Хакер переоформил SIM и вошёл в KuCoin. Как мы спасли $175,000 за 20 часов
В 2:47 ночи клиент получил SMS о переоформлении SIM-карты. Он сразу понял что происходит — и позвонил нам. $175,000 на KuCoin. Аккаунт уже заблокирован биржей. Хакер где-то ждёт. Разбираем гонку со временем — каждый час имел значение.
В 2:47 ночи клиент получил SMS от оператора: его SIM-карта переоформлена на новое устройство. Он немедленно открыл KuCoin — аккаунт заблокирован. Внутри $175,000. Хакер уже действует. Клиент позвонил нам в 3:15. За 20 часов мы восстановили подлинный доступ законного владельца, защитили аккаунт, сменили все данные безопасности и вывели средства. Хакер не успел ничего вывести.
02:47. Телефон светится в темноте.
SMS от оператора: «Ваша SIM-карта успешно переоформлена на новое устройство».
Клиент не спал. Точнее — уже проснулся. Потому что такое SMS не приходит само по себе в три часа ночи, если ты сам ничего не делал. Он сразу понял. Первая мысль — KuCoin. Открыл приложение. Аккаунт заблокирован.
$175,000 внутри. Хакер где-то там — с его номером телефона, с доступом к его SMS. И времени нет.
«Два часа ночи. Приходит SMS от оператора: "Ваша SIM-карта успешно переоформлена на новое устройство." Я ещё не проснулся толком, но сразу понял — всё. Открываю KuCoin — аккаунт заблокирован. Там $175,000. Первая мысль: звонить вам».
Он позвонил нам в 3:15. Это решение сохранило $175,000.
Что такое SIM-swap атака — и почему это опаснее обычного фишинга
SIM-swap — это атака, при которой злоумышленник убеждает оператора связи переоформить чужую SIM-карту на своё устройство. После этого все звонки и SMS жертвы поступают хакеру. Включая коды двухфакторной аутентификации.
Это не фишинг. Здесь не нужно ничего кликать и никуда вводить пароль. Атака происходит полностью на стороне оператора — через социальную инженерию (сотрудника убеждают, что «потерян телефон»), через купленного инсайдера или через уязвимости в системах переноса номеров.
Почему это опаснее обычного взлома:
- SMS 2FA — самое слабое звено. Большинство пользователей защищают аккаунты именно SMS-кодами. После SIM-swap хакер получает доступ к ним всем — от банков до криптобирж.
- Скорость атаки. С момента переоформления SIM до попытки входа на биржу проходит иногда несколько минут. У жертвы буквально нет времени среагировать.
- Масштаб проблемы. По данным ФБР, только в 2023 году в США было зафиксировано более 1,000 жалоб на SIM-swap с суммарными потерями свыше $48 миллионов. В России эта статистика не ведётся публично, но случаи фиксируются во всех крупных банках и биржах.
- Целенаправленность. SIM-swap — дорогостоящая атака, которую не проводят наугад. Хакер заранее знает, что у жертвы есть криптоаккаунт с крупной суммой. Значит, данные утекли из какого-то источника.
В отличие от фишинга, где пользователь сам допускает ошибку, жертва SIM-swap делает всё правильно. Её атакуют через инфраструктуру, которой она не управляет.
Как KuCoin среагировал — и почему это нас спасло
Когда хакер попытался войти в аккаунт с нового устройства из другой страны, сработала автоматическая система безопасности KuCoin. Биржа заблокировала аккаунт — стандартная реакция на нетипичный вход.
Это правильное решение. Но оно создало парадокс: теперь ни хакер, ни законный владелец не могли войти в аккаунт.
С одной стороны — хорошо: деньги не выведены, доступ к выводу закрыт. С другой — идёт гонка. Хакер с перехваченным номером телефона в любой момент может попытаться пройти верификацию у оператора или найти другой способ подтвердить личность. Каждый час промедления увеличивал риск.
«KuCoin заблокировал аккаунт — это правильно. Но я тоже не мог войти. Хакер где-то сидел с моим номером телефона. Я не знал сколько у меня времени».
Задача стала чёткой: восстановить доступ законного владельца раньше, чем хакер найдёт обходной путь. Это была гонка — и мы начали её в 3:15 ночи.
Хронология — 20 часов гонки
Клиент получает уведомление от оператора. Немедленно проверяет KuCoin — аккаунт заблокирован. $175,000 внутри.
Первый звонок. Принимаем кейс в работу немедленно. Фиксируем все данные: время атаки, сумма, статус аккаунта, оператор связи.
Помогаем клиенту заблокировать SIM у оператора. Одновременно начинаем формировать доказательный пакет для KuCoin Security. Фиксируем все исторические IP-адреса, историю входов, данные устройств.
KuCoin Security Team получает наш полный пакет: заявление о SIM-swap атаке, доказательства подлинного владения аккаунтом, нотариальные данные, история транзакций, паспорт и подтверждение блокировки SIM у оператора.
Security Team подтверждает получение. Начат процесс расширенной верификации. Запрашивают дополнительное подтверждение — мы готовы, предоставляем немедленно.
Аккаунт возвращён законному владельцу. Пароль сброшен, 2FA переустановлен на аппаратный ключ. $175,000 — в безопасности. Хакер не успел.
От первого звонка до полного восстановления контроля: 20 часов.
Что мы сделали — шаг за шагом
Шаг 1: Немедленная подача Security Emergency Request в KuCoin
На большинстве крупных бирж существует отдельный канал для экстренных ситуаций — Security Emergency. Это не стандартный тикет в поддержку. Это прямой путь к команде безопасности, которая работает в режиме 24/7 именно для случаев активных атак.
Ключевое отличие: Security Emergency запрос обрабатывается по другому приоритету. Стандартный тикет при блокировке аккаунта может ждать дни. Security Emergency — часы. Но для этого запрос должен быть правильно сформулирован и содержать полный набор доказательств с первого обращения.
Шаг 2: Сбор доказательств подлинного владения
Когда биржа получает два конкурирующих запроса на один аккаунт (настоящий владелец и хакер с его SIM), она принимает решение на основе совокупности доказательств. Наша задача — дать KuCoin максимальный объём информации, которую хакер физически не может воспроизвести.
Что вошло в доказательный пакет:
- История всех IP-адресов, с которых выполнялся вход — хакер входил с нового IP из другой страны, это визуально контрастировало с историей клиента
- История транзакций за последние 12 месяцев — паттерн операций, узнаваемый как поведение конкретного человека
- Документы удостоверения личности с нотариальным подтверждением — те же, что использовались при первоначальном KYC
- Официальное подтверждение от оператора о факте SIM-swap атаки и о последующей блокировке SIM
- Детальная хронология событий с временными метками — от SMS до нашего обращения
Шаг 3: Параллельная блокировка SIM у оператора
Пока мы готовили документы для KuCoin, параллельно помогали клиенту восстановить контроль над номером телефона. Это критично: пока хакер держит SIM, он потенциально может получать SMS для других сервисов.
Мы провели клиента через процедуру экстренной блокировки у оператора и запроса на восстановление контроля. Большинство операторов имеют такую процедуру, но она неочевидна и требует правильных формулировок при обращении.
Шаг 4: Сопровождение верификации в реальном времени
После отправки запроса работа не заканчивается. KuCoin Security может запросить дополнительные подтверждения — и каждый такой запрос нужно закрывать максимально быстро. Промедление с ответом = увеличение риска.
Мы оставались на связи 24/7 в течение всего процесса, отвечая на запросы Security Team в течение минут, а не часов. Это ускорило финальное решение.
Аккаунт взломан или заблокирован прямо сейчас?
Срочное реагирование 24/7. Каждая минута имеет значение — звоните немедленно.
Результат
В 18:30 — через 20 часов после начала атаки — KuCoin восстановил доступ законному владельцу. Пароль был сброшен и создан заново. SMS-двухфакторка была немедленно отключена и заменена на аппаратный ключ YubiKey. Аккаунт получил дополнительные ограничения на вывод в первые 24 часа после восстановления — стандартная мера безопасности биржи.
«Когда мне прислали новые данные доступа, я первым делом проверил баланс. Все $175,000 были на месте. Хакер не успел».
Клиент немедленно вывел средства на холодный кошелёк. Мы провели аудит других аккаунтов, привязанных к скомпрометированному номеру телефона. Несколько из них также требовали экстренной смены 2FA.
Что определило исход: клиент позвонил нам в первые 30 минут после обнаружения атаки. Это дало нам 20-часовое окно для работы. Большинство историй с худшим исходом начинаются с «я несколько часов пытался сам» — и этих нескольких часов хватало хакеру.
Как защитить криптоаккаунт от SIM-swap — практические меры
Эта атака предотвратима. Но требует нескольких конкретных шагов, которые большинство пользователей не делают, пока не столкнутся с последствиями.
Замените SMS-двухфакторку на аппаратный ключ
YubiKey или Google Titan Key — физическое устройство, которое нельзя перехватить через переоформление SIM. Хакер, получивший ваш номер телефона, не получит ваш аппаратный ключ, потому что он у вас в кармане. Это единственный метод 2FA, полностью защищённый от SIM-swap. Стоимость — $25–50. Цена вопроса против $175,000 очевидна.
Если аппаратный ключ пока не готовы подключить — минимум переключитесь с SMS на приложение-аутентификатор (Google Authenticator или Authy). Это лучше, чем SMS, хотя и не защищает от физического доступа к телефону.
Отдельный номер телефона для криптоаккаунтов
Используйте отдельный номер — желательно виртуальный (VoIP) или SIM в отдельном телефоне, о котором никто не знает. Никогда не используйте его для регистрации в соцсетях, маркетплейсах или любых публичных сервисах. Его нет нигде — кроме ваших криптобирж.
SIM-lock у оператора
Большинство операторов позволяют установить PIN-код для любых операций с SIM: переноса номера, смены оператора, переоформления на новое устройство. Позвоните в поддержку своего оператора и установите такой PIN прямо сейчас. Без этого PIN ни один сотрудник не сможет провести операцию с вашей картой — даже под воздействием социальной инженерии.
Уведомите биржу заранее
Если вы знаете, что меняете номер телефона или SIM-карту — уведомите KuCoin заблаговременно. Это позволит Security Team поставить маркер и реагировать на любые последующие попытки с нового устройства как на легитимные, а не подозрительные. Это резко снижает риск ложной блокировки вашего собственного входа.
Что делать в первые 15 минут если вас атаковали
Экстренный чеклист — SIM-swap атака
- Звоните оператору немедленно — требуйте блокировку SIM-карты и заморозку любых операций с номером
- Откройте Security Emergency Request на бирже — не обычный тикет, а именно Emergency канал
- Зафиксируйте время атаки — скриншот SMS от оператора с временной меткой — это доказательство
- Не пытайтесь войти в аккаунт повторно — множественные неудачные попытки могут усложнить верификацию
- Позвоните специалистам — если сумма значительная, каждая минута промедления увеличивает риск
- Проверьте другие аккаунты — всё, что привязано к этому номеру: банки, почта, другие биржи
- Не публикуйте ничего публично — хакер может мониторить соцсети жертвы и корректировать тактику
Чем раньше вы позвоните в KarCrypto после обнаружения атаки — тем выше шанс на сохранение средств. Наша услуга срочного реагирования работает 24/7 именно для таких случаев.
Заключение
SIM-swap — это атака, в которой важнее всего не техническая защита после факта, а скорость реакции в первые минуты. Клиент в этом кейсе сделал всё правильно: проснулся, мгновенно понял угрозу и позвонил нам, не теряя времени на самостоятельные попытки.
$175,000 остались в безопасности не потому, что система идеальна, а потому что мы успели раньше хакера. На 20 часов раньше.
Если это происходит с вами прямо сейчас — не тратьте ни минуты. Позвоните нам. Мы работаем в режиме реального времени.
Часто задаваемые вопросы
Что делать в первую очередь при SIM-swap атаке на криптоаккаунт?
Как KuCoin восстанавливает доступ законному владельцу после взлома?
Успеет ли хакер вывести деньги пока идёт восстановление?
Можно ли защитить KuCoin-аккаунт от SIM-swap заранее?
Что делать если хакер уже успел вывести часть средств?
Атака происходит прямо сейчас? Звоните немедленно.
Срочное реагирование 24/7. Мы берём кейсы в работу мгновенно — каждая минута при SIM-swap атаке имеет значение. НДА подписывается до обсуждения деталей.