Kontakt

SIM swapping — co to jest, jak działa i jak się chronić

Karta SIM i smartfon, ilustracja ataku SIM swapping — kradzież numeru telefonu

SIM swapping (SIM swap) to atak polegający na tym, że przestępca przejmuje Twój numer telefonu — i od tej chwili to on odbiera Twoje SMS-y z kodami potwierdzającymi operacje bankowe, resetami haseł i weryfikacją dwuetapową. Ty tracisz zasięg, a on zyskuje dostęp do Twojego konta bankowego, e-maila i kryptowalut. Wystarczy godzina od przejęcia numeru, żeby stracić oszczędności całego życia — bo limity przelewów można zmienić tym samym SMS-em.

Co to jest SIM swapping

SIM swap (dosł. zamiana karty SIM) polega na nieautoryzowanym przeniesieniu Twojego numeru telefonu na kartę SIM lub eSIM kontrolowaną przez sprawcę. W momencie przejęcia Twoja karta SIM traci ważność — przestajesz odbierać połączenia i SMS-y. Atakujący od tej chwili odbiera w Twoim imieniu:

  • kody SMS do weryfikacji dwuetapowej (2FA),
  • linki resetowania haseł do banku, e-maila, social mediów,
  • kody autoryzacji przelewów,
  • kody aktywacji nowego urządzenia w aplikacjach bankowych.

Jak przebiega atak SIM swap — 4 etapy

1. Zebranie danych o ofierze

Zanim przestępca skontaktuje się z operatorem, potrzebuje danych wymaganych do weryfikacji tożsamości abonenta: imię, nazwisko, PESEL, numer telefonu, adres zameldowania, a niekiedy ostatnie zaksięgowane płatności za abonament. Dane te zdobywa z wycieków baz danych, phishingu, social mediów lub kupuje na dark webie.

2. Kontakt z operatorem i podszycie się pod abonenta

Atakujący dzwoni do biura obsługi klienta operatora (lub zgłasza się do salonu z fałszywym dowodem osobistym) i prosi o duplikat karty SIM z powodu „zgubienia telefonu” albo o przeniesienie numeru na eSIM. Weryfikacja abonenta przez wielu operatorów opiera się wyłącznie na pytaniach o dane osobowe — które przestępca już zna.

3. Przejęcie numeru

Operator aktywuje nową kartę lub eSIM. Twój numer zaczyna działać na urządzeniu sprawcy. Twoja karta SIM przestaje działać — widzisz „brak sieci” lub „karta SIM nieaktywna”. Ten moment jest kluczowy: im szybciej zareagujesz, tym mniejsze straty.

4. Ekspansja — przejęcie banków, e-maila, kryptowalut

Z przejętym numerem przestępca resetuje hasła do e-maila (najczęściej pierwsza ofiara — e-mail to klucz do wszystkich innych usług), loguje się do bankowości internetowej, zmienia limity przelewów, aktywuje nowe urządzenie zaufane w aplikacji bankowej i realizuje przelewy lub wypłaty BLIK. W przypadku giełd kryptowalut — wycofia środki bez możliwości cofnięcia transakcji.

Jak rozpoznać, że padłeś ofiarą SIM swap

  • Nagły brak zasięgu bez żadnego powodu — to najważniejszy sygnał. Telefonujesz do operatora i pytasz, czy była zmiana SIM na Twoim numerze.
  • SMS-y i e-maile o resetach haseł, o które nie prosiłeś — ktoś inicjuje procedurę odzyskiwania Twoich kont.
  • Powiadomienia o nowym urządzeniu logującym się do konta bankowego, Google, Facebook.
  • Brak dostępu do aplikacji bankowej — hasło nagle nie działa.

Co robić jeśli padłeś ofiarą SIM swap

  1. Natychmiast zadzwoń do operatora (z innego telefonu lub przez Wi-Fi) i zablokuj SIM oraz zażądaj informacji o tym, kiedy i gdzie nastąpiła zmiana.
  2. Zadzwoń do banku i zablokuj konto, karty i dostęp do bankowości internetowej.
  3. Zmień hasło do e-maila z innego urządzenia i zaloguj się, sprawdzając listę aktywnych sesji.
  4. Złóż zawiadomienie o przestępstwie na policji.
  5. Zastrzeż numer PESEL przez mObywatel lub w banku.

Jak się chronić przed SIM swappingiem

Ogranicz zależność od SMS jako jedynego 2FA: SMS-owe kody weryfikacyjne są najsłabszym ogniwem — zastąp je kluczem U2F (FIDO2) lub aplikacją uwierzytelniającą (Google Authenticator, Aegis). Klucz U2F jest w 100% odporny na SIM swap — do logowania wymagane jest fizyczne urządzenie.

Ustaw PIN do karty SIM u operatora: Większość operatorów pozwala ustawić dodatkowy PIN lub hasło wymagane do wszelkich zmian na koncie abonenckim (zmiana SIM, przeniesienie numeru). Ten PIN nie jest tym samym co PIN do odblokowania telefonu — to hasło do konta u operatora. Sprawdź w panelu klienta Twojego operatora.

Zastrzeż PESEL: Poprzez mObywatel lub w banku. Zastrzeżony PESEL utrudnia wydanie duplikatu karty SIM z fałszywym dowodem osobistym — weryfikacja przez operatora powinna wychwycić problem.

Nie używaj numeru telefonu jako jedynej metody odzyskiwania konta e-mail: Jeśli Twój e-mail można odzyskać przez SMS, to konto e-mail jest równie podatne jak karta SIM. Dodaj klucz odzyskiwania lub alternatywny adres e-mail.

Niskie limity przelewów i alerty: Ustaw w banku alerty SMS/push o każdym logowaniu i każdym przelewie powyżej 0 zł. Skróć okno reakcji — im szybciej zauważysz anomalię, tym więcej możesz zablokować.

Źródła:

  • homebanking.pl — SIM swap — jak przestępcy przejmują numer telefonu
  • techformator.pl — SIM swapping — dlaczego numer telefonu jest celem ataków
  • nflo.pl — SIM swapping — zagrożenia i ochrona

Najczęściej zadawane pytania o SIM swapping

Skąd przestępca zdobywa moje dane do SIM swap?

Z różnych źródeł: wycieków baz danych (twoje dane mogą być na dark webie po wycieku ze sklepu lub serwisu), phishingu (fałszywe strony logowania zbierające dane osobowe), social mediów (PESEL, adres, data urodzenia widoczna na profilach), a niekiedy od nieuczciwych pracowników biur obsługi klienta operatorów. Sprawdź haveibeenpwned.com czy Twój e-mail figuruje w znanych wyciekach.

Czy bank zwróci pieniądze skradzione przez SIM swap?

To zależy od okoliczności. Banki w Polsce są zobowiązane do zwrotu środków przy nieautoryzowanych transakcjach, jeśli klient nie przyczynił się do ataku przez rażące niedbalstwo. Dochodzenie reklamacyjne jest często długie. Szansa odzyskania pełnej kwoty jest wyższa, gdy szybko zablokujesz konto i złożysz zawiadomienie na policję.

Czy aplikacja uwierzytelniająca (np. Google Authenticator) chroni przed SIM swap?

Tak — aplikacje TOTP (Google Authenticator, Aegis, Authy) generują kody lokalnie na urządzeniu i nie wymagają karty SIM. Przejęcie Twojego numeru nic nie daje atakującemu, jeśli 2FA opiera się na aplikacji zamiast SMS. To prosta i bezpłatna zamiana, którą warto zrobić na wszystkich ważnych kontach.

Czy eSIM jest bezpieczniejsza od karty SIM?

eSIM nie eliminuje ryzyka SIM swap — przestępcy coraz częściej atakują właśnie przez prośby o aktywację eSIM (nie wymagają fizycznej wymiany karty i mogą być realizowane zdalnie). Kluczowe jest ustawienie PIN/hasła do konta u operatora, który blokuje wszelkie zmiany bez dodatkowej autoryzacji.

Jak zablokować możliwość przeniesienia mojego numeru bez zgody?

Skontaktuj się ze swoim operatorem i zapytaj o możliwość: (1) ustawienia PIN do konta abonenckiego wymaganego przy wszelkich zmianach, (2) blokady przeniesienia numeru bez wizyty w salonie z dowodem osobistym. Opcje różnią się zależnie od operatora (Play, Orange, T-Mobile, Plus). Sprawdź panel klienta lub zadzwoń na infolinię.

Picture of Tomasz Zieliński
Tomasz Zieliński

Tomasz zajmuje się tematyką SEO, sztucznej inteligencji i automatyzacji pracy w marketingu internetowym. W swoich artykułach analizuje zmiany w algorytmach wyszukiwarek, rozwój narzędzi AI oraz nowe sposoby tworzenia i optymalizacji treści. Interesuje go przede wszystkim to, jak technologia wpływa na codzienną pracę specjalistów SEO, marketerów i twórców internetowych.

Facebook
Twitter
LinkedIn
Pinterest

Najnowsze Wpisy

Śledź nas
Facebook Twitter Youtube Instagram Pinterest
Gotowi na Przyszłość
Podobne Wpisy