2026 júniusában a lengyel Kiberbűnözési Iroda (CBZC) az amerikai FBI és a Homeland Security Investigations (HSI) négy személyt tartóztatott le, akik szervezett bűnözői csoportként hajtottak végre SIM-swapping támadásokat. Az információk alapján a banda specializált szoftvereket és social engineering módszereket alkalmazva jogosulatlan hozzáférést szerzett a távközlési szolgáltatókkal együttműködő vállalatok informatikai rendszereihez, valamint alkalmazottai e-mail fiókjához. Az így megszerzett adatok lehetővé tették az áldozatok telefonszámainak illegális átvételét, az SMS és e-mail kommunikáció lehallgatását, majd kriptovaluta eltulajdonítását.
A SIM-swapping (más néven SIM-csere) egy olyan támadási módszer, amelynek során a bűnözők az áldozat SIM-kártyáját „átklónozzák” egy másik SIM-re, amelyet ők birtokolnak. Mivel a legtöbb online szolgáltatás (bank, kriptotőzsde, e-mail) a kétlépéses hitelesítéshez SMS-kódot küld, a mobilszám átvételével a támadók beléphetnek az áldozat fiókjaiba, megváltoztathatják a jelszavakat, és hozzáférhetnek a pénzéhez anélkül, hogy a valódi eszközéhez hozzányúlnának.
A CBZC becslése szerint a csoport által ellopott összeg több tízmillió lengyel zlotyt. Ez jelenlegi árfolyamon legalább 5 millió amerikai dollárnak felel meg. A lopott összegeket több országban nyitott bankszámlákon és digitális pénztárcákon keresztül mosták tisztára. A banda tagjai ezt rendszeres bevételi forrásként kezelték, nem egyszeri akcióként.
A támadási lánc nem közvetlenül a mobilszolgáltatókat célozta, hanem az azokkal együttműködő partnervállalatokat. Az ellátási lánc (supply chain) gyenge pontjain keresztül kompromittált belső e-mail fiókok adtak hozzáférést olyan adatbázisokhoz, amelyek segítségével a SIM-cseréhez szükséges személyes azonosítók begyűjthetők voltak.
Az eset rávilágít arra, hogy az SMS alapú kétlépcsős hitelesítés formája önmagában nem nyújt elegendő védelmet, ha a mobilszám maga is kompromittálható. Felhasználói szinten a megoldás az SMS helyett hitelesítő alkalmazás vagy hardveres biztonsági kulcs használata.