Bankdirektør efter afsløring af ringe sim-kort-sikkerhed i telebutikkerne: »Rystende og klart ulovligt«

Illustration: Pagina/Bigstock
Ekstra sikkerhed baseret på sms er ligegyldig, hvis den kan omgås med simpelt sim-swap-angreb, lyder det fra ærgerlig bankdirektør i Jyske Banks koncerndirektion.

Det påvirker også sikkerheden i landets banker, når de danske teleselskaber udleverer aktive sim-kort til eksisterende numre og på den måde gør det muligt at overtage andre folks telefonnumre.

Den efterhånden vedvarende problematik med sim-swapping vil CFCS løse med »konstruktiv dialog«.

»Vi kommer til at have en – diplomatisk sagt – konstruktiv dialog med telebranchen, men det er ikke nødvendigvis os, der har ressort på det her område,« siger chef for Center for Cybersikkerhed Thomas Lund-Sørensen.

For ligesom Google og Facebook bruger de danske banker sms’er til at bekræfte folks identitet, fortæller Peter Schleidt, der er bankdirektør i Jyske Banks hovedbestyrelse.

»Det er jo rystende og klart ulovligt – hvordan kan dog man finde på at udlevere et nyt sim-kort til person, uden at der tjekkes billed-ID?« lyder det fra den frustrerede bankdirektør i et opslag på Linkedin.

Læs også: Hackere kan overtage mailkonti hos Google og Microsoft alene via et telefonnummer

»Vi banker har problem, for vi beder nogle gange vores kunder bekræfte en transaktion på sms, hvis vi er det mindste i tvivl, om det kunne være en anden – men hvis svindleren bare kan overtage kundens telefonnummer, så ...« slutter han retorisk.

Skal bekræfte mistænkelige overførsler

I et interview med Version2 fortæller Peter Schleidt, at sms’erne er et ekstra lag af sikkerhed ud over det obligatoriske NemID, der lægges ned over overførsler, der på en eller måde stikker ud.

Det vil sige, at kunden modtager en sms, når usædvanlig kontoaktivitet finder sted.

Sms’en bliver sendt til kontoindehaveren, fordi den slags aktiviteter kan være iværksat af it-kriminelle, der er ved at tømme en konto. Herefter skal kontoindehaveren svare ‘ok’ for at bekræfte, at overførslen er legitim.

‘Usædvanlig kontoaktivitet’ kan eksempelvis være i forbindelse med store overførsler, overførsler til konti, man ikke før har overført penge til, eller overførsler på mærkelige tider af døgnet, forklarer Peter Schleidt.

Læs også: Myndigheder afviser at granske teleselskaber trods simkort-afsløringer

»Hele branchen bruger disse sms’er i forskellig grad. Det svinger lidt, afhængigt af hvor meget der skal til, før de er nødvendige, men alle bruger dem,« siger Peter Schleidt, der også har en fortid hos Danske Bank.

Sagt på en anden måde tillader sim-swap-sårbarhederne, Version2 har illustreret, at man nemt kan svindle sig uden om den sikkerhed, bankerne har lagt ned over overførslerne for at undgå svindel.

Teleselskaber lover bod og bedring

Teleselskaberne lovede efter Version2 og Ingeniørens afsløringer, at de ville rette ind og lukke hullet, men det skete ikke. Kort efter kunne vi igen dokumentere, at man med en minimal indsats kunne få udleveret sim-kort til eksisterende telefonnumre uden at vise den fornødne billedlegitimation.

Efter den anden afsløring er både [Datatilsynet]( og Center for Cybersikkerhed dog gået ind i sagen i håb om endeligt at lukke for sårbarhederne.

Begge myndigheder har indkaldt brancheforeningen for teleselskaberne, Teleindustrien, til en »’diplomatisk sagt’ konstruktiv dialog med telebranchen«, som chef for Center for Cybersikkerhed Thomas Lund-Sørensen sagde til Version2.

Læs også: CFCS indkalder telebranchen til »konstruktiv snak« efter sim-kort-afsløringer

Og hos Jyske Bank ser man frem til, at teleselskaberne får styr på deres procedurer, så folk ikke kan hente nye sim-kort på deres glatte ansigt.

»Sms og telefonnumre er i de fleste tilfælde kun sekundær identifikation for os, men derfor er det stadig møgærgerligt, at det i nogle tilfælde er fuldkommen værdiløst til at identificere kunderne,« siger Peter Schleidt.

»Så jeg håber godt nok, at selskaberne retter op nu, og at myndighederne sikrer, det kontrolleres.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Emil Kampp

Hvis kritikken (uanset, hvor den kommer fra) er korrekt og reel, så bør man lytte.

Når det så er sagt, så er det jo ligegyldigt, hvor meget kunderne prøver at sikre deres konti med to-faktor, sms'er eller nem ID, når de kriminelle er bankerne selv.

jydske Bank har -- så vidt jeg ved -- ikke haft en skandale, så det giver dem lidt mere troværdighed, men forestil jer, hvis danske Bank havde stillet sig op og kritiseret tele selskaberne for ikke at have styr på deres processer.

Når en branche med så meget landsdækkende økonomisk svigt råber op, og regner med at blive taget mere seriøst, end dem, de peger fingre af, så ved man at det er nået lavmålet.

  • 1
  • 1
Casper Pedersen

Nu er det jo kendt at 2fa via telefonen (SMS) er noget af det mest uskikre, da det er muligt at overtage et tlf. nummer. At Danske Banker så har levet med hovedet i sandet, er så en helt anden ting - men uvidenhed kan ikke rigtig undskylde dette problem.

I udlandet har bankerne travlt med at flytte 2fa (TAN) til applikationer da man ved at dette er et problem.

  • 6
  • 0
Jonas Iversen

Det er service-udbyderen (i det hér tilfælde bankerne) som i sidste ende er ansvarlig for at vælger en authentication teknologi som er sikker, og det er SMS tydeligvis ikke, punktum! Man kan ikke tørre ansvaret af på nogen andre, f.eks. teleselskaberne.
Lad os bare lege, at der aldrig mere ville blive uretmæssigt udleveret SIM kort fra telebutikkerne, så ville SMS stadig ikke være sikker. Der er stadig rigtig mange ansatte hos i teleselskaberne som ville kunne misbruge SIM kort.
Så find nogen alternativer!
F.eks. den teknologi som bl.a. Google Authenticator mf. benytte (en app på din smartphone som skifter kode hvert minut)

  • 3
  • 0
Gert Madsen

Hvis kritikken (uanset, hvor den kommer fra) er korrekt og reel, så bør man lytte.


Nu har teleselskaberne jo nok lavet den kalkyle, at det bedst kan betale sig at sluge de uberettigede regninger, for teletrafik, som kommer fra SIM-kort, der er udleveret til forkerte personer, frem for at øge sikkerheden.
Fuldstændigt som sikkerheden ved NemID er bestemt af, at der ikke er alt for meget tab ved bankoverførsler, som skal tilbageføres.
Så klagen lyder godt nok hult.

  • 4
  • 0
Log ind eller Opret konto for at kommentere