Telefon najednou ztratí signál a vy netušíte, že vám právě vybírají účet. Operátor umí útočníkovi přepsat číslo za 5 minut
Stačí pět minut na prodejně operátora a telefonní číslo patří někomu jinému. Útočník nepotřebuje váš telefon, potřebuje vaši identitu.
Obsah článku
Říká se tomu SIM-swapping a nejde o žádný sofistikovaný průnik do mobilní sítě. Je to zneužití běžného zákaznického procesu, výměny SIM karty. Útočník přijde k operátorovi nebo zavolá na linku, vydává se za vás, projde ověřením a nechá si vaše číslo přepsat na svou SIM nebo eSIM. V tu chvíli váš telefon ztratí signál. Žádná chybová hláška, žádný alarm. Prostě vypadnete ze sítě. A zatímco si říkáte, že je to asi výpadek, útočník už přijímá vaše SMS, včetně jednorázových kódů k bankovnímu účtu.
Pět minut je standardní doba výměny, ne nadsázka
O2 na svém webu uvádí, že výměna SIM na prodejně trvá přibližně pět minut. Vodafone popisuje výměnu na prodejně „na počkání“ s aktivací nové SIM obvykle do hodiny po zadání požadavku. To jsou legitimní procesy navržené tak, aby zákazníkovi se ztracenou nebo poškozenou kartou pomohly co nejrychleji. Jenže přesně tenhle tlak na rychlost a pohodlí je slabina, kterou útočníci zneužívají.
Jak? Sociálním inženýrstvím. FBI ve svém oficiálním varování z roku 2022 popisuje tři hlavní cesty: phishing cílený na zaměstnance operátora, zneužití uniklých osobních údajů oběti a v nejhorším případě spolupráci s insiderem, tedy zaměstnancem, který požadavek schválí vědomě. Útočník nepotřebuje znát vaše heslo k telefonu. Potřebuje vaše jméno, datum narození, adresu, možná poslední čtyři číslice rodného čísla, údaje, které se dají poskládat z veřejných profilů na sociálních sítích nebo z databázových úniků.
Co se děje v minutách po převodu čísla
Jakmile je číslo na nové SIM, rozjede se řetězová reakce. Útočník zadá „zapomenuté heslo“ u vašeho e-mailu. Resetovací SMS přijde jemu. Změní heslo k e-mailu. Přes e-mail resetuje přístup k dalším službám. A pak přijde na řadu banka; pokud používáte SMS ověřování, jednorázový kód k potvrzení platby dorazí rovnou útočníkovi.
Trend Micro upozorňuje, že zachytávání kódů probíhá v reálném čase. Útočník jedná okamžitě, protože ví, že jeho okno se zavírá ve chvíli, kdy si oběť uvědomí, že nejde o běžný výpadek. A tady je zásadní problém: většina lidí při ztrátě signálu čeká. Restartuje telefon. Zkusí to znovu za deset minut. Právě těch deset minut může stačit k vyprázdnění účtu.
Podle nás je nejkritičtější moment právě tenhle, první minuty po náhlé ztrátě služby. Kdo na ně reaguje jako na technický problém místo jako na možnou kompromitaci, dává útočníkovi náskok.
Jak jsou na tom čeští operátoři
Veřejné statistiky o počtu SIM-swappingových útoků v Česku neexistují; ani operátoři, ani policie je souhrnně nepublikují. Co ale existují, jsou ochranné mechanismy, které se liší operátor od operátora:
- T-Mobile vyžaduje ke každé SIM povinné čtyřmístné „heslo pro blokování“, které se používá při administraci služby i při kontaktu s podporou.
- Vodafone pracuje s číselným heslem pro ověření při volání na zákaznickou linku nebo na prodejně. Blokaci SIM lze provést online, v aplikaci, telefonicky i osobně.
- O2 kombinuje ověření občanským průkazem, PIN/PUK kódem, rolemi v systému Moje O2, SMS kódem a při obnově identity i Bank iD nebo online ověřením dokladu. Samostatný univerzální PIN určený výhradně pro výměnu SIM ale na veřejných stránkách O2 popsán není.
Žádný z těchto systémů není neprůstřelný. Problém nikdy nebyla absence ověřování; problém je kompromis mezi rychlou obsluhou legitimního zákazníka a odolností proti někomu, kdo se za legitimního zákazníka vydává.
SMS ověřování je nejslabší článek řetězu
Americký Národní institut pro standardy a technologie (NIST) klasifikuje ověřování přes SMS jako „restricted“, tedy omezené, s výslovným upozorněním na rizika typu SIM-swap a přenositelnost čísla. OWASP jde ještě dál a doporučuje SMS nepoužívat pro aplikace s vysokou hodnotou.
V českém bankovnictví ale přechod „pryč od SMS“ neznamená instalaci Google Authenticatoru. Většina bank nabízí vlastní aplikaci, která SMS nahrazuje bezpečněji a pohodlněji:
- Česká spořitelna – George klíč, který banka sama označuje za bezpečnější náhradu ověřovacích SMS.
- Komerční banka – KB Klíč pro potvrzování plateb a transakcí bez SMS kódů.
- MONETA – potvrzování přímo ve Smart Bance bez opisování kódu, s SMS jen jako záložní variantou.
Praktický postup je u všech podobný: aktivovat bankovní aplikaci, spárovat ji s účtem přes internetové bankovnictví nebo na pobočce, nastavit PIN nebo biometrii a přepnout potvrzování z SMS na aplikaci. Trvá to minuty a eliminuje to nejzranitelnější místo celého řetězce.
Co dělat, když telefon náhle ztratí signál
Pokud vám uprostřed dne bezdůvodně vypadne signál a restart nepomůže, neřešte to jako technický problém. Jednejte v tomto pořadí:
- Kontaktujte operátora z jiného telefonu, ověřte, zda nedošlo k výměně SIM na vašem čísle. Požadujte okamžitou blokaci.
- Změňte hesla k e-mailu a internetovému bankovnictví z jiného zařízení, ideálně z počítače na domácí Wi-Fi.
- Zavolejte bance, nahlaste podezření a nechte omezit rizikové operace.
- Zkontrolujte e-mail, hledejte zprávy o resetování hesel nebo přihlášení, které jste neiniciovali.
A hlavně: nečekejte. Každá minuta, kdy si říkáte „to bude výpadek sítě“, je minuta, kterou má útočník k dispozici.
Kdo má dnes u důležitých účtů telefonní číslo jako hlavní nebo záložní způsob obnovy přístupu, má slabinu, která neleží v bance ani v e-mailu. Leží u operátora, a stačí pět minut, aby ji někdo využil.