Да, мошенники могут перехватывать SMS, но под этим словом часто смешивают сразу несколько разных схем. Важно понимать главное: SMS не считается безупречно надёжным каналом для защиты аккаунтов.
У технологии есть уязвимости и что тем, кто использует SMS для важных процессов, нужны дополнительные меры защиты. Следует учитывать такие риски, как замена SIM-карты и перенос номера.
Самый понятный сценарий — захват номера. Это не обязательно «взлом SMS по воздуху». Гораздо чаще преступникам нужно получить контроль над вашим номером: через личный кабинет оператора, перевыпуск SIM или перенос номера на другую SIM/eSIM. Банк России описывает схему, когда мошенники под видом оператора просят назвать код из SMS, получают доступ в кабинет абонента и настраивают переадресацию звонков и сообщений на свой номер.
Второй сценарий — вредоносное ПО на телефоне. Если человек установил заражённое приложение, преступникам уже не нужно перехватывать сообщения у оператора: они могут читать их прямо на устройстве. NCSC предупреждает о мошеннических SMS со ссылками на фальшивые приложения доставки: после установки такое ПО крадёт банковские данные и другую чувствительную информацию. Документация Android отдельно подчёркивает, что доступ к SMS — чувствительное разрешение; приложения могут запрашивать права на отправку и получение SMS, а для работы с сообщениями в ряде случаев добиваются статуса приложения по умолчанию. Google Play Protect, в свою очередь, предупреждает о вредоносных приложениях и может блокировать программы, которые используют чувствительные разрешения, часто интересующие финансовых мошенников.
Есть и более сложный уровень — атаки на инфраструктуру связи. При доступе к сигнальным интерфейсам телеком-сетей злоумышленники могут перехватывать звонки, SMS и трафик данных, а также использовать это для обхода двухфакторной защиты. Это уже не бытовая схема с «кодом из SMS», а технически более серьёзная атака, но сама возможность официально описана европейским агентством по кибербезопасности. Именно поэтому SMS-код нельзя считать абсолютной защитой.
Поэтому правильный ответ такой: да, перехват SMS реален, но обычно речь идёт не о мистическом «чтении сообщений из воздуха», а о более приземлённых вещах — захвате номера, переадресации сообщений, заражённом телефоне или компрометации самого устройства. Для обычного пользователя из этого следует простой вывод: не сообщать коды из SMS, не ставить APK-файлы по ссылкам из сообщений, держать включённым Play Protect и по возможности выбирать не SMS, а более устойчивые способы подтверждения — приложение-аутентификатор, отдельное защищённое приложение или биометрию там, где сервис это поддерживает. «Госуслуги», например, рекомендуют настраивать вход по одноразовому коду TOTP или биометрии, чтобы снизить риск входа через украденный SMS-код.
Как ещё мошенники крадут деньги
Подписывайтесь на телеграм-канал Финсайд и потом не говорите, что вас не предупреждали: https://t.me/finside.
Сообщить о мошенниках или задать вопрос Памятка о возврате от мошенников Телеграм-канал и чат Вкладер Белый список инвестиций