Oszustwo SIM Swap: jak Japonia osiągnęła zero przypadków

W 2022 roku Japonia doświadczyła gwałtownego wzrostu oszustw SIM swap. Przestępcy używali fałszywych dokumentów tożsamości, aby uzyskać nowe karty SIM w salonach operatorów, przejmowali numery telefonów ofiar i opróżniali konta bankowe oraz portfele kryptowalut, przechwytując kody SMS OTP.

Rezultat: od maja 2023 roku — zero zgłoszonych przypadków SIM swap w Japonii.

Czym jest SIM Swap?

SIM swap to atak, w którym przestępca przekonuje operatora komórkowego do przeniesienia twojego numeru na nową kartę SIM, którą kontroluje.

Łańcuch ataku

1. Zbieranie danych — phishing, media społecznościowe, wycieki danych
2. Fałszowanie tożsamości — tworzenie fałszywych dokumentów
3. Wizyta w salonie operatora — podszywanie się pod ofiarę
4. Przechwytywanie SMS — wszystkie wiadomości trafiają do atakującego
5. Przejęcie kont — dostęp do banku, e-maila, giełd krypto

Jak Japonia rozwiązała problem

1. Elektroniczna weryfikacja chipa IC

Salony operatorów muszą elektronicznie weryfikować chip IC w dokumencie tożsamości. Fałszywe dokumenty nie przechodzą tej kontroli.

2. Surowsze procedury operatorów

Wszyscy główni operatorzy wymagają osobistej weryfikacji tożsamości przy zmianach SIM.

3. Koordynacja rządu i policji

Ministerstwo zaktualizowało wytyczne, policja zlikwidowała warsztaty fałszerskie.

Dlaczego w Polsce też trzeba uważać

W Polsce operatorzy (Orange, Play, Plus, T-Mobile) mają procedury weryfikacji, ale SMS OTP pozostaje główną metodą uwierzytelniania w bankach.

Czynnik ryzyka	Szczegóły
SMS jest z natury niebezpieczny	Protokół SS7 ma znane luki
Czynnik ludzki	Pracownicy salonów mogą zostać oszukani
Podróże zagraniczne	Twoja SIM może być zaatakowana za granicą
WhatsApp powiązany z numerem	Utrata numeru = utrata WhatsApp

Jak się chronić

Używaj aplikacji uwierzytelniających

• Google Authenticator — darmowy, prosty
• Microsoft Authenticator — z kopią zapasową w chmurze
• Authy — obsługa wielu urządzeń

Używaj passkey

Passkey oparte na FIDO2 nie zależą od numeru telefonu i są odporne na phishing.

Bezpiecznie przechowuj kody zapasowe

Nie rób tego:

• Wysyłaj do siebie na WhatsApp
• Zapisuj w Notatkach bez hasła
• Zostawiaj w szkicu e-maila

Rób to:

• Zapisz na papierze i schowaj w sejfie
• W menedżerze haseł
• W zaszyfrowanej notatce na LOCK.PUB

LOCK.PUB pozwala stworzyć notatkę chronioną hasłem. Nawet serwery LOCK.PUB nie mogą odczytać treści.

Lista kontrolna bezpieczeństwa

Działanie	Zrobione?
Weryfikacja SMS w banku zmieniona na aplikację	☐
Giełda krypto zabezpieczona 2FA przez aplikację	☐
Kody zapasowe przechowywane w bezpiecznym miejscu	☐
Passkey aktywowane na głównych kontach	☐
2FA na mediach społecznościowych sprawdzone	☐
Silny PIN ustawiony u operatora	☐
Niepotrzebne dane osobowe usunięte z mediów społecznościowych	☐

Lekcje z Japonii

1. Odejdź od SMS — używaj aplikacji uwierzytelniających i passkey
2. Chroń kody odzyskiwania — przechowuj zaszyfrowane, np. na LOCK.PUB
3. Zarządzaj danymi osobowymi — udostępniaj mniej w mediach społecznościowych
4. Bądź na bieżąco — zagrożenia się zmieniają

---

Potrzebujesz bezpiecznego miejsca na zapasowe kody uwierzytelniające? Wypróbuj zaszyfrowaną notatkę z hasłem od LOCK.PUB.