SIM swapping: jak przestępcy przejmują Twój numer
Atak SIM swap pozwala przejąć Twój numer telefonu, a z nim SMS-y, kody i konta. Wyjaśniamy, jak działa, po czym go poznać i jak się zabezpieczyć.
Wyobraź sobie, że w środku dnia Twój telefon nagle traci zasięg. „Brak sieci” — myślisz, że to awaria operatora. Tymczasem kilka ulic dalej ktoś właśnie przełożył Twój numer na własną kartę SIM i loguje się do Twojego banku, poczty i mediów społecznościowych, przechwytując kody, które przychodzą SMS-em. To SIM swapping — jeden z najbardziej dotkliwych ataków na osoby prywatne, bo obraca przeciwko Tobie coś, co uważałeś za zabezpieczenie: Twój numer telefonu.
Jak działa SIM swap
Atak nie polega na włamaniu do sieci komórkowej, lecz na oszukaniu operatora. Przebieg jest zwykle taki:
- Zbieranie danych o ofierze. Napastnik gromadzi informacje z wycieków, mediów społecznościowych i phishingu: imię, nazwisko, numer, PESEL, adres, czasem odpowiedzi na „pytania pomocnicze”.
- Kontakt z operatorem. Dzwoni na infolinię lub idzie do salonu, podszywając się pod Ciebie, i zgłasza „zgubienie karty SIM” albo „przejście na eSIM”. Prosi o przeniesienie numeru na nową kartę.
- Przejęcie numeru. Jeśli obsługa zweryfikuje tożsamość na podstawie danych, które napastnik już zebrał — numer trafia na jego kartę. Twój telefon traci zasięg.
- Przejmowanie kont. Mając Twój numer, atakujący uruchamia „odzyskiwanie hasła” w kolejnych serwisach. Kody resetu i kody MFA przychodzące SMS-em lądują u niego. W kilkanaście minut potrafi przejąć bank, pocztę i profile.
Najgroźniejsze jest to, że SMS przez lata był traktowany jako „drugi składnik” logowania. SIM swap zamienia ten filar w słabość — bo kto kontroluje numer, ten kontroluje SMS-y.
Po czym poznać, że padłeś ofiarą
Sygnały są proste, ale łatwo je zbagatelizować:
- Nagła, niewyjaśniona utrata zasięgu — telefon pokazuje „brak sieci” lub „tylko połączenia alarmowe”, mimo że jesteś w miejscu z dobrym zasięgiem.
- SMS lub e-mail od operatora o aktywacji nowej karty SIM / eSIM, której nie zamawiałeś.
- Powiadomienia o logowaniach i resetach haseł, których nie inicjowałeś.
- Znajomi dostają od Ciebie dziwne wiadomości, a Ty nie możesz zalogować się do własnych kont.
Jeśli telefon nagle traci sieć bez powodu — nie czekaj. Zadzwoń do operatora z innego aparatu i zapytaj, czy Twój numer nie został przeniesiony.
Jak się zabezpieczyć — najważniejsze kroki
Odejdź od SMS jako drugiego składnika. To najważniejsza zmiana. Tam, gdzie się da, zamień kody SMS na aplikację uwierzytelniającą (Google/Microsoft Authenticator) albo — najlepiej — na klucz sprzętowy lub passkey, których SIM swap nie dotyczy. Pisaliśmy o tym w tekście o passkeys.
Ustaw u operatora dodatkowe zabezpieczenie. Poproś o PIN/hasło do obsługi wymagane przy każdej zmianie karty SIM lub przeniesieniu numeru. Wielu operatorów oferuje taką „blokadę przeniesienia numeru” — to prosta bariera, która psuje cały scenariusz ataku.
Ogranicz dane, które o Tobie krążą. Im mniej informacji napastnik zbierze, tym trudniej mu podszyć się pod Ciebie. Nie publikuj numeru telefonu i danych osobowych publicznie, uważaj na phishing i sprawdź, czy Twoje dane nie wyciekły.
Zabezpiecz konto e-mail najmocniej. Poczta to „klucz do wszystkiego” — z niej odzyskuje się pozostałe konta. Chroń ją kluczem/passkey, nie SMS-em.
Co robić, gdy atak już trwa
Liczą się minuty:
- Skontaktuj się natychmiast z operatorem (z innego telefonu) i zażądaj zablokowania oraz odzyskania numeru.
- Zabezpiecz konto e-mail i bank — zmień hasła z zaufanego urządzenia, wyloguj wszystkie sesje, w banku zastrzeż dostęp i poproś o wstrzymanie operacji.
- Zgłoś sprawę na policję i do CERT Polska; przy stratach finansowych — do banku i CSIRT KNF.
- Przejrzyj konta pod kątem zmienionych ustawień: przekierowań poczty, dodanych metod logowania, nowych urządzeń.
Najczęstsze pytania (FAQ)
Czy SIM swap dotyczy tylko osób znanych lub bogatych? Nie. Celem bywają zarówno osoby z kryptowalutami czy dużymi środkami, jak i „zwykli” użytkownicy — bo przejęte konto e-mail czy social media można spieniężyć (oszustwa „na BLIK”, wyłudzenia od znajomych). Każdy, kogo numer chroni dostęp do pieniędzy lub kont, jest potencjalnym celem.
Czy eSIM jest bezpieczniejsza od zwykłej karty? Sama technologia nie zmienia istoty ataku — problemem jest proces weryfikacji u operatora, a nie rodzaj karty. eSIM bywa nawet wygodniejsza dla napastnika (aktywacja zdalna). Kluczowe jest ustawienie blokady przeniesienia numeru, niezależnie od typu SIM.
Mam MFA — czy jestem bezpieczny? Zależy jakie. MFA oparte na SMS-ie jest podatne na SIM swap. MFA z aplikacji jest znacznie lepsze, a klucze sprzętowe / passkeye są odporne na ten atak z definicji. Jeśli Twój bank czy poczta wysyłają kody SMS-em, potraktuj to jako minimum, nie docelowe zabezpieczenie.
Jak sprawdzić, czy operator oferuje blokadę przeniesienia numeru? Zadzwoń na infolinię lub sprawdź ustawienia konta abonenckiego — poszukaj opcji typu „PIN do obsługi”, „hasło do BOK” lub „blokada migracji/przeniesienia numeru”. Warto ustawić ją zawczasu, nie po incydencie.
Prowadzę firmę — czy SIM swap może uderzyć w organizację? Tak. Jeśli konta firmowe (bank, poczta, media społecznościowe) chronione są SMS-em na numer pracownika, przejęcie tego numeru otwiera drogę do firmy. To argument, by w organizacji stosować odporne na phishing MFA i przećwiczyć procedurę reakcji. Chętnie pomożemy — napisz do nas.
Podsumowanie
SIM swapping jest groźny, bo obraca Twój numer telefonu w broń przeciwko Tobie — a numer przez lata pełnił rolę zabezpieczenia. Obrona jest jednak w zasięgu ręki: odejdź od kodów SMS na rzecz aplikacji lub kluczy/passkey, ustaw u operatora blokadę przeniesienia numeru, ogranicz publiczne dane i najmocniej chroń pocztę. A jeśli telefon nagle bez powodu traci zasięg — nie zwlekaj, tylko dzwoń do operatora.
Źródła i dalsza lektura: CERT Polska, Niebezpiecznik, Sekurak.