Wyobraź sobie: budzisz się rano, patrzysz na telefon i widzisz brak zasięgu. Próbujesz zadzwonić - nic. SMS-y nie docierają. Myślisz, że to awaria sieci. Tymczasem ktoś inny już od kilku godzin odbiera wszystkie twoje wiadomości - w tym kody jednorazowe z banku.

To jest właśnie SIM swap. Nie potrzeba kradzieży telefonu, hakerskiej infekcji ani żadnego malware. Wystarczy, że przestępca przekona operatora, że jest tobą - i przejmuje twój numer.

Jak działa SIM swap krok po kroku

Atak zaczyna się dużo wcześniej, niż myślisz. Zanim przestępca trafi do salonu operatora, zbiera o tobie informacje. Skąd je bierze?

  • z wyciekłych baz danych (PESEL, adres, data urodzenia)
  • z mediów społecznościowych (imię, nazwisko, zdjęcia, miejscowość)
  • z wcześniejszego phishingu - może już raz kliknąłeś podejrzany link
  • od agentów vishingowych - ktoś mógł zadzwonić do ciebie podając się za bank i wyłudzić dane

Mając komplet danych, przestępca idzie do salonu operatora lub dzwoni na infolinię i prosi o wydanie duplikatu karty SIM. Podaje się za ciebie: zna PESEL, adres, może numer dowodu. Pracownik wydaje duplikat. Twoja karta przestaje działać - aktywna jest ta nowa, w rękach przestępcy.

Co się dzieje dalej? Przestępca loguje się do twojego banku (login i hasło mogły być wcześniej wyłuszczone lub kupione w dark web), zamawia SMS z kodem autoryzacyjnym i - bez przeszkód - wykonuje przelew. Cały atak od przejęcia numeru do opróżnionego konta może zająć mniej niż godzinę.

Skąd bank wie, że to nie ty?

W teorii - nie wie. SMS-owy system 2FA (weryfikacja dwuetapowa przez SMS) został zaprojektowany jako dodatkowe zabezpieczenie, ale SIM swap łamie go w całości. Kod jednorazowy trafia na numer telefonu - a ten numer już nie jest twój.

Banki w Polsce powoli odchodzą od samych SMS-ów w kierunku aplikacji mobilnych z osobnym PIN-em lub biometrią. Jeśli twój bank oferuje autoryzację przez aplikację - aktywuj ją. Aplikacja jest powiązana z konkretnym urządzeniem, nie z numerem SIM, więc SIM swap jej nie pokona.

Sygnały ostrzegawcze

SIM swap rzadko spada jak grom z jasnego nieba. Wcześniej zazwyczaj dzieje się coś niepokojącego:

  • dostajesz SMS-y lub maile o próbach logowania do kont, których nie inicjowałeś
  • ktoś dzwoni do ciebie "z banku" i pyta o dane - to może być zbieranie informacji przed atakiem
  • nagle tracisz zasięg bez wyraźnej przyczyny (choć to może być też zwykła awaria)
  • operator wysyła SMS o zmianie karty SIM, której nie zleciłaś

Jeśli straciłeś zasięg i nie możesz żadnej czynności wykonać na koncie bankowym - zadzwoń natychmiast z innego telefonu na infolinię banku i poproś o tymczasowe zablokowanie operacji. Każda minuta ma znaczenie.

Co robić, gdy padniesz ofiarą

Schemat działań jest podobny do sytuacji opisanej w artykule o podaniu danych osobowych przez telefon - ale tutaj czas działa szybciej.

  1. Zadzwoń do operatora - poproś o natychmiastowe dezaktywowanie duplikatu SIM i wydanie nowej karty dla ciebie. Zażądaj adnotacji o incydencie.
  2. Zadzwoń do banku - powiedz, że padłaś ofiarą SIM swapu. Bank może zablokować konto i wszcząć procedurę reklamacyjną.
  3. Zgłoś na policję - to przestępstwo (art. 287 kk - oszustwo komputerowe, art. 190a kk - niezasadne użycie danych). Protokół zgłoszenia będzie potrzebny do odzyskania pieniędzy.
  4. Zgłoś do CERT Polska - incydent.cert.pl. CERT śledzi tego typu ataki i może pomóc w identyfikacji schematu.

Banki są zobowiązane przez dyrektywę PSD2 do zbadania reklamacji dotyczącej nieautoryzowanych transakcji. Jeśli udowodnisz, że nie inicjowałeś operacji, masz szansę odzyskać środki - ale nie ma gwarancji, jeśli bank uzna, że udostępniłeś dane osobom trzecim.

Jak chronić konto przed SIM swapem

Kilka kroków, które naprawdę zmniejszają ryzyko:

Zmień autoryzację z SMS na aplikację. To najważniejsza zmiana. Aplikacja bankowa z osobnym PIN-em lub odciskiem palca nie jest podatna na SIM swap.

Ustaw hasło do obsługi konta u operatora. Wielu operatorów pozwala ustawić dodatkowe hasło telefoniczne, które pracownik musi usłyszeć zanim wprowadzi jakiekolwiek zmiany na koncie. To prosty krok, a znacznie utrudnia atak.

Ogranicz dane osobowe w sieci. Im mniej informacji o sobie zostawiasz publicznie (data urodzenia, adres, numer dowodu), tym trudniej zebranie profilu na twój temat. O tym, jak chroniony numer i inne dane, piszemy szerzej w artykule o zastrzeżonym numerze telefonu.

Włącz powiadomienia push o logowaniach. Większość banków i operatorów pocztowych oferuje natychmiastowe powiadomienia o nowych logowaniach. Jeśli nie ty się logowałeś - możesz zareagować zanim dojdzie do transakcji.

Nie używaj tego samego maila do banku i do social media. Jeśli ktoś przejmie twoje konto na Facebooku, nie powinien tym samym mailem dostać się do konta bankowego.

Skala problemu w Polsce

Polskie banki i operatorzy telekomunikacyjni od kilku lat zaostrzają procedury weryfikacji przy wymianie kart SIM. UKE i KNF wspólnie monitorują ten typ oszustw. W 2024 roku CERT Polska odnotował wzrost ataków vishingowych, których celem było zbieranie danych wstępnych do SIM swapu - przestępcy coraz częściej łączyli stary telefon (zbieranie danych) z późniejszym atakiem na numer.

Kluczowa różnica między SIM swapem a większością innych oszustw telefonicznych: nie musisz nic robić. Nie klikać linku, nie podawać kodu. Wystarczy, że przestępca ma twoje dane i znajdzie podatnego pracownika operatora. Dlatego proaktywna ochrona - aplikacja bankowa zamiast SMS, hasło u operatora - jest ważniejsza niż jakakolwiek czujność w trakcie rozmowy.