Přeskočit na obsah
OwlGuardScore

SIM swapping — krádež telefonního čísla

Útočník přesvědčí operátora, ať tvé číslo převede na novou SIM — a převezme tvé SMS kódy.

Co to je

Útočník zavolá nebo přijde do prodejny tvého mobilního operátora, vydává se za tebe (s podvrženými doklady nebo přesvědčivým social engineeringem) a požádá o přenos čísla na novou SIM. Operátor původní SIM deaktivuje. Od té chvíle všechny SMS kódy z banky a 2FA SMS jdou útočníkovi.

Proč to záleží

V ČR je SIM swap zatím vzácnější než v USA, ale narůstá — útok stačí jeden úspěšný a útočník má přístup do bankovnictví. Klíčová obrana: (1) zapni si u operátora ochranu před přenosem čísla (PIN nebo dvojí ověření při změně SIM), (2) tam, kde to služba nabízí, používej app-based 2FA (Authy, Google Authenticator) místo SMS 2FA — nezávisí na SIMce.

Jak útok funguje

Útočník nepotřebuje proniknout do tvé sítě ani počítače — celý útok probíhá u tvého operátora:

  1. Sběr informací — útočník o tobě nasbírá data z předchozích úniků, sociálních sítí, veřejných rejstříků (jméno, datum narození, adresa, e-mail, jméno mazlíčka, jméno matky za svobodna — typické "security questions"). Některá data zaplatí v dark webu.
  2. Kontakt s operátorem — zavolá na zákaznickou linku nebo přijde do prodejny. Vydává se za tebe: "Ztratil jsem telefon, ale mám novou SIM, potřebuji přenést číslo." Předloží podvržený OP (mladá poštovní listek vyžadovaná u některých operátorů), nebo přesvědčivě odpoví na ověřovací otázky (data z bodu 1).
  3. Operátor SIM přepne — pokud social engineering proběhne, operátor deaktivuje tvou stávající SIM a aktivuje novou v útočníkově telefonu. Tvůj telefon ztratí signál (často to je první signál, který si všimneš).
  4. Eskalace — útočník teď přijímá tvoje SMS. Spustí "Zapomenuté heslo" na tvém Gmailu, banking aplikaci, Apple ID. Verifikační kódy přijdou na nově přepnuté číslo. Změní hesla, vyplní 2FA SMS kód, vstoupí.
  5. Vyčistí účty — typicky během 1–4 hodin: převod peněz z banky (často přes investiční účty s nižší kontrolou), e-mail kontrolu, kryptoměny, pokud nějaké máš.

Cílem nejsou náhodní lidé, ale konkrétní oběti, u kterých útočník ví, že mají peníze (typicky: aktivní crypto investoři, lidé s public profilem v IT, manažeři firem). Útok je relativně pracný (vyžaduje social engineering), takže útočník investuje jen do "platících" cílů.

Jak se chránit

Zabezpečení u operátora:

  • Zavolej / přijď do prodejny a požádej o PIN/heslo na změnu SIM. V ČR to nabízí O2, T-Mobile, Vodafone (každý pod jiným názvem — "Bezpečnostní heslo", "PIN pro změny", "ověřovací kód"). Bez něj operátor SIM nepřevede ani na fyzické návštěvě v prodejně.
  • Připomínka: každý rok obnov / projeď nastavení. Útočníci ví, že lidé to nastaví a zapomenou.
  • U operátora si zapni e-mail nebo push notifikace o významných změnách na účtu — uvidíš pokus o přenos SIM dřív, než proběhne.

Hierarchie 2FA — nahraď SMS, kde můžeš:

  1. Passkey (viz passkey) — kde dostupné, je to nejsilnější obrana. Phishing-resistant, nezávisí na SIMce.
  2. Aplikační kód (TOTP) — Google Authenticator, Authy, 1Password. Funguje offline, nezávisí na tvém čísle. Default substitut za SMS.
  3. Hardware klíč (YubiKey, Google Titan) — pro klíčové účty (e-mail, banka, password manager).
  4. SMS — jen tam, kde není jiná možnost. Klíčové: pro e-mail a banking — nikdy.

Co změnit:

  • Gmail / Outlook: Nastavení → Zabezpečení → 2FA → odstraň SMS, přidej Authenticator app nebo passkey.
  • Apple ID / Google účet: stejně. Tyto jsou kořeny — pokud je útočník dostane, dostane i přístup do passkey storage.
  • Banking aplikace: většinou používá vlastní MFA (aplikace + Face/Touch ID + PIN). SMS jako fallback můžeš nechat, ale primární metodou by mělo být application-based.
  • Sociální sítě, e-shopy: nahraď SMS aplikačním kódem.

Recovery e-mail bez telefonu:

  • Nastav alternativní recovery e-mail, ne telefonní číslo, kdekoli to služba umožňuje. Recovery číslo, které sdílíš s útočníkem po SIM swapu = otevřená dveře.

Co dělat, pokud telefon náhle ztratí signál:

  1. Hned zavolej operátorovi z jiného telefonu (manžel/manželka, rodič, kolega). Vysvětli "moje SIM právě přestala fungovat, podezírám SIM swap, zablokuj prosím všechny změny na účtu."
  2. Změň heslo k primárnímu e-mailu z jiného zařízení.
  3. Zablokuj přístup do banking aplikace — buď telefonicky banky, nebo přímo v aplikaci u rodiny.
  4. Kontaktuj banku přes oficiální linku (z karty), oznámil podezření na podvod, zablokuj karty a převody.
  5. Nahlas Policii ČR.

Časté mýty

  • Mýtus"V Česku se to ještě neděje, je to americký problém."

    RealitaV Česku SIM swap incidenty jsou. Jsou méně časté než v USA (kde čistě SMS 2FA dominuje), ale rostou s tím, jak víc lidí drží kryptoměny a investice na mobilních aplikacích. NÚKIB v posledních report podtrhuje, že vektor sílí. Předpokládat "to se mi nestane" je rizikové.

  • Mýtus"Mám silný PIN na SIMce, takže útočník nic neudělá."

    RealitaPIN na SIM kartě chrání **fyzickou kartu před cizincem, který ji vytáhne ze tvého telefonu**. SIM swap je o tom, že **operátor sám aktivuje novou SIM kartu** s tvým číslem — tvoje fyzická SIMka je v tu chvíli mrtvá a PIN je irelevantní. Obrana je **u operátora** (heslo pro změny), ne na samotné kartě.

  • Mýtus"Stačí mi mít všude 2FA, i kdyby to byla SMS."

    RealitaSMS 2FA chrání před credential stuffing (znovupoužitým heslem), ale **NEchránit před SIM swap**. Útočník si po swapu k číslu vyžádá "Zapomněl jsem heslo" → kód SMS přijde jemu → změní heslo → 2FA SMS přijde jemu → je uvnitř. Pro klíčové účty (e-mail, banka) je SMS 2FA na úroveň útoku **téměř neúčinná**.

Quick checklist

Do týdne:

  • Zavolej operátorovi a nastav heslo / PIN pro změny SIMky.
  • Zapnuté e-mail/push notifikace o změnách na účtu u operátora.
  • Gmail / Outlook / Seznam: odstraň SMS jako 2FA, přidej Authenticator app nebo passkey.
  • Apple ID / Google účet: stejně — bez SMS, jen aplikační kód nebo passkey.

Do měsíce:

  • Projeď všechny účty v password manageru — nahraď SMS 2FA aplikačním kódem všude, kde to služba dovoluje.
  • Recovery e-mail místo recovery čísla, kde je to možné.
  • Hardware klíč (YubiKey) pro klíčové účty, pokud chceš ultra ochranu.

Krizový plán (mít vytištěné):

  • Telefon operátora (ne ten v telefonu, ale na papíru / v peněžence).
  • Vlastní bankovní oficiální linka (z karty).
  • Kontakt Policie ČR kybernetický odbor: 974 887 555 (NCKOK).

Když přijdeš o signál neočekávaně:

  • Zavolat operátorovi z jiného telefonu — během 5 minut.
  • Změnit heslo Gmail / Apple ID / Google z jiného zařízení.
  • Volat banku, zablokovat karty a převody.
  • Nahlásit Policii ČR.

Podobná témata

Souvisí s kategoriemi v testu: Hesla, 2FA, základy identity, Bezpečnost bankovnictví, Dvoufaktorové ověření v messengerech

Jaký byl tenhle článek?

Reakce jsou anonymní — pomáhají nám psát další články líp.

Najdeš chybu nebo máš dotaz? Napiš nám.