SIM swap podvody: Prevence, detekce a okamžitá reakce na útočné signály

Natália Šimková

Co je SIM-swap a proč je to nebezpečné

SIM-swap (nebo „SIM swapping“, „SIM hijacking“) je technika, při které útočník přenese vaše telefonní číslo na SIM kartu, kterou ovládá on. Následně zachytává SMS zprávy a hovory, což mu často umožní obejít dvoufaktorové ověření (2FA) založené na SMS a resetovat přístupy k bankovním účtům, e-mailům či sociálním sítím. Protože mnoho finančních a online služeb používá telefonní číslo jako resetovací kanál, kompromitace čísla bývá vstupenkou k řetězci převzatých účtů.

Jak útok probíhá: typický řetězec kroků

  1. Sběr údajů o oběti: Phishing, úniky databází, OSINT, sociální sítě, SIM jacking přes malware v telefonu (např. notifikace).
  2. Kontaktování operátora: Útočník kontaktuje zákaznickou podporu, nahlásí ztrátu telefonu a žádá výměnu SIM/eSIM. Využívá sociální inženýrství, ukradené doklady, případně skorumpovaného insidera.
  3. Port-out/aktivace: Po úspěšné ověřovací „kontrole“ operátor přesměruje číslo na novou SIM/eSIM. Původní SIM ztratí signál.
  4. Převzetí účtů: Útočník spouští reset hesel přes SMS kódy, potvrzuje transakce, aktivuje nová zařízení do bankovní aplikace, nastaví přesměrování.
  5. Čištění stop: Změny hesel, vymazání recovery kanálů, zapnutí nových faktorů, aby oběť dočasně ztratila přístup.

Signály probíhajícího nebo hrozícího útoku

  • Náhlá ztráta mobilního signálu (žádná služba, pouze nouzová volání), i když jste v pokryté oblasti a ostatní mají signál.
  • SMS o deaktivaci/aktivaci eSIM/SIM, o kterých jste nerozhodli, nebo zprávy „vítejte“ na jiném zařízení.
  • Neobvyklé žádosti o reset hesel ve vašich účtech, notifikace o přihlášeních z neznámých zařízení.
  • Nečekané přesměrování hovorů/hlasové schránky (volající hlásí, že se nedovolají, nebo jsou hovory přesměrovány na neznámé číslo).
  • Bankovní upozornění na nová zařízení, autorizační pokusy, změny limitů či kontaktních údajů.

Proč je SMS-2FA slabé a jak ho nahradit

SMS jsou nezašifrované, snadno přesměrovatelné a vázané na operátorské kontroly identity, které jsou cílem sociálního inženýrství. Preferujte:

  • Authentifikační aplikace (TOTP, např. jednorázové 6místné kódy), ideálně s device binding.
  • Bezpečnostní klíče (FIDO2/WebAuthn) – odolné proti phishingu i SIM-swapu.
  • Passkeys – moderní bezheslové přihlášení, které eliminuje potřebu SMS.

Preventivní opatření pro jednotlivce

  • Požádejte operátora o „port-out PIN“ nebo bezpečnostní zámek pro přenos/duplikaci SIM; pokud existuje, aktivujte také „no-swap“ poznámku k účtu.
  • Nastavte si silná, unikátní hesla a zapněte ne-SMS 2FA (TOTP, FIDO2) pro e-mail, banku, sociální sítě a cloud.
  • Omezte zveřejňování osobních údajů (narozeniny, adresa, jméno matky, telefon) – cokoli, co může operátor použít k identifikaci.
  • Oddělte telefonní číslo od obnovy účtů, kde to jde. Primárním recovery kanálem by měl být bezpečný e-mail nebo klíč.
  • Kontrolujte přesměrování hovorů a hlasovou schránku. Zrušení všech přesměrování můžete spustit univerzálním MMI kódem ##002# (podpora se může lišit podle operátora).
  • Chraňte doklady totožnosti a nenechávejte fotografie občanského průkazu v nezabezpečených úložištích.
  • Bezpečnost eSIM: vypněte automatické přidávání eSIM profilů, chraňte telefon kódem/biometrií a nepovolujte sdílení QR profilů.

Preventivní opatření pro firmy a organizace

  • Zakážete SMS-2FA pro kritické přístupy (admin konzole, finanční systémy) a standardizujte FIDO2 a TOTP.
  • High-risk workflow s vícenásobným potvrzením (např. změna mzdy/IBAN, export dat) – vyžadujte out-of-band schválení a „step-up auth“.
  • Detekce anomálií identity: změny čísla, reset hesla a přihlášení z nového zařízení v krátkém čase = vysoké riziko.
  • Politika pro služební čísla: port-out PINy, zákaz vzdálených výměn bez interního ticketu, whitelist operátorů a zemí.
  • Školení na sociální inženýrství, spear-phishing a telefonní scénáře; verifikace identit call-back číslem z CRM, nikoli z hovoru.

Doporučená nastavení u operátora (telekom hardening)

  • Port-out PIN / PAC kód povinný pro každý přenos čísla; bez něj žádné spárování SIM/eSIM.
  • Silná identifikace klienta (nejednat jen o datum narození). Preferujte fyzickou návštěvu před vzdálenými změnami.
  • „No remote swap“ flag – zákaz dálkové výměny SIM, dokud klient osobně neprokáže totožnost na prodejně.
  • Alarmy na účtu: okamžité SMS/e-mail při žádosti o výměnu SIM, přenos čísla, změně adresy či aktivaci přesměrování.
  • Audit a odpovědnost: nahrávání hovorů, dvojité schválení při rizikových změnách, oddělení práv v podpůrných systémech.

Banka a fintech: minimalizace důvěry v telefonní číslo

  • Upřednostněte push notifikace vázané na zařízení s kryptografickou vazbou před SMS kódy.
  • SIM-change signály (nedávná výměna SIM, změna IMSI) mohou zvýšit rizikové skóre a spustit dodatečné ověření.
  • Transakční limity a „cool-off“ po změně bezpečnostních údajů; zpožděné povolení nového zařízení.
  • Vícekanálové potvrzení významných změn (e-mail + push, nikoli SMS).

Specifika eSIM, roamingu a cestování

  • eSIM profily chraňte kódem zařízení; po návratu zkontrolujte historii profilů a odstraňte nepoužívané.
  • Roaming: během cest může být podpora operátorů omezená – mějte záložní faktor (FIDO2 klíč).
  • Dočasná cestovní čísla: nespojujte je s bankou nebo recovery, používejte je pouze pro data/komunikaci.

Incident response: co udělat při podezření na SIM-swap

  1. Okamžitě kontaktujte operátora, nahlaste podvod a požadujte vraťte zpět swap/port-out. Ověřte přesměrování a deaktivujte neznámé eSIM profily.
  2. Zamkněte účty: změňte hesla od e-mailu (primární), banky, sociálních sítí. Odeberte telefon jako recovery kanál.
  3. Změňte 2FA na TOTP/FIDO2 a odvolejte neznámá přihlášená zařízení.
  4. Kontaktujte banku: blokování transakcí, reklamace, dočasné limity, sledování podezřelých pohybů.
  5. Zkontrolujte přesměrování – zrušte všechna (##002#), resetujte PIN k hlasové schránce.
  6. Zabezpečte důkazy: potvrzení o změnách, logy přihlášení, čísla ticketů podpory; mohou pomoci při vyšetřování.

Obnova a následná péče

  • Monitorujte kreditní a bankovní účty, aktivujte upozornění na transakce a změny profilů.
  • Rotujte hesla a jednorázové recovery kódy; přidejte sekundární bezpečnostní e-maily.
  • Oznamte incident platformám, kde došlo ke zneužití (providery e-mailu, sociální sítě, kryptoburzy), aby zablokovaly následné převody.

Nejčastější mýty a omyly

  • „Mám PIN na SIM, jsem v bezpečí.“ PIN chrání před fyzickým zneužitím karty, nikoli před přenesením čísla na jinou SIM.
  • „SMS-2FA stačí.“ SMS je lepší než nic, ale je zranitelná vůči SIM-swapu a phishingu. Preferujte FIDO2/TOTP.
  • „eSIM je automaticky bezpečnější.“ eSIM eliminuje potřebu plastové karty, ale procesy vydání/aktivace jsou stále v rukou podpory.

Kontrolní seznam: vlastní hygiena proti SIM-swapu

  • Port-out PIN u operátora je nastaven a uložen bezpečně.
  • Všechny kritické účty používají TOTP/FIDO2, nikoli SMS.
  • Telefonní číslo není primární recovery kanál k e-mailu.
  • Přesměrování hovorů jsou vypnuta; hlasová schránka má silný PIN.
  • Online je minimální množství údajů o mé identitě; nedostupné pro „kontrolní otázky“.
  • Bankovní a e-mailová upozornění na změny profilu/bezpečnosti jsou zapnutá.

SIM-swap je útok na procesy, nikoli pouze na technologii. Klíčem je snížit důvěru, kterou systémy vkládají do telefonního čísla, a posílit multifaktorové ověření bez SMS. Kombinací dobře nastaveného operátorského účtu, robustních autentizačních faktorů a bdělé reakce na signály útoku výrazně snižujete pravděpodobnost, že se vaše číslo stane vstupní branou k celému digitálnímu životu.

Súvisiace články

Lean management a Six Sigma

Lean management a Six Sigma kombinují eliminaci plýtvání a redukci variability pro zvýšení kvality a efektivity. Lean Six Sigma využívá vizuální metody a statistické nástroje k trvalému zlepšování procesů.