Duplikat karty SIM – czyli sytuacja, w której operator wydaje nową kartę przypisaną do numeru ofiary, lecz kontrolowaną przez napastnika – jest dziś uznawany za pełnoprawny atak cybernetyczny. Pozwala on przejąć rozmowy, wiadomości SMS oraz jednorazowe kody uwierzytelniające, a w konsekwencji loginy do bankowości, portfeli kryptowalutowych i mediów społecznościowych.
W samych Stanach Zjednoczonych tylko w 2023 r. straty zgłoszone do FBI po takich incydentach przekroczyły 48,7 mln dol., a liczba skarg od 2018 r. wzrosła pięciokrotnie. Atak jest stosunkowo prosty, bo opiera się na socjotechnice i lukach proceduralnych operatorów, co potwierdzają zarówno polskie raporty CERT-u, jak i analizy firm bezpieczeństwa.
Dupliat karty SIM. Na czym polega to zagrożenie
Duplikacja karty SIM (znana też jako SIM swap, SIM jacking lub port-out scam) zaczyna się od zebrania danych ofiary – z wycieków, mediów społecznościowych lub phishingu. Następnie przestępca podszywa się pod abonenta w salonie lub na infolinii operatora, przekonując konsultanta do wydania nowej karty.
Od chwili aktywacji nowego SIM-a całe połączenie głosowe oraz SMS-y, w tym kody 2FA, trafiają na telefon atakującego. W praktyce oznacza to natychmiastową możliwość zresetowania haseł w serwisach, które wciąż opierają się na autoryzacji SMS, oraz wpływ na aplikacje wymagające numeru telefonu do logowania.
Polskie i zagraniczne analizy pokazują, że kluczowym elementem ataku jest błąd człowieka lub zbyt pobieżna weryfikacja tożsamości abonenta.
Certyfikaty i PIN-y chroniące konto abonenckie bywają pomijane, a czasem do udanego „przepięcia” numeru wystarczą ogólnodostępne dane z portali społecznościowych.
Sprawdź też: Dziury w filarze jawności. Krytyczne luki w MegaBIP zagrażają setkom polskich urzędów
Co grozi ofierze przejęcia numeru
Napastnik zyskuje kontrolę nad: bankowością elektroniczną (autoryzacja przelewów SMS), portfelami kryptowalut, kontami e-mail, mediami społecznościowymi oraz usługami w modelu „login via phone”.
FBI podaje, że w latach 2018-2020 poszkodowani zgłosili straty 12 mln dol., a w samym 2021 r. już 68 mln dol., przy 1 611 incydentach. Raport XTN wskazuje, że w 2023 r. tylko w USA odnotowano kolejnych 1075 przypadków, generując prawie 50 mln dol. strat.
W Polsce CERT-PL już w 2018 r. klasyfikował kradzieże poprzez SIM-swap jako jedno z najpoważniejszych zagrożeń dla użytkowników bankowości internetowej, zwłaszcza przedsiębiorców z wyższymi saldami. Bank Millennium ostrzega, że utrata numeru uniemożliwia autoryzację i może doprowadzić do natychmiastowego opróżnienia rachunku.
Czytaj też: Rosyjski atak na polskie kamery graniczne. Tak GRU wykorzystało monitoring, by śledzić pomoc dla Ukrainy
Dane i przykłady z ostatnich lat
Głośny przykład to atak na konto Jacka Dorseya. W sierpniu 2019 r. hakerzy przejęli jego numer, publikując z jego profilu kontrowersyjne tweety, co pokazało, jak łatwo SIM-swap omija nawet zabezpieczenia gigantów technologicznych.
W USA wzrost skarg przełożył się na reakcję regulatora – FCC rozpoczęła prace nad obowiązkową autoryzacją transakcji przeniesienia numeru, co opisuje serwis Payments Dive.
W Polsce CERT Orange co kilka tygodni ostrzega przed telefonami od fałszywych „konsultantów”, którzy informują o rzekomym zagrożeniu konta i sugerują natychmiastową wymianę karty.
BankInfoSecurity zwraca uwagę, że w ciągu ostatniego roku SIM-swap coraz częściej łączy się z kradzieżami kryptowalut, bo transfer środków na anonimowe portfele utrudnia odzyskanie strat.
Analiza Europolu pokazuje, że technika jest jednym z najpowszechniejszych sposobów obejścia SMS-owego 2FA przy transferach bankowych w UE.
Europejskie Centrum ds. Zwalczania Cyberprzestępczości podkreśla, że wartość oszustw w UE nie jest nawet dokładnie szacowana, bo część banków wciąż nie raportuje wszystkich incydentów.
Dupliat karty SIM. Jak uniknąć stania się ofiarą
Specjaliści zalecają rezygnację z SMS-owego 2FA na rzecz aplikacji generujących kody lub kluczy sprzętowych, a także ustawienie dodatkowego hasła lub PIN-u do procedury wymiany karty u operatora.
Warto ograniczyć publiczne udostępnianie danych wykorzystywanych w pytaniach kontrolnych – np. nazwiska panieńskiego matki – i śledzić wszelkie nieoczekiwane przerwy w działaniu telefonu, bo brak zasięgu bywa pierwszym sygnałem ataku.
Operatorzy i banki powinny wdrażać wieloetapowe procedury weryfikacji, w tym biometrię, oraz monitorować nietypowe żądania zmiany numeru.
W praktyce wzmocnienie bezpieczeństwa wymaga koordynacji trzech stron: świadomego użytkownika, mobilnego operatora wdrażającego surowsze procedury portowania numeru oraz instytucji finansowych, które odejdą od SMS jako podstawowego kanału autoryzacji.
Duplikat karty SIM jest realnym i rozwijającym się zagrożeniem cybernetycznym, którego skutki finansowe i wizerunkowe mogą być katastrofalne. Atak bazuje na najstarszej broni przestępców – socjotechnice – ale wykorzystuje nowoczesne zależności ekosystemu mobilnego i bankowego. Świadomość ryzyka, eliminacja SMS-owego 2FA, silniejsze procedury operatorów i czujność użytkowników pozostają dziś kluczowymi elementami obrony.