SIM-swap залишається однією з небезпечних схем цифрового шахрайства, оскільки мобільний номер для багатьох українців фактично є ключем до банківських рахунків, месенджерів, державних сервісів і онлайн-кабінетів. Якщо зловмисники отримують контроль над номером, вони можуть перехоплювати SMS-коди, дзвінки від банку та повідомлення для авторизації.
Схема зазвичай виглядає так: людина раптово втрачає мобільну мережу, не може увійти в банківський застосунок, а з рахунку вже списані кошти. У деяких випадках шахраї не лише виводять гроші, а й оформлюють кредити на ім’я жертви.
За даними Національного банку України, у 2025 році збитки від шахрайства з платіжними картками зросли до 1,4 млрд грн. SIM-swap НБУ виокремлює серед ключових шахрайських схем, адже атака спрямована не на сам банк, а на номер телефону, до якого прив’язані фінансові сервіси.
Як працює SIM-swap
SIM-swap — це перехоплення контролю над мобільним номером. Найчастіше шахраї намагаються перевипустити SIM-картку жертви або перенести її номер на eSIM у власному смартфоні.
Для цього вони можуть використовувати соціальну інженерію: телефонують від імені мобільного оператора, банку або служби безпеки та під різними приводами виманюють одноразові паролі, PUK-коди, паспортні дані або іншу інформацію. Наприклад, можуть говорити про «заміну SIM на 4G», «перевірку номера», «підтвердження даних» або «захист від шахрайства».
Інший варіант — підготовка до перевипуску через оператора. Шахраї можуть кілька разів телефонувати жертві, а потім використати ці номери як частину «історії дзвінків» для підтвердження особи під час спроби заміни SIM-картки.
Окрему небезпеку становить перенесення номера на eSIM. Якщо зловмисники отримують доступ до особистого кабінету абонента або виманюють потрібні коди через фішинг, вони можуть активувати номер на своєму пристрої. Жертва помічає проблему лише тоді, коли її телефон повністю втрачає зв’язок.
Як захистити свій номер
Найголовніше правило — ніколи не називати телефоном коди з SMS, PUK-код, паролі, паспортні дані або дані банківської картки. Якщо вам телефонують нібито з банку чи від мобільного оператора й просять таку інформацію, розмову краще одразу завершити та самостійно зателефонувати на офіційний номер підтримки.
Також варто зареєструвати свій номер у мобільного оператора або перейти на контракт. Зареєстрований номер значно складніше перевипустити без участі справжнього власника. Багато операторів дозволяють пройти ідентифікацію дистанційно — через BankID, «Дію» або застосунок оператора.
Ще один важливий крок — заблокувати дистанційну заміну SIM-картки, якщо така можливість доступна. У такому разі перевипустити SIM можна буде лише особисто у магазині оператора з документом.
Для банківських операцій бажано використовувати окремий фінансовий номер, який не публікується в оголошеннях, соцмережах і месенджерах. Що менше людей знають цей номер, то складніше шахраям зробити його ціллю атаки.
Користувачам також радять увімкнути двофакторну автентифікацію в особистому кабінеті оператора, встановити секретне слово для звернення до підтримки та уважно стежити за підозрілими дзвінками або несподіваними поповненнями рахунку.
Якщо телефон раптово втратив мережу без очевидної причини, потрібно негайно звернутися до мобільного оператора та банку. У таких випадках важлива швидкість: поки шахраї мають доступ до номера, вони можуть отримувати коди підтвердження й намагатися зайти в банківські сервіси.
SIM-swap небезпечний саме тим, що атака може тривати лічені хвилини. Але більшість ризиків можна знизити заздалегідь — зареєструвати номер, обмежити дистанційний перевипуск SIM, не передавати коди стороннім і не використовувати публічний номер як фінансовий.
