SIM swap: ako mu predchádzať a čo robiť pri podozrení
Čo je SIM swap a prečo predstavuje vážne riziko
SIM swap (výmena SIM) je podvodná technika, pri ktorej útočník presvedčí mobilného operátora, aby preniesol vaše telefónne číslo na SIM kartu, ktorú ovláda. Získaním kontroly nad číslom potom zachytáva SMS správy a hovory, resetuje heslá a preberá účty chránené SMS kódmi. Keďže telefónne číslo sa často využíva ako „master kľúč“ pre overenie identity, úspešný SIM swap môže viesť k vykradnutiu bankových účtov, kryptopeňaženiek, e-mailu či sociálnych sietí.
Ako SIM swap typicky prebieha (taktiky útočníkov)
- Phishing a sociálne inžinierstvo: získanie údajov (rodné číslo, adresa, odpovede na bezpečnostné otázky) cez falošné stránky, telefonáty alebo e-maily.
- Úniky dát a OSINT: zber informácií z verejných profilov, starých únikov a databáz.
- Vydávanie sa za obeť u operátora: telefonicky alebo na pobočke požiadajú o náhradnú SIM/eSIM alebo o prenos čísla (port-out).
- Paralelné útoky na účty: po aktivácii SIM okamžite spúšťajú „Zabudnuté heslo“, zachytávajú SMS kódy a menia heslá a kontaktné údaje.
Najohrozenejšie účty a dôsledky
- Bankovníctvo a platobné služby: potvrdenia operácií cez SMS umožnia prevody alebo zmenu limitov.
- E-mail: po prevzatí e-mailu je možné resetovať desiatky ďalších služieb.
- Kryptomeny a investičné účty: strata prístupu k peňaženkám a burzám.
- Sociálne siete a komunikačné aplikácie: reputačné škody, vydieranie, zneužitie kontaktov.
Prevencia: viacvrstvová stratégia (čo spraviť hneď dnes)
- Prestaňte používať SMS ako hlavný 2FA faktor: prepnite na authenticator aplikácie alebo passkeys/hardvérové kľúče všade, kde je to možné.
- Nastavte silné a unikátne heslá: správca hesiel + dlhé „passphrases“ (min. 14–16 znakov).
- Aktivujte bezpečnostné zámky u operátora: požadujte PIN/heslo pre zmenu SIM, zákaz vzdialeného prenosu čísla bez osobnej návštevy, port-out lock.
- Minimalizujte zdieľanie osobných údajov: odstráňte verejné dátumy narodenia, adresy, telefón do profilov; obmedzte resetovanie hesiel cez SMS.
- Nastavte záložné 2FA kódy: bezpečne ich uložte offline (papier/trezor). Nikdy ich neposielajte cez SMS/e-mail.
- Oddelte kontaktné kanály: pre banku a kritické služby používajte e-mail a telefón, ktoré nezverejňujete inde.
- Monitorujte zmeny na účtoch: zapnite upozornenia na prihlásenia, zmeny hesiel a 2FA.
- Chráňte e-mail ako „korenný“ účet: 2FA bez SMS, recovery adresy, kontrola filtrov a preposielania.
Bezpečnostné opatrenia u mobilného operátora (čo konkrétne žiadať)
- Customer-care PIN/heslo: bez neho nesmú vykonať výmenu SIM ani meniť profil.
- Port-out/number transfer lock: blokácia prenosu čísla k inému operátorovi bez nadštandardného overenia.
- Poznámka o preferovanom kanáli: zmeny iba na fyzickej pobočke s dokladom totožnosti; vypnúť telefonické vybavovanie.
- Upozornenia na zmeny: SMS/e-mail pred aktiváciou novej SIM/eSIM alebo pri zmene profilových údajov.
- Dočasná blokácia eSIM: ak eSIM nepoužívate, požiadajte o jej deaktiváciu.
Odporúčané 2FA metódy z hľadiska odolnosti voči SIM swapu
| Metóda | Odolnosť voči SIM swapu | Výhody | Riziká / Poznámky |
|---|---|---|---|
| SMS kód | Nízka | Jednoduchosť, univerzálnosť | Zachytenie kódu po prevzatí čísla; zraniteľné aj voči SS7 a phishingu |
| Hlasový hovor | Nízka | Dostupné aj bez dát | Rovnaké riziká ako SMS; ľahko sociálne manipulovateľné |
| Authenticator (TOTP) | Stredná až vysoká | Offline, bez operátora | Zálohujte seed/transfer kódy; pozor na malware a cloud zálohy |
| Push notifikácia (apka) | Vysoká (ak je chránená biometricky) | Pohodlné, viazané na zariadenie | Phishing cez „MFA fatigue“, vyžaduje ostražitosť |
| Hardvérový kľúč (FIDO2/U2F) | Veľmi vysoká | Phishing-rezistentné, viazané na zariadenie | Potrebná správa kľúčov a záloh |
| Passkeys (FIDO, biometria) | Veľmi vysoká | Pohodlné, bez kódov | Kompatibilita naprieč zariadeniami, správa záloh |
Skoré varovné signály a indikátory kompromitácie
- Náhle vypadnutie signálu (bez zjavného dôvodu) a zobrazenie „iba núdzové volania“.
- Prichádzajú e-maily o zmenách 2FA alebo hesla bez vašej iniciatívy.
- Bankové upozornenia na nové zariadenie alebo zmeny limitov.
- Operátor potvrdzuje aktiváciu novej SIM/eSIM alebo žiadosť o prenos čísla, ktorú ste nepodali.
Incident response: čo robiť pri podozrení na SIM swap (časová os)
- Prvých 0–15 minút:
- Okamžite kontaktujte mobilného operátora a požiadajte o blokáciu čísla a zrušenie novej SIM/eSIM.
- Aktivujte recovery kanály: prihláste sa do e-mailu a kľúčových služieb z dôveryhodného zariadenia a skontrolujte bezpečnostné upozornenia.
- Do 60 minút:
- Banky a platobné služby: nahláste podozrenie, dočasne zablokujte elektronické transakcie alebo kartu, nastavte denné/online limity, overte posledné pohyby.
- Resetujte heslá k e-mailu a najkritickejším účtom; nastavte 2FA bez SMS.
- Do 24 hodín:
- Auditujte prístupy: odhláste všetky relácie, zrušte neznáme tokeny/API kľúče, skontrolujte presmerovania a filtre v e-maile.
- Uložte dôkazy: čas aktivácie SIM, ID požiadavky u operátora, potvrdenia z bánk, logy bezpečnostných upozornení.
- Oznámte incident: zvážte podanie trestného oznámenia a nahlásenie na príslušné CSIRT/bezpečnostné tímy vo vašej organizácii.
Obnova a spevnenie po incidente
- Kompletná obnova 2FA: odstráňte telefónne číslo ako primárny 2FA, nastavte authenticator/hardvérové kľúče, vygenerujte nové záložné kódy.
- Rotácia hesiel: zmeňte heslá vo všetkých účtoch, ktoré mohli byť resetované; skontrolujte unikátne kombinácie.
- Kontrola zotavenia účtov: aktualizujte recovery e-mail/telefón, odstráňte neznáme recovery metódy.
- Vyhodnotenie zariadení: preverte mobil/PC antivírusom a aktualizujte OS; zvážte factory reset pri podozrení na malware.
Špecifiká eSIM a fyzickej SIM
- eSIM: umožňuje rýchle digitálne vydanie; vyžaduje prísnejšie overenie identity a notifikácie pred aktiváciou. Požiadajte o vypnutie vzdialeného vydania bez osobnej verifikácie.
- Fyzická SIM: riziko výmeny na pobočke; trvajte na kontrole dokladov, prípadne sekundárnom hesle.
Odporúčaná organizačná politika (pre firmy a inštitúcie)
- Zakázať SMS 2FA pre administrátorské a finančné účty; povinne používať FIDO2/passkeys.
- Telekom politika: firemné čísla s port-out lockom, servisný PIN, zmeny len cez definovaných správcov.
- Playbook incidentu: kontakty na operátora a banky, šablóny komunikácie, povinná evidencia časovej osi.
- Bezpečnostné školenia: simulácie phishingu, edukácia o varovných signáloch (náhly výpadok signálu).
- Inventár kritických účtov: mapovanie, kde sa používa číslo ako faktor alebo recovery kanál; plán postupnej eliminácie.
Najčastejšie mýty a omyly
- „Mám 2FA, som v bezpečí.“ Ak je to SMS 2FA, SIM swap ho obchádza. Voľte metódy odolné voči preneseniu čísla.
- „eSIM je automaticky bezpečnejšia.“ Bez správnych kontrol vydávania môže byť rýchlejšie zneužiteľná.
- „Operátor by to bez môjho súhlasu nespravil.“ Sociálne inžinierstvo a chyby procesov sa dejú.
Kontrolný zoznam: rýchla prevencia pre jednotlivca
- Vypnite SMS 2FA všade, kde sa dá; prepnite na authenticator/hardvérový kľúč.
- U operátora nastavte servisný PIN a port-out lock.
- Urobte inventár, kde je číslo použité na reset hesla; zmeňte recovery metódy.
- Zapnite bezpečnostné upozornenia a pravidelne kontrolujte prihlásenia.
- Zálohujte 2FA kódy offline; uchovávajte ich mimo telefónu.
Kontrolný zoznam: rýchla reakcia pri podozrení
- Okamžite volajte operátorovi, žiadajte zablokovať prenos/novú SIM.
- Kontaktujte banku a obmedzte transakcie; overte posledné pohyby.
- Resetujte heslá k e-mailu a kľúčovým účtom; odhláste relácie.
- Skontrolujte a obnovte 2FA bez SMS; vygenerujte nové záložné kódy.
- Uchovajte dôkazy (časy, potvrdenia, logy) pre ďalšie riešenie.
Zhrnutie
SIM swap je primárne problém identity viazanej na telefónne číslo. Najúčinnejšou ochranou je odstrihnúť SMS z vašej bezpečnostnej architektúry, spevniť overenie u operátora a mať pripravený rýchly incidentný postup. Kombináciou správne zvolených 2FA metód, procesných zámkov u operátora a ostražitosti výrazne znížite pravdepodobnosť aj dopad tohto typu útoku.
