SIM Swapping: Jak Haker Przejął Moje Konto w 5 Minut
Karol W. siedział w biurze, pracując nad wichtnym projektem dla klienta, kiedy coś dziwnego się stało. Jego telefon stracił sieć. "Brak zasięgu" – pomyślał. Przyjęte. Zdarza się. Ale kiedy za godzinę sygnał wrócił, znalazł 47 wiadomości SMS.
Każda była alarmująca.
"Kod weryfikacyjny: 438291"
"Potwierdzenie logowania z nowego urządzenia"
"Hasło zostało zmienione"
Zanim połączył się z obsługą klienta, była za późno. Jego konto e-mail zostało przejęte. Konto bankowe – zablokowane. Konto Spotify – zmiażdżone. A jego Bitcoin – każdy satoshi – zniknął.
Wszystko to zajęło mniej niż godzinę. Podczas gdy Karol patrzył w ekran swojego telefonu, który nie miał zasięgu, haker siedział w piwnicy w Moskwie (albo może w Warszawie – nigdy się nie dowiedział), przejmując kontrolę nad jego cyfrowym życiem.
Co się stało? To nie był zwykły phishing. To był SIM swapping – jedna z najniebezpieczniejszych i najbardziej zaniedbanych metod ataku na świecie.
Co to jest SIM Swapping? Jak to działa w praktyce?
SIM swapping to prosty pomysł, który jest śmiertelnie efektywny.
Wszystkie Twoje konta (bank, e-mail, media społecznościowe) chronią się dwuetapową autentykacją. Drugi etap to zwykle SMS – otrzymujesz kod, wpisujesz go, i jesteś w. Wydaje się bezpiecznie. Lecz tylko jeśli kod przychodzi Tobie.
W SIM swappingu haker przejmuje Twój numer telefonu. To wszystko. Nie aż tak trudne, jak może się wydawać.
Oto co się dzieje krok po kroku:
Hakerzy do wynajęcia zbierają informacje o Tobie z internetu. Gdzie się urodziłeś? Jakie jest Twoje imię, nazwisko, data urodzenia? Jakie są Twoje numery PESEL? Jaki jest Twój operator sieci (Plus, Orange, T-Mobile, Play)?
Dzisiaj te dane można znaleźć wszędzie: w mediach społecznościowych, zabytkowych data breaches, wyciekach baz danych. Istnieją nawet usługi hakerskie na czarnym rynku, które sprzedają takie dane za kilkadziesiąt złotych za osobę.
Haker dzwoni do operatora telefonicznego (Plus, Orange, itp.). Podszył się za Ciebie. Może powiedzieć:
"Cześć, zamieniłem telefon i straciłem dostęp do swojej karty SIM. Mogę prosić o wymianę karty SIM na nowy numer? Oto moje dane: [imię, nazwisko, PESEL, data urodzenia]."
Pracownik obsługi klienta widzi, że "ty" masz poprawne dane. Rzeczywiście, wszystko się zgadza. W większości operatorów weryfikacja odbywa się głównie przez PESEL i datę urodzenia – informacje, które haker już ma.
Niektórzy pracownicy pytają o ostatnie cztery cyfry numeru karty kredytowej lub adres. Ale haker może mieć i to – albo pracownik jest zmęczony, lub operator ma słabą politykę weryfikacji.
Niektóre operatory w Polsce pozwalają zmieniać SIM card online albo przez telefon. To jest gigantyczna luka bezpieczeństwa. Ale nawet jeśli wymaga wizyty w salonie – haker może ktogoś nająć, albo sfałszować dokumenty.
Operator wysyła nową kartę SIM do adresu w systemie (który haker już zmienił wcześniej). Lub – w najgorszym scenariuszu – natychmiast aktywuje nowy SIM dla tego numeru.
Teraz haker ma Twój numer telefonu. SMS-y przychodzą do niego.
Idzie do strony Twojego banku. Kliknie "zapomniane hasło". Bank wysyła kod weryfikacyjny na SMS. Haker go otrzymuje. Zmienia hasło. Przelewa pieniądze.
Idzie do e-maila. Wpisuje adres. "Nie pamiętam hasła". Google wysyła SMS z kodem resetowania. Haker go dostaje. Zmienia hasło. Teraz ma dostęp do Twojego e-maila – czyli klucza do wszystkiego innego.
Czy to Ty byłeś ofiarą? Historie z prawdziwego życia
W 2021 roku Michael Terpin, przedsiębiorca z branży kryptowaluty, stał się ofiarą SIM swappingu. Haker przejął jego numer telefonu i wywiózł wszystkie jego bitcoiny – warte około 150 000 dolarów.
To było drugie atakowe na Terpin'a tym samym operatorem (AT&T). Złożył pozew przeciwko AT&T. Przegrał w sądzie. Czemu? Operator argumentował, że procedury "były prawidłowe". Terpin otrzymał odszkodowanie w kwocie… znacznie poniżej kwoty strat.
Jedna ze studentek ze Stanów Zjednoczonych postanowiła dać sobie 2FA przez SMS na Instagramie. "To będzie bardziej bezpieczne" – pomyślała.
Kilka dni później, jej konto Instagram zostało przejęte. Haker zmienił e-mail, hasło, dodał swoje numery telefonów. Artystka straciła 10 lat gromadzenia followers i postów. Jej konto zostało sprzedane komuś innemu.
Jeden z amerykańskich polityka doświadczył SIM swappingu w trakcie kampanii wyborczej. Haker przejął jego konto Twitter. Postował dziwne wiadomości. Zanim konto zostało przywrócone, uszkodzenie reputacyjne było ogromne.
Czy Polskie Operatory Są Bezpieczne? Zaskakująca Odpowiedź
Biorąc pod uwagę, że główne polskie operatory (Plus, Orange, T-Mobile, Play) pozwalają na zmianę SIM-u przez telefon lub online, polskie konta są szczególnie zagrożone.
W 2023 roku przeprowadzono nieoficjalny test na polskich operatorach. Osoba, która zbierała dane publiczne i wykorzystała je do zmiany SIM-u, zdołała to zrobić w trzech przypadkach na cztery próby z pozoru prawidłową weryfikacją.
Podczas gdy zagraniczni operatorzy (np. Verizon, T-Mobile USA) zaczęli wymagać weryfikacji biometrycznej lub wizyty w salonie, polskie operatory wciąż polegają głównie na PESEL i dacie urodzenia.
Każda była alarmująca.
"Kod weryfikacyjny: 438291"
"Potwierdzenie logowania z nowego urządzenia"
"Hasło zostało zmienione"
Zanim połączył się z obsługą klienta, była za późno. Jego konto e-mail zostało przejęte. Konto bankowe – zablokowane. Konto Spotify – zmiażdżone. A jego Bitcoin – każdy satoshi – zniknął.
Wszystko to zajęło mniej niż godzinę. Podczas gdy Karol patrzył w ekran swojego telefonu, który nie miał zasięgu, haker siedział w piwnicy w Moskwie (albo może w Warszawie – nigdy się nie dowiedział), przejmując kontrolę nad jego cyfrowym życiem.
Co się stało? To nie był zwykły phishing. To był SIM swapping – jedna z najniebezpieczniejszych i najbardziej zaniedbanych metod ataku na świecie.
Co to jest SIM Swapping? Jak to działa w praktyce?
SIM swapping to prosty pomysł, który jest śmiertelnie efektywny.
Wszystkie Twoje konta (bank, e-mail, media społecznościowe) chronią się dwuetapową autentykacją. Drugi etap to zwykle SMS – otrzymujesz kod, wpisujesz go, i jesteś w. Wydaje się bezpiecznie. Lecz tylko jeśli kod przychodzi Tobie.
W SIM swappingu haker przejmuje Twój numer telefonu. To wszystko. Nie aż tak trudne, jak może się wydawać.
Oto co się dzieje krok po kroku:
Hakerzy do wynajęcia zbierają informacje o Tobie z internetu. Gdzie się urodziłeś? Jakie jest Twoje imię, nazwisko, data urodzenia? Jakie są Twoje numery PESEL? Jaki jest Twój operator sieci (Plus, Orange, T-Mobile, Play)?
Dzisiaj te dane można znaleźć wszędzie: w mediach społecznościowych, zabytkowych data breaches, wyciekach baz danych. Istnieją nawet usługi hakerskie na czarnym rynku, które sprzedają takie dane za kilkadziesiąt złotych za osobę.
Haker dzwoni do operatora telefonicznego (Plus, Orange, itp.). Podszył się za Ciebie. Może powiedzieć:
"Cześć, zamieniłem telefon i straciłem dostęp do swojej karty SIM. Mogę prosić o wymianę karty SIM na nowy numer? Oto moje dane: [imię, nazwisko, PESEL, data urodzenia]."
Pracownik obsługi klienta widzi, że "ty" masz poprawne dane. Rzeczywiście, wszystko się zgadza. W większości operatorów weryfikacja odbywa się głównie przez PESEL i datę urodzenia – informacje, które haker już ma.
Niektórzy pracownicy pytają o ostatnie cztery cyfry numeru karty kredytowej lub adres. Ale haker może mieć i to – albo pracownik jest zmęczony, lub operator ma słabą politykę weryfikacji.
Niektóre operatory w Polsce pozwalają zmieniać SIM card online albo przez telefon. To jest gigantyczna luka bezpieczeństwa. Ale nawet jeśli wymaga wizyty w salonie – haker może ktogoś nająć, albo sfałszować dokumenty.
Operator wysyła nową kartę SIM do adresu w systemie (który haker już zmienił wcześniej). Lub – w najgorszym scenariuszu – natychmiast aktywuje nowy SIM dla tego numeru.
Teraz haker ma Twój numer telefonu. SMS-y przychodzą do niego.
Idzie do strony Twojego banku. Kliknie "zapomniane hasło". Bank wysyła kod weryfikacyjny na SMS. Haker go otrzymuje. Zmienia hasło. Przelewa pieniądze.
Idzie do e-maila. Wpisuje adres. "Nie pamiętam hasła". Google wysyła SMS z kodem resetowania. Haker go dostaje. Zmienia hasło. Teraz ma dostęp do Twojego e-maila – czyli klucza do wszystkiego innego.
Czy to Ty byłeś ofiarą? Historie z prawdziwego życia
W 2021 roku Michael Terpin, przedsiębiorca z branży kryptowaluty, stał się ofiarą SIM swappingu. Haker przejął jego numer telefonu i wywiózł wszystkie jego bitcoiny – warte około 150 000 dolarów.
To było drugie atakowe na Terpin'a tym samym operatorem (AT&T). Złożył pozew przeciwko AT&T. Przegrał w sądzie. Czemu? Operator argumentował, że procedury "były prawidłowe". Terpin otrzymał odszkodowanie w kwocie… znacznie poniżej kwoty strat.
Jedna ze studentek ze Stanów Zjednoczonych postanowiła dać sobie 2FA przez SMS na Instagramie. "To będzie bardziej bezpieczne" – pomyślała.
Kilka dni później, jej konto Instagram zostało przejęte. Haker zmienił e-mail, hasło, dodał swoje numery telefonów. Artystka straciła 10 lat gromadzenia followers i postów. Jej konto zostało sprzedane komuś innemu.
Jeden z amerykańskich polityka doświadczył SIM swappingu w trakcie kampanii wyborczej. Haker przejął jego konto Twitter. Postował dziwne wiadomości. Zanim konto zostało przywrócone, uszkodzenie reputacyjne było ogromne.
Czy Polskie Operatory Są Bezpieczne? Zaskakująca Odpowiedź
Biorąc pod uwagę, że główne polskie operatory (Plus, Orange, T-Mobile, Play) pozwalają na zmianę SIM-u przez telefon lub online, polskie konta są szczególnie zagrożone.
W 2023 roku przeprowadzono nieoficjalny test na polskich operatorach. Osoba, która zbierała dane publiczne i wykorzystała je do zmiany SIM-u, zdołała to zrobić w trzech przypadkach na cztery próby z pozoru prawidłową weryfikacją.
Podczas gdy zagraniczni operatorzy (np. Verizon, T-Mobile USA) zaczęli wymagać weryfikacji biometrycznej lub wizyty w salonie, polskie operatory wciąż polegają głównie na PESEL i dacie urodzenia.
Information
| Author | Wawrzyniec Siemiradzki |
| Organization | Wawrzyniec Siemiradzki |
| Website | - |
Copyright 2026 - Spreaker Inc. an iHeartMedia Company
Comments