SIM swapping — jak przestępcy kradną Twój numer telefonu

Wyobraź sobie, że budzisz się rano i Twój telefon nie ma zasięgu. Myślisz — awaria sieci, zaraz wróci. Tymczasem ktoś po drugiej stronie Polski właśnie odebrał duplikat Twojej karty SIM i spokojnie resetuje hasło do Twojej bankowości internetowej, korzystając z kodów SMS przychodzących na Twój numer. To SIM swapping — jeden z najpoważniejszych ataków na tożsamość cyfrową, jaki dotknął tysiące Polaków.

Co to jest SIM swapping?

SIM swapping (zwany też SIM hijacking lub przejęciem karty SIM) to atak, w którym przestępca wyłudza od operatora telekomunikacyjnego duplikat Twojej karty SIM. Po jego aktywacji Twoja oryginalna karta przestaje działać, a numer telefonu zaczyna funkcjonować na duplikacie kontrolowanym przez atakującego.

Konsekwencje są natychmiastowe: wszystkie SMS-y trafiają do przestępcy. W tym kody jednorazowe do bankowości, kody resetowania haseł do e-maila, czy weryfikację tożsamości w serwisach takich jak Allegro, mObywatel czy platformy kryptowalutowe.

Jak atakujący zdobywają dane?

Aby wyłudzić duplikat SIM, przestępca musi przekonać pracownika salonu lub działu obsługi, że jest właścicielem numeru. Do tego potrzebuje danych osobowych: imię, nazwisko, PESEL, data urodzenia, adres, a czasem — ostatnie 4 cyfry numeru konta lub ostatnia doładowana kwota.

Te dane zbierają przez:

• wycieki danych (bazy klientów z wycieków, dark web),
• phishing — Phishing — co to jest i jak się bronić? e-mailowy lub SMS-owy (Smishing: co to jest i jak rozpoznać fałszywy SMS?),
• spoofing telefoniczny — Spoofing telefoniczny — jak rozpoznać fałszywe połączenie z banku, gdzie podszywają się pod bank i wyciągają dane,
• media społecznościowe — data urodzenia na Facebooku, imię matki, nazwa miejscowości,
• inżynierię społeczną — bezpośredni kontakt z pracownikami operatora.

W Polsce zagrożenie jest realne: raporty KNF i CERT Polska wskazują, że SIM swapping jest coraz częściej powiązany z kradzieżą środków z rachunków bankowych. Polscy operatorzy (Orange, Play, Plus, T-Mobile) różnią się procedurami weryfikacji — część wymaga osobistej wizyty z dowodem, inne honorują rozmowę przez infolinię z odpowiedzią na pytania zabezpieczające.

Dlaczego SMS-owe 2FA to słaba ochrona?

To kluczowy wniosek z całego zagrożenia SIM swappingiem: SMS jako drugi składnik uwierzytelniania ma fundamentalną słabość — jest powiązany z numerem telefonu, który można przejąć.

Kiedy logujesz się do mBanku, PKO BP lub ING i bank wysyła ci kod SMS — ten kod trafi do atakującego, jeśli przejął Twój numer. Podobnie działa resetowanie hasła przez SMS w Gmailu, Facebooku czy Allegro.

Bezpieczniejsze alternatywy to:

• Aplikacje uwierzytelniające (Google Authenticator, Authy, Microsoft Authenticator) — kody generowane lokalnie na urządzeniu, nie powiązane z numerem SIM,
• Passkeys — klucze sprzętowe lub wbudowane w telefon/laptop, odporne na phishing i SIM swap; więcej w Passkeys — co to jest i jak zastąpią hasła?,
• Klucze bezpieczeństwa U2F/FIDO2 (YubiKey i podobne) — fizyczny token, który trzeba mieć przy sobie.

Szczegółowe porównanie metod znajdziesz w poradniku Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć.

Jak przebiega atak krok po kroku?

1. Zbieranie danych — atakujący gromadzi Twoje dane osobowe ze wszystkich dostępnych źródeł.
2. Kontakt z operatorem — dzwoni na infolinię Orange/Play/Plus/T-Mobile lub pojawia się w salonie z fałszywym dowodem tożsamości.
3. Wyłudzenie duplikatu — podając się za Ciebie, przekonuje operatora do wydania duplikatu karty SIM „bo zgubiłem/am telefon”.
4. Przejęcie numeru — Twoja karta traci zasięg; duplikat atakującego aktywuje się.
5. Przejęcie kont — przestępca używa opcji „zapomniane hasło” w bankowości, e-mailu, mediach społecznościowych, potwierdzając resetowanie kodami SMS.
6. Wypłata środków — przelewy na konta słupów, zakupy BLIK, wypłaty kryptowalut.

Wszystko to może zająć mniej niż 30 minut.

Objawy ataku — co powinno zapalić lampkę?

• Nagła utrata zasięgu bez wyraźnej przyczyny (nie ma awarii sieci w okolicy),
• Brak możliwości wykonania połączeń lub wysyłania SMS-ów,
• Niespodziewane SMS-y od operatora o wydaniu duplikatu SIM lub zmianie ustawień konta,
• Powiadomienia o logowaniu lub resetowaniu hasła w serwisach, do których się nie logowałeś/łaś,
• Brak oczekiwanych kodów 2FA na telefon.

Jeśli nagle tracisz zasięg — nie zakładaj od razu awarii. Zadzwoń do operatora z innego urządzenia.

Jak się chronić przed SIM swappingiem?

Ustaw PIN lub hasło konta u operatora

Większość polskich operatorów pozwala ustawić dodatkowy PIN lub hasło, które musi być podane przy każdej zmianie ustawień konta, w tym przy wydaniu duplikatu SIM. Zadzwoń na infolinię lub przejdź do salonu Orange/Play/Plus/T-Mobile i zapytaj o tę opcję.

Zrezygnuj z SMS 2FA tam, gdzie możesz

Zamień kody SMS na aplikację uwierzytelniającą wszędzie, gdzie jest to możliwe: bankowość internetowa, Gmail, Facebook, Allegro, kryptowaludy. To nie jest trudne — Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć przeprowadzi cię przez proces krok po kroku.

Użyj unikalnych haseł i menedżera haseł

Silne, unikalne hasła utrudniają atakującemu wejście do kont nawet po przejęciu numeru. Szczegóły w poradniku Jak stworzyć bezpieczne hasło? Praktyczny poradnik oraz w sekcji menedżer haseł.

Monitoruj historię transakcji bankowych

Ustaw powiadomienia push o każdej transakcji w aplikacji mBanku, PKO BP czy ING. Im szybciej zareagujesz, tym więcej możesz odzyskać.

Zastrzeż PESEL

Przestępcy potrzebują Twojego PESEL do wyłudzenia duplikatu SIM. Zastrzeżenie numeru w rejestrze PESEL utrudnia ten krok. Jak to zrobić — Ochrona PESEL — jak zastrzec numer i co zrobić po kradzieży.

Sprawdź, czy Twoje dane nie wyciekły

Jeśli Twoje dane trafiły do sieci, atakujący może już je mieć. Sprawdź to przez Jak sprawdzić, czy moje dane wyciekły? Przewodnik krok po kroku.

Co robić, gdy doszło do ataku?

Działaj błyskawicznie:

1. Zadzwoń do operatora z innego telefonu — poinformuj o podejrzeniu nieautoryzowanego wydania duplikatu SIM i poproś o zablokowanie numeru.
2. Zablokuj karty i konta bankowe — przez aplikację (jeśli jeszcze masz do niej dostęp) lub przez infolinię banku.
3. Zmień hasła do kluczowych kont — bankowość, e-mail, media społecznościowe — z urządzenia, które nie jest powiązane z przejętym numerem.
4. Zgłoś incydent do banku — transakcje nieautoryzowane można reklamować; bank ma obowiązek zbadania sprawy.
5. Złóż zawiadomienie na policję i zgłoś do CERT Polska (cert.pl).
6. Powiadom UODO, jeśli uważasz, że doszło do naruszenia Twoich danych osobowych przez operatora.

Co zrobić teraz?

• Zadzwoń do swojego operatora (Orange, Play, Plus, T-Mobile) i zapytaj, jak ustawić PIN lub hasło zabezpieczające konto abonenckie — zajmuje to kilka minut.
• Zamień SMS 2FA na aplikację uwierzytelniającą w przynajmniej jednym kluczowym serwisie (np. poczta e-mail) — to największy pojedynczy krok w kierunku bezpieczeństwa.
• Sprawdź, jakie dane o Tobie są dostępne w internecie — Jak sprawdzić, czy moje dane wyciekły? Przewodnik krok po kroku pokaże ci, czy Twój e-mail lub numer telefonu trafił do znanych wycieków.
• Zastrzeż PESEL jeśli jeszcze tego nie zrobiłeś/łaś — Ochrona PESEL — jak zastrzec numer i co zrobić po kradzieży.
• Ustaw powiadomienia push o transakcjach w aplikacji bankowej — to bezpłatne i działa błyskawicznie.