оператори та банки ніколи не просять передавати конфіденційну інформацію телефоном.
Одним із найефективніших способів захисту залишається прив’язка номера до паспорта або перехід на контрактне обслуговування. У такому випадку перевипуск сім-картки можливий лише після підтвердження особи, що значно ускладнює життя шахраям. Крім того, мобільні оператори дозволяють заборонити дистанційний перевипуск сім-картки та активувати додаткові механізми захисту через мобільні застосунки.
Не менш важливо використовувати окремий номер для банківських операцій і не публікувати його у відкритому доступі. Чим менше людей знає фінансовий номер, тим складніше злочинцям зібрати необхідну інформацію для атаки.
Також варто увімкнути двофакторну автентифікацію для всіх важливих сервісів, використовувати складні паролі та регулярно перевіряти активність у банківських застосунках. Якщо телефон раптом перестав ловити мережу без очевидної причини — це вже може бути сигналом небезпеки. У такому випадку потрібно негайно зв’язатися з оператором та банком.
Проблема SIM-swap демонструє, наскільки тісно цифрове життя людини сьогодні пов’язане з одним мобільним номером. Втрата контролю над сім-карткою фактично означає втрату контролю над фінансами, особистими даними та онлайн-ідентичністю. І поки банки та оператори посилюють системи безпеки, шахраї продовжують робити ставку на головний фактор ризику — людську неуважність і довіру.
