Jazyk
ENUKESFRDEITPTPLROCSSKHUNLTR
← Zpět na Blog

Zabezpečení SMS a SIM: Jak fungují útoky s výměnou SIM

Kybernetická bezpečnost25. března 2026·8 min čtení
SIM card and phone security

V lednu 2024 byl unesen oficiální X (Twitter) účet SEC. Falešný příspěvek o schválení Bitcoin ETF posunul trhy o miliardy dolarů. Vektor útoku? Výměna SIM – útočník přesvědčil operátora, aby přenesl telefonní číslo SEC na jejich SIM kartu, a poté jej použil k resetování hesla účtu.

Vaše telefonní číslo není jen způsob, jak vás kontaktovat. Je to základní klíč k vašemu e-mailu, bankovním účtům, kryptopeněženkám a sociálním médiím. A je překvapivě snadné ukrást.

Jak fungují útoky s výměnou SIM karty

Útok výměnou SIM karty je forma krádeže identity, kdy útočník převezme vaše telefonní číslo. Zde je postup:

Krok 1: Shromážděte osobní údaje

Útočník shromažďuje vaše osobní údaje – jméno, adresu, datum narození, poslední čtyři číslice vašeho SSN – z narušení dat, sociálních médií nebo stránek zprostředkovatelů dat. Tyto informace často postačují k tomu, aby byly předány bezpečnostní otázky operátora.

Krok 2: Kontaktujte dopravce

Útočník zavolá vašemu mobilnímu operátorovi (nebo navštíví obchod) a předstírá vaši identitu. Tvrdí, že ztratili telefon nebo potřebují novou SIM kartu. Pomocí shromážděných osobních údajů projdou ověřením identity.

Krok 3: Převezměte číslo

Operátor přenese vaše číslo na útočníkovu SIM kartu. Okamžitě ztratíte službu. Útočník nyní přijímá všechny vaše hovory a textové zprávy – včetně SMS ověřovacích kódů.

Odtud útočník resetuje hesla pro vaše e-mailové, bankovní a kryptografické účty pomocí obnovení hesla pomocí SMS. Celý proces trvá do 30 minut.

Metody zachycení SMS

Výměna SIM karty není jediný způsob, jak kompromitovat SMS. Útočníci mají několik nástrojů:

SS7 Protocol Exploitation

SS7 (Signaling System 7) je protokol, který celosvětově propojuje telefonní sítě. Byl navržen v roce 1975 s nulovým zabezpečením. Útočníci, kteří získají přístup k síti SS7 (často prostřednictvím zkorumpovaných zaměstnanců telekomunikací nebo zakoupením přístupu), mohou:

V roce 2017 použili zločinci útoky SS7 k vyčerpání německých bankovních účtů zachycením SMS 2FA kódů. To není teoretické – děje se to v měřítku.

Malware ve vašem telefonu

Mobilní malware může číst příchozí SMS zprávy přímo z vašeho telefonu. Některé varianty:

Falešné základnové stanice (IMSI Catchers)

Zařízení jako Stingrays se vydávají za mobilní věže a nutí okolní telefony, aby se připojily. Po připojení může útočník zachytit hovory a SMS zprávy. Tato zařízení stojí pouhých 1 000 USD a lze je sestavit pomocí softwaru s otevřeným zdrojovým kódem.

Proč SMS 2FA není dostatečně zabezpečená

Mnoho služeb stále ve výchozím nastavení používá SMS pro dvoufaktorovou autentizaci. Zde je důvod, proč je to nebezpečné:

NIST (Národní institut pro standardy a technologie v USA) nedoporučuje ověřování založené na SMS od roku 2016. Přesto většina bank stále nabízí pouze SMS.

Alternativa? Aplikace Authenticator (Google Authenticator, Authy) nebo hardwarové bezpečnostní klíče (YubiKey). Pokyny k nastavení naleznete v našem kompletním průvodci 2FA.

Pouzdra na výměnu SIM karet Real-World

SEC Twitter Hack (2024)

Účet X Americké komise pro cenné papíry a burzu byl unesen prostřednictvím výměny SIM karty. Byl zveřejněn falešný příspěvek o schválení bitcoinového ETF, který způsobil masivní volatilitu trhu.

400 milionů $ Krádež kryptoměn (2023)

Koordinovaný útok na výměnu SIM karet zaměřený na kryptoinvestory, vyčerpávající peněženky chráněné SMS 2FA. FBI zatkla prsten, ale většina finančních prostředků se nepodařilo získat zpět.

Twitter Jacka Dorseyho (2019)

Vlastnímu generálnímu řediteli Twitteru byl unesen jeho účet prostřednictvím výměny SIM karty. Pokud není v bezpečí generální ředitel technologické společnosti, není v bezpečí nikdo.

Jak se chránit

1. Nastavte si PIN na svém účtu operátora

Zavolejte svému operátorovi a nastavte PIN nebo přístupový kód, který je nutné zadat při jakýchkoli změnách účtu. Toto je nejdůležitější krok:

2. Přepnout na aplikace Authenticator

Nahraďte SMS 2FA autentizační aplikací všude možně. Kódy se generují na vašem zařízení a nikdy necestují po síti.

Doporučené aplikace: Google Authenticator, Authy (má zálohu v cloudu), Microsoft_PG Pro maximální zabezpečení použijte YubiKey hardwarový klíč.

3. Povolit zámek čísel / zmrazení portu

Většina operátorů nabízí funkci, která zabraňuje přenesení vašeho čísla bez osobního ověření pomocí vládního průkazu totožnosti. Povolte jej nyní.

4. Použít samostatné číslo pro finanční účty

Zvažte použití čísla Google Voice nebo sekundární předplacené SIM karty výhradně pro bankovní a finanční služby. Nesdílejte toto číslo veřejně.

5. Odeberte své číslo z veřejných profilů

Vaše telefonní číslo na sociálních sítích usnadňuje sociální inženýrství. Odstraňte jej z veřejných profilů a odhlaste se ze stránek zprostředkovatelů dat, jako jsou Whitepages, Spokeo a BeenVerified.

6. Monitorování známek výměny SIM

Pokud zaznamenáte některý z těchto stavů, okamžitě konejte:

Pokud k tomu dojde: Okamžitě zavolejte svému operátorovi z jiného telefonu. Poté změňte hesla pro svůj e-mail a zabezpečte své účty.

FAQ

Co je útok výměnou SIM karty?

Útok s výměnou SIM karty je, když zločinec přesvědčí vašeho mobilního operátora, aby přenesl vaše telefonní číslo na SIM kartu, kterou ovládá. Jakmile budou mít vaše číslo, obdrží vaše hovory, SMS a SMS ověřovací kódy.

Může někdo hacknout můj telefon prostřednictvím SMS?

Ano. Útočníci mohou posílat škodlivé odkazy prostřednictvím SMS (smishing), zneužívat zranitelnosti protokolu SS7 k zachycení zpráv nebo používat útoky typu SIM-swap k úplnému přesměrování vašich zpráv. To je důvod, proč se SMS nedoporučuje pro dvoufaktorovou autentizaci.

Jak zjistím, zda byla moje SIM karta vyměněna?

Nejzřejmějším znakem je náhlá ztráta mobilní sítě – žádný signál, žádné hovory, žádné texty. Můžete také obdržet neočekávaná oznámení od svého operátora o změnách účtu. Pokud k tomu dojde, okamžitě kontaktujte svého operátora z jiného telefonu.

Související nástroje