Vaše telefonní číslo už koluje po internetu a podvodníkům to úplně stačí. Vyprázdní vám účet, ale chtějí ho i pro jinou neplechu
Telefonní číslo dnes funguje jako univerzální klíč k vaší digitální identitě. A ten klíč už dávno není jenom váš.
Obsah článku
Nikdo vám přes samotné telefonní číslo „nehackne“ telefon, to je zkrátka mýtus. Realita je ale nepříjemně blízko. Stačí, aby útočník vaše číslo znal, a má výchozí bod k celému řetězci: dohledá si k němu další údaje z veřejných databází a úniků dat, zavolá operátorovi s přesvědčivým příběhem o ztracené SIM kartě, nechá si číslo převést na svou SIM a najednou mu chodí vaše ověřovací SMS kódy. Odtud je cesta k bankovnímu účtu, e-mailu i sociálním sítím krátká. Vyprázdnění účtu přitom není jediné, co podvodníky zajímá. Stejné číslo poslouží k převzetí e-mailu, zamčení oběti u vlastních účtů, otevření nových služeb na cizí jméno nebo k přesně cílenému podvodnému telefonátu, při kterém se útočník vydává za banku či jinou instituci; právě před tím varuje i NÚKIB.
Jak přesně se z čísla stane průlom do vašeho života
Útok má název SIM swap, případně port-out podvod. V prvním případě útočník přesvědčí vašeho operátora, aby číslo přepsal na jinou SIM kartu. Ve druhém ho nechá přenést k jinému operátorovi na účet, který sám ovládá. Výsledek je pro oběť prakticky totožný: ztráta kontroly nad hovory a SMS zprávami a s tím možnost resetovat hesla ke všem účtům, které spoléhají na ověření přes telefon.
FBI ve svém upozornění z roku 2022 popisuje, jak útočníci po převzetí čísla resetují přístupy a získávají kontrolu nad bankovními účty. Americká Federální obchodní komise (FTC) doplňuje, že podvodníci číslo využívají i k nákupu telefonů na cizí identitu nebo k založení nových mobilních služeb. Nejde přitom o exotický hackerský trik. V listopadu 2023 americký regulátor FCC dotlačil tamní operátory k přísnějším pravidlům právě proto, že SIM swap podvody narostly do rozměrů, které už nešlo ignorovat.
Kde všude vaše číslo koluje
Sousloví „úplně stačí“ v kontextu telefonního čísla neznamená, že útočník nepotřebuje nic dalšího. Znamená, že číslo je často jediný údaj, který potřebuje k zahájení útoku. Z jednoho telefonního čísla si přes takzvané people-search weby a datové makléřství dokáže složit širší profil: jméno, adresa, datum narození, e-mail. FTC uvádí, že už z jediného údaje (třeba právě telefonního čísla) lze přes tyto služby získat podrobný profil člověka. V žalobě proti společnosti Mobilewalla FTC dokonce popsala nákup telefonních čísel propojených s reklamními identifikátory.
Hlavní cesty, kterými se číslo dostane „ven“:
- Masové úniky dat – osobní a kontaktní údaje se v nich objevují běžně.
- People-search a databrokerské weby – agregují veřejné záznamy a obchodují s nimi.
- Veřejné profily na sociálních sítích a firemních webech.
- Reklamní ekosystém – čísla se propojují s identifikátory pro cílenou reklamu.
- Veřejný účastnický seznam – v ČR historicky například přes službu 1188, pokud byl kontakt zveřejněn.
České číslo není z principu chráněné jen tím, že jde o české číslo. Mechanismy úniku a obchodování s daty fungují stejně jako kdekoliv jinde.
Co dělají čeští operátoři a proč to nemusí stačit
Varování amerických regulátorů se přenáší i do českého prostředí; všude, kde existuje výměna SIM, přenos čísla a zákaznické ověřování identity, existuje prostor pro sociální inženýrství. Čeští operátoři mají vlastní ochranné mechanismy, liší se ale v detailech:
- O2 při výměně SIM vyžaduje stávající SIM kartu a doklad totožnosti, u předplacených karet navíc PIN nebo PUK.
- T-Mobile pracuje s heslem koncového uživatele, na jehož znalost se vážou administrativní změny kolem SIM.
- Vodafone u eSIM staví proces přenosu na původním zařízení nebo samoobsluze Můj Vodafone.
Žádný z těchto procesů ale není neprůstřelný proti dobře připravenému útočníkovi, který si předem složil věrohodný profil oběti. Podle GSMA útočníci zkoušejí call centra, prodejny i online samoobsluhy a někdy se opřou i o insidera na straně operátora.
Co eSIM? Podle GSMA nabízí ekvivalentní úroveň zabezpečení jako klasická vyjímatelná SIM. Proti fyzické krádeži karty může být výhodnější, ale proti sociálnímu inženýrství sama o sobě nestačí; riziko se jen přesouvá do profilu vzdáleného vydání.
Jak se bránit a co dělat, když přijdete o signál
Varovné signály, že se někdo pokouší převzít vaše číslo: náhlá ztráta signálu, nefunkční volání a SMS, upozornění operátora na aktivaci nové SIM nebo přenos čísla, nečekané kódy pro obnovu hesla, zamčení z e-mailu či sociálních sítí.
Pokud se to stane, jednejte okamžitě:
- Z jiného telefonu volejte operátorovi a požádejte o obnovení kontroly nad číslem.
- Změňte hesla k e-mailu, bance a dalším klíčovým účtům.
- Zkontrolujte transakce bankovního účtu a nechte nastavit upozornění na podezřelé operace.
- Pokud unikly peníze, kontaktujte banku a postupujte jako při podvodu.
Důležitější než hasit následky je ale prevence. Zkontrolujte u svého operátora, jaký ověřovací prvek máte u účtu nastavený: heslo, PIN nebo jiný způsob autorizace. Odstraňte telefonní číslo z veřejných profilů, pokud není nutné ho zveřejňovat. A hlavně: přestaňte spoléhat na SMS jako druhý faktor u citlivých účtů. Americký Národní institut pro standardy a technologie (NIST) drží ověřování přes telefonní síť v režimu „restricted“ a doporučuje zohledňovat rizika typu změna SIM nebo přenos čísla. FTC radí totéž; minimum je autentizační aplikace, silnější varianta pro nejcitlivější účty je fyzický bezpečnostní klíč.
Slabým místem celého systému totiž není váš telefon. Je to důvěra, kterou služby i operátoři pořád přisuzují samotnému číslu a kódu SMS, jako by šlo o něco, co má v ruce jen oprávněný majitel. Rok 2025 ukazuje, že to dávno neplatí.