SIM swapping — krádež telefonního čísla
Útočník přesvědčí operátora, ať tvé číslo převede na novou SIM — a převezme tvé SMS kódy.
Co to je
Útočník zavolá nebo přijde do prodejny tvého mobilního operátora, vydává se za tebe (s podvrženými doklady nebo přesvědčivým social engineeringem) a požádá o přenos čísla na novou SIM. Operátor původní SIM deaktivuje. Od té chvíle všechny SMS kódy z banky a 2FA SMS jdou útočníkovi.
Proč to záleží
V ČR je SIM swap zatím vzácnější než v USA, ale narůstá — útok stačí jeden úspěšný a útočník má přístup do bankovnictví. Klíčová obrana: (1) zapni si u operátora ochranu před přenosem čísla (PIN nebo dvojí ověření při změně SIM), (2) tam, kde to služba nabízí, používej app-based 2FA (Authy, Google Authenticator) místo SMS 2FA — nezávisí na SIMce.
Jak útok funguje
Útočník nepotřebuje proniknout do tvé sítě ani počítače — celý útok probíhá u tvého operátora:
- Sběr informací — útočník o tobě nasbírá data z předchozích úniků, sociálních sítí, veřejných rejstříků (jméno, datum narození, adresa, e-mail, jméno mazlíčka, jméno matky za svobodna — typické "security questions"). Některá data zaplatí v dark webu.
- Kontakt s operátorem — zavolá na zákaznickou linku nebo přijde do prodejny. Vydává se za tebe: "Ztratil jsem telefon, ale mám novou SIM, potřebuji přenést číslo." Předloží podvržený OP (mladá poštovní listek vyžadovaná u některých operátorů), nebo přesvědčivě odpoví na ověřovací otázky (data z bodu 1).
- Operátor SIM přepne — pokud social engineering proběhne, operátor deaktivuje tvou stávající SIM a aktivuje novou v útočníkově telefonu. Tvůj telefon ztratí signál (často to je první signál, který si všimneš).
- Eskalace — útočník teď přijímá tvoje SMS. Spustí "Zapomenuté heslo" na tvém Gmailu, banking aplikaci, Apple ID. Verifikační kódy přijdou na nově přepnuté číslo. Změní hesla, vyplní 2FA SMS kód, vstoupí.
- Vyčistí účty — typicky během 1–4 hodin: převod peněz z banky (často přes investiční účty s nižší kontrolou), e-mail kontrolu, kryptoměny, pokud nějaké máš.
Cílem nejsou náhodní lidé, ale konkrétní oběti, u kterých útočník ví, že mají peníze (typicky: aktivní crypto investoři, lidé s public profilem v IT, manažeři firem). Útok je relativně pracný (vyžaduje social engineering), takže útočník investuje jen do "platících" cílů.
Jak se chránit
Zabezpečení u operátora:
- Zavolej / přijď do prodejny a požádej o PIN/heslo na změnu SIM. V ČR to nabízí O2, T-Mobile, Vodafone (každý pod jiným názvem — "Bezpečnostní heslo", "PIN pro změny", "ověřovací kód"). Bez něj operátor SIM nepřevede ani na fyzické návštěvě v prodejně.
- Připomínka: každý rok obnov / projeď nastavení. Útočníci ví, že lidé to nastaví a zapomenou.
- U operátora si zapni e-mail nebo push notifikace o významných změnách na účtu — uvidíš pokus o přenos SIM dřív, než proběhne.
Hierarchie 2FA — nahraď SMS, kde můžeš:
- Passkey (viz passkey) — kde dostupné, je to nejsilnější obrana. Phishing-resistant, nezávisí na SIMce.
- Aplikační kód (TOTP) — Google Authenticator, Authy, 1Password. Funguje offline, nezávisí na tvém čísle. Default substitut za SMS.
- Hardware klíč (YubiKey, Google Titan) — pro klíčové účty (e-mail, banka, password manager).
- SMS — jen tam, kde není jiná možnost. Klíčové: pro e-mail a banking — nikdy.
Co změnit:
- Gmail / Outlook: Nastavení → Zabezpečení → 2FA → odstraň SMS, přidej Authenticator app nebo passkey.
- Apple ID / Google účet: stejně. Tyto jsou kořeny — pokud je útočník dostane, dostane i přístup do passkey storage.
- Banking aplikace: většinou používá vlastní MFA (aplikace + Face/Touch ID + PIN). SMS jako fallback můžeš nechat, ale primární metodou by mělo být application-based.
- Sociální sítě, e-shopy: nahraď SMS aplikačním kódem.
Recovery e-mail bez telefonu:
- Nastav alternativní recovery e-mail, ne telefonní číslo, kdekoli to služba umožňuje. Recovery číslo, které sdílíš s útočníkem po SIM swapu = otevřená dveře.
Co dělat, pokud telefon náhle ztratí signál:
- Hned zavolej operátorovi z jiného telefonu (manžel/manželka, rodič, kolega). Vysvětli "moje SIM právě přestala fungovat, podezírám SIM swap, zablokuj prosím všechny změny na účtu."
- Změň heslo k primárnímu e-mailu z jiného zařízení.
- Zablokuj přístup do banking aplikace — buď telefonicky banky, nebo přímo v aplikaci u rodiny.
- Kontaktuj banku přes oficiální linku (z karty), oznámil podezření na podvod, zablokuj karty a převody.
- Nahlas Policii ČR.
Časté mýty
Mýtus"V Česku se to ještě neděje, je to americký problém."
RealitaV Česku SIM swap incidenty jsou. Jsou méně časté než v USA (kde čistě SMS 2FA dominuje), ale rostou s tím, jak víc lidí drží kryptoměny a investice na mobilních aplikacích. NÚKIB v posledních report podtrhuje, že vektor sílí. Předpokládat "to se mi nestane" je rizikové.
Mýtus"Mám silný PIN na SIMce, takže útočník nic neudělá."
RealitaPIN na SIM kartě chrání **fyzickou kartu před cizincem, který ji vytáhne ze tvého telefonu**. SIM swap je o tom, že **operátor sám aktivuje novou SIM kartu** s tvým číslem — tvoje fyzická SIMka je v tu chvíli mrtvá a PIN je irelevantní. Obrana je **u operátora** (heslo pro změny), ne na samotné kartě.
Mýtus"Stačí mi mít všude 2FA, i kdyby to byla SMS."
RealitaSMS 2FA chrání před credential stuffing (znovupoužitým heslem), ale **NEchránit před SIM swap**. Útočník si po swapu k číslu vyžádá "Zapomněl jsem heslo" → kód SMS přijde jemu → změní heslo → 2FA SMS přijde jemu → je uvnitř. Pro klíčové účty (e-mail, banka) je SMS 2FA na úroveň útoku **téměř neúčinná**.
Quick checklist
Do týdne:
- Zavolej operátorovi a nastav heslo / PIN pro změny SIMky.
- Zapnuté e-mail/push notifikace o změnách na účtu u operátora.
- Gmail / Outlook / Seznam: odstraň SMS jako 2FA, přidej Authenticator app nebo passkey.
- Apple ID / Google účet: stejně — bez SMS, jen aplikační kód nebo passkey.
Do měsíce:
- Projeď všechny účty v password manageru — nahraď SMS 2FA aplikačním kódem všude, kde to služba dovoluje.
- Recovery e-mail místo recovery čísla, kde je to možné.
- Hardware klíč (YubiKey) pro klíčové účty, pokud chceš ultra ochranu.
Krizový plán (mít vytištěné):
- Telefon operátora (ne ten v telefonu, ale na papíru / v peněžence).
- Vlastní bankovní oficiální linka (z karty).
- Kontakt Policie ČR kybernetický odbor: 974 887 555 (NCKOK).
Když přijdeš o signál neočekávaně:
- Zavolat operátorovi z jiného telefonu — během 5 minut.
- Změnit heslo Gmail / Apple ID / Google z jiného zařízení.
- Volat banku, zablokovat karty a převody.
- Nahlásit Policii ČR.
Podobná témata
Souvisí s kategoriemi v testu: Hesla, 2FA, základy identity, Bezpečnost bankovnictví, Dvoufaktorové ověření v messengerech
Jaký byl tenhle článek?
Reakce jsou anonymní — pomáhají nám psát další články líp.
Najdeš chybu nebo máš dotaz? Napiš nám.