Европейские правоохранительные органы провели масштабную операцию SIMCARTEL и ликвидировали сеть «SIM-ферм», задействованных в фишинге, инвестиционном мошенничестве, вымогательствах и создании фальшивых аккаунтов. По данным Европола, операторская инфраструктура включала около 1200 SIM-боксов и 40 000 SIM-карт и использовалась для масштабных телекоммуникационных злоупотреблений по всему миру.
Масштабы операции и технологическая инфраструктура
Расследование, проведенное при участии Европола и специалистов Shadowserver Foundation, а также правоохранителей Австрии, Эстонии, Финляндии и Латвии, привело к отключению сервисов gogetsms[.]com и apisim[.]com. Эти сайты сдавали в аренду телефонные номера, зарегистрированные на физических лиц в более чем 80 странах, что позволяло клиентам создавать и верифицировать фейковые учетные записи и скрывать реальную личность и геолокацию.
В результате работы SIM-ферм было зарегистрировано более 49 млн мошеннических аккаунтов. Сервис уже связан как минимум с 1700 случаями мошенничества в Австрии и 1500 — в Латвии. Всего правоохранители фиксируют свыше 3200 эпизодов, а суммарный ущерб пострадавшим оценивается не менее чем в 4,5 млн евро.
Что такое SIM-фермы и SIM-боксы
SIM-ферма — это набор GSM-шлюзов (SIM-box), в каждый из которых устанавливаются десятки и сотни SIM-карт мобильных операторов. Такие устройства автоматизируют прием и отправку звонков и SMS на промышленном уровне. Ключевая цель — обход ограничений операторов и анонимизация трафика, что делает возможными массовые рассылки фишинговых сообщений, одноразовую регистрацию аккаунтов с «чистыми» номерами и скрытие происхождения коммуникаций.
Криминальные сценарии: от фишинга до ложной выдачи себя за полицию
По данным Европола, инфраструктура SIMCARTEL использовалась для телекоммуникационных киберпреступлений, включая фишинг, вымогательство, инвестиционные схемы, мошенничество на маркетплейсах, запросы перевода денег в WhatsApp, создание фальшивых интернет-магазинов и банковских сайтов, а также имперсонацию сотрудников полиции. Эти сценарии повышают конверсию атак: злоумышленники маскируют исходящие номера под «локальные» и «надежные», что усиливает доверие жертв.
«Преступная сеть и ее инфраструктура были технически сложными и позволяли злоумышленникам по всему миру использовать этот сервис для совершения широкого спектра телекоммуникационных киберпреступлений», — отмечает Европол. В ходе операции задержаны пять граждан Латвии и еще двое подозреваемых; также произведены процессуальные конфискации.
Почему одной SMS-верификации недостаточно
Массовая аренда номеров подрывает эффективность классических механизмов KYC и подтверждения личности через SMS-коды (OTP). Номера из SIM-ферм становятся «расходным материалом» для регистрации фейковых профилей, обхода ограничений платформ и эскалации социальной инженерии. Для онлайн-сервисов это оборачивается волнами создания синтетических аккаунтов, злоупотребления бонусами, отмывания средств и компрометации пользовательских данных.
Меры защиты для бизнеса и пользователей
Организациям рекомендуется:
— перейти от SMS-OTP к многофакторной аутентификации на основе аппаратных ключей, TOTP, push-подтверждений и passkeys;
— внедрить оценку рисков сессии (device fingerprinting, поведенческая аналитика, репутация IP/ASN, детектирование эмуляторов);
— использовать репутацию телефонных номеров и базы высокорисковых диапазонов; ограничивать верификации с «одноразовых» и виртуальных номеров;
— применять политику доверия к трафику с мониторингом аномалий в регистрации и сбоях доставки SMS; усиливать антифрод на маркетплейсах и P2P-переводах;
— сотрудничать с операторами и провайдерами антифрод-решений для выявления SIM-боксов (по паттернам трафика, аномальной смене IMSI/IMEI и географии).
Пользователям важно сохранять настороженность к сообщениям и звонкам, даже если номер кажется «местным»: проверять домены, не переходить по сокращенным ссылкам, не сообщать коды из SMS и использовать приложения банков лишь через официальные магазины.
Операция SIMCARTEL показывает, что устойчивость киберпреступности требует синхронных действий правоохранителей, операторов связи и онлайн-платформ. Закрытие двух популярных сервисов аренды номеров и демонтаж сети из тысяч SIM-каналов существенно усложняют злоумышленникам масштабирование атак. Организациям стоит ускорить отказ от SMS как единственного фактора аутентификации, внедрить риск-ориентированные проверки и регулярно обновлять антифрод-профили — это снижает вероятность компрометации и прямые финансовые потери.
