Ułatwienia dostępu

Web Accessibility plugin by DJ-Extensions.com
Ministerstwo finansów
Fundusz edukacji finansowej
Fundacja Rozwoju Społeczeństwa Wiedzy Think!
Sfinansowano ze środków Funduszu Edukacji Finansowej, którego dysponentem jest Minister Finansów i Gospodarki. Realizatorem Kampanii jest Fundacja Think!
Instagram Facebook Linkedin Youtube
Zagrożenia
w środowisku
cyfrowym

Oszustwo SIM swap – jak ochronić się przed przejęciem karty SIM i numeru telefonu?

Zobacz, jak działa SIM swap i jak chronić swoje konto bankowe przed kradzieżą numeru.
Słownik pojęć

Wyobraź sobie, że pewnego dnia Twój telefon traci zasięg. Nie możesz dzwonić ani wysyłać SMS-ów. Jeżeli łączysz się z internetem przez Wi-Fi lub logujesz się do sieci w komputerze, otrzymujesz na skrzynkę pocztową kolejne powiadomienia o udanym logowaniu do kont w mediach społecznościowych z nowego sprzętu. Tak właśnie wygląda atak SIM swapping – ktoś właśnie przejął Twój numer telefonu. Na czym to polega i jak ochronić się przed kradzieżą numeru?

Na czym polega SIM swapping i przejmowanie eSIM?

Atak SIM swapping (z ang. zamiana SIM) to jedno z bardziej podstępnych oszustw ostatnich lat. Przestępca nie musi mieć dostępu do Twojego telefonu. Wystarczy, że podszyje się pod Ciebie w kontakcie z operatorem i poprosi o wydanie duplikatu karty SIM lub aktywację nowego profilu eSIM. Gdy operator da się nabrać, Twój numer „przenosi się” na urządzenie oszusta.

Od tej chwili przestępca ma dostęp do wszystkich wiadomości SMS, w tym kodów logowania do banków, portali czy poczty elektronicznej. Może zresetować Twoje hasła, przejąć komunikatory i autoryzować przelewy. Dla ofiary wszystko zaczyna się od jednego, pozornie banalnego objawu: nagłej utraty zasięgu.

Skąd przestępcy biorą dane potrzebne do przeprowadzenia takiego ataku? Zazwyczaj z wycieków danych, portali społecznościowych lub skutecznego phishingu. Często wystarczy znajomość numeru PESEL oraz informacji z publicznego profilu w mediach społecznościowych – imię, nazwisko, data urodzenia, imię lub nazwisko panieńskie matki – aby przekonać nieostrożnego konsultanta, że ma do czynienia z prawdziwym właścicielem numeru. Policja i NASK ostrzegają również przed fałszywymi formularzami i SMS-ami, które zachęcają do „aktualizacji eSIM” lub „potwierdzenia danych abonenckich”.

Jak zabezpieczyć się przed przejęciem numeru?

Warto pamiętać, że SIM swapping to przede wszystkim atak na operatora, a nie na sam telefon. Od procedur sieci telefonicznej oraz przestrzegania ich przez konsultantów zależy to, czy przejęcie karty SIM lub eSIM się uda. Jednak źródłem danych potrzebnych do oszustwa bardzo często jest sam użytkownik. Cyberprzestępcy pozyskują je z publicznych informacji w mediach społecznościowych lub fałszywych formularzy wysyłanych w charakterze „konkursu” lub „aktualizacji informacji”.  

Pierwszy krok to ograniczenie publicznie dostępnych informacji na Twój temat. Zadbaj o to, aby w publicznie dostępnych informacjach z mediów społecznościowych nie znajdowały się Twoje dane adresowe, numer telefonu czy dokładna data urodzenia. Uważaj także na wszelkiego rodzaju formularze, które wypełniasz w internecie. Zrezygnuj z udziału w konkursie lub ankiecie, jeśli wiąże się to z podaniem numeru PESEL, imienia matki czy wskazaniu konkretnych danych adresowych.  

Od 2024 roku każdy może dodatkowo zastrzec swój numer PESEL – to darmowa usługa dostępna w aplikacji mObywatel 2.0 lub na stronie gov.pl. To skutecznie utrudnia przestępcom podszycie się pod Ciebie, ponieważ tylko ty możesz czasowo odblokować PESEL podczas wykonywania konkretnych czynności administracyjnych (jak właśnie podpisywanie umowy u operatora).

Sprawdź też, czy możesz ustawić PIN lub hasło bezpieczeństwa do konta abonenckiego.Operator poprosi o nie przy każdej zmianie karty SIM lub aktywacji eSIM. Nie każdy operator stosuje to zabezpieczenie jako domyślne. Niektóre sieci wymagają od klientów, aby sami zgłosili chęć wprowadzenia takiego kroku. 

Ponadto ignoruj wiadomości o „aktualizacji eSIM” – żaden operator w Polsce nie wymaga potwierdzania profilu eSIM przez linki w SMS-ach, szczególnie jeśli sam nie zgłaszasz się po taką formę karty SIM. To popularny sposób na wyłudzenie informacji potrzebnych cyberprzestępcy do kontaktu z siecią komórkową. Wypełnienie formularza przesłanego w takim SMS-ie zwiększa szanse oszusta na udane przejęcie numeru telefonu.

Jak chronić bankowość elektroniczną i logowanie dwuetapowe (2FA)?

SMS z kodem autoryzacyjnym był przez lata podstawowym zabezpieczeniem logowania do bankowości elektronicznej. Dziś jednak to najsłabsze ogniwo, bo przestępca, który przejmie Twój numer, automatycznie przejmuje także kontrolę nad kodami. Dlatego koniecznie zmień autoryzację transakcji z SMS na rzecz powiadomień push w aplikacji mobilnej. W tym modelu autoryzujesz operację bezpośrednio w aplikacji, a kod nie trafia do skrzynki SMS. Nawet jeśli ktoś przejął Twój numer, nie ma dostępu do zatwierdzenia transakcji.

Warto też włączyć w bankowości elektronicznej:

  • powiadomienia o każdej transakcji,
  • alerty o zmianie danych logowania lub urządzenia,
  • biometrię (np. odcisk palca, rozpoznawanie twarzy).

 

Im mniej Twoje konto zależy od numeru telefonu, tym trudniej je przejąć. A co z innymi kontami, na przykład w mediach społecznościowych? Tam najlepiej zdecydować się na aplikację uwierzytelniającą. W przypadku większości platform domyślną opcją jest aplikacja generująca 6-cyfrowe kody dostępu bezpośrednio w smartfonie. Dzięki korzystaniu z niej nawet po przejęciu numeru telefonu przez cyberprzestępcę nie będzie miał on możliwości zresetowania hasła SMS-em.

Co zrobić, jeśli podejrzewasz atak SIM swapping lub przejęcie eSIM?

W przypadku podejrzenia, że ktoś przejął Twój numer, liczy się czas – każda minuta może zadecydować o utracie pieniędzy lub dostępu do kont w mediach społecznościowych.

  • Zadzwoń do operatora z innego telefonu i poproś o natychmiastowe zablokowanie numeru. Uzyskaj informację, czy nie została aktywowana nowa karta lub eSIM.
  • Skontaktuj się z bankiem – zablokuj dostęp do bankowości internetowej i postępuj zgodnie ze wskazówkami, które przekaże Ci konsultant. Ze względu na przejęcie numeru, który często jest jednym z elementów potwierdzania tożsamości, przykrą koniecznością może być wizyta w oddziale stacjonarnym.
  • Zmień hasła do poczty e-mail i mediów społecznościowych, które powiązane były z Twoim numerem telefonu.
  • Jeżeli dane potrzebne do ataku SIM swapping zostały pozyskane przez oszustów po wysłaniu do Ciebie formularza lub ankiety z fałszywą stroną internetową, zgłoś taką wiadomość na incydent.cert.pl, co może pomóc w szybszym zablokowaniu przestępców przed dokonaniem kolejnych oszustw.
  • Powiadom rodzinę i znajomych o fakcie, że dostęp do Twojego numeru telefonu znalazł się w rękach przestępców. Mogą próbować go użyć do oszustwa na BLIK lub inną formę wyłudzenia przelewu. 

Zobacz także

Zagrożenia
w środowisku
cyfrowym
Płatności online pod lupą – jak bezpiecznie płacić w internecie i nie stracić pieniędzy?
Rozmawiamy z z Michałem Niedźwiedzkim, Senior Risk Specialist w Autopay.
Czytaj
right-arrow-orange
Źródła informacji i instytucje wspierające
  • 4 min. czytania
Co możemy sprawdzić w rejestrach KNF? Praktyczny przewodnik
Dowiedz się, co możesz sprawdzić w rejestrach KNF.
Czytaj
right-arrow-orange
Materiały SM
Współpraca z influencerami – Kamil Gut
Bankuj w telefonie bez obaw. Cykl filmów z Kamilem Gutem pokazuje, jak
Czytaj
right-arrow-orange
Bezpieczeństwo danych osobowych i finansowych
  • 3 min. czytania
Jak ochronić swój PESEL przed cyberprzestępcami?
Dowiedz się, jak skutecznie możesz chronić swój PESEL.
Czytaj
right-arrow-orange
Infografiki
Kryptowaluty
Inwestuj świadomie: 2FA na platformie, analizuj ryzyko, nie klikaj w „okazje”!
Czytaj
right-arrow-orange
Animacje
Wybierasz się na urlop? Nie daj się nabrać na fałszywą ofertę noclegu!
Dowiedz się, jak bezpiecznie rezerwować noclegi i uniknąć wakacyjnych oszustów.
Czytaj
right-arrow-orange