SIM swapping – jak hakerzy przejmują firmowy numer telefonu

Wystarczy jeden telefon do salonu operatora i odrobina socjotechniki, by przestępca przejął numer telefonu pracownika firmy. Dla wielu MŚP oznacza to otwarte drzwi do poczty, bankowości i systemów chronionych kodami SMS.

Czym jest SIM swapping i jak przebiega atak

SIM swapping, zwany też SIM hijackingiem, polega na przejęciu przez przestępcę numeru telefonu ofiary poprzez przeniesienie go na kartę SIM znajdującą się w posiadaniu atakującego. Operator, przekonany że rozmawia z prawowitym właścicielem numeru, aktywuje nową kartę, a dotychczasowa traci zasięg.

Typowy scenariusz wygląda następująco:

  • Atakujący zbiera dane o ofierze z mediów społecznościowych, wycieków danych lub przez vishing (podszywanie się pod pracownika w rozmowie telefonicznej)
  • Kontaktuje się z operatorem telekomunikacyjnym, podając się za klienta i zgłaszając rzekomą utratę karty SIM
  • Po pozytywnej weryfikacji (czasem opartej tylko na dacie urodzenia czy adresie) operator przenosi numer na nową kartę SIM
  • Telefon ofiary traci zasięg, a wszystkie SMS-y i połączenia trafiają już do przestępcy

Od tego momentu atakujący może odbierać kody jednorazowe wysyłane SMS-em, resetować hasła do poczty czy bankowości oraz przechodzić przez weryfikację dwuskładnikową opartą na numerze telefonu.

Dlaczego numer telefonu stał się celem hakerów w firmach

Numer telefonu firmowego czy prywatnego pracownika bywa dziś kluczem do wielu systemów jednocześnie. Wiele organizacji nadal opiera na nim odzyskiwanie dostępu do poczty, logowanie do bankowości firmowej czy weryfikację w usługach chmurowych.

Dla przestępców to atrakcyjny cel z kilku powodów:

  • Jeden przejęty numer często odblokowuje dostęp do wielu kont naraz, bo firmy i pracownicy używają go jako uniwersalnego identyfikatora
  • Weryfikacja tożsamości u operatorów telekomunikacyjnych bywa słabsza niż zabezpieczenia w bankowości czy poczcie firmowej
  • Ataki można łatwo połączyć z OSINT i inżynierią społeczną, bo dane potrzebne do przekonania konsultanta infolinii często krążą już w sieci
  • Ofiara zwykle zauważa problem dopiero, gdy telefon traci zasięg, czyli gdy atak jest już w toku

W kontekście MŚP szczególnie narażone są osoby mające dostęp do kont bankowych firmy, systemów księgowych oraz konta administracyjne w Microsoft 365 czy Google Workspace, jeśli numer telefonu jest tam ustawiony jako metoda odzyskiwania.

Realne skutki przejęcia numeru dla małej i średniej firmy

Skutki udanego ataku SIM swapping wykraczają daleko poza utratę zasięgu w telefonie. W praktyce firma może stanąć w obliczu poważnych strat finansowych i wizerunkowych.

  • Przejęcie konta pocztowego – reset hasła przez SMS pozwala przestępcy przejąć skrzynkę firmową i prowadzić z niej dalsze ataki, na przykład na kontrahentów
  • Kradzież środków finansowych – w bankowości internetowej kod SMS bywa ostatnim zabezpieczeniem przed autoryzacją przelewu
  • Obejście MFA opartego na SMS – w usługach chmurowych przestępca może dokończyć proces logowania i uzyskać dostęp do danych firmowych
  • Utrata kontroli nad kontami społecznościowymi firmy, co bywa wykorzystywane do oszustw wobec klientów

Co ważne, ofiara zwykle traci również możliwość szybkiego reagowania, ponieważ jej telefon przestaje działać w chwili, gdy powinna jak najszybciej zablokować dostęp do kont.

Jak rozpoznać atak, zanim wyrządzi poważne szkody

Szybka reakcja może ograniczyć skutki ataku, dlatego warto znać jego pierwsze symptomy.

  • Nagła utrata zasięgu lub możliwości wykonywania połączeń i wysyłania SMS-ów bez wyraźnej przyczyny
  • Powiadomienia o zmianie hasła lub logowaniu z nieznanego urządzenia, których pracownik nie inicjował
  • SMS od operatora z potwierdzeniem zmiany karty SIM lub przeniesienia numeru, którego nikt nie zamawiał
  • Brak możliwości zalogowania się do konta, mimo poprawnego hasła, bo dane logowania zostały już zmienione

W razie podejrzenia ataku należy niezwłocznie skontaktować się z operatorem telekomunikacyjnym w celu zablokowania numeru, a następnie zmienić hasła do kluczowych systemów z innego, bezpiecznego urządzenia i poinformować dział IT lub dostawcę wsparcia.

Jak zabezpieczyć firmę przed przejęciem numeru telefonu

Najskuteczniejszą ochroną jest ograniczenie zależności firmowych systemów od numeru telefonu jako metody uwierzytelniania.

  • Zastąp weryfikację SMS aplikacją uwierzytelniającą (np. Microsoft Authenticator) lub kluczem sprzętowym zgodnym z FIDO2
  • Tam, gdzie to możliwe, wdroż passkeys jako docelową metodę logowania bez hasła i bez SMS-a
  • Ustaw u operatora telekomunikacyjnego dodatkowy kod PIN lub hasło wymagane przy każdej zmianie karty SIM czy przeniesieniu numeru
  • Ogranicz publiczne udostępnianie danych osobowych pracowników, które mogą posłużyć do socjotechniki wobec operatora
  • Wyłącz numer telefonu jako opcję odzyskiwania konta w usługach krytycznych dla firmy, jeśli dostępna jest silniejsza alternatywa
  • Przeprowadź szkolenie z zakresu bezpieczeństwa, uczulając zespół na nietypową utratę zasięgu jako możliwy sygnał ataku

Warto też okresowo przeglądać, które konta i systemy w firmie nadal opierają dostęp na kodach SMS, i stopniowo migrować je w stronę silniejszych metod uwierzytelniania.

Odporność popularnych metod MFA na SIM swapping
Metoda MFAPodatność na SIM swappingRekomendacja
Kod SMSWysoka – kod trafia bezpośrednio do przejętego numeruZastąp inną metodą tam, gdzie to możliwe
Połączenie głosowe z kodemWysoka – działa na tej samej zasadzie co SMSUnikaj w systemach krytycznych
Aplikacja uwierzytelniająca (TOTP)Niska – kod generowany lokalnie, niezależnie od numeruZalecana jako standard
Powiadomienie pushNiska, ale podatna na MFA fatigueStosuj z numerycznym potwierdzeniem
Klucz sprzętowy / passkey (FIDO2)Bardzo niskaNajlepszy wybór dla kont krytycznych

Zabezpiecz firmowe konta przed przejęciem numeru telefonu

NovaSys pomoże Ci wdrożyć uwierzytelnianie oparte na aplikacjach i kluczach sprzętowych zamiast podatnych na atak kodów SMS oraz skonfigurować politykę bezpieczeństwa dopasowaną do potrzeb Twojej firmy.

Zabezpiecz swoją firmę Bezpłatna konsultacja