SIM swapping to atak socjotechniczny, który polega na nieuprawnionym zdobyciu duplikatu karty SIM, a następnie wykorzystaniu numeru telefonu ofiary do osiągnięcia zaplanowanych korzyści. Wydawanie duplikatu karty to standardowa i niewzbudzająca żadnych podejrzeń usługa każdego operatora telefonii komórkowej. I choć każda firma ma własne procedury pozwalające zweryfikować, czy o duplikat karty SIM ubiega się jej właściciel, w rzeczywistości obejście zabezpieczeń może być stosunkowo proste. Przestępcy mogą podszywać się pod pełnomocnika ofiary lub pod nią samą, wykorzystując fałszywe dokumenty tożsamości. Mogą też współpracować z pracownikami operatora odpowiedzialnymi za wydawanie duplikatów kart (mówimy wówczas o tzw. insider threats).

Jednym ze scenariuszy takiego ataku jest przeprowadzenie pomocniczego ataku spear-phishingowego w celu zdobycia takich informacji, jak numer PESEL ofiary, imię panieńskie jej matki czy odpowiedzi na pytania zabezpieczające ustanowione w umowie z operatorem telekomunikacyjnym. Tego rodzaju dane mogą wystarczyć do zweryfikowania osoby proszącej o wydanie duplikatu karty SIM.

Choć mogłoby się wydawać, że taki proces może być skomplikowany, to ataki typu SIM swapping nie są przeprowadzane masowo gdyż wymagają precyzyjnego wytypowania ofiary, od której wydobywany jest dostęp do numeru telefonu i jej danych.

Dlaczego SIM swapping jest tak niebezpieczny? Z dwóch powodów:

• Po pierwsze: choć kody autoryzacyjne SMS są coraz częściej zastępowane powiadomieniami push z aplikacji mobilnych, wciąż stanowią popularną metodę wykorzystywaną przy uwierzytelnianiu dwuskładnikowym. Przejmując dostęp do numeru telefonu ofiary, cyberprzestępcy są w stanie zalogować się do wielu aplikacji, a nawet wyprowadzić środki finansowe z konta bankowego. Mogą też próbować pozyskiwać kody Blik od osób kontaktowych ofiary pod pozorem szybkiej pożyczki.


• Po drugie: uzyskując dostęp do konta e-mail, oszuści mogą bez większych przeszkód prowadzić dalsze działania np. przeprowadzać proces „przypominania” hasła do kolejnych aplikacji oraz przesyłać spersonalizowane wiadomości do znajomych czy współpracowników (np. z prośbą o przelew lub przekazanie wrażliwych informacji).

Dlaczego ktoś miałby się zajmować tak pracochłonnym atakiem? Komu grozi największe niebezpieczeństwo związane z SIM swappingiem?

SIM swapping grozi zarówno użytkownikom indywidualnym, jak i pracownikom firm. Szczególnie narażeni na tego rodzaju ataki są konkretne grupy osób:

• Specjaliści z działów IT posiadający dostęp do infrastruktury technicznej, baz danych, kont administracyjnych i narzędzi do zarządzania zabezpieczeniami. Przejęcie numeru telefonu osoby związanej z zasobami krytycznymi może doprowadzić do poważnych naruszeń bezpieczeństwa, wycieków i szantażu.


• Kadra kierownicza, prezesi spółek i inne osoby decyzyjne to kolejna grupa znajdująca się w obszarze zainteresowań hakerów. Dzwoniąc lub pisząc z numeru osoby decyzyjnej, oszuści mogą wydawać dowolne dyspozycje pracownikom – zarówno polecenia wykonania przelewu do nowego kontrahenta, jak i prośby o przesłanie ważnych dokumentów. Problem staje się poważniejszy, gdy weźmiemy pod uwagę, że przy pomocy sztucznej inteligencji można dziś wygenerować realistyczny wizerunek i brzmiący zgodnie z oryginałem głos niemal każdej osoby.


• Księgowość i HR, czyli działy, które mają bezpośredni dostęp do krytycznych informacji firmowych, a nierzadko także uprawnienia do wykonywania płatności firmowych. W tym przypadku nietrudno wyobrazić sobie konsekwencje udanego przejęcia danych karty SIM.


• Specjaliści od social mediów mający dostęp do firmowych profili mogą być narażeni na ataki, które są wymierzone w dobre imię firmy. Oszuści zyskują dostęp do odbiorców marki i mogą poważnie zaszkodzić jej wizerunkowi.

Każdy pracownik powinien jednak mieć świadomość zagrożenia, jakie niesie za sobą taki atak, niezależnie od zajmowanego stanowiska. Nawet jeśli nie wszystkie osoby w firmie mają dostęp do wrażliwych systemów, kont bankowych czy aplikacji, to mogą one udostępniać pozornie niegroźne informacje, które posłużą do przejęcia karty SIM.

Podstawowym sposobem obrony przed tego rodzaju atakami jest wykorzystywanie procesów uwierzytelniania wieloskładnikowego (MFA). Zamiast stosowania kodów SMS warto przemyśleć metodę jednorazowych haseł generowanych przez aplikację mobilną. Firma może też zdecydować się na wykorzystanie fizycznego tokenu zabezpieczającego. Ważne jest również wprowadzenie jasnej polityki dotyczącej zarządzania kartami SIM i numerami telefonicznymi w organizacji.

Warto pamiętać o tym, że udostępniona w 2024 roku opcja zastrzeżenia numeru PESEL uniemożliwia nie tylko zaciągnięcie kredytu, ale także otrzymanie duplikatu karty SIM przy aktywnym zastrzeżeniu, co samo w sobie stanowi bardzo skuteczne zabezpieczenie.

Najważniejszą z metod przeciwdziałania SIM swappingowi oraz innym atakom jest wdrażanie procedur i dobrych praktyk cyberbezpieczeństwa poprzez szkolenia z zakresu security awareness. Mogą przeprowadzić je specjaliści zajmujący się cyberbezpieczeństwem w ramach zespołu Netia SOC. Zwiększanie świadomości pracowników w kwestii udostępniania danych i związanych z tym niebezpieczeństw podnosi ogólną odporność firmy na zagrożenia cybernetyczne. Postępy kadry na tym polu można weryfikować między innymi za pomocą kontrolowanych ataków phishingowych przeprowadzanych przez ekspertów Netii.

Pomimo że obrona przed zagrożeniem, jakim jest SIM swapping, jest stosunkowo prosta, wymaga zaangażowania ze strony firmy i zainwestowania w rozwój pracowników oraz dodatkowe środki weryfikacji tożsamości.