„Operátor mě měl chránit, místo toho mi ukradl číslo a ještě 32 000 korun k tomu,“ zuří David

Stačilo jedno kliknutí a potvrzení legitimně vypadajícího bezpečnostního kroku. Pak ticho, žádný signál, žádné SMS, žádná kontrola.

Zdroj fotografie: Pixnio

David dostal SMS vypadající jako od operátora. Upozorňovala na podezřelý pokus o přístup k mobilnímu účtu a vyzývala ho k rychlému ověření přes odkaz. Bez většího přemýšlení klikl. Během několika minut mu přestal fungovat telefon. Nešlo volat ani posílat zprávy. Netušil, že podvodníci právě získali kontrolu nad jeho číslem a převedli ho na jinou SIM kartu. S jeho číslem pak měli přístup ke všem ověřovacím kódům a mohli se dostat do jeho účtů. Ukradli mu skoro 32 000 Kč. Následně strávil hodiny na pobočce operátora, aby získal číslo zpět, a další dny změnou hesel a řešením následků s bankou.

Jak SIM swap funguje krok za krokem

David neudělal nic, co by na první pohled vypadalo hloupě. Dostal zprávu, která se tvářila jako varování od operátora. Odkaz vedl na stránku připomínající samoobsluhu. Zadal přihlašovací údaje, potvrdil ověřovací krok, a tím nevědomky schválil výměnu SIM karty. Během okamžiku jeho telefonní číslo běželo na jiném zařízení, v rukou někoho, kdo s ním měl zcela jiné plány. Technika se jmenuje SIM swapping a v Česku o ní většina lidí slyší poprvé, až když je pozdě.

Výměna SIM karty je naprosto běžná služba. Lidé ji využívají při ztrátě telefonu, přechodu na menší formát karty nebo aktivaci eSIM. Právě proto ji operátoři nabízejí online: O2 přes samoobsluhu Moje O2, T-Mobile přes aplikaci nebo prodejnu, Vodafone s ověřením přes číselné heslo. Problém nastává ve chvíli, kdy tento legitimní proces spustí někdo jiný než majitel čísla.

Útočník nejprve potřebuje přístup. Podle FBI se k němu dostává třemi cestami: phishingem vůči oběti, social engineeringem vůči zaměstnanci operátora, nebo hrozbou zevnitř firmy. V Davidově případě šlo zjevně o první variantu: podvodná SMS ho navedla na falešnou stránku, kde zadal údaje k samoobsluze. S těmi útočníci iniciovali výměnu SIM nebo eSIM. Jakmile operátor novou kartu aktivoval, původní přestala fungovat.

A pak přišlo domino. SMS ověřovací kódy, obnovy hesel, autorizace plateb, to vše směřovalo na zařízení útočníka. Během minut měl přístup k e-mailu, bankovnímu účtu a dalším službám navázaným na Davidovo číslo. Výsledek: téměř 32 000 Kč pryč.

Proč „potvrzení“ neznamená souhlas s podvodem

David říká, že jen potvrdil to, co po něm operátor chtěl. A má v jistém smyslu pravdu: z jeho pohledu šlo o bezpečnostní krok. Stránka vypadala důvěryhodně, výzva dávala smysl. Česká národní banka přitom výslovně upozorňuje, že právě podvody s multifaktorovou autentizací jsou na vzestupu: útočníci naaranžují situaci tak, aby oběť sama potvrdila MFA výzvu, aniž tuší, co ve skutečnosti schvaluje.

Právní důsledky jsou nepříjemné. Zákon o platebním styku ukládá bance napravit neautorizovanou transakci nejpozději do konce následujícího pracovního dne. Jenže pokud banka vyhodnotí, že klient sám potvrdil autentizační krok, může jeho jednání spadnout do kategorie hrubé nedbalosti, a pak nese ztrátu v plném rozsahu. Hranice mezi „byl jsem podveden“ a „potvrdil jsem to sám“ je v praxi tenká a banky ji posuzují případ od případu.

SMS jako bezpečnostní klíč: systémová slabina

Skutečný problém není v Davidově nepozornosti. Je v tom, že telefonní číslo stále funguje jako univerzální klíč k desítkám služeb. Americký Národní institut pro standardy a technologie (NIST) označuje SMS doručování jednorázových kódů za takzvaný „restricted authenticator“, tedy metodu se známými slabinami. Důvody jsou jasné: číslo lze převést na jiné zařízení, protokol SS7 má bezpečnostní mezery a notifikace se dají přesměrovat.

České banky to začínají reflektovat:

• MONETA Money Bank přešla na potvrzování transakcí výhradně přes Smart Banku. V tiskové zprávě uvedla, že za 95 % tehdejších útoků stály právě potvrzovací SMS.
• Komerční banka nabízí KB Klíč: platby se potvrzují PIN kódem nebo biometrií v aplikaci, bez SMS.

Směr je jasný: pryč od SMS, směrem k aplikacím a biometrii. Kdo stále spoléhá výhradně na SMS kódy, vystavuje se riziku, které David poznal na vlastní kůži.

Co dělat, když telefon náhle ztichne

Pokud vám ze dne na den zmizí signál a nejde o výpadek sítě, jednejte okamžitě. FTC doporučuje jako první krok kontaktovat operátora a žádat navrácení kontroly nad číslem. V českém prostředí to znamená ideálně rovnou na prodejnu s občankou: O2 řeší výměnu na počkání, T-Mobile při náhlé nefunkčnosti prověřuje původní kartu.

Paralelně z jiného zařízení:

• Změňte hesla k e-mailu a bankovnictví.
• Zkontrolujte odchozí platby a zablokujte podezřelé.
• Kontaktujte banku a nahlaste incident.
• Podejte trestní oznámení na policii.

Jak se bránit preventivně

Ochrana před SIM swappingem stojí na několika vrstvách:

1. Nastavte si zákaznické heslo u operátora. Vodafone veřejně popisuje číselné heslo pro komunikaci na lince i prodejně. O2 staví ověření na přihlášení do samoobsluhy. Využijte vše, co je k dispozici.
2. Přejděte ze SMS ověřování na aplikaci. KB Klíč, Smart Banka od MONETY, Google Authenticator, fyzický bezpečnostní klíč: cokoliv je lepší než SMS.
3. Neklikejte na odkazy v SMS. Ani když vypadají jako od operátora. O2 uvádí, že denně se v Česku rozešle až 10 000 podvodných SMS. Podezřelé zprávy lze nahlásit na čísla 720 002 002 (O2) nebo 7726 (Vodafone).
4. Ověřujte mimo zprávu. Pokud vás SMS vyzve k akci, otevřete si aplikaci operátora nebo ručně zadejte známou adresu. Nikdy neprocházejte přes odkaz ve zprávě.

V USA už FCC zavedla plošnou regulaci: operátoři musí nabídnout bezpečnější autentizaci, okamžité notifikace při změně SIM a možnost jejího zamknutí. V Česku obdobně jednotný regulatorní rámec veřejně popsán není, ochrana tak zatím leží převážně na bedrech uživatele.

Davidovo číslo se nakonec podařilo získat zpět. Peníze řeší s bankou dodnes. Jeho případ ale ukazuje něco podstatnějšího než jednu nepozornou chvíli: ukazuje, že celý bezpečnostní model postavený na SMS visí na předpokladu, že vaše telefonní číslo patří jen vám. A ten předpoklad může padnout během jediné minuty.