SIM swapping – jak hakerzy przejmują firmowy numer telefonu
Wystarczy jeden telefon do salonu operatora i odrobina socjotechniki, by przestępca przejął numer telefonu pracownika firmy. Dla wielu MŚP oznacza to otwarte drzwi do poczty, bankowości i systemów chronionych kodami SMS.
Czym jest SIM swapping i jak przebiega atak
SIM swapping, zwany też SIM hijackingiem, polega na przejęciu przez przestępcę numeru telefonu ofiary poprzez przeniesienie go na kartę SIM znajdującą się w posiadaniu atakującego. Operator, przekonany że rozmawia z prawowitym właścicielem numeru, aktywuje nową kartę, a dotychczasowa traci zasięg.
Typowy scenariusz wygląda następująco:
- Atakujący zbiera dane o ofierze z mediów społecznościowych, wycieków danych lub przez vishing (podszywanie się pod pracownika w rozmowie telefonicznej)
- Kontaktuje się z operatorem telekomunikacyjnym, podając się za klienta i zgłaszając rzekomą utratę karty SIM
- Po pozytywnej weryfikacji (czasem opartej tylko na dacie urodzenia czy adresie) operator przenosi numer na nową kartę SIM
- Telefon ofiary traci zasięg, a wszystkie SMS-y i połączenia trafiają już do przestępcy
Od tego momentu atakujący może odbierać kody jednorazowe wysyłane SMS-em, resetować hasła do poczty czy bankowości oraz przechodzić przez weryfikację dwuskładnikową opartą na numerze telefonu.
Dlaczego numer telefonu stał się celem hakerów w firmach
Numer telefonu firmowego czy prywatnego pracownika bywa dziś kluczem do wielu systemów jednocześnie. Wiele organizacji nadal opiera na nim odzyskiwanie dostępu do poczty, logowanie do bankowości firmowej czy weryfikację w usługach chmurowych.
Dla przestępców to atrakcyjny cel z kilku powodów:
- Jeden przejęty numer często odblokowuje dostęp do wielu kont naraz, bo firmy i pracownicy używają go jako uniwersalnego identyfikatora
- Weryfikacja tożsamości u operatorów telekomunikacyjnych bywa słabsza niż zabezpieczenia w bankowości czy poczcie firmowej
- Ataki można łatwo połączyć z OSINT i inżynierią społeczną, bo dane potrzebne do przekonania konsultanta infolinii często krążą już w sieci
- Ofiara zwykle zauważa problem dopiero, gdy telefon traci zasięg, czyli gdy atak jest już w toku
W kontekście MŚP szczególnie narażone są osoby mające dostęp do kont bankowych firmy, systemów księgowych oraz konta administracyjne w Microsoft 365 czy Google Workspace, jeśli numer telefonu jest tam ustawiony jako metoda odzyskiwania.
Realne skutki przejęcia numeru dla małej i średniej firmy
Skutki udanego ataku SIM swapping wykraczają daleko poza utratę zasięgu w telefonie. W praktyce firma może stanąć w obliczu poważnych strat finansowych i wizerunkowych.
- Przejęcie konta pocztowego – reset hasła przez SMS pozwala przestępcy przejąć skrzynkę firmową i prowadzić z niej dalsze ataki, na przykład na kontrahentów
- Kradzież środków finansowych – w bankowości internetowej kod SMS bywa ostatnim zabezpieczeniem przed autoryzacją przelewu
- Obejście MFA opartego na SMS – w usługach chmurowych przestępca może dokończyć proces logowania i uzyskać dostęp do danych firmowych
- Utrata kontroli nad kontami społecznościowymi firmy, co bywa wykorzystywane do oszustw wobec klientów
Co ważne, ofiara zwykle traci również możliwość szybkiego reagowania, ponieważ jej telefon przestaje działać w chwili, gdy powinna jak najszybciej zablokować dostęp do kont.
Jak rozpoznać atak, zanim wyrządzi poważne szkody
Szybka reakcja może ograniczyć skutki ataku, dlatego warto znać jego pierwsze symptomy.
- Nagła utrata zasięgu lub możliwości wykonywania połączeń i wysyłania SMS-ów bez wyraźnej przyczyny
- Powiadomienia o zmianie hasła lub logowaniu z nieznanego urządzenia, których pracownik nie inicjował
- SMS od operatora z potwierdzeniem zmiany karty SIM lub przeniesienia numeru, którego nikt nie zamawiał
- Brak możliwości zalogowania się do konta, mimo poprawnego hasła, bo dane logowania zostały już zmienione
W razie podejrzenia ataku należy niezwłocznie skontaktować się z operatorem telekomunikacyjnym w celu zablokowania numeru, a następnie zmienić hasła do kluczowych systemów z innego, bezpiecznego urządzenia i poinformować dział IT lub dostawcę wsparcia.
Jak zabezpieczyć firmę przed przejęciem numeru telefonu
Najskuteczniejszą ochroną jest ograniczenie zależności firmowych systemów od numeru telefonu jako metody uwierzytelniania.
- Zastąp weryfikację SMS aplikacją uwierzytelniającą (np. Microsoft Authenticator) lub kluczem sprzętowym zgodnym z FIDO2
- Tam, gdzie to możliwe, wdroż passkeys jako docelową metodę logowania bez hasła i bez SMS-a
- Ustaw u operatora telekomunikacyjnego dodatkowy kod PIN lub hasło wymagane przy każdej zmianie karty SIM czy przeniesieniu numeru
- Ogranicz publiczne udostępnianie danych osobowych pracowników, które mogą posłużyć do socjotechniki wobec operatora
- Wyłącz numer telefonu jako opcję odzyskiwania konta w usługach krytycznych dla firmy, jeśli dostępna jest silniejsza alternatywa
- Przeprowadź szkolenie z zakresu bezpieczeństwa, uczulając zespół na nietypową utratę zasięgu jako możliwy sygnał ataku
Warto też okresowo przeglądać, które konta i systemy w firmie nadal opierają dostęp na kodach SMS, i stopniowo migrować je w stronę silniejszych metod uwierzytelniania.
| Metoda MFA | Podatność na SIM swapping | Rekomendacja |
|---|---|---|
| Kod SMS | Wysoka – kod trafia bezpośrednio do przejętego numeru | Zastąp inną metodą tam, gdzie to możliwe |
| Połączenie głosowe z kodem | Wysoka – działa na tej samej zasadzie co SMS | Unikaj w systemach krytycznych |
| Aplikacja uwierzytelniająca (TOTP) | Niska – kod generowany lokalnie, niezależnie od numeru | Zalecana jako standard |
| Powiadomienie push | Niska, ale podatna na MFA fatigue | Stosuj z numerycznym potwierdzeniem |
| Klucz sprzętowy / passkey (FIDO2) | Bardzo niska | Najlepszy wybór dla kont krytycznych |
Zabezpiecz firmowe konta przed przejęciem numeru telefonu
NovaSys pomoże Ci wdrożyć uwierzytelnianie oparte na aplikacjach i kluczach sprzętowych zamiast podatnych na atak kodów SMS oraz skonfigurować politykę bezpieczeństwa dopasowaną do potrzeb Twojej firmy.