Atak przez telefon (SIM swap)
Atak polegający na przejęciu numeru telefonu ofiary przez oszukanie operatora komórkowego (SIM swap, phone port). Po przejęciu numeru atakujący może przechwytywać SMS-kody 2FA i odzyskiwać konta.
Jak działa SIM swap
Atakujący kontaktuje się z operatorem, podszywając się pod ofiarę przy użyciu skradzionych danych osobowych (imię, PESEL, adres). Prosi o przeniesienie numeru na nową kartę SIM w swoim urządzeniu. Po udanym przenesieniu ofiara traci zasięg, a atakujący przejmuje wszystkie SMS-y — w tym kody 2FA i linki do resetu haseł.
Konta kryptowalutowe powiązane z e-mailem i SMS-em 2FA stają się dostępne dla atakującego w ciągu minut. Giełdy często nie mają wystarczających mechanizmów weryfikacji przy takim ataku.
SMS to słabe 2FA dla kont z wartościowymi aktywami. Użyj aplikacji uwierzytelniającej (Google Authenticator, Authy) lub klucza sprzętowego (YubiKey) zamiast SMS-ów. Na giełdach aktywuj anty-phishing code i PIN telefoniczny u operatora.
Najczęstsze błędne założenia
- Problem: Numer telefonu to nie silna weryfikacja tożsamości. Może być skradziony lub przeniesiony.
- Problem: SIM swap to nie tylko problem dla giełd. Każdy serwis używający SMS do odzysku konta jest narażony.
- Problem: Dwuskładnikowe uwierzytelnianie przez SMS to lepiej niż nic — ale znacznie słabsze niż TOTP lub klucz sprzętowy.
Źródła i dalsza lektura
Najczęstsze pytania
Ustaw PIN lub hasło u operatora (numer port-out PIN). Zamień SMS 2FA na aplikację TOTP (Google Authenticator) lub klucz sprzętowy. Na giełdach aktywuj whitelist adresów wypłat i opóźnienia wypłat.
- Ostatnia aktualizacja