SIM-swap атаки на аккаунты криптобирж: что защитить в первую очередь
Практический чеклист против SIM-swap для пользователей бирж: заменить SMS-only 2FA, защитить почту, добавить резервные passkey, ограничить вывод и знать действия при внезапной потере связи.
Как мы проверили это руководство
- Мы проверили официальные материалы Coinbase о телефонных атаках, усиленной 2FA и блокировке аккаунта; поддержку Kraken по passkey, нескольким методам 2FA и потерянному телефону; рекомендации Binance по антифишинговому коду и API-ограничениям; а также материалы Ledger о подмене буфера обмена.
SIM-swap — это не только проблема оператора. Для аккаунта криптобиржи внезапная потеря связи может быстро превратиться в попытку сброса входа и вывода средств.
Короткий ответ
Если аккаунт всё ещё зависит от SMS, исправьте это до крупного депозита. Используйте passkey или аппаратный ключ, защитите привязанную почту, добавьте надежный резервный метод и заранее включите защиту вывода.
| Риск | Более безопасная настройка |
|---|---|
| Вход | Passkey, аппаратный ключ или приложение 2FA вместо одного SMS. |
| Восстановление | Уберите телефонное восстановление где возможно и защитите почту сильной 2FA. |
| Вывод | Включите список адресов или задержку для новых адресов. |
| Сигналы | Внезапную потерю связи считайте событием безопасности. |
| Долгий срок | Монеты не для торговли держите в собственном кошельке. |
Как атака бьет по аккаунту
Coinbase описывает телефонные атаки как перенос номера жертвы на устройство атакующего. Это опасно для аккаунтов с SMS-2FA или восстановлением по телефону. Обычно телефон теряет связь, атакующий получает коды, пробует войти в биржу или почту и быстро вывести средства.
Что защитить первым
1. Замените SMS-only 2FA
Coinbase рекомендует более сильные методы: ключ безопасности, passkey или приложение-аутентификатор. Kraken объясняет, что passkey привязан к настоящему сайту или приложению, поэтому лучше сопротивляется фишингу.
2. Добавьте независимый резерв
Используйте ежедневный метод и отдельно хранимый аппаратный ключ или passkey. Коды восстановления храните офлайн. Не добавляйте других людей ради удобства.
3. Защитите почту
Если почта восстанавливается тем же номером, риск остается. Нужны уникальный пароль, сильная 2FA и удаление старых способов восстановления.
4. Включите список адресов вывода
Список адресов замедляет атакующего. Добавьте свой кошелек заранее, проверьте адрес и сделайте малый тест. Подробнее: чеклист безопасности биржевого аккаунта.
5. Не держите долгосрочные активы на бирже
Защищенный аккаунт всё равно остается биржевым. Для хранения на годы купите и выведите в свой кошелек. См. перевод с биржи на аппаратный кошелек и кошелек для начинающих.
Если телефон внезапно потерял связь
| Шаг | Действие |
|---|---|
| 1 | Свяжитесь с оператором по надежному каналу и спросите о замене SIM или переносе номера. |
| 2 | Заблокируйте биржевые аккаунты при подозрении на несанкционированный доступ. |
| 3 | Сначала защитите почту, затем проверьте сессии и выводы. |
| 4 | Отзовите неизвестные сессии и замените скомпрометированную 2FA. |
| 5 | Выводите только после проверки адреса на надежном экране кошелька. |
Фальшивая поддержка использует панику: прочитайте мошеннический звонок поддержки крипто.
SIM-swap, malware и address poisoning
SIM-swap бьет по входу и восстановлению. Malware буфера обмена меняет вставленный адрес. Address poisoning заставляет копировать похожий адрес из истории. Перед переводом проверяйте адрес на доверенном устройстве.
Кому это важно
Приоритет при значимом балансе, SMS как основной 2FA, восстановлении почты по телефону, плановом выводе в self-custody или активных API-ключах. При выборе биржи начните с лучшей биржи для начинающих и Kraken vs Coinbase.
Как мы проверили руководство
Мы проверили официальные материалы Coinbase о телефонных атаках, усиленной 2FA и блокировке аккаунта; поддержку Kraken по passkey, нескольким методам 2FA и потерянному телефону; рекомендации Binance по антифишинговому коду и API-ограничениям; а также материалы Ledger о подмене буфера обмена.
Итог
Сделайте номер менее важным: устойчивый к фишингу вход, безопасное восстановление почты, заблокированный вывод и self-custody для долгосрочных активов.
Получайте дайджест Coin Buyer Guide
Практичное еженедельное письмо с новыми гайдами по кошелькам, биржам, картам, налогам и безопасности крипто, а также полезными заметками индустрии. Без хайпа.