SIM swap: prevence a indikátory útoku

Jankoš

Co je SIM-swap a proč je to nebezpečné

SIM-swap (nebo „SIM swapping“, „SIM hijacking“) je technika, při níž útočník přenese vaše telefonní číslo na SIM kartu, kterou ovládá on. Následně zachytává SMS zprávy a hovory, což mu často umožní obejít dvoufaktorové ověřování (2FA) založené na SMS a resetovat přístupy k bankovním účtům, e-mailům či sociálním sítím. Jelikož mnoho finančních a online služeb používá telefonní číslo jako resetový kanál, kompromitace čísla bývá vstupenkou k řetězci převzatých účtů.

Jak útok probíhá: typický řetězec kroků

  1. Sběr údajů o oběti: Phishing, úniky databází, OSINT, sociální sítě, SIM jacking skrze malware v telefonu (např. notifikace).
  2. Kontaktování operátora: Útočník kontaktuje zákaznickou podporu, nahlásí ztrátu telefonu a žádá výměnu SIM/eSIM. Využívá sociální inženýrství, ukradené doklady či případně skorumpovaného insidera.
  3. Port-out/aktivace: Po úspěšné ověřovací „kontrole“ operátor přesměruje číslo na novou SIM/eSIM. Původní SIM ztratí signál.
  4. Převzetí účtů: Útočník spouští reset hesel přes SMS kódy, potvrzuje transakce, aktivuje nová zařízení do bankovní aplikace, nastaví přesměrování.
  5. Čištění stop: Změny hesel, vymazání recovery kanálů, zapnutí nových faktorů, aby oběť dočasně ztratila přístup.

Signály probíhajícího nebo hrozícího útoku

  • Náhlá ztráta mobilního signálu (žádná služba, pouze nouzové volání), ačkoli jste v pokryté oblasti a ostatní mají signál.
  • SMS o deaktivaci/aktivaci eSIM/SIM, o kterých jste nerozhodli, nebo zprávy „vítejte“ na jiném zařízení.
  • Nepřirozené požadavky na reset hesel ve vašich účtech, notifikace o přihlášeních z neznámých zařízení.
  • Neočekávané přesměrování hovorů/hlasové schránky (volající hlásí, že se nedovolají, nebo se hovory přepojí na neznámé číslo).
  • Bankovní upozornění na nová zařízení, autorizační pokusy, změny limitů či kontaktních údajů.

Proč je SMS-2FA slabé a jak jej nahradit

SMS jsou nezašifrované, snadno přesměrovatelné a vázané na operátorské kontroly totožnosti, které jsou terčem sociálního inženýrství. Preferujte:

  • Authenticator aplikace (TOTP, např. jednorázové 6místné kódy), ideálně s device binding.
  • Bezpečnostní klíče (FIDO2/WebAuthn) – odolné vůči phishingu i SIM-swapu.
  • Passkeys – moderní bezheslové přihlášení, eliminující potřebu SMS.

Preventivní opatření pro jednotlivce

  • Požádejte operátora o „port-out PIN“ nebo bezpečnostní zámek pro přenesení/duplikaci SIM; pokud existuje, aktivujte také „no-swap“ poznámku k účtu.
  • Nastavte si silná, unikátní hesla a zapněte ne-SMS 2FA (TOTP, FIDO2) pro e-mail, banku, sociální sítě a cloud.
  • Snižte množství veřejných osobních údajů (narozeniny, adresa, jméno matky, telefon) – cokoli, co může operátor použít k identifikaci.
  • Odpojte telefonní číslo od obnovy tam, kde je to možné. Primárním recovery kanálem by měl být bezpečný e-mail nebo klíč.
  • Kontrolujte přesměrování hovorů a hlasové schránky. Zrušení všech přesměrování můžete vyvolat univerzálním MMI kódem ##002# (podpora se může lišit podle operátora).
  • Chraňte doklady totožnosti a nenechávejte fotografie občanského průkazu v nezabezpečených úložištích.
  • eSIM bezpečnost: vypněte automatické přidávání eSIM profilů, chraňte telefon kódem/biometrií a nepovolujte sdílení QR profilů.

Preventivní opatření pro firmy a organizace

  • Zakažte SMS-2FA pro kritické přístupy (admin konzole, finanční systémy) a standardizujte FIDO2 a TOTP.
  • High-risk workflow s vícenásobným potvrzením (např. změna mzdy/IBAN, export dat) – vyžadujte out-of-band schválení a „step-up auth“.
  • Detekce anomálií identity: změny čísla, reset hesla a přihlášení z nového zařízení v krátkém časovém úseku = vysoké riziko.
  • Politika pro služební čísla: port-out PINy, zákaz vzdálených výměn bez interního ticketu, whitelist operátorů a zemí.
  • Školení na sociální inženýrství, spear-phishing a telefonické scénáře; verifikace identit call-back číslem z CRM, nikoli z hovoru.

Doporučená nastavení u operátora (telekom hardening)

  • Port-out PIN / PAC kód povinný pro každé přenesení čísla; bez něj žádné spárování SIM/eSIM.
  • Silná identifikace klienta (nikoli pouze datum narození). Preferujte fyzickou návštěvu před vzdálenými změnami.
  • „No remote swap“ flag – zákaz dálkové výměny SIM, dokud klient osobně neprokáže totožnost v prodejně.
  • Alarmy na účtu: okamžité SMS/e-mail při žádosti o výměnu SIM, přenesení čísla, změně adresy či aktivaci přesměrování.
  • Audit a odpovědnost: nahrávání hovorů, dvojité schválení při rizikových změnách, oddělení práv v podpůrných systémech.

Banky a fintech: minimalizace důvěry v telefonní číslo

  • Upřednostněte push notifikace vázané na zařízení s kryptografickou vazbou před SMS kódy.
  • SIM-change signály (nedávná výměna SIM, změna IMSI) mohou zvýšit rizikové skóre a spustit dodatečné ověření.
  • Transakční limity a „cool-off“ po změně bezpečnostních údajů; opožděné povolení nového zařízení.
  • Vícekanálové potvrzení významných změn (e-mail + push, nikoli SMS).

Specifika eSIM, roamingu a cestování

  • eSIM profily chraňte kódem zařízení; po návratu zkontrolujte historii profilů a odstraňte nepoužívané.
  • Roaming: během cest mohou být podpůrné procesy operátorů oslabené – mějte záložní faktor (FIDO2 klíč).
  • Dočasná cestovní čísla: nespojujte je s bankou nebo recovery, používejte je pouze pro data/komunikaci.

Incident response: co dělat při podezření na SIM-swap

  1. Okamžitě kontaktujte operátora, nahlaste podvod a žádejte revert swapu/port-outu. Ověřte přesměrování a deaktivujte neznámé eSIM profily.
  2. Uzamkněte účty: změňte hesla u e-mailu (primární), banky, sociálních sítí. Odstraňte telefon jako recovery kanál.
  3. Změňte 2FA na TOTP/FIDO2 a odvolejte neznámá přihlášená zařízení.
  4. Kontaktujte banku: blokování transakcí, reklamace, dočasné limity, sledování podezřelých pohybů.
  5. Zkontrolujte přesměrování – zrušte všechna (##002#), resetujte PIN k hlasové schránce.
  6. Zabezpečte důkazy: potvrzení o změnách, logy přihlášení, čísla ticketů podpory; mohou pomoci při vyšetřování.

Obnova a následná péče

  • Monitorujte kreditní a bankovní účty, aktivujte upozornění na transakce a změny profilů.
  • Rotujte hesla a jednorázové recovery kódy; přidejte sekundární bezpečnostní e-maily.
  • Oznamte incident platformám, kde došlo ke zneužití (e-mailový poskytovatel, sociální sítě, kryptoburzy), aby zablokovaly následné převody.

Nejčastější mýty a omyly

  • „Mám PIN na SIM, jsem v bezpečí.“ PIN chrání proti fyzickému zneužití karty, nikoli proti přenesení čísla na jinou SIM.
  • „SMS-2FA stačí.“ SMS je lepší než nic, ale je zranitelná vůči SIM-swapu a phishingu. Preferujte FIDO2/TOTP.
  • „eSIM je automaticky bezpečnější.“ eSIM eliminuje potřebu plastové karty, ale proces vydání/aktivace je stále v rukou podpory.

Kontrolní seznam: vlastní hygiena proti SIM-swapu

  • Port-out PIN u operátora je nastaven a bezpečně uložen.
  • Všechny kritické účty používají TOTP/FIDO2, nikoli SMS.
  • Telefonní číslo není primární recovery kanál k e-mailu.
  • Přesměrování hovorů jsou vypnutá; hlasová schránka má silný PIN.
  • Informací o mé identitě je online minimum; nejsou dostupné pro „kontrolní otázky“.
  • Bankovní a e-mailová upozornění na změny profilu/bezpečnosti jsou zapnutá.

SIM-swap je útok na procesy, nikoli pouhou technologii. Klíčem je snížit důvěru, kterou systémy vkládají do telefonního čísla, a posílit multifaktorové ověřování bez SMS. Kombinací dobře nastaveného operátorského účtu, robustních faktorů přihlášení a bdělé reakce na signály útoku výrazně snižujete šanci, že se vaše číslo stane vstupní branou k celému digitálnímu životu.

Súvisiace články

Harmonizovaná SWOT analýza v korporátní struktuře

Harmonizovaná SWOT analýza v korporátní struktuře zavádí jednotnou taxonomii, hodnocení a governance, což umožňuje konsolidovat lokální SWOT výstupy do souhrnného portfolia strategických iniciativ napříč business jednotkami.