Co je SIM swap a proč představuje vážné riziko
SIM swap (výmena SIM) je podvodná technika, při níž útočník přesvědčí mobilního operátora, aby přenesl vaše telefonní číslo na SIM kartu, kterou ovládá. Získáním kontroly nad číslem potom zachytává SMS zprávy a hovory, resetuje hesla a přebírá účty chráněné SMS kódy. Protože se telefonní číslo často využívá jako „master klíč“ pro ověření identity, úspěšný SIM swap může vést k vykradení bankovních účtů, kryptopeňaženek, e-mailu či sociálních sítí.
Jak SIM swap typicky probíhá (taktiky útočníků)
- Phishing a sociální inženýrství: získání údajů (rodné číslo, adresa, odpovědi na bezpečnostní otázky) přes falešné stránky, telefonáty nebo e-maily.
- Úniky dat a OSINT: sběr informací z veřejných profilů, starých úniků a databází.
- Vydávání se za oběť u operátora: telefonicky nebo na pobočce požadují náhradní SIM/eSIM nebo přenos čísla (port-out).
- Paralelní útoky na účty: po aktivaci SIM okamžitě spouštějí „Zapomenuté heslo“, zachycují SMS kódy a mění hesla a kontaktní údaje.
Nejohroženější účty a důsledky
- Bankovnictví a platební služby: potvrzení operací přes SMS umožní převody nebo změnu limitů.
- E-mail: po převzetí e-mailu je možné resetovat desítky dalších služeb.
- Kryptoměny a investiční účty: ztráta přístupu k peněženkám a burzám.
- Sociální sítě a komunikační aplikace: reputační škody, vydírání, zneužití kontaktů.
Prevence: vícevrstvá strategie (co udělat ještě dnes)
- Přestaňte používat SMS jako hlavní 2FA faktor: přepněte na authenticator aplikace nebo passkeys/hardwarové klíče všude tam, kde je to možné.
- Nastavte silná a unikátní hesla: správce hesel + dlouhé „passphrases“ (minimálně 14–16 znaků).
- Aktivujte bezpečnostní zámky u operátora: požadujte PIN/heslo pro změnu SIM, zákaz vzdáleného přenosu čísla bez osobní návštěvy, port-out lock.
- Minimalizujte sdílení osobních údajů: odstraňte veřejné datum narození, adresy, telefon z profilů; omezte resetování hesel přes SMS.
- Nastavte záložní 2FA kódy: bezpečně je uložte offline (papír/trezor). Nikdy je neposílejte přes SMS/e-mail.
- Oddělte kontaktní kanály: pro banku a kritické služby používejte e-mail a telefon, které nezveřejňujete jinde.
- Monitorujte změny na účtech: zapněte upozornění na přihlášení, změny hesel a 2FA.
- Chraňte e-mail jako „kořenový“ účet: 2FA bez SMS, recovery adresy, kontrola filtrů a přeposílání.
Bezpečnostní opatření u mobilního operátora (co konkrétně požadovat)
- Customer-care PIN/heslo: bez něj nesmí provést výměnu SIM ani měnit profil.
- Port-out/number transfer lock: blokace přenosu čísla k jinému operátorovi bez nadstandardního ověření.
- Poznámka o preferovaném kanálu: změny pouze na fyzické pobočce s průkazem totožnosti; vypnout telefonickou obsluhu.
- Upozornění na změny: SMS/e-mail před aktivací nové SIM/eSIM nebo při změně profilových údajů.
- Dočasná blokace eSIM: pokud eSIM nepoužíváte, požádejte o její deaktivaci.
Doporučené 2FA metody z hlediska odolnosti vůči SIM swapu
| Metoda | Odolnost vůči SIM swapu | Výhody | Rizika / Poznámky |
|---|---|---|---|
| SMS kód | Nízká | Jednoduchost, univerzálnost | Zachycení kódu po převzetí čísla; zranitelná také vůči SS7 a phishingu |
| Hlasový hovor | Nízká | Dostupné i bez dat | Stejná rizika jako SMS; snadno manipulovatelná sociálně |
| Authenticator (TOTP) | Střední až vysoká | Offline, bez operátora | Zálohujte seed/transfer kódy; pozor na malware a cloudové zálohy |
| Push notifikace (aplikace) | Vysoká (pokud je chráněná biometricky) | Pohodlné, vázané na zařízení | Phishing přes „MFA fatigue“, vyžaduje ostražitost |
| Hardwarový klíč (FIDO2/U2F) | Velmi vysoká | Phishing-rezistentní, vázaný na zařízení | Nutná správa klíčů a záloh |
| Passkeys (FIDO, biometrie) | Velmi vysoká | Pohodlné, bez kódů | Kompatibilita napříč zařízeními, správa záloh |
Ranní varovné signály a indikátory kompromitace
- Náhlé výpadky signálu (bez zjevného důvodu) a zobrazení „pouze nouzové volání“.
- Přicházejí e-maily o změnách 2FA nebo hesla bez vašeho zásahu.
- Bankovní upozornění na nové zařízení nebo změny limitů.
- Operátor potvrzuje aktivaci nové SIM/eSIM nebo žádost o přenos čísla, kterou jste nepodali.
Incident response: co dělat při podezření na SIM swap (časová osa)
- Prvních 0–15 minut:
- Okamžitě kontaktujte mobilního operátora a požádejte o blokaci čísla a zrušení nové SIM/eSIM.
- Aktivujte recovery kanály: přihlaste se do e-mailu a klíčových služeb z důvěryhodného zařízení a zkontrolujte bezpečnostní upozornění.
- Do 60 minut:
- Banka a platební služby: nahlaste podezření, dočasně blokujte elektronické transakce nebo kartu, nastavte denní/online limity, ověřte poslední pohyby.
- Resetujte hesla k e-mailu a nejkritičtějším účtům; nastavte 2FA bez SMS.
- Do 24 hodin:
- Auditujte přístupy: odhlaste všechny relace, zrušte neznámé tokeny/API klíče, zkontrolujte přesměrování a filtry v e-mailu.
- Uložte důkazy: čas aktivace SIM, ID požadavku u operátora, potvrzení z bank, logy bezpečnostních upozornění.
- Oznamte incident: zvažte podání trestního oznámení a nahlášení na příslušné CSIRT/bezpečnostní týmy ve vaší organizaci.
Obnova a posílení po incidentu
- Kompletní obnova 2FA: odstraňte telefonní číslo jako primární 2FA, nastavte authenticator/hardwarové klíče, vygenerujte nové záložní kódy.
- Rotace hesel: změňte hesla ve všech účtech, které mohly být resetovány; zkontrolujte unikátní kombinace.
- Kontrola obnovy účtů: aktualizujte recovery e-mail/telefon, odstraňte neznámé recovery metody.
- Vyhodnocení zařízení: prověřte mobil/PC antivirem a aktualizujte OS; zvažte factory reset při podezření na malware.
Specifika eSIM a fyzické SIM
- eSIM: umožňuje rychlé digitální vydání; vyžaduje přísnější ověření identity a notifikace před aktivací. Požádejte o vypnutí vzdáleného vydání bez osobní verifikace.
- Fyzická SIM: riziko výměny na pobočce; trvejte na kontrole dokladů, případně sekundárním hesle.
Doporučená organizační politika (pro firmy a instituce)
- Zakázat SMS 2FA pro administrátorské a finanční účty; povinné používání FIDO2/passkeys.
- Telekom politika: firemní čísla s port-out lockem, servisní PIN, změny pouze přes definované správce.
- Playbook incidentu: kontakty na operátora a banky, šablony komunikace, povinná evidence časové osy.
- Bezpečnostní školení: simulace phishingu, edukace o varovných signálech (náhlý výpadek signálu).
- Inventář kritických účtů: mapování, kde se používá číslo jako faktor nebo recovery kanál; plán postupné eliminace.
Nejčastější mýty a omyly
- „Mám 2FA, jsem v bezpečí.“ Pokud je to SMS 2FA, SIM swap ho obchází. Volte metody odolné vůči přenesení čísla.
- „eSIM je automaticky bezpečnější.“ Bez správných kontrol vydávání může být rychleji zneužitelná.
- „Operátor by to bez mého souhlasu neudělal.“ Sociální inženýrství a chyby procesů se stávají.
Kontrolní seznam: rychlá prevence pro jednotlivce
- Vypněte SMS 2FA všude, kde to lze; přepněte na authenticator/hardwarový klíč.
- U operátora nastavte servisní PIN a port-out lock.
- Proveďte inventuru, kde je číslo použito pro reset hesla; změňte recovery metody.
- Zapněte bezpečnostní upozornění a pravidelně kontrolujte přihlášení.
- Zálohujte 2FA kódy offline; uchovávejte je mimo telefon.
Kontrolní seznam: rychlá reakce při podezření
- Okamžitě volejte operátorovi, žádejte zablokovat přenos/novou SIM.
- Kontaktujte banku a omezte transakce; ověřte poslední pohyby.
- Resetujte hesla k e-mailu a klíčovým účtům; odhlašte relace.
- Zkontrolujte a obnovte 2FA bez SMS; vygenerujte nové záložní kódy.
- Uchovejte důkazy (časy, potvrzení, logy) pro další řešení.
Shrnutí
SIM swap je primárně problém identity vázané na telefonní číslo. Nejúčinnější ochranou je odstřihnout SMS z vaší bezpečnostní architektury, zpřísnit ověření u operátora a mít připravený rychlý incidentní postup. Kombinací správně zvolených 2FA metod, procesních zámků u operátora a ostražitosti výrazně snížíte pravděpodobnost i dopad tohoto typu útoku.
