xmr.club
EN 中文 ES RU
← весь #OPSEC52
#OPSEC52 · неделя 04 / 52 · Digital identity compartmentalization

Разделение телефонных номеров — один номер никогда не задумывался как ваша личность

Ваш телефонный номер опаснее почты в роли мастер-ключа — это якорь в реальном мире, который операторы, брокеры данных и атакующие через SIM-swap считают вами. Перестаньте давать один и тот же номер банку, бирже и случайному форуму и перестаньте верить, что SMS что-то защищает.

Digital identity compartmentalization beginner $0–$5/mo (free app numbers + data-only eSIM; pay-per-use verification SMS) 2026-06-22

OPSEC52 / Неделя 4 — Разделение телефонных номеров

Ваш телефонный номер опаснее почты в роли мастер-ключа — это якорь в реальном мире, который операторы, брокеры данных и атакующие через SIM-swap считают вами. Перестаньте давать один и тот же номер банку, бирже и случайному форуму и перестаньте верить, что SMS что-то защищает.

Модель угрозы: атакующий через SIM-swap, который перехватывает ваш номер, чтобы опустошить аккаунты с SMS-2FA; перехват SMS уровня SS7; брокеры данных и приложения, связывающие ваши аккаунты через общий, привязанный к оператору номер, который ведёт прямо к вашему настоящему имени и адресу.

На прошлой неделе мы выдали каждому сервису свой почтовый алиас. На этой неделе мы чиним идентификатор, который хуже переиспользуемой почты, — ваш телефонный номер. Почту можно менять; номер оператора приварен к вашей юридической личности, платёжному адресу и физической SIM-карте, которую атакующий может выманить социальной инженерией.

Почему номер — худший мастер-ключ, чем почта

Почтовый алиас — это всего лишь правило пересылки. Номер оператора — это якорь личности в реальном мире: он привязан к KYC-аккаунту, платёжному адресу и SIM-карте в слоте, которую сотрудник за стойкой салона может перевыпустить. Три проблемы накладываются друг на друга:

  1. Он коррелирует. Один и тот же номер, отданный бирже, банку, приложению для знакомств и дырявому форуму, позволяет брокерам связать их все, а номер куда легче обратить в имя, чем почту.
  2. Он централизует. Тот, кто контролирует номер, может запустить «забыли пароль → пришлите код по SMS» на каждом аккаунте, где это разрешено.
  3. Его можно перехватить. В отличие от почты, которую вы контролируете из конца в конец, ваш номер живёт у оператора, чью поддержку можно уговорить, подкупить или зафишить, чтобы перенести его на SIM атакующего. Это и есть SIM-swap — самый частый способ, которым опустошают крипто- и ценные аккаунты.

SMS-2FA — это слабое звено, а не страховка

Коды по SMS создают ощущение защиты; на деле всё наоборот. SMS идёт по протоколам (SS7), которые никогда не проектировались для конфиденциальности, и всё рушится в тот момент, когда кто-то завладел вашим номером. Номер, который вы используете для 2FA, — это единая точка отказа для каждого стоящего за ним аккаунта. Правило: SMS допустим как канал доставки для неважных регистраций, но никогда как замок на том, что вам было бы жаль потерять.

Разделяйте: по номеру на каждый уровень доверия

Та же идея, что с персонами и алиасами, — подбирайте идентификатор под контекст:

  1. Ваш настоящий номер оператора — нулевой уровень. Не давайте его почти никому. Семья, может быть, врач. Никогда — бирже, маркетплейсу или чему-либо, обращённому в интернет. Если он не касается ни одного аккаунта, он не может ни один разблокировать.
  2. Стабильный VoIP / app-номер — повседневные аккаунты. Долгоживущий номер от VoIP- или app-провайдера для аккаунтов, которые вы держите, но которые не являются вашими сокровищами. Он живёт, но это не ваша операторская линия, поэтому swap там не затронет вашу настоящую SIM.
  3. Одноразовые номера для верификации — на выброс. Для бесконечных стен «подтвердите номер, чтобы продолжить» на сервисах, которыми вы воспользуетесь один раз, арендуйте одноразовый номер под каждую регистрацию и выбросьте. Регистрация получает код; вы никогда не раскрываете номер, который ведёт к вам. SMS / номерные провайдеры на xmr.club покрывают здесь варианты без KYC.

Что касается данных, eSIM только для данных держит вас на связи, не помещая на устройство KYC-голосовую линию вовсе, — удобно в поездках или когда вы просто не хотите, чтобы операторская личность следовала за вами между контекстами.

Тест на SIM-swap

Вот награда — так же, как «тест на утечку» на прошлой неделе работал для почты. Представьте атакующего, который сегодня ночью успешно перехватил ваш операторский номер. В мире общего номера он прогоняет сброс паролей по бирже, банку, почте и соцсетям раньше, чем вы заметите пропавшие палочки сети, — игра окончена. В разделённом мире этот номер не разблокирует ничего, потому что ничто важное им не пользуется и ничто важное не доверяет SMS. Swap превращается в неудобство (перевыпустить SIM), а не в катастрофу. В этом весь смысл: ни один отдельный идентификатор не должен мочь сломать вам неделю.

Частые ошибки

Смотрите также

Куратор — Cyber Satoshi

Поделиться в X: twitter.com/intent/tweet