Co je SIM swap a proč představuje vážné riziko
SIM swap (výměna SIM) je podvodná technika, při níž útočník přesvědčí mobilního operátora, aby přenesl vaše telefonní číslo na SIM kartu, kterou kontroluje. Získáním kontroly nad číslem pak zachytává SMS zprávy a hovory, resetuje hesla a přebírá účty chráněné SMS kódy. Jelikož se telefonní číslo často využívá jako „master klíč“ pro ověření identity, úspěšný SIM swap může vést k vykradení bankovních účtů, kryptopeněženek, e-mailu či sociálních sítí.
Jak SIM swap typicky probíhá (taktiky útočníků)
- Phishing a sociální inženýrství: získání údajů (rodné číslo, adresa, odpovědi na bezpečnostní otázky) prostřednictvím falešných stránek, telefonátů nebo e-mailů.
- Úniky dat a OSINT: sběr informací z veřejných profilů, starých úniků dat a databází.
- Vydávání se za oběť u operátora: telefonicky nebo na pobočce požádají o náhradní SIM/eSIM nebo o přenos čísla (port-out).
- Paralelní útoky na účty: po aktivaci SIM okamžitě spouštějí funkci „Zapomenuté heslo“, zachytávají SMS kódy a mění hesla a kontaktní údaje.
Nejvíce ohrožené účty a důsledky
- Bankovnictví a platební služby: potvrzení operací přes SMS umožňuje převody peněz nebo změnu limitů.
- E-mail: po převzetí e-mailu lze resetovat desítky dalších služeb.
- Kryptoměny a investiční účty: ztráta přístupu k peněženkám a burzám.
- Sociální sítě a komunikační aplikace: poškození reputace, vydírání, zneužití kontaktů.
Prevence: vícevrstvá strategie (co udělat hned dnes)
- Přestaňte používat SMS jako hlavní 2FA faktor: přepněte na authenticator aplikace nebo passkeys/hardwarové klíče všude, kde je to možné.
- Nastavte silná a unikátní hesla: používejte správce hesel + dlouhé „passphrases“ (min. 14–16 znaků).
- Aktivujte bezpečnostní zámky u operátora: požadujte PIN/heslo pro změnu SIM, zákaz dálkového přenosu čísla bez osobní návštěvy, port-out lock.
- Minimalizujte sdílení osobních údajů: odstraňte veřejné datum narození, adresy a telefon z profilů; omezte resetování hesel přes SMS.
- Nastavte záložní 2FA kódy: bezpečně je uložte offline (papír/trezor). Nikdy je neposílejte přes SMS/e-mail.
- Oddělte kontaktní kanály: pro banku a kritické služby používejte e-mail a telefon, které nezveřejňujete jinde.
- Monitorujte změny na účtech: zapněte upozornění na přihlášení, změny hesel a 2FA.
- Chraňte e-mail jako „kořenový“ účet: používejte 2FA bez SMS, nastavte recovery adresy, kontrolujte filtry a přeposílání.
Bezpečnostní opatření u mobilního operátora (co konkrétně žádat)
- Customer-care PIN/heslo: bez něj nesmí provést výměnu SIM ani měnit profil.
- Port-out/number transfer lock: blokace přenosu čísla k jinému operátorovi bez nadstandardního ověření.
- Poznámka o preferovaném kanálu: změny pouze na fyzické pobočce s dokladem totožnosti; vypnout telefonické vyřizování.
- Upozornění na změny: SMS/e-mail před aktivací nové SIM/eSIM nebo při změně profilových údajů.
- Dočasná blokace eSIM: pokud eSIM nepoužíváte, požádejte o její deaktivaci.
Doporučené 2FA metody z hlediska odolnosti vůči SIM swapu
| Metoda | Odolnost vůči SIM swapu | Výhody | Rizika / Poznámky |
|---|---|---|---|
| SMS kód | Nízká | Jednoduchost, univerzálnost | Zachycení kódu po převzetí čísla; zranitelná také vůči SS7 a phishingu |
| Hlasový hovor | Nízká | Dostupné i bez dat | Stejná rizika jako SMS; snadno sociálně manipulovatelná |
| Authenticator (TOTP) | Střední až vysoká | Offline, nezávislé na operátorovi | Zálohujte seed/transfer kódy; pozor na malware a cloudové zálohy |
| Push notifikace (aplikace) | Vysoká (pokud je chráněná biometricky) | Pohodlné, vázané na zařízení | Phishing přes „MFA únavu“, vyžaduje ostražitost |
| Hardwarový klíč (FIDO2/U2F) | Velmi vysoká | Odolné proti phishingu, vázané na zařízení | Nutná správa klíčů a záloh |
| Passkeys (FIDO, biometrie) | Velmi vysoká | Pohodlné, bez kódů | Kompatibilita napříč zařízeními, správa záloh |
Ranní varovné signály a indikátory kompromitace
- Náhlé vypadnutí signálu (bez zjevného důvodu) a zobrazení „pouze nouzové volání“.
- Přicházejí e-maily o změnách 2FA nebo hesla bez vaší iniciativy.
- Bankovní upozornění na nové zařízení nebo změny limitů.
- Operátor potvrzuje aktivaci nové SIM/eSIM nebo žádost o přenos čísla, kterou jste nepodali.
Incident response: co dělat při podezření na SIM swap (časová osa)
- Prvních 0–15 minut:
- Okamžitě kontaktujte mobilního operátora a požádejte o blokaci čísla a zrušení nové SIM/eSIM.
- Aktivujte recovery kanály: přihlaste se do e-mailu a klíčových služeb z důvěryhodného zařízení a zkontrolujte bezpečnostní upozornění.
- Do 60 minut:
- Banky a platební služby: nahlaste podezření, dočasně zablokujte elektronické transakce nebo kartu, nastavte denní/online limity, ověřte poslední pohyby.
- Resetujte hesla k e-mailu a nejkritičtějším účtům; nastavte 2FA bez SMS.
- Do 24 hodin:
- Auditujte přístupy: odhlaste všechny relace, zrušte neznámé tokeny/API klíče, zkontrolujte přesměrování a filtry v e-mailu.
- Uložte důkazy: čas aktivace SIM, ID žádosti u operátora, potvrzení z bank, logy bezpečnostních upozornění.
- Oznamte incident: zvažte podání trestního oznámení a nahlášení na příslušné CSIRT/bezpečnostní týmy ve vaší organizaci.
Obnova a posílení po incidentu
- Kompletní obnova 2FA: odstraňte telefonní číslo jako primární 2FA, nastavte authenticator/hardwarové klíče, vygenerujte nové záložní kódy.
- Rotace hesel: změňte hesla ve všech účtech, které mohly být resetovány; zkontrolujte unikátní kombinace.
- Kontrola zotavení účtů: aktualizujte recovery e-mail/telefon, odstraňte neznámé recovery metody.
- Vyhodnocení zařízení: prověřte mobil/PC antivirem a aktualizujte operační systém; zvažte obnovení do továrního nastavení při podezření na malware.
Specifika eSIM a fyzické SIM
- eSIM: umožňuje rychlé digitální vydání; vyžaduje přísnější ověření identity a notifikace před aktivací. Požádejte o vypnutí dálkového vydávání bez osobní verifikace.
- Fyzická SIM: riziko výměny na pobočce; trvejte na kontrole dokladů, případně sekundárním hesle.
Doporučená organizační politika (pro firmy a instituce)
- Zakázat SMS 2FA pro administrátorské a finanční účty; povinně používat FIDO2/passkeys.
- Telekomunikační politika: firemní čísla s port-out lockem, servisní PIN, změny pouze přes definované správce.
- Playbook incidentu: kontakty na operátora a banky, šablony komunikace, povinná evidence časové osy.
- Bezpečnostní školení: simulace phishingu, vzdělávání o varovných signálech (náhlý výpadek signálu).
- Inventář kritických účtů: mapování, kde se číslo používá jako faktor nebo recovery kanál; plán postupné eliminace.
Nejčastější mýty a omyly
- „Mám 2FA, jsem v bezpečí.“ Pokud je to SMS 2FA, SIM swap ji obchází. Volte metody odolné vůči přenesení čísla.
- „eSIM je automaticky bezpečnější.“ Bez správných kontrol vydávání může být rychleji zneužitelná.
- „Operátor by to bez mého souhlasu nespravoval.“ Sociální inženýrství a chyby procesů se dějí.
Kontrolní seznam: rychlá prevence pro jednotlivce
- Vypněte SMS 2FA všude, kde to jde; přepněte na authenticator/hardwarový klíč.
- U operátora nastavte servisní PIN a port-out lock.
- Proveďte inventuru, kde je číslo použito pro reset hesla; změňte recovery metody.
- Zapněte bezpečnostní upozornění a pravidelně kontrolujte přihlášení.
- Zálohujte 2FA kódy offline; uchovávejte je mimo telefon.
Kontrolní seznam: rychlá reakce při podezření
- Okamžitě volejte operátorovi, žádejte zablokovat přenos/novou SIM.
- Kontaktujte banku a omezte transakce; ověřte poslední pohyby.
- Resetujte hesla k e-mailu a klíčovým účtům; odhlaste se ze všech relací.
- Zkontrolujte a obnovte 2FA bez SMS; vytvořte nové záložní kódy.
- Uchovejte důkazy (časy, potvrzení, logy) pro další řešení.
Shrnutí
SIM swap je primárně problém identity vázané na telefonní číslo. Nejúčinnější ochranou je odříznout SMS z vaší bezpečnostní architektury, posílit ověření u operátora a mít připravený rychlý incidentní postup. Kombinací správně zvolených 2FA metod, procesních zámků u operátora a ostražitosti výrazně snížíte pravděpodobnost i dopad tohoto typu útoku.
