Rezygnacja z uwierzytelniania SMS staje się priorytetem dla firm, które chcą skuteczniej chronić swoje dane przed cyberzagrożeniami. Metody takie jak MFA oparte na SMS są coraz mniej bezpieczne w obliczu współczesnych technik ataków. Nowoczesne alternatywy MFA pozwalają podnieść poziom bezpieczeństwa przy zachowaniu wygody użytkowania.
Spis treści
- Ewolucja Zagrożeń: Dlaczego SMS Już Nie Wystarcza
- Wady Uwierzytelniania SMS: Luka w Zabezpieczeniach
- Ataki SIM Swap: Powód do Niepokoju
- Alternatywy dla SMS: Bezpieczniejsze Opcje MFA
- Phishing i Man-in-the-Middle: Ataki na SMS MFA
- Jak Zabezpieczyć Firmę przed Cyberzagrożeniami
Ewolucja Zagrożeń: Dlaczego SMS Już Nie Wystarcza
Jeszcze kilka lat temu kody jednorazowe wysyłane SMS-em uchodziły za rozsądny kompromis między bezpieczeństwem a wygodą. Dziś, w realiach z 2026 roku, są one jednak wyraźnie przestarzałe – zarówno technicznie, jak i operacyjnie. Krajobraz zagrożeń zmienił się diametralnie: cyberprzestępczość stała się usługą (tzw. cybercrime-as-a-service), gotowe narzędzia phishingowe można kupić w darknecie jak oprogramowanie SaaS, a przestępcy coraz częściej łączą ataki techniczne z manipulacją społeczną i przejęciami urządzeń mobilnych. W tym środowisku SMS, który nie zapewnia szyfrowania end‑to‑end, jest trwale powiązany z podatnymi na atak sieciami telco i nie gwarantuje silnej weryfikacji tożsamości użytkownika, przestaje być wiarygodnym kanałem do przesyłania kodów MFA. Na pierwszy plan wysuwają się trzy kluczowe obszary, w których SMS szczególnie odstaje: podatność infrastruktury operatorów (atak na warstwę SS7, „SIM swap”, przekierowania numeru), łatwość masowego phishingu w czasie rzeczywistym (przechwytywanie kodów podczas logowania) oraz brak odporności na nowoczesne ataki typu man‑in‑the‑middle i malware na urządzeniach mobilnych. Jednocześnie rośnie presja regulacyjna (m.in. NIS2, DORA, RODO, branżowe wytyczne EBA), która wymusza stosowanie silniejszego uwierzytelniania wieloskładnikowego i wyraźnie sygnalizuje, że prosty SMS jako drugi składnik przestaje być akceptowalnym standardem zabezpieczeń dla organizacji, które przetwarzają dane wrażliwe, dane finansowe lub dane klientów z UE. Ewolucja zagrożeń sprawiła też, że to, co kiedyś było scenariuszem „zaawansowanego ataku na bank”, dziś stało się codzienną praktyką grup przestępczych: przejęcia kont w serwisach SaaS B2B, włamania do paneli administracyjnych sklepów internetowych czy przechwytywanie sesji VPN w firmach z sektora MŚP. W każdym z tych przypadków SMS, zamiast chronić, bywa najsłabszym ogniwem, ponieważ atakujący są w stanie obejść go bez konieczności łamania skomplikowanych algorytmów kryptograficznych – wystarczy im przejąć numer, zmanipulować użytkownika lub wykorzystać luki w łańcuchu dostaw operatora telekomunikacyjnego. Równolegle rośnie jakość narzędzi, którymi dysponują przestępcy: gotowe zestawy phishingowe z funkcją proxy potrafią w czasie rzeczywistym przekierować ofiarę na „podrobioną” stronę logowania, przechwycić login, hasło i kod SMS, a następnie automatycznie zalogować atakującego do prawdziwej aplikacji, zanim kod straci ważność.
Kluczowym elementem ewolucji zagrożeń jest to, że atakujący coraz rzadziej próbują „łamać kryptografię”, a coraz częściej obchodzą zabezpieczenia, atakując proces biznesowy, infrastrukturę operatora lub najsłabszy składnik samego MFA. SMS, jako kanał otwarty, łatwy do przekierowania i słabo powiązany z fizycznym urządzeniem czy tożsamością użytkownika, idealnie wpisuje się w te wektory ataku. Przykładem jest rosnąca fala ataków SIM swap i SIM hijacking: przestępcy, wykorzystując wyciek danych osobowych (np. z serwisów społecznościowych lub poprzednich naruszeń bezpieczeństwa), kontaktują się z operatorem w imieniu ofiary i „przenoszą” numer na nową kartę SIM, często w innym kraju lub u innego operatora wirtualnego. W efekcie wszystkie kody SMS – logowania do banku, korporacyjnej poczty, systemów CRM czy paneli administracyjnych – trafiają bezpośrednio na urządzenie kontrolowane przez napastnika, a ofiara przez długi czas może nie zauważyć niczego poza „brakiem zasięgu”. Coraz bardziej powszechne są także ataki na infrastrukturę sygnalizacyjną SS7 i jej następców: podsłuch, przekierowanie lub duplikacja wiadomości SMS mogą odbywać się bez fizycznego dostępu do telefonu użytkownika, za to z poziomu sieci telekomunikacyjnej, często poza jurysdykcją kraju, w którym działa firma. Do tego dochodzi zjawisko „phishingu w czasie rzeczywistym”, w którym ofiara najpierw wprowadza dane logowania na fałszywej stronie (np. łudząco przypominającej panel Microsoft 365 czy system ERP), a następnie na tym samym ekranie proszona jest o przepisanie kodu SMS, który jednocześnie trafia do prawdziwej usługi. Zaawansowane zestawy phishingowe automatyzują ten proces tak, że z perspektywy użytkownika wszystko wygląda „normalnie”, natomiast atakujący w tle przejmują sesję i mogą np. dodać własne urządzenie jako zaufany czynnik MFA, zmienić adresy e‑mail do resetu hasła czy utworzyć konta techniczne w systemie, aby utrzymać długotrwały dostęp. Wreszcie, trzeba uwzględnić, że urządzenia mobilne same w sobie stały się atrakcyjnym celem: złośliwe aplikacje mogą odczytywać treść SMS‑ów, eskalować uprawnienia, a nawet automatycznie przekazywać kody dalej na serwery przestępców – co skutecznie omija założenie, że „kod jest tylko na telefonie użytkownika”. W kontekście biznesowym oznacza to, że organizacja, która w 2026 roku nadal opiera krytyczne procesy wyłącznie na SMS, de facto ufa całemu ekosystemowi operatorów, producentów urządzeń, sklepów z aplikacjami i samych użytkowników, nie mając nad nim realnej kontroli technicznej. Ewolucja zagrożeń jasno pokazuje, że taki model zaufania jest nie do utrzymania, gdy stawką są dostępy do danych klientów, systemów produkcyjnych, środowisk chmurowych czy kont uprzywilejowanych, a przestępcy dysponują zautomatyzowaną infrastrukturą do omijania zabezpieczeń opartych na SMS‑ach.
Wady Uwierzytelniania SMS: Luka w Zabezpieczeniach
Choć przez lata kody jednorazowe wysyłane SMS-em uchodziły za prosty i “wystarczająco dobry” sposób na podniesienie poziomu bezpieczeństwa logowania, w 2026 roku stają się one w praktyce poważną luką w zabezpieczeniach. Fundamentem problemu jest sam sposób działania SMS-ów – to technologia sprzed kilku dekad, zaprojektowana z myślą o komunikacji, a nie o kryptograficznie silnym uwierzytelnianiu. Wiadomości nie są szyfrowane typu end-to-end, przechodzą przez wielu pośredników (operatorzy, agregatorzy), a ich dostarczenie opiera się na systemie sygnalizacyjnym SS7 i nowszych odpowiednikach, które od lat są badane i skutecznie atakowane przez cyberprzestępców. Z perspektywy organizacji oznacza to, że nawet przy najlepszych procedurach wewnętrznych bezpieczeństwo drugiego składnika logowania w dużej mierze zależy od zewnętrznej, podatnej na błędy i nadużycia infrastruktury telekomunikacyjnej. Szczególnie niepokojące są ataki typu socjotechnika, w których przestępca, posługując się socjotechniką lub skradzionymi danymi, przekonuje operatora, by przeniósł numer ofiary na nową kartę SIM. W takim scenariuszu wszystkie kody SMS trafiają bezpośrednio do atakującego, podczas gdy prawdziwy użytkownik często dopiero po godzinach lub dniach orientuje się, że utracił możliwość korzystania z sieci. Dla firm skutki mogą być katastrofalne: przejęcie kont administratorów, autoryzacja przelewów, reset haseł do systemów krytycznych – wszystko to staje się możliwe, jeśli jedyną “barierą” jest SMS. Warto również podkreślić, że masowe kampanie phishingowe coraz częściej łączą tradycyjne e-maile z tzw. smishingiem (phishing przez SMS). Użytkownik otrzymuje wiadomość z linkiem prowadzącym do fałszywej strony logowania, na którą sam wprowadza zarówno hasło, jak i kod SMS otrzymany sekundę później. Narzędzia typu phishing‑as‑a‑service automatyzują ten proces, przechwytując token w czasie rzeczywistym i wykorzystując go natychmiast do zalogowania się na prawdziwe konto. To pokazuje kolejną, strukturalną wadę SMS: jest to faktor łatwy do przekazania, przepisania, sfotografowania i wprowadzenia w cudzym imieniu, co osłabia jego wartość jako silnego drugiego składnika.
Z biznesowego punktu widzenia uwierzytelnianie SMS generuje również szereg ukrytych kosztów i problemów operacyjnych, które wprost przekładają się na obniżenie poziomu bezpieczeństwa zamiast jego wzmocnienia. Po pierwsze, koszty wysyłki SMS-ów rosną – szczególnie w przypadku organizacji działających na wielu rynkach i wysyłających setki tysięcy lub miliony wiadomości miesięcznie. W naturalny sposób pojawia się pokusa optymalizacji: ograniczania liczby kroków weryfikacyjnych lub rezygnacji z MFA w mniej “istotnych” procesach, co otwiera dodatkowe wektory ataku. Po drugie, SMS jest podatny na opóźnienia i błędy w dostarczaniu – użytkownicy często skarżą się, że kody przychodzą z kilku‑, a nawet kilkunastominutowym opóźnieniem, albo nie docierają wcale (roaming, filtry anty‑spam, problemy z siecią). To z kolei zwiększa obciążenie działu wsparcia, wymusza tworzenie wyjątków (np. awaryjne logowanie po weryfikacji telefonicznej lub e-mailowej) i sprzyja obniżaniu rygoru bezpieczeństwa “na życzenie” użytkowników sfrustrowanych procesem logowania. Wreszcie, istotnym mankamentem z perspektywy zgodności z regulacjami (np. RODO, NIS2, DORA) jest ograniczona możliwość silnego audytu i kontroli nad całym łańcuchem dostarczenia SMS. Dane osobowe (numery telefonów, metadane komunikacji) przechodzą przez wiele podmiotów, a organizacja ma ograniczony wgląd w to, gdzie są przechowywane logi, jak długo i na jakich zasadach są przetwarzane. To nie tylko ryzyko wycieku, ale także potencjalne naruszenie zasad minimalizacji danych i privacy by design. Dodatkowo, w wielu branżach krytycznych regulatorzy coraz wyraźniej wskazują, że SMS nie spełnia standardu “strong customer authentication” ani nie stanowi wystarczająco odpornego na przejęcie drugiego czynnika. Oparcie strategii bezpieczeństwa na SMS-ach może więc zostać wprost ocenione jako niewystarczająca należyta staranność. W praktyce oznacza to, że firmy, które nadal traktują SMS jako domyślną formę MFA, narażają się nie tylko na wzrost ryzyka incydentów, ale również na konsekwencje prawne i reputacyjne, wynikające z korzystania z rozwiązania powszechnie uznawanego za przestarzałe i podatne na obejście.
Ataki SIM Swap: Powód do Niepokoju
Atak SIM swap (czasem nazywany „zamianą karty SIM” lub SIM hijacking) to dziś jeden z najbardziej niebezpiecznych sposobów omijania uwierzytelniania SMS – i główny argument przeciwko traktowaniu SMS-ów jako filaru bezpieczeństwa. Mechanizm jest pozornie prosty: cyberprzestępca przejmuje kontrolę nad numerem telefonu ofiary, przekierowując wszystkie połączenia i wiadomości, w tym kody jednorazowe, na kartę SIM znajdującą się w jego posiadaniu. W praktyce oznacza to, że w momencie, gdy system banku, platformy SaaS czy panelu administracyjnego wysyła SMS z kodem autoryzacyjnym, trafia on nie do prawowitego właściciela, lecz do atakującego, który może się bez przeszkód logować, zmieniać hasła i potwierdzać transakcje. Co szczególnie niepokojące, SIM swap rzadko jest atakiem „na technologię” w klasycznym sensie – znacznie częściej wykorzystuje słabości w procesach i procedurach operatorów komórkowych oraz ludzką podatność na socjotechnikę. Przestępca zwykle zaczyna od zgromadzenia podstawowych danych o ofierze: imienia, nazwiska, PESEL-u lub numeru dowodu, adresu, czasem odpowiedzi na pytania bezpieczeństwa. Te informacje są dostępne w wyciekach baz danych, na portalach społecznościowych lub na czarnym rynku cyberprzestępczym. Następnie kontaktuje się z operatorem jako „właściciel numeru”, zgłaszając np. zgubienie telefonu i prosząc o aktywację nowej karty SIM. Jeśli procedury weryfikacyjne są słabe, pracownik infolinii – działając w dobrej wierze i pod presją obsługi kolejnych zgłoszeń – może ulec manipulacji i przepiąć numer na kartę przygotowaną przez atakującego. W innych wariantach przestępcy wykorzystują zainfekowanych insiderów w strukturach operatora lub podszywają się pod pracowników BOK, by wymusić zmianę karty. W każdym scenariuszu efekt jest ten sam: legalny użytkownik traci zasięg i dostęp do SMS-ów, a jednocześnie przestępca natychmiast próbuje logować się na jego konta bankowe, chmurowe i biznesowe, resetować hasła i eskalować uprawnienia tam, gdzie SMS-y są używane jako drugi składnik uwierzytelniania. Firmy często zakładają, że to banki są głównym celem SIM swapów, jednak w praktyce na celowniku znajdują się również konta administratorów, panele klienta u dostawców hostingu, systemy CRM czy portale zarządzania płatnościami. Przejęcie takiego konta przez atakującego, który może potwierdzić logowanie lub zmianę hasła kodem SMS, otwiera drogę do kradzieży danych, sabotażu usług, a nawet dalszych ataków na klientów końcowych firmy. To właśnie dlatego dla organizacji biznesowych SIM swap nie jest abstrakcyjną ciekawostką z działu „cyberprzestępczość”, ale realnym wektorem ataku, który przekłada się na wymierne ryzyka finansowe, prawne i reputacyjne – a tym samym na konieczność przemyślenia roli SMS-ów w całej strategii MFA.
W 2026 roku problem SIM swap jest dodatkowo spotęgowany z kilku powodów, które sprawiają, że opieranie bezpieczeństwa krytycznych procesów na SMS-ach staje się coraz mniej odpowiedzialne. Po pierwsze, cyberprzestępczość „as-a-service” spowodowała, że zaawansowane ataki nie wymagają już specjalistycznej wiedzy technicznej – istnieją gotowe pakiety i instrukcje, które krok po kroku pokazują, jak przeprowadzić udany SIM swap, a nawet oferują płatną pomoc w socjotechnice wobec operatorów. Po drugie, rosnąca liczba wycieków danych osobowych i dokumentów tożsamości wprost ułatwia przechodzenie weryfikacji na infoliniach: przestępca może odpowiadać na pytania, których celem było rozróżnienie prawdziwego klienta od oszusta, dysponując pełnym zestawem danych zdobytych w poprzednich incydentach. Po trzecie, procesy po stronie operatorów często pozostają rozproszone i niespójne – inny zestaw pytań stosuje infolinia, inny salon sprzedaży, a jeszcze inny kanał online, co tworzy „najsłabsze ogniwo”, które można namierzyć i wykorzystać. W rezultacie numer telefonu, który miał być „czymś, co posiadasz”, można dziś relatywnie łatwo odebrać właścicielowi bez jego wiedzy. Dla firm oznacza to, że SMS jako drugi składnik nie spełnia już kluczowego założenia silnego uwierzytelniania: niezależności i trudności przejęcia. Jeżeli napastnik jest w stanie w jednym kroku przejąć zarówno konto (np. dzięki phishingowi hasła), jak i numer telefonu (dzięki SIM swap), to stosowanie SMS-ów buduje fałszywe poczucie bezpieczeństwa, zamiast realnie podnosić poprzeczkę. Co więcej, wykrywanie SIM swapów w czasie rzeczywistym bywa trudne zarówno dla użytkownika, jak i dla organizacji – brak zasięgu w telefonie bywa tłumaczony awarią sieci lub problemem z urządzeniem, a pierwszym sygnałem ataku stają się nieautoryzowane transakcje, masowe logowania z nietypowych lokalizacji lub nagłe zgłoszenia klientów o problemach z dostępem. Reagowanie na tym etapie oznacza gaszenie pożaru, a nie jego zapobieganie. W kontekście bezpieczeństwa organizacji biznesowych należy również uwzględnić ataki ukierunkowane na kluczowych pracowników – administratorów systemów, osoby odpowiedzialne za finanse czy właścicieli kont głównych w usługach chmurowych. Przejęcie ich numeru przez SIM swap i użycie SMS-ów do potwierdzenia zmiany hasła w panelu administracyjnym może doprowadzić do kompromitacji całej infrastruktury, a skutki takiego incydentu potrafią rozciągać się na lata. Z perspektywy CISO czy zarządu staje się jasne, że skoro wektor SIM swap jest trudny do całkowitego wyeliminowania po stronie telekomów, to jedynym racjonalnym krokiem jest ograniczenie wagi SMS-ów w procesach krytycznych i priorytetyzacja metod uwierzytelniania, których nie da się „przepiąć” tak łatwo, jak numeru telefonu.
Alternatywy dla SMS: Bezpieczniejsze Opcje MFA
Odejście od SMS-ów nie oznacza rezygnacji z wygody – przeciwnie, nowoczesne metody uwierzytelniania wieloskładnikowego (MFA) oferują jednocześnie wyższy poziom bezpieczeństwa i lepsze doświadczenie użytkownika. Najbardziej oczywistym następcą SMS-ów są aplikacje typu authenticator (TOTP – Time-based One-Time Password), które generują kody jednorazowe bezpośrednio na urządzeniu użytkownika. W przeciwieństwie do SMS-ów nie opierają się one na infrastrukturze operatorów, a sekretny klucz wykorzystywany do generowania kodów jest przechowywany lokalnie, co znacząco utrudnia przejęcie. Rozwiązania takie jak Google Authenticator, Microsoft Authenticator czy Authy mogą być integrowane z większością popularnych systemów logowania i paneli administracyjnych. W świecie korporacyjnym coraz częściej stosuje się również dedykowane aplikacje mobilne dostarczane przez dostawców rozwiązań IAM/CIAM, które oprócz kodów TOTP pozwalają na autoryzację za pomocą powiadomień push, podpisu kryptograficznego czy potwierdzenia biometrycznego. Takie powiadomienia push mogą dodatkowo prezentować szczegóły transakcji lub operacji (amount, numer rachunku, szczegóły zmiany), co znacząco podnosi odporność na phishing i ataki typu „man-in-the-middle”. Warto jednak pamiętać o zjawisku „push fatigue” – zasypywanie użytkowników dużą liczbą powiadomień może prowadzić do bezrefleksyjnego klikania „Akceptuj”, dlatego świadome projektowanie częstotliwości i kontekstu takich żądań jest kluczowe. Kolejną grupą rozwiązań, których znaczenie gwałtownie rośnie do 2026 roku, są standardy FIDO2/WebAuthn, czyli logowanie bezhasłowe i klucze bezpieczeństwa. FIDO2 umożliwia uwierzytelnianie z użyciem kryptografii klucza publicznego bez potrzeby przekazywania jakichkolwiek kodów przez kanały komunikacyjne, które mogą zostać podsłuchane. W praktyce może to przyjąć formę fizycznych kluczy U2F (np. YubiKey, SoloKey) podłączanych przez USB/NFC, ale również tzw. „passkeys”, czyli poświadczeń przechowywanych w ekosystemie urządzeń użytkownika (smartfon, laptop) i chronionych biometrią lub PIN-em urządzenia. Dla działów bezpieczeństwa ogromną zaletą FIDO2 jest odporność na phishing – nawet jeśli pracownik kliknie w fałszywy link, klucz bezpieczeństwa nie potwierdzi logowania do innej domeny niż ta, której poświadczenie zostało pierwotnie zarejestrowane. Dodatkowo klucze mogą być centralnie zarządzane, przypisywane do ról, a ich użycie logowane w sposób umożliwiający precyzyjny audyt. Choć wdrożenie FIDO2 wymaga planowania (inwentaryzacja systemów, zapewnienie kompatybilności przeglądarek i urządzeń, polityki dystrybucji kluczy), jest to obecnie jedna z najbardziej przyszłościowych dróg odejścia od SMS-ów.
W organizacjach, które mocno inwestują w urządzenia firmowe, naturalnym kierunkiem są natywne metody biometryczne oraz platformowe mechanizmy uwierzytelniania – Windows Hello for Business, Apple Face ID / Touch ID, Android biometrics – połączone z zarządzaniem tożsamością w chmurze. Zamiast wysyłać kod SMS, system może poprosić użytkownika o potwierdzenie operacji za pomocą odcisku palca, skanu twarzy lub kodu wzoru, przy czym klucz prywatny użyty do uwierzytelnienia nigdy nie opuszcza bezpiecznego elementu sprzętowego (TPM, Secure Enclave). Tego typu MFA spełnia zarówno wymagania regulacyjne dotyczące silnego uwierzytelniania klienta, jak i oczekiwania użytkowników co do prostoty i szybkości logowania. W segmentach o najwyższych wymaganiach bezpieczeństwa (bankowość korporacyjna, administracja publiczna, infrastruktura krytyczna) wciąż mają swoje miejsce sprzętowe tokeny kryptograficzne (smart karty, tokeny z certyfikatami X.509), które umożliwiają silne uwierzytelnianie oparte na certyfikatach oraz podpisywanie transakcji z „wiązaniem” do konkretnej treści operacji. Coraz częściej zastępują je jednak nowoczesne rozwiązania software’owe oparte na kryptografii klucza publicznego, w których klucz prywatny przechowywany jest w bezpiecznym module aplikacji mobilnej, a autoryzacja odbywa się poprzez biometrię lub PIN aplikacji. Z perspektywy architektów bezpieczeństwa kluczowe jest projektowanie MFA w modelu „risk-based” – zamiast stosować jeden, uniwersalny kanał (jak SMS), system powinien dynamicznie dobierać metodę uwierzytelniania do kontekstu ryzyka: inna dla standardowego logowania z zaufanego urządzenia, inna dla przelewu wysokokwotowego wykonywanego z nowego kraju. Dzięki temu można łączyć kilka metod (np. FIDO2 + biometria urządzenia + powiadomienie push z podpisem kryptograficznym), minimalizując użycie kanałów o niższym poziomie zaufania. Ostatnim, ale istotnym aspektem przy wyborze alternatywy dla SMS-ów jest doświadczenie użytkownika i koszt operacyjny. Nowe metody MFA powinny być nie tylko bezpieczniejsze, ale również łatwiejsze do zarządzania: centralna polityka, samodzielne odzyskiwanie dostępu przez użytkowników, brak zależności od jakości sieci GSM, obsługa trybu offline. Wprowadzenie takich rozwiązań pozwala nie tylko podnieść poziom ochrony przed SIM swap, phishingiem i przejęciem kont, lecz także znacząco ograniczyć skalę zgłoszeń do helpdesku i koszty związane z wysyłką SMS-ów, co wprost przekłada się na lepszą efektywność działania całej organizacji.
Phishing i Man-in-the-Middle: Ataki na SMS MFA
W 2026 roku phishing przestał być jedynie “masową wysyłką fałszywych maili”, a stał się wysoce wyspecjalizowanym ekosystemem usług, w którym SMS MFA jest jednym z głównych celów. Kluczowym problemem jest to, że kod z SMS-a jest informacją, którą użytkownik widzi, przepisuje i może – często nieświadomie – przekazać napastnikowi. Atakujący nie musi łamać kryptografii ani przejmować infrastruktury operatora; wystarczy, że skłoni ofiarę do wpisania otrzymanego kodu na fałszywej stronie logowania lub podania go w rozmowie telefonicznej, na czacie czy w komunikatorze. W praktyce wygląda to tak: użytkownik otrzymuje e-mail, SMS lub wiadomość na komunikatorze, która do złudzenia przypomina komunikat z banku lub platformy biznesowej, z prośbą o “pilną weryfikację bezpieczeństwa” lub “potwierdzenie podejrzanej transakcji”. Po kliknięciu linku przechodzi na stronę łudząco podobną do oryginalnej, gdzie podaje login, hasło i – co najważniejsze – kod z SMS-a. Równolegle napastnik, często z wykorzystaniem narzędzi automatyzujących (phishing kits), w czasie rzeczywistym loguje się na prawdziwej stronie dostawcy usługi, przepisując dane ofiary i wprowadzając kod, zanim ten wygaśnie. W ten sposób MFA oparte na SMS-ach przestaje być skuteczną barierą, bo drugi czynnik nie jest związany z konkretnym urządzeniem ani kontekstem logowania, a jedynie z posiadaniem przechwyconego numeru telefonu i zdolnością do manipulacji użytkownikiem. Dodatkowo, rosnąca powszechność tzw. spear phishingu (ataków ukierunkowanych na konkretne osoby – np. członków zarządu, księgowość, administratorów systemów) sprawia, że kampanie są coraz lepiej dopasowane do realnych procesów biznesowych. Przestępcy analizują LinkedIna, strony firmowe, a nawet wcześniejsze wycieki maili, by tworzyć niezwykle wiarygodne scenariusze: proszą o “potwierdzenie przelewu”, “autoryzację zmiany numeru konta kontrahenta” lub “pilne zalogowanie do systemu HR”. W wielu firmach, gdzie kultura bezpieczeństwa nie nadąża za rzeczywistością, pracownicy wciąż traktują SMS MFA jako ostateczną gwarancję ochrony i w dobrej wierze wykonują czynności, których nie powinni. Co więcej, phishing coraz częściej łączony jest z innymi wektorami – np. z atakami typu SIM swap, przejęciem skrzynki e-mail czy zainfekowaniem przeglądarki – co powoduje, że SMS jest jednym z wielu elementów większego łańcucha kompromitacji. Sam fakt, że kod przychodzi “z zaufanego numeru” nie ma już praktycznego znaczenia, jeśli cała interakcja użytkownika z procesem logowania została wcześniej przejęta lub zmanipulowana.
Jeszcze groźniejszą kategorią są ataki typu man-in-the-middle (MitM), w których napastnik nie ogranicza się do podszycia pod stronę logowania, ale aktywnie “pośredniczy” w komunikacji między użytkownikiem a prawdziwym systemem w czasie rzeczywistym. Najbardziej zaawansowane zestawy narzędzi phishingowych (tzw. reverse proxy phishing) potrafią przechwytywać całe sesje uwierzytelnione – wraz z tokenami sesyjnymi, cookies i nagłówkami bezpieczeństwa – co w praktyce pozwala przestępcy całkowicie ominąć SMS MFA po jednorazowym udanym logowaniu ofiary. Scenariusz wygląda następująco: użytkownik wchodzi na fałszywą stronę, która z technicznego punktu widzenia pełni rolę proxy między nim a prawdziwym serwerem (np. banku czy korporacyjnego SSO). Gdy wpisuje login i hasło, proxy przekazuje je dalej, a prawdziwy serwer wysyła SMS z kodem na numer użytkownika. Ofiara przepisuje kod do fałszywej strony, a napastnik wprowadza go w oryginalnym formularzu logowania. Po udanym uwierzytelnieniu przeglądarka ofiary otrzymuje prawidłową odpowiedź serwera, ale równocześnie napastnik przechwytuje token sesyjny, który pozwala mu zalogować się z własnego urządzenia bez konieczności ponownego podawania ani hasła, ani kodu SMS. Co istotne, takie ataki są w dużej mierze niewykrywalne dla użytkownika: certyfikat TLS może wydawać się prawidłowy (domena bywa różniącą się jedną literą), strona jest identyczna jak oryginał, a cały przepływ wygląda jak “normalne” logowanie z MFA. Z perspektywy organizacji SMS dodatkowo zwiększa powierzchnię ataku, gdyż wprowadza dodatkowy kanał komunikacji, który można podsłuchać, przekierować lub zmanipulować – np. przez złośliwe aplikacje na smartfonie, przekierowania numerów, fałszywe stacje bazowe (IMSI catchers) czy zainfekowane bramki SMS. Tymczasem bardziej nowoczesne metody uwierzytelniania – takie jak klucze bezpieczeństwa FIDO2/WebAuthn czy logowanie oparte na kluczach kryptograficznych zapisanych w bezpiecznym module urządzenia – są z definicji odporne na tego typu ataki, ponieważ nie polegają na przepisaniu kodu, lecz na kryptograficznym podpisaniu wyzwania związanego z konkretną domeną i kontekstem. W świecie, w którym phishing i MitM są zautomatyzowane i sprzedawane jako usługi (Phishing-as-a-Service), utrzymywanie SMS MFA jako głównej lub jedynej linii obrony oznacza akceptację tego, że przestępca może w czasie rzeczywistym “stać obok” użytkownika w procesie logowania i przechwycić wszystko, co jest mu potrzebne do trwałego przejęcia konta.
Jak Zabezpieczyć Firmę przed Cyberzagrożeniami
Skuteczne zabezpieczenie firmy przed współczesnymi cyberzagrożeniami zaczyna się od świadomej decyzji o odejściu od SMS-ów jako podstawy uwierzytelniania i zbudowania spójnej strategii bezpieczeństwa, w której technologia, procesy i ludzie są ze sobą ściśle zintegrowani. Pierwszym krokiem jest opracowanie polityki uwierzytelniania, która jasno określi, że SMS może być stosowany wyłącznie jako kanał rezerwowy w sytuacjach awaryjnych (np. odzyskanie dostępu), a nie jako główny składnik MFA. W praktyce oznacza to wdrożenie alternatywnych metod: aplikacji uwierzytelniających TOTP, kluczy sprzętowych FIDO2, logowania bezhasłowego z użyciem WebAuthn oraz natywnych biometrii urządzeń (Windows Hello, Touch ID, Face ID). Dobrą praktyką jest segmentacja ryzyka: dla dostępu do systemów o niskim ryzyku można zastosować silne hasło + TOTP w aplikacji, dla systemów krytycznych – obowiązkowe FIDO2/WebAuthn bez możliwości „zastąpienia” kodem SMS. Równolegle warto przeprowadzić inwentaryzację wszystkich procesów biznesowych, w których dziś używany jest SMS (bankowość, podpisywanie umów, zatwierdzanie przelewów, dostęp zdalny, panele administracyjne SaaS) i dla każdego z nich zaprojektować bezpieczniejszy zamiennik. Dla bankowości korporacyjnej może to być dedykowana aplikacja mobilna z kanałem szyfrowanym i silnym wiązaniem urządzenia, dla paneli administracyjnych – wymóg klucza FIDO2 oraz listy zaufanych urządzeń i przeglądarek. Takie podejście nie tylko minimalizuje ryzyko SIM swap i przechwycenia SMS-a, ale też pozwala spełnić wymogi SCA (Strong Customer Authentication) i lepiej udokumentować należytą staranność wobec regulatorów i partnerów biznesowych. Kluczowe jest też wzmocnienie warstwy zarządzania tożsamością (IAM/CIAM): centralizacja kont, wymuszenie MFA bez-SMS-owego dla administratorów, zarządzanie cyklem życia uprawnień (onboarding, zmiana roli, offboarding) oraz regularne przeglądy dostępu, dzięki którym nawet skuteczny atak phishingowy będzie miał ograniczony zasięg. Kolejnym filarem jest architektura „zero trust”, w której dostęp nie jest przyznawany na stałe „bo ktoś jest w sieci firmowej”, lecz dynamicznie – na podstawie kontekstu: urządzenia, lokalizacji, reputacji adresu IP, profilu zachowania użytkownika i wrażliwości zasobu. Zastosowanie narzędzi klasy ZTNA i CASB pozwala dodatkowo monitorować anomalie (np. logowanie z nietypowego kraju po kilku minutach od logowania w Polsce) i blokować podejrzane sesje, nawet jeśli napastnikowi udało się przejąć pojedynczy token sesyjny w ataku MitM.
Technologia nie wystarczy jednak bez odpowiednio zaprojektowanych procesów i świadomych pracowników, dlatego równolegle z rezygnacją z SMS MFA należy wzmocnić warstwę operacyjną oraz edukację. Po pierwsze, warto uporządkować procesy współpracy z operatorami telekomunikacyjnymi: wprowadzić jasne zasady dotyczące wydawania duplikatów kart SIM dla numerów należących do kluczowych pracowników i administratorów, zażądać od operatora dodatkowych kroków weryfikacji (np. kodu ustalonego w umowie, dodatkowego kanału kontaktu), a w przypadku numerów krytycznych rozważyć całkowite odseparowanie ich od procesów logowania i autoryzacji. Po drugie, należy opracować i przetestować scenariusze reagowania na incydenty, w tym specjalne playbooki na wypadek podejrzenia SIM swap, przejęcia skrzynki pocztowej lub ataku phishingowego na systemy finansowe: kto podejmuje decyzję o blokadzie kont, jakie kroki natychmiast wykonuje dział IT, jak sprawnie poinformować użytkowników, jak zabezpieczyć logi pod kątem analizy powłamaniowej. Szkolenia z bezpieczeństwa powinny wyjść poza „jednorazowy e-learning” i stać się cyklicznym procesem budowania kultury cyberhigieny – z praktycznymi symulacjami phishingu, pokazami ataków w czasie rzeczywistym, omówieniem najnowszych kampanii (np. realnych SMS-ów podszywających się pod bank czy kuriera) i ćwiczeniami weryfikacji tożsamości rozmówcy w kontaktach z „IT” lub „bankiem”. Aby zminimalizować błędy ludzkie, warto wdrożyć zasady „dwóch par oczu” dla przelewów o wysokiej wartości, wykorzystując przy tym różne, od siebie niezależne metody uwierzytelnienia decydentów (np. inny kanał, inne urządzenie, inny typ faktora niż SMS). Istotną rolę odgrywa także regularne testowanie środowiska: testy penetracyjne, red teaming z naciskiem na scenariusze SIM swap, MitM i przejmowanie sesji, ćwiczenia typu purple team z udziałem SOC oraz wewnętrznych zespołów bezpieczeństwa. Uzupełnieniem są techniczne mechanizmy obronne: wdrożenie DNS i e-mail security (DMARC, DKIM, SPF) dla ograniczenia phishingu mailowego, ochrony ruchu web (EDR/XDR) i korelacji zdarzeń w SIEM. W połączeniu z jasnym planem migracji z SMS na nowoczesne MFA – rozpisanym na etapy, z pilotażem na wybranych zespołach, komunikacją zmian i wsparciem helpdesku – pozwala to firmie nie tylko zredukować ryzyko wynikające z przestarzałych metod uwierzytelniania, ale też budować dojrzałe, proaktywne podejście do cyberbezpieczeństwa, które nadąża za szybko zmieniającym się krajobrazem zagrożeń.
Podsumowanie
W 2026 roku uwierzytelnianie przez SMS staje się coraz mniej bezpieczne z powodu wzrostu zagrożeń, takich jak ataki SIM swap, phishing i brak szyfrowania end-to-end. W artykule omówiono te słabości oraz przedstawiono bezpieczniejsze alternatywy MFA, które oferują lepszą ochronę przed cyberzagrożeniami. Warto zastanowić się nad implementacją nowoczesnych metod uwierzytelniania, aby skutecznie chronić swoje dane i firmę przed narastającymi atakami hakerskimi.
