Prevzatie čísla cez duplikát SIM

Posted on by L. Horváthová
Prevzatie čísla cez duplikát SIM

Čo je SIM-swap a prečo je to nebezpečné

SIM-swap (alebo „SIM swapping“, „SIM hijacking“) je technika, pri ktorej útočník prenesie vaše telefónne číslo na SIM kartu, ktorú ovláda on. Následne zachytáva SMS správy a hovory, čo mu často umožní obísť dvojfaktorové overenie (2FA) založené na SMS a resetovať prístupy k bankovým účtom, emailom či sociálnym sieťam. Keďže mnoho finančných a online služieb používa telefónne číslo ako resetový kanál, kompromitácia čísla býva vstupenkou k reťazcu prevzatých účtov.

Ako útok prebieha: typický reťazec krokov

  1. Zber údajov o obeti: Phishing, úniky databáz, OSINT, sociálne siete, SIM jacking cez malware v telefóne (napr. notifikácie).
  2. Oslovenie operátora: Útočník kontaktuje zákaznícku podporu, nahlási stratu telefónu a žiada výmenu SIM/eSIM. Využíva sociálne inžinierstvo, kradnuté doklady, prípadne skorumpovaného insidera.
  3. Port-out/aktivácia: Po úspešnej overovacej „kontrole“ operátor presmeruje číslo na novú SIM/eSIM. Pôvodná SIM stratí signál.
  4. Prevzatie účtov: Útočník spúšťa reset hesiel cez SMS kódy, potvrdzuje transakcie, aktivuje nové zariadenia do bankovej appky, nastaví presmerovania.
  5. Čistenie stôp: Zmeny hesiel, vymazanie recovery kanálov, zapnutie nových faktorov, aby obeť dočasne stratila prístup.

Signály prebiehajúceho alebo hroziaceho útoku

  • Náhla strata mobilného signálu (žiadna služba, iba núdzové volania), hoci ste v pokrytej oblasti a ostatní majú signál.
  • SMS o deaktivácii/aktivácii eSIM/SIM, o ktorých ste nerozhodli, alebo správy „vitajte“ na inom zariadení.
  • Neobvyklé požiadavky na reset hesiel vo vašich účtoch, notifikácie o prihláseniach z neznámych zariadení.
  • Neočakávané presmerovanie hovorov/hlasovej schránky (volajúci hlásia, že sa nedovolajú, alebo sa hovory prepoja na neznáme číslo).
  • Bankové upozornenia na nové zariadenia, autorizačné pokusy, zmeny limitov či kontaktných údajov.

Prečo je SMS-2FA slabé a ako ho nahradiť

SMS sú nezašifrované, ľahko presmerovateľné a viazané na operátorské kontroly totožnosti, ktoré sú terčom sociálneho inžinierstva. Preferujte:

  • Authenticator aplikácie (TOTP, napr. jednorazové 6-miestne kódy), ideálne s device binding.
  • Bezpečnostné kľúče (FIDO2/WebAuthn) – odolné voči phishingu aj SIM-swapu.
  • Passkeys – moderné bezheslové prihlásenie, eliminujúce potrebu SMS.

Preventívne opatrenia pre jednotlivcov

  • Požiadajte operátora o „port-out PIN“ alebo bezpečnostnú zámku pre prenesenie/duplikáciu SIM; ak existuje, aktivujte aj „no-swap“ poznámku k účtu.
  • Nastavte si silné, unikátne heslá a zapnite ne-SMS 2FA (TOTP, FIDO2) pre email, banku, sociálne siete a cloud.
  • Zredukujte verejné osobné údaje (narodeniny, adresa, meno matky, telefón) – čokoľvek, čo môže operátor použiť na identifikáciu.
  • Odlúčte telefónne číslo od obnovy tam, kde to ide. Primárnym recovery nech je bezpečný email alebo kľúč.
  • Kontrolujte presmerovania hovorov a hlasovej schránky. Zrušenie všetkých presmerovaní môžete vyvolať univerzálnym MMI kódom ##002# (podpora sa môže líšiť podľa operátora).
  • Chráňte doklady totožnosti a nenechávajte fotografie občianskeho preukazu v nezabezpečených úložiskách.
  • eSIM bezpečnosť: vypnite automatické pridávanie eSIM profilov, chráňte telefón kódom/biometriou a nepovoľujte zdieľanie QR profilov.

Preventívne opatrenia pre firmy a organizácie

  • Zakážte SMS-2FA pre kritické prístupy (admin konzoly, finančné systémy) a štandardizujte FIDO2 a TOTP.
  • High-risk workflow s viacnásobným potvrdením (napr. zmena mzdy/IBAN, export dát) – vyžadujte out-of-band schválenie a „step-up auth“.
  • Detekcia anomálií identity: zmeny čísla, reset hesla a prihlásenie z nového zariadenia v krátkom čase = vysoké riziko.
  • Politika pre služobné čísla: port-out PINy, zákaz vzdialených výmien bez interného ticketu, whitelist operátorov a krajín.
  • Školenia na sociálne inžinierstvo, spear-phishing a telefonické skripty; verifikácia identít call-back číslom z CRM, nie z hovoru.

Odporúčané nastavenia u operátora (telekom hardening)

  • Port-out PIN / PAC kód povinný pre každé prenesenie čísla; bez neho žiadne vypárovanie SIM/eSIM.
  • Silná identifikácia klienta (nie iba dátum narodenia). Preferujte fyzickú návštevu pred vzdialenými zmenami.
  • „No remote swap“ flag – zákaz diaľkovej výmeny SIM, kým klient osobne nepreukáže totožnosť v predajni.
  • Alarmy na účte: okamžité SMS/email pri žiadosti o výmenu SIM, prenesenie čísla, zmene adresy či aktivácii presmerovania.
  • Audit a zodpovednosť: nahrávanie hovorov, dvojité schválenie pri rizikových zmenách, oddelenie práv v systémoch podpory.

Banky a fintech: minimalizácia dôvery v telefónne číslo

  • Uprednostnite push notifikácie viazané na zariadenie s kryptografickou väzbou pred SMS kódmi.
  • SIM-change signály (nedávna výmena SIM, zmena IMSI) môžu zvýšiť rizikové skóre a spustiť dodatočné overenie.
  • Transakčné limity a „cool-off“ po zmene bezpečnostných údajov; oneskorené povolenie nového zariadenia.
  • Viackanálové potvrdenie významných zmien (email + push, nie SMS).

Špecifiká eSIM, roamingu a cestovania

  • eSIM profily chráňte kódom zariadenia; po návrate skontrolujte históriu profilov a odstráňte nepoužívané.
  • Roaming: počas ciest môžu byť podporné procesy operátorov oslabené – majte záložný faktor (FIDO2 kľúč).
  • Dočasné cestovné čísla: neprepojujte ich s bankou alebo recovery, používajte ich iba pre dáta/komunikáciu.

Incident response: čo spraviť pri podozrení na SIM-swap

  1. Okamžite kontaktujte operátora, nahláste podvod a žiadajte revert swapu/port-outu. Overte presmerovania a deaktivujte neznáme eSIM profily.
  2. Uzamknite účty: zmeňte heslá od emailu (primárny), banky, sociálnych sietí. Odstráňte telefón ako recovery kanál.
  3. Zmeňte 2FA na TOTP/FIDO2 a revokujte neznáme prihlásené zariadenia.
  4. Kontaktujte banku: blokovanie transakcií, reklamácia, dočasné limity, sledovanie podozrivých pohybov.
  5. Skontrolujte presmerovania – zrušte všetky (##002#), resetujte PIN k hlasovej schránke.
  6. Zabezpečte dôkazy: potvrdenia o zmenách, logy prihlásení, čísla ticketov podpory; môžu pomôcť pri vyšetrovaní.

Obnova a následná starostlivosť

  • Monitorujte kreditné a bankové účty, aktivujte upozornenia na transakcie a zmeny profilov.
  • Rotujte heslá a jednorazové recovery kódy; pridajte sekundárne bezpečnostné emaily.
  • Oznámte incident platformám, kde došlo k zneužitiu (email poskytovateľ, sociálne siete, kryptoburzy), aby zablokovali následné prevody.

Najčastejšie mýty a omyly

  • „Mám PIN na SIM, som v bezpečí.“ PIN chráni pred fyzickým zneužitím karty, nie pred prenesením čísla na inú SIM.
  • „SMS-2FA stačí.“ SMS je lepšia než nič, ale je zraniteľná voči SIM-swapu a phishingu. Preferujte FIDO2/TOTP.
  • „eSIM je automaticky bezpečnejšia.“ eSIM eliminuje potrebu plastovej karty, ale procesy vydania/aktivácie sú stále v rukách podpory.

Kontrolný zoznam: vlastná hygiena proti SIM-swapu

  • Port-out PIN u operátora je nastavený a uložený bezpečne.
  • Všetky kritické účty používajú TOTP/FIDO2, nie SMS.
  • Telefónne číslo nie je primárny recovery kanál k emailu.
  • Presmerovania hovorov sú vypnuté; hlasová schránka má silný PIN.
  • Údajov o mojej identite je online minimum; nedostupné pre „kontrolné otázky“.
  • Bankové a emailové upozornenia na zmeny profilu/bezpečnosti sú zapnuté.

SIM-swap je útok na procesy, nie iba na technológiu. Kľúčom je znížiť dôveru, ktorú systémy vkladajú do telefónneho čísla, a posilniť viacfaktorové overenie bez SMS. Spojením dobre nastaveného operátorského účtu, robustných faktorov prihlásenia a bdelej reakcie na signály útoku výrazne znižujete šance, že sa vaše číslo stane vstupnou bránou k celému digitálnemu životu.

Related Posts

Fiche dimpact

Fiche d’impact v kontexte európskej integrácie Ako fiche d’impact sa označuje dodatok ku každému dôležitému návrhu zo strany Komisie a predstavuje odhad účinkov a dôsledkov […]

hrubé požiadavky

Hrubé požiadavky vo výrobe Pojem „hrubé požiadavky“ je významným termínom v oblasti výroby a logistiky, ktorý sa používa na definovanie celkových požiadaviek na materiál potrebný […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *