SIM-карты. Что они в себе таят

Что записано на SIM-карте и насколько это безопасно
Аватар - Анастасия Рыкова
Анастасия Рыкова
ВРЕМЯ НА ЧТЕНИЕ 16 МИН
25 октября 2024
Скачать в PDF

Люди ласково называют SIM-карту «симкой» и относятся к ней прагматически. Без «симки» нет связи — звонков и сообщений. «Симки» бывают конкретных операторов. Для покупки обычно нужно показывать документы. Есть SIM-карты для путешественников и электронные «симки». Вот, пожалуй, и все, что знает о «симках» обычный человек. Между тем, каждая SIM-карта умеет хранить данные, это носитель информации. Некоторые данные разрешено только считывать. Другие можно также записывать. Ширится практика использования современного шифрования для защиты данных на SIM-картах. Теплица подробно рассказывает, какая информация находится на нашей SIM-карте.

Основная задача всякой SIM-карты — идентификация пользователя в сети мобильной связи (SIM расшифровывается как Subscriber Identity Module). C этих данных мы и начнем. Для начала поговорим об обычных, «классических» SIM-картах.

ICCID

Это цифры, которые в буквальном смысле напечатаны на SIM-карте, прямо на пластике. Они называются ICCID (Integrated Circuit Card Identification number). Фактически это уникальный серийный номер. Он всегда начинается с «89». Код «89» означает «это телекоммуникационная карточка» (а не банковская, например). Следующие 2-3 цифры — код страны в соответствии со списком Международного союза электросвязи. Например, код Швеции — 46, Австралии — 61, Беларуси — 375, России — 701. За ним следует код компании, выпустившей SIM-карту. Чаще всего 01, 02, 03, в этом духе. Так, российский оператор сотовой связи МТС имеет код «01», а значит, начало ICCID всех МТСовских SIM-карт выглядит следующим образом: 8970101. Потом идет уникальный личный номер карточки, а в самом конце контрольная сумма.

IMSI

Хотя их порой путают с ICCID, это не совсем одно и то же. ICCID идентифицирует карту как таковую (оборудование), а IMSI (International Mobile Subscriber Identity) вместе с ключом Ki (см. далее) позволяет идентифицировать абонента в сети мобильной связи. IMSI хранится в памяти карты и выглядит как последовательность цифр, обычно их 15. В них закодирована страна, оператор мобильной связи и номер абонента (Mobile subscription identification number, MSIN). В некоторых моделях телефонов IMSI можно узнать из меню.

Идентификационный ключ

На карте хранится также идентификационный ключ (Key identification, Ki) — длинное случайное число, которое записывается производителем SIM-карт на каждую карту при ее изготовлении и никогда не передается в явном виде через сеть. У разных SIM-карт разные, уникальные Ki. С помощью Ki определяется подлинность карты. Пара IMSI-Ki позволяет идентифицировать абонента в сети. В этой статье разъясняются подробности — как именно такое проделывается. Пользователь не может просто считать ключ с карты, эта техническая возможность отсутствует.

SIM-карты
Источник: Flickr

А как же IMEI?

IMEI (International Mobile Equipment Identity) связан не с SIM-картой, а с телефоном. Точнее, с сетевым модулем в телефоне: если аппарат «двухсимочный», у него два IMEI. Вы можете покупать разные «симки» у разных операторов связи, например, когда путешествуете, и вставлять в свой телефон. IMEI не меняется — разве что вы решите купить новый аппарат. IMEI обычно напечатан на коробке с телефоном, его легко отыскать в меню, а также получить с помощью команды *#06#. На SIM-карте IMEI не записан.

PIN и PUK

Эти два цифровых 4-значных кода обеспечивают защиту доступа к SIM-карте.

  • PIN (Personal Identification Number), персональный идентификационный номер. Большинство современных операторов связи по умолчанию не использует PIN для защиты карты, точнее, устанавливает дефолтное значение вроде «0000». Но пользователь может сам придумать и сохранить PIN в настройках телефона. Тогда при перезагрузке устройства появится запрос PIN. Если несколько раз (обычно три) ввести неверный PIN, карта будет заблокирована. Тогда поможет PUK.
  • PUK (Personal Unblocking Key) — код восстановления доступа к телефону, если вы забыли PIN. При вводе PUK первый код (PIN) сбрасывается к значению по умолчанию. Оба этих кода (PIN и PUK) часто наносятся на пластиковую основу, с которой продается SIM-карта. Если вы потеряли эту подсказку и 10 раз неверно ввели PUK, карта окажется заблокирована окончательно, а вашим следующим действием будет поход в офис оператора связи.

Телефонный номер

Если вы покупаете SIM-карту в магазине или салоне связи, номер часто бывает напечатан на упаковке или на «большой» пластиковой части SIM-карты. Однако номер, хранящийся на SIM-карте, не связан с картой «намертво», как ICCID, и не используется для идентификации. Это изменяемая часть, а значит, в память SIM-карты в принципе можно записать другой номер или вовсе ничего. Встречаются SIM-карты, где этот номер не записан: они выдавались взамен других, утерянных или поврежденных «симок», либо при переходе от одного провайдера к другому, и записать номер просто забыли. Таким образом, следует различать телефонный номер, хранящийся на SIM-карте, и актуальный телефонный номер, с которым связана эта карта. Обычно они совпадают, но не всегда.

Актуальный телефонный номер «безымянной» SIM-карты можно узнать разными способами. Например, если карта рабочая (регистрируется в сети), можно посмотреть, какой оператор промаркировал карту своим логотипом, и выполнить USSD-команду, соответствующую этому оператору. Скажем, для МТС это *111*0887#.

Что насчет контактов и SMS?

Когда доллар стоил 30 рублей, а телефоны были кнопочными, люди хранили на «симках» свои самые важные данные: контакты (адресную книгу) и SMS/MMS-сообщения. Альтернативой могла быть только собственная память телефона. Поначалу она была весьма скромная, но постепенно увеличивалась. Например, в сверхпопулярном телефоне Nokia 3210 (1999 г.) контакты абонентов приходилось хранить только на SIM-карте. Его преемник Nokia 3310 (2000 г.) уже мог запомнить до 250 контактов. А в следующем году появился Siemens S45: его память могла похвастать емкостью в 500 контактов (14 полей в каждом) и 50 текстовых сообщений. Данные становилось все удобнее хранить не на маленькой «симке», а в памяти телефона, ну а затем в облаке. Современные SIM-карты имеют смешную по нынешним медийным временам максимальную емкость 256 Кб. Под пользовательские данные отводится порядка 20% этой памяти. Технически в Android-смартфоне можно сохранить на SIM-карте контакты (с iPhone не получится), но вряд ли это сильно востребованная операция в наши дни. 

Прочие данные на SIM-карте

На карте могут храниться и некоторые другие данные, связанные с мобильной сетью. Например, номер центра службы SMS-сообщений. Это не идентифицирующая вас информация и не пользовательские данные.

А вот чего, в частности, не бывает на SIM-карте:

  • пользовательских фотографий, аудио- и видеофайлов;
  • документов Word, файлов PDF;
  • пользовательских приложений;
  • истории браузера и куки-файлов.

Дальше мы разберем некоторые угрозы, которые существуют для SIM-карты и ее владельца (не исчерпывающий список).

Источник: pexels.com

Потеря, кража, изъятие SIM-карты

Вероятно, это самая распространенная ситуация. SIM-карты постоянно теряются вместе с телефонами. Если такое произошло с вами, направляйтесь с документами в салон оператора связи и получите новую SIM-карту на тот же номер. Прежняя карта будет заблокирована. Ключевую роль играет время. Чем дольше ваш телефонный номер находится в чужих руках, тем выше вероятность, что злоумышленник захочет/сумеет им воспользоваться. Не надо откладывать замену карты по соображениям «может быть, ее удастся вернуть».

Если вы часто переставляете SIM-карты в телефоне, советуем приобрести чехол и хранить карту в каком-нибудь надежном месте (не в кошельке вместе с монетами). Крошечные нано-«симки» имеют поразительную способность теряться.

Порча SIM-карты

SIM-карта — не самый надежный носитель данных. Она может со временем прийти в негодность даже без апокалипсиса вроде заливания телефона сладким чаем. Работники салонов связи привыкли к жалобам на глючные «пожилые симки». Замена таких карт для них — рутинная процедура. К сожалению, эффективных мер по продлению срока жизни SIM-карт нет (разве что — обращайтесь с ними аккуратно). Некоторые рекомендуют замену SIM-карты как штатную процедуру, скажем, раз в три года.

Блокировка карты оператором связи

Чаще всего такое происходит автоматически в связи с отрицательным балансом. Но причина может быть и другой. Например, если владелец установил PIN-код и забыл его (а также PUK). Как правило, при отрицательном балансе большой проблемы не возникает. Достаточно пополнить абонентский счет на нужную сумму, и вы снова можете звонить и пользоваться мобильным интернетом. Но в некоторых случаях визита в офис не избежать. Важно не затягивать с решением этой проблемы, иначе оператор может передать номер другому пользователю.

Неправомерный доступ к данным аккаунтов 

Воришка, который ловко вытащил телефон из сумки в толчее торгового центра, скорее всего, не заинтересован в вашей SIM-карте. Это потенциальный «след», который тянется за краденым телефоном. Вор постарается быстро избавиться от «симки». Иное дело — если телефон изъят во время обыска или его владелец стал объектом преступления не случайно. Тогда злоумышленников могут интересовать данные на смартфоне. SIM-карту они используют, чтобы добраться до аккаунтов: мобильного банка, документов Google, чатов Telegram и так далее. Такое вполне может произойти, если у вас в аккаунтах не включена двухфакторная аутентификация (или включена, но через SMS).

Рекомендации:

  • Установите PIN-код на SIM-карту. Храните этот код в надежном месте, чтобы не забыть.
  • По возможности не привязывайте к вашим онлайновым аккаунтам номер мобильного телефона. Даже если владелец какого-нибудь сайта горячо убеждает вас, что это нужно для вашей же безопасности.
  • Включайте в аккаунтах двухфакторную аутентификацию, где она доступна. Лучше не через SMS, а, к примеру, через приложение на мобильном телефоне. Не забудьте создать и сохранить резервные коды на случай поломки, кражи или изъятия телефона.
  • Если SIM-карта (отдельно или вместе с телефоном) оказалась в чужих руках, а номер не получается быстро восстановить (скажем, вы не можете оперативно съездить в салон связи), скорее примите меры для безопасности аккаунтов, привязанных к этому номеру телефона. Если есть такая возможность, перепривяжите к другому номеру, который вы контролируете.

Подмена симки с помощью мошенничества

Отдельно обозначим возможность для мошенника добиться изготовления новой SIM-карты на номер жертвы с использованием социальной инженерии и поддельных документов. Например, злоумышленник является в салон связи, предъявляет собственный документ (настоящий) и доверенность от вас (фальшивую). Он просит изготовить новую SIM-карту взамен утерянной. Сотрудник оператора связи может уступить просьбам и харизме собеседника. Был случай, когда злоумышленник удаленно заказал новую карту и воспользовался услугой курьерской доставки. Разумеется, оператор связи не должен допускать подобного безобразия. Чтобы снизить риск, можно воспользоваться услугой запрета действий по доверенности, которую предоставляют некоторые операторы связи. Отдельные эксперты, впрочем, успокаивают нас сведениями, что эффективность мошеннического завладения симкой в последние годы заметно снизилась.

Неправомерный доступ к пользовательским данным на SIM-карте

Может быть опасно, если вы умудрились сохранить на «симке» контакты или сообщения. Совет один: не храните на SIM-карте никакие пользовательские данные.

Дурное «наследство» прежнего владельца номера

Операторы сотовой связи пускают в повторную продажу номера, которые были долгое время заблокированы за неуплату и неиспользование. Это обычная практика. К сожалению, у нее есть неприятная сторона. Вы покупаете вроде бы свежий номер, а потом вам начинают названивать незнакомые люди или сыплется необъяснимый спам. Иногда решить проблему позволяет «черный список» звонящих. Единственная альтернатива — покупка нового номера.

Бывает и другая ситуация: вы покупаете номер, но его не получается привязать к вашему онлайновому аккаунту. Сервис утверждает, что этот телефонный номер уже задействован (связан с другим аккаунтом в системе). Значит, прежний владелец номера не позаботился о том, чтобы отвязать его от аккаунтов. Что делать? Увы, покупать и использовать другой номер. Не советуем пытаться получить доступ к чужому аккаунту через восстановление якобы забытого пароля. Это можно считать неправомерным доступом к компьютерной информации и бывает наказуемо в разных странах мира.

Не попадайте в ситуацию, когда ваши аккаунты привязаны к телефонному номеру, но вы его уже не контролируете. Старайтесь вообще (по возможности) не привязывать номер к аккаунтам. Не доводите до блокировки вашей SIM-карты и потери номера. Если это все-таки произойдет, вам придется с документами в руках доказывать принадлежность вам конкретной учетной записи. А это может оказаться непростой задачей.

Если вы уехали за границу

Ситуация усложняется, если владелец SIM-карты переезжает за рубеж на долгий срок. Многие сохраняют российские SIM-карты для авторизации на разных сайтах (прежде всего для мобильных банков, платежей и сайтов государственных органов). Человек покупает местную «симку», а российскую вынимает из телефона, кладет в ящик стола и — увы! — забывает. Через некоторое время неиспользования (этот период может достигать 6-8 месяцев, подробности в пользовательском соглашении) карта будет заблокирована оператором. Российский пользователь в такой ситуации просто идет с паспортом в салон оператора связи. Для эмигранта это долго и дорого. Некоторые не могут вернуться из-за угрозы репрессий. Придется действовать через доверенное лицо, что усложняет задачу. Что делать, если сервис требует привязки к телефонному номеру, а вы надолго покинули страну? Перепривязать аккаунт к телефону той страны, куда вы переехали. Возможно, имеет смысл перед отъездом оставить кому-то из близких людей нотариально заверенную доверенность на действия с абонентским счетом и «симками» (помните о рисках мошенничества). Бережно относитесь к имеющимся у вас на руках российским «симкам». Контролируйте состояние счета в личном кабинете российского оператора связи. Если необходимо, выполняйте с помощью российской SIM-карты действия, за которые списываются средства.

SIM-карты
Источник: Flickr

Может ли обычный пользователь без «спецсредств» прочесть содержимое SIM-карты?

Да, если у него есть физический доступ к этой карте и ему известен пароль, которым защищена карта. Как мы уже говорили, часть информации SIM-карты доступна в меню вашего телефона. Больше данных можно получить, если использовать мобильные приложение для чтения информации с SIM-карт (вроде Network — WiFi Info & SIM Tools или «SIM Device Info»). Кроме того, в магазинах доступны недорогие портативные устройства для считывания SIM-карт. Напомним, что, например, узнать идентификационный ключ Ki с помощью какой-либо программы или кард-ридера не удастся.

Можно ли выпустить вторую SIM-карту к уже имеющемуся телефонному номеру?

Раньше ответ был однозначно «нет». Эксперты и продвинутые пользователи подчеркивали, что у каждой SIM-карты свой идентификатор IMSI, и ему может быть сопоставлен единственный телефонный номер. Поэтому ни иметь несколько номеров на одной «симке», ни пользоваться двумя «симками», связанными с одним телефонным номером, не получалось. Но современные операторы связи придумали технические хитрости для обхода этого условия и предлагают услуги по выпуску «дополнительных» SIM-карт (вот как это делают российский МТС, польский Orange, норвежский MyCall). Дополнительная карта может работать параллельно с «основной» или с ограничениями. Например, когда все или некоторые SMS-сообщения пересылаются только на одну из двух карт.

Ситуация, когда злоумышленник из «силовых органов» принуждает оператора сотовой связи изготовить вторую SIM-карту, связанную с имеющимся телефонным номером, не представляется фантастическим сюжетом. А вот популярная история про «клонирование SIM-карт» злоумышленниками (без помощи операторов сотовой связи) с помощью программатора и подбора ключа Ki выглядит нереалистично. В современных SIM-картах достаточно серьезная защита, существует также ограничение числа попыток подбора. (В этой статье неплохо объяснены подробности).

Может ли SIM-карта или телефон испортиться из-за «горячей замены»?

В современных смартфонах отключать устройство перед заменой SIM-карты необязательно. Ни аппарат, ни карта не выйдут из строя при «горячей замене». Максимум, что может понадобиться для работы с новой SIM-картой — перезагрузка смартфона, но и то вряд ли. Не стоит лишь менять SIM-карту, когда она задействована в каком-нибудь активном процессе. Также следует быть осторожным, если в вашем телефоне лоток SIM-карты совмещен с лотком карты microSD. Вынимая «симку», вы также вытаскиваете карту памяти, и вот ее-то некоторые эксперты советуют размонтировать перед извлечением (как на компьютере).

Может ли SIM-карта испортиться из-за намагничивания?

Нет, SIM-карта не содержит элементов, которые могут пострадать во внешнем магнитном поле.

Можно ли заразить SIM-карту вирусом?

В принципе, SIM-карта — крошечный компьютер. У нее есть процессор, память и операционная система. Теоретически существование вируса для SIM-карты возможно, но на практике этого не происходит. У SIM-карты слишком ограниченные ресурсы, поэтому не стоит бояться заражения вирусом.

eSIM

eSIM — встроенный в телефон чип, который позволяет менять оператора или тарифный план без необходимости физической замены карты. Поддержкой eSIM могут похвастаться не все телефоны. Теплица подробно рассказывала о том, как работают eSIM. Одно из основных преимуществ eSIM — удобство использования. Путешественники могут без труда подключиться к местному оператору в другой стране, не приобретая физическую SIM-карту. Процесс активации eSIM происходит через сканирование QR-кода или через специальное приложение оператора. При покупке eSIM не нужно предъявлять документы. (Но онлайновый платеж потребует банковскую карту).

Как и у обычной SIM-карты, у eSIM имеются описанные в этой статье данные ICCID, IMSI, PIN и PUK. В телефоне, который поддерживает один физический разъем для обычной SIM-карты и возможность использования eSIM, вы обнаружите соответственно два IMEI.

В целом eSIM не менее безопасны, чем «традиционные» карты, а то и более. У злоумышленника не получится вытащить eSIM из вашего телефона, чтобы вставить в свой и попробовать «восстановить доступ» к аккаунтам. И, конечно, eSIM невозможно выронить и потерять. Но бывают и другие криминальные сценарии. Например, eSIM могут попытаться «угнать»  с целью получения доступа к банковским сервисам. Технологию eSIM нельзя назвать свободной от цифровых угроз. Кроме того, проблемы встречаются и на организационном уровне. В сети хватает жалоб людей, которые купили eSIM и по прилету в страну назначения остались без связи. Технология не виновата: скорее, нужно аккуратно выбирать поставщика eSIM (попробуйте начать, например, с Airalo).

SIM-карта

SIM-карты и Интернет вещей (IoT)

Сегодня SIM-карты используются не только в мобильных телефонах, но и в самых разных устройствах от умных часов до автомобилей. Такие SIM-карты могут иметь специальную прошивку и предлагают продвинутую защиту для обеспечения безопасности IoT-устройств.

Существует отдельный класс SIM-карт, разработанных специально для IoT — карты  M2M (Machine-to-Machine). Они рассчитаны на долгосрочную работу в сложных условиях, таких как высокая влажность или экстремальные температуры, и обладают расширенными возможностями по управлению подключениями.

Использование SIM-карт в IoT также вызывает и вопросы  в области безопасности. Например, если злоумышленник получит доступ к SIM-карте, установленной в автомобиле, это может привести к серьезным последствиям вплоть до возможности удаленного управления транспортным средством.

Правовые аспекты использования SIM-карт

Правительства подавляющего большинства стран мира обязывают продавцов SIM-карт идентифицировать и регистрировать покупателей. Люди вынуждены предъявлять паспорт или другое удостоверение личности. Бывают и другие ограничения. Например, в Пакистане гражданину разрешается купить до пяти SIM-карт (в целом, а не какого-то одного оператора связи), а туристу не более двух, причем при покупке собираются биометрические данные (отпечатки пальцев). Часто подобные ограничения подразумевают и запрет передачи купленных SIM-карт другим лицам без перерегистрации. Практически везде, где существуют ограничительные меры, правоохранительные органы объясняют их необходимостью борьбы с преступностью. 

С августа 2024 года в России гражданин может зарегистрировать на себя не более 20 карт, а иностранец не более 10. Установлен порядок идентификации для оформления SIM-карт иностранцами: они должны пройти процедуру с использованием данных из Единой биометрической системы. Операторы связи обязаны привести свои базы данных в соответствие с новыми требованиями до 1 июля 2025 года. Граждане смогут отслеживать количество зарегистрированных на них номеров через портал Госуслуг.

С телефонами несколько иначе. Если вы покупаете телефон — с рук или в магазине — у вас обычно не просят документы. Вот почему иногда во время пограничного контроля «силовики» записывают IMEI. Карточку-то вы, может быть, вставите новую (или используете зарубежную, не идентифицируемую в РФ), а сам аппарат наверняка останется тот же. При этом немало стран поддерживают у себя «черные списки» — национальные реестры IMEI украденных и потерянных телефонов. Главная идея —  заблокировать использование таких телефонов в сетях связи. Переписывать IMEI всех телефонов пока желающих немного. Однако упомянутый выше российский «закон 20-10» уже содержит требование вносить при покупке SIM-карты в договор о предоставлении услуг связи «сведений о пользовательском оборудовании (об оконечном оборудовании), в том числе о его идентификаторе», иными словами, IMEI. 

Законы и правоприменительная практика в сфере телекоммуникаций меняются  быстро, и общая тенденция, увы, свидетельствует об их ужесточении. Например, в 2022-2023 годах «пала» Швеция: незарегистрированные должным образом SIM-карты там перестали работать в феврале 2023 года. На очереди Литва: здесь продажа анонимных предоплаченных SIM-карт прекратится с 2025 года. Защитники гражданских прав протестуют, но пока проигрывают. Как бы то ни было, прислушивайтесь к новостям законодательства о телекоммуникациях, особенно если вы часто путешествуете.