SIM SwappingSrednji

SIM Swapping: Kako kriminalci otimaju vaš telefonski broj

Vaš telefonski broj postao je jedan od najmoćnijih ključeva vašeg digitalnog života. Banke, pružatelji e-pošte i platforme društvenih mreža koriste ga za provjeru vašeg identiteta. SIM swapping je oblik krađe identiteta koji iskorištava upravo to povjerenje — i može srušiti vašu online sigurnost u samo nekoliko minuta.

Što je SIM Swapping?

SIM swapping (poznat i kao SIM hijacking ili port-out prijevara) je napad u kojem napadač uvjerava vašeg mobilnog operatera da dodijeli vaš telefonski broj novoj SIM kartici koju napadač posjeduje. Nakon što uspije, svaki poziv i poruka namijenjena vama — uključujući jednokratne lozinke (OTP) i kodove za provjeru prijave — odlaze izravno napadaču.

Zastrašujući dio? Vaš fizički telefon i dalje radi. Jednostavno gubite mobilni signal bez ikakve očite upozorenje, a to često zamjenjujete s ispadom mreže — sve dok nije prekasno.

Kako funkcionira napad SIM swappingom?

Napad se odvija u dvije faze: prikupljanje informacija i socijalni inženjering.

1. Izviđanje: Napadač prvo prikuplja osobne podatke o vama — vaše puno ime, adresu, broj računa ili posljednje četiri znamenke vašeg osobnog identifikacijskog broja. Ti podaci često potječu iz provala podataka, phishing e-poruka ili čak vaših vlastitih profila na društvenim mrežama.

1. Lažno predstavljanje: Opremljen s dovoljno osobnih podataka, napadač kontaktira vašeg mobilnog operatera — telefonom, online chatom ili čak osobno u maloprodajnoj poslovnici — pretvarajući se da ste vi. Tvrdi da je telefon izgubljen ili oštećen i zahtijeva da se vaš broj prenese na novu SIM karticu.

1. Preuzimanje: Kada operater udovolji zahtjevu, napadač prima sve vaše SMS poruke i pozive. Odmah pokreće procese „zaboravljena lozinka" na vašoj e-pošti, kripto novčanicima, bankarskim aplikacijama ili bilo kojem računu vezanom uz vaš broj. U roku od nekoliko minuta može vas isključiti iz svega.

Cijeli napad može uspjeti za manje od sat vremena, a neki operateri pokazali su se zabrinjavajuće lakim za prevaru.

Zašto je to važno za VPN korisnike i ljude koji mare za privatnost

Ako koristite VPN kako biste zaštitili svoju privatnost, već razumijete vrijednost zaštite vašeg digitalnog identiteta. Međutim, VPN vas ne može zaštititi od SIM swappinga — on djeluje na potpuno drugom sloju.

SIM swapping izravno podriva dvofaktorsku autentifikaciju (2FA) temeljenu na SMS-u. Mnogi ljudi vjeruju da ih SMS-bazirana 2FA čini neosvojivima. U stvarnosti, ona stvara jednu točku kvara vezanu uz prakse korisničke službe vašeg operatera.

Među žrtvama visokog profila bili su ulagači u kriptovalute koji su izgubili milijune, novinari čiji su izvori bili otkriveni i rukovoditelji čiji su poslovni računi ispražnjeni. Svaka osoba s javno poznatim telefonskim brojem ili značajnom online imovinom potencijalna je meta.

Primjer iz stvarnog života

Godine 2019., Twitter CEO Jack Dorsey imao je vlastiti Twitter račun otmičen putem SIM swappinga. Napadači su ga nakratko iskoristili za objavu uvredljivog sadržaja — javna i neugodna demonstracija kako su čak i moćni, tehnički sofisticirani ljudi ranjivi.

Vlasnici kriptovaluta posebno su na meti. Budući da su kripto transakcije nepovratne, napadači često izravno prelaze na račune mjenjačnica zaštićene SMS 2FA-om, prenoseći sredstva prije nego što žrtva uopće shvati što se dogodilo.

Kako se zaštititi

• Prijeđite na 2FA temeljen na aplikaciji (poput Google Authenticatora ili Authyja) umjesto SMS-a gdje god je to moguće.
• Koristite hardverske sigurnosne ključeve (poput YubiKeya) za kritične račune.
• Postavite SIM PIN ili lozinku operatera — većina operatera omogućuje dodavanje sekundarne lozinke koja se zahtijeva za sve promjene na računu.
• Minimizirajte javnu izloženost vašeg telefonskog broja — nemojte ga navoditi na profilima društvenih mreža.
• Koristite VoIP broj kao javni kontakt i zadržite pravi broj privatnim.
• Upitajte svog operatera o opcijama port freeze ili SIM lock koje ograničavaju neovlašteni prijenos broja.

SIM swapping podsjeća nas da snažna tehnička zaštita malo znači ako se ljudski procesi mogu manipulirati. Višeslojna sigurnost — kombiniranje snažnih metoda autentifikacije, pažljive higijene osobnih podataka i alata za privatnost poput VPN-a — pruža vam najbolju obranu od napada koji pokušavaju zaobići tehnologiju u potpunosti.