Co je SIM swap a proč představuje vážné riziko
SIM swap (výměna SIM) je podvodná technika, při které útočník přesvědčí mobilního operátora, aby přenesl vaše telefonní číslo na SIM kartu, kterou ovládá. Získáním kontroly nad číslem poté zachytává SMS zprávy a hovory, resetuje hesla a přebírá účty chráněné SMS kódy. Vzhledem k tomu, že telefonní číslo se často využívá jako „master klíč“ pro ověření identity, úspěšný SIM swap může vést k vykradení bankovních účtů, kryptopeněženek, e-mailových schránek či sociálních sítí.
Jak SIM swap typicky probíhá (taktiky útočníků)
- Phishing a sociální inženýrství: získání údajů (rodné číslo, adresa, odpovědi na bezpečnostní otázky) prostřednictvím falešných stránek, telefonátů nebo e-mailů.
- Úniky dat a OSINT: sběr informací z veřejných profilů, starých úniků a databází.
- Vydávání se za oběť u operátora: telefonicky nebo na pobočce žádají o náhradní SIM/eSIM nebo o přenos čísla (port-out).
- Paralelní útoky na účty: po aktivaci SIM okamžitě spouští „Zapomenuté heslo“, zachytávají SMS kódy a mění hesla a kontaktní údaje.
Nejohroženější účty a důsledky
- Bankovnictví a platební služby: potvrzení operací přes SMS umožní převody či změny limitů.
- E-mail: po převzetí e-mailu je možné resetovat desítky dalších služeb.
- Kryptoměny a investiční účty: ztráta přístupu k peněženkám a burzám.
- Sociální sítě a komunikační aplikace: škody na reputaci, vydírání, zneužití kontaktů.
Prevence: vícevrstvová strategie (co udělat hned dnes)
- Ukončete používání SMS jako hlavního 2FA faktoru: přepněte na authenticator aplikace nebo passkeys/hardwarové klíče všude, kde je to možné.
- Nastavte silná a unikátní hesla: správce hesel + dlouhé „passphrases“ (minimálně 14–16 znaků).
- Aktivujte bezpečnostní zámky u operátora: požadujte PIN/heslo pro změnu SIM, zákaz vzdáleného přenosu čísla bez osobní návštěvy, port-out lock.
- Minimalizujte sdílení osobních údajů: odstraňte veřejné data narození, adresy, telefon z profilů; omezte resetování hesel přes SMS.
- Nastavte záložní 2FA kódy: bezpečně je uložte offline (papír/trezor). Nikdy je neposílejte přes SMS/e-mail.
- Oddělte kontaktní kanály: pro banku a kritické služby používejte e-mail a telefon, které nezveřejňujete jinde.
- Monitorujte změny na účtech: zapněte upozornění na přihlášení, změny hesel a 2FA.
- Chraňte e-mail jako „kořenový“ účet: 2FA bez SMS, recovery adresy, kontrola filtrů a přeposílání.
Bezpečnostní opatření u mobilního operátora (co konkrétně požadovat)
- Customer-care PIN/heslo: bez něj nesmějí provést výměnu SIM ani změnu profilu.
- Port-out/number transfer lock: blokace přenosu čísla k jinému operátorovi bez nadstandardního ověření.
- Poznámka o preferovaném kanálu: změny pouze na fyzické pobočce s dokladem totožnosti; vypnout telefonní vyřizování.
- Upozornění na změny: SMS/e-mail před aktivací nové SIM/eSIM nebo při změně profilových údajů.
- Dočasná blokace eSIM: pokud eSIM nepoužíváte, požádejte o její deaktivaci.
Doporučené 2FA metody z hlediska odolnosti vůči SIM swapu
| Metoda | Odolnost vůči SIM swapu | Výhody | Rizika / Poznámky |
|---|---|---|---|
| SMS kód | Nízká | Jednoduchost, univerzálnost | Zachycení kódu po převzetí čísla; zranitelné i vůči SS7 a phishingu |
| Hlasový hovor | Nízká | Dostupné i bez dat | Stejná rizika jako SMS; snadno sociálně manipulovatelné |
| Authenticator (TOTP) | Střední až vysoká | Offline, bez operátora | Zálohujte seed/transfer kódy; pozor na malware a cloud zálohy |
| Push notifikace (aplikace) | Vysoká (je-li chráněná biometricky) | Pohodlné, vázané na zařízení | Phishing přes „MFA fatigue“, vyžaduje ostražitost |
| Hardwarový klíč (FIDO2/U2F) | Velmi vysoká | Phishing-rezistentní, vázaný na zařízení | Nutná správa klíčů a záloh |
| Passkeys (FIDO, biometrie) | Velmi vysoká | Pohodlné, bez kódů | Kompatibilita napříč zařízeními, správa záloh |
Ranní varovné signály a indikátory kompromitace
- Náhlý výpadek signálu (bez zjevného důvodu) a zobrazení „pouze nouzová volání“.
- Přicházejí e-maily o změnách 2FA nebo hesla bez vaší iniciativy.
- Bankovní upozornění na nové zařízení nebo změny limitů.
- Operátor potvrzuje aktivaci nové SIM/eSIM nebo žádost o přenos čísla, kterou jste nepodali.
Incident response: co dělat při podezření na SIM swap (časová osa)
- Prvních 0–15 minut:
- Okamžitě kontaktujte mobilního operátora a požádejte o blokaci čísla a zrušení nové SIM/eSIM.
- Aktivujte recovery kanály: přihlaste se do e-mailu a klíčových služeb z důvěryhodného zařízení a zkontrolujte bezpečnostní upozornění.
- Do 60 minut:
- Banky a platební služby: nahlaste podezření, dočasně zablokujte elektronické transakce nebo kartu, nastavte denní/online limity, ověřte poslední pohyby.
- Resetujte hesla k e-mailu a nejkritičtějším účtům; nastavte 2FA bez SMS.
- Do 24 hodin:
- Auditujte přístupy: odhlaste všechny relace, zrušte neznámé tokeny/API klíče, zkontrolujte přesměrování a filtry v e-mailu.
- Uložte důkazy: čas aktivace SIM, ID požadavku u operátora, potvrzení z bank, logy bezpečnostních upozornění.
- Oznámte incident: zvažte podání trestního oznámení a nahlášení na příslušné CSIRT/bezpečnostní týmy ve vaší organizaci.
Obnova a posílení po incidentu
- Kompletní obnova 2FA: odstraňte telefonní číslo jako primární 2FA, nastavte authenticator/hardwarové klíče, vygenerujte nové záložní kódy.
- Rotace hesel: změňte hesla u všech účtů, které mohly být resetovány; zkontrolujte unikátní kombinace.
- Kontrola zotavení účtů: aktualizujte recovery e-mail/telefon, odstraňte neznámé recovery metody.
- Vyhodnocení zařízení: prověřte mobil/PC antivirem a aktualizujte OS; zvažte factory reset při podezření na malware.
Specifika eSIM a fyzické SIM
- eSIM: umožňuje rychlé digitální vydání; vyžaduje přísnější ověření identity a notifikace před aktivací. Požádejte o vypnutí vzdáleného vydání bez osobní verifikace.
- Fyzická SIM: riziko výměny na pobočce; trvejte na kontrole dokladů, případně sekundárním hesle.
Doporučená organizační politika (pro firmy a instituce)
- Zakázat SMS 2FA pro administrátorské a finanční účty; povinně používat FIDO2/passkeys.
- Telekomunikační politika: firemní čísla s port-out lockem, servisní PIN, změny jen přes definované správce.
- Playbook incidentu: kontakty na operátora a banky, šablony komunikace, povinná evidence časové osy.
- Bezpečnostní školení: simulace phishingu, edukace o varovných signálech (náhlý výpadek signálu).
- Inventář kritických účtů: mapování, kde se číslo používá jako faktor nebo recovery kanál; plán postupné eliminace.
Nejčastější mýty a omyly
- „Mám 2FA, jsem v bezpečí.“ Pokud je to SMS 2FA, SIM swap jej obchází. Vyberte metody odolné vůči přenosu čísla.
- „eSIM je automaticky bezpečnější.“ Bez správných kontrol vydávání může být zneužitelná rychleji.
- „Operátor by to bez mého souhlasu neudělal.“ Sociální inženýrství a chyby procesů se dějí.
Kontrolní seznam: rychlá prevence pro jednotlivce
- Vypněte SMS 2FA všude, kde je to možné; přepněte na authenticator/hardwarový klíč.
- U operátora nastavte servisní PIN a port-out lock.
- Proveďte inventuru, kde je číslo použito k resetu hesla; změňte recovery metody.
- Zapněte bezpečnostní upozornění a pravidelně kontrolujte přihlášení.
- Zálohujte 2FA kódy offline; uchovávejte je mimo telefon.
Kontrolní seznam: rychlá reakce při podezření
- Okamžitě volejte operátorovi, žádejte zablokovat přenos/novou SIM.
- Kontaktujte banku a omezte transakce; ověřte poslední pohyby.
- Resetujte hesla k e-mailu a klíčovým účtům; odhlaste relace.
- Zkontrolujte a obnovte 2FA bez SMS; vygenerujte nové záložní kódy.
- Uchovejte důkazy (časy, potvrzení, logy) pro další řešení.
Shrnutí
SIM swap je primárně problém identity vázané na telefonní číslo. Nejúčinnější ochranou je odříznout SMS z vaší bezpečnostní architektury, posílit ověření u operátora a mít připravený rychlý incidentní postup. Kombinací správně zvolených 2FA metod, procesních zámků u operátora a ostražitosti výrazně snížíte pravděpodobnost i dopad tohoto typu útoku.
