Efter gentagne fadæser: Teleselskaber overvejer helt at droppe udleverering af sim-kort i fysiske butikker

Både hos 3, Telia, Yousee og Telenor er der nu sat remindere op, der skal dæmme op for problemet med simkort, der bliver udleveret, uden den påkrævede ID har været fremvist. Illustration: 3
Telebranchen overvejer nu helt at stoppe med udlevering af sim-kort i fysiske butikker, efter Version2 og Ingeniøren flere gange har påvist problemer med sikkerheden ved denne praksis.

Det er åbenbart så svært at sikre sig mod sim-swap-svindel, at teleselskaberne nu over en bred kam overvejer helt at lukke ned for udleveringen af simkort i de fysiske telebutikker.

Version2 og Ingeniøren har gennem længere tid afdækket, hvordan det er muligt at få udleveret aktive sim-kort i landets telebutikker, uden at der er blevet fremvist den påkrævede billed-ID. På den måde åbner teleselskaberne for en lang række angreb mod persondata, onlinekonti og offerets private og professionelle kontakter.

Læs også: Bankdirektør efter afsløring af ringe sim-kort-sikkerhed i telebutikkerne: »Rystende og klart ulovligt«

»Det er ikke sikkert, at et totalt stop for udlevering af sim-kort i fysiske butikker er så langt væk igen,« lyder det fra TDC-ejede Yousees kommercielle direktør, Eva Bisgaard.

Hun fortæller, at man i teleselskabernes brancheforening, Teleindustrien, har diskuteret, hvad pokker man skal stille op overfor sim-swaps. Nogle af disse møder og diskussioner er sat i stand som en direkte udløber ad stikprøverne.

»Det hjælper ikke, hvis det kun er ét teleselskab, der lukker ned for adgangen til sim-kort i de fysiske butikker. Det skal være en fælles beslutning,« siger Eva Bisgaard.

Skyldes også grovere svindel

I de stikprøver, Version2 og Ingeniøren har foretaget, har vi været lavpraktiske og undgået alt, der kræver falskneri eller tyveri. Vi har ikke brugt andres ID, ligesom vi heller ikke har forsøgt at stykke falske pas sammen.

Der var ellers mange butikker, der spurgte efter digitale billeder af pas, som man nemt kan forfalske.

Eva Bisgaard fortæller, at langt de fleste svindelforsøg mod sim-kort netop baserer sig på grovere svindel, hvor ID’et enten er blevet stjålet eller forfalsket. Det gælder også NemID. Hvordan det nærmere foregår, vil Version2 komme ind på i en senere artikel.

Kritiske simkort

Når teleselskaberne ikke allerede har lukket ned for adgangen til sim-kort i de fysiske butikker, skyldes det, at det for kunder kan opleves som dårlig service, hvis man ikke kan få et nyt sim-kort med det samme, fortæller flere af selskaberne til Version2.

Derudover fortæller Eva Bisgaard, at der er visse sim-kort, man er nødt til at kunne få med det samme.

»Hvis vi lukker helt ned for den øjeblikkelige adgang til sim-kort, åbner vi bare for nogle nye problemer, blandt andet i forhold til kritiske sim-kort til overfaldsalarmer eller lignende,« siger Eva Birgitte Bisgaard.

»Samtidig er det jo sådan, at det for de fleste af os vil være kritisk at være uden en telefon med forbindelse. Og det er derfor, vi tilbyder at udlevere sim-kort i butikkerne som en øjeblikkelig løsning, hvis man får brug for et nyt sim-kort,« siger Eva Bisgaard.

Hun understreger også, at de fleste sim-kort bliver udleveret til rigtige mennesker med reelle behov. Samtidig ønsker Eva Bisgaard dog ikke at oplyse, præcis hvor mange svindelforsøg Yousee er blevet udsat for det seneste år.

Selskabet har ellers lige gjort status efter Version2’s afsløringer.

Klare forbedringer

Da Version2 og Ingeniøren begyndte at afdække problematikken for mere end seks uger siden, var sim-kortudlevering i danske butikker en åben sikkerhedsmæssig ladeport. Vi kunne blot gå ind i en forretning og sige et telefonnummer. Og i tre ud af fire tilfælde udløste det et nyt, aktivt sim-kort.

I dag er det anderledes, viser vores seneste stikprøve.

Butikkerne vil, i overvejende grad, ikke udlevere sim-kort uden at se den påkrævede billed-ID. Ikke desto mindre lykkedes det i sidste uge Version2 at få endnu et sim-kort udleveret fra netop Yousee.

»Vi skal være de sidste til at læne os tilbage og sige, at det er o.k., når det kun sker en gang imellem,« lød det i den forbindelse fra Eva Bisgaard.

Læs også: Pladask: Yousee falder i og udleverer aktivt sim-kort uden at se ID

It-systemer og pauseskærme

Den umiddelbare forbedring af stikprøveresultatet i forhold til de øvrige selskaber skyldes blandt andet, at alle selskaberne har sendt deres medarbejdere adskillige remindere på mail og skruet op for fokus på problematikken i deres optræning af medarbejderne.

3 er et af de teleselskaber, der, modsat tidligere, denne gang klarede frisag.

»Ved jeres anden stikprøve må vi konstatere, at vi ikke var nået i mål med implementeringen af alle punkter. Men vi har arbejdet stenhårdt på det siden og glæder os over at høre fra jeres seneste stikprøve, at det går den rigtige vej,« siger salgschef i 3 Lasse Schneider, der også kan fortælle, at der er en it-mæssig stopklods på vej til at forhindre de helt simple sim-swaps i butikkerne.

Læs også: »Helt absurd«: Sag om sim-kort-sjusk afdækker telesektorens kludetæppe af myndigheder

»Vi er desuden om kort tid klar med en løsning, som gør, at medarbejderne ikke kan få adgang til at skifte en kundes sim-kort i vores it-system, før de har indtastet kundens pas- eller kørekortnummer,« lyder det fra Lasse Schneider.

En lignende løsning har man allerede implementeret hos Telia, der ligeledes har lavet deres pauseskærme om til ID-remindere. Og Telenor vil »se på nye systemtekniske måder at understøtte vores processer på«, som selskabet skriver i en mail til Version2.

Se den korte demonstration af vejen fra stjålet sim-kort til mailindbakke, der kan åbne for alvorlige svindel- og privacyproblemer, her:

Video: Mads Lorenzen

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (28)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Emil Kampp

»Det hjælper ikke, hvis det kun er ét teleselskab, der lukker ned for adgangen til sim-kort i de fysiske butikker. Det skal være en fælles beslutning,« siger Eva Bisgaard.

Selvfølgelig hjælper det, hvis blot ét selvskab lukker ned for det. Det hjælper for alle det selskabs kunder!

  • 16
  • 0
Jørgen Kanters

Det er vel ikke særligt svært. 99% af kunderne har NEM ID. Det kunne således blive et krav at kunden for at få udleveret et SIM kort loggede på et NEMID verificeret system for at få udleveret sit SIM kort. Så generede man ikke de 99% (udover de kriminelle) og den sidste % der ikke vil have NEMID måtte så tage den besværlige løsning

  • 9
  • 0
Simon Mikkelsen

Hvis en almindelig dansker har brug for et nyt SIM-kort og oplever ikke at kunen få det, er der en vis sandsynlighed for at vedkommende bliver sur og skifter teleselskab. Derfor ønsker ingen formegentlig at gå enegang.

Kampen om kunderne er hård og langt størstedelen af dem der totalt ligeglade med simswapping indtil det sker for dem selv.

  • 1
  • 0
Benny Amorsen

Det kunne således blive et krav at kunden for at få udleveret et SIM kort loggede på et NEMID verificeret system for at få udleveret sit SIM kort.


Dvs. jeg får stjålet min telefon. Så går jeg ned i butikken for at få et nyt SIM-kort og køber en ny telefon. For at udlevere SIM-kortet kræver butikken at jeg logger på med NemID, hvilket er meget nemt, jeg skal bare swipe til højre på min NemID-app... som ligger på den stjålne telefon.

  • 1
  • 6
Kasper Hansen

Dvs. jeg får stjålet min telefon. Så går jeg ned i butikken for at få et nyt SIM-kort og køber en ny telefon. For at udlevere SIM-kortet kræver butikken at jeg logger på med NemID, hvilket er meget nemt, jeg skal bare swipe til højre på min NemID-app... som ligger på den stjålne telefon.


Selvom du har installeret og aktiveret NemID app'en kan du altid vælge at bruge dit nøglekort istedet. Så kan det naturligvis være strjålet med tasken, men hvorfor har du det i tasken når du har NemID på din telefon?

At kræve NemID er ikke en perfekt løsning for NemID er ved spaghetti-monstret ikke nogen perfekt løsning på noget problem. Men det er en klar forbedring i mangel af bedre løsninger.

  • 2
  • 0
Svenne Krap

Er det ikke lige meget med turister, der ikke har nemid?

Angrebet er vel uberettiget skift af et eksisterende simkort ?

NemID vil IMHO være en god mellemvej, da det eneste andet alternativ er at sende skitet til folks folkeregisteradresse, dvs. vente op imod 20 måneder på postdk...

  • 6
  • 0
Rune Gori

Nu kan der jo gives adgang til 3.-parter for at opsætte og aktivere simkort - ville det ikke være nærliggende at alarmselskaberne selv oprettede og aktiverede deres simkort? bum, så er den undskyldning ude af verden.

Det kunne være et fint tiltag at man skulle logge ind med NemID og autorisere udleveringen af et simkort for at medarbejderen i butikken kunne oprette det - og så synes jeg stadig de burde skulle notere sig kørekort- eller pasnummer for at gennemføre transaktionen, men det kræver nok noget snedkeri i baglokalet at få sådan et system på banen - ind til da synes jeg det lyder som en god løsning at stoppe udlevering i fysiske butikker.

  • 0
  • 0
Morten Grouleff

Problemet er jo ikke, at man kan få et SIM-kort. Det sker der ikke noget ved, så længe der ikke bindes et eksisterende nummer til det nye kort.

Problemet er, at man kan få adgang til et eksisterende nummer uden ordentlige check af at man "ejer" det nummer. Og når de to så sker samtidigt, sammen med en (provisionslønnet?) sælger, så er andres sikkerhed aldrig det vigtigste emne.

Så løs de opgaver hver for sig!

Så forsvinder undskyldningen med at give bedre service også - man kan sagtens få et SIM-kort nu og her, men før du får dit påståede nummer overflyttet, skal der sikkerhedhed i form af selvbetjening på en fælles hjemmeside (med nemid), eller fremmøde i Borgerservice.

Pointen er at adskille sælgeren i teleselskabet, der jo gerne vil "hjælpe" fra det kritiske skridt: Det skal ligge et sted, hvor der ikke sker et salg.

Borgerservice kan jo vælge at checke ID pas eller på andre måder, og de er traditionelt ikke er så nemme at løbe om hjørner med..

Turisterne vil stadig nemt kunne hente et SIM-kort, og burde være ligeglade med at få et "nyt" nummer til det.

Kerne-problemet er nok, at teleselskaber i egen optik "ejer" numrene, hvor det burde være en samfunds-opgave. Kunne de ikke oprette et selskab som kan drive den del for sig, ejet af de 3 udbydere?

  • 5
  • 1
Kjeld Flarup Christensen

NemID vil IMHO være en god mellemvej, da det eneste andet alternativ er at sende skitet til folks folkeregisteradresse, dvs. vente op imod 20 måneder på postdk...


Det vil kræve en ændring i produktionen af SIM kort, men man kan blot udlevere et SIM kort uden PIN og PUK kode påtrykket. De koder sender man med E-Boks.

Man kunne også lave et system, hvor selve aktiveringen sker med NemID.

Begge dele vil kræve ændringer af IT systemerne, men ikke så gennemgribende igen.

Dvs. jeg får stjålet min telefon. Så går jeg ned i butikken for at få et nyt SIM-kort og køber en ny telefon. For at udlevere SIM-kortet kræver butikken at jeg logger på med NemID, hvilket er meget nemt, jeg skal bare swipe til højre på min NemID-app... som ligger på den stjålne telefon.


Så går du ind på nemid.nu og melder dit nøglekort stjålet og får et nyt. Bare too bad du er uden telefon i et par dage så. Eller måske du opdager at du lever bedre uden :-D

  • 0
  • 0
Michael Poulsen

Her i Australien hvor jeg bor bruger teleselskaberne 1 af 2 varianter ved enhver ændring, såsom udlevering af SIM kort, ændring af abonnement, adresseændring m.v. Samtidigt får man email og SMS bekræftelse ved enhver ændring så man hurtigt kan reagere hvis der er lavet uautoriserede ændringer. Det gælder uanset om man gør det online eller i en butik.

  • Pas eller kørekort nummer.
  • Selvvalgt PIN kode ved abonnementsoprettelsen.

Første løsning er nok urealistisk på den korte bane i Danmark da det kræver at teleselskaberne får adgang til nationelle registre.

NemID er en dårlig løsning. eBoks ligeså, da de forhindrer ting som køb og aktivering af en ny mobil i butikken hvis ens mobil er stjålet.

  • 0
  • 0
Hans Nielsen

Samtidigt får man email og SMS bekræftelse ved enhver ændring så man hurtigt kan reagere hvis der er lavet uautoriserede ændringer.


Meget hurtigt ?
Hvis du er ude at køre, eller har lagt telefonen fra dig. ER du så sikkert på, at du på 2-10 minuter, kan få lukket eller ændret alle dine vigtige konti,
Du får jo ingen SMS, hvis kortet er ændret, og er du sikkert på at ser alle din mail.

Det er derfor at SIM kortet er så vigtigt, det er for de fleste en af hovednøglener, til hel ens digitale liv.

  • 0
  • 1
Gert Madsen

Første løsning er nok urealistisk på den korte bane i Danmark da det kræver at teleselskaberne får adgang til nationelle registre.


Hvorfor egentlig ?
Det grundlæggende problem er jo at telefonsælgeren ikke beder om at se legitimation - ikke at det vrimler med folk, der viser falsk ID.
Det burde selvfølgelig ikke være nødvendigt at gøre andet end at indskærpe den regel.
Men man kan da have en registrering af pas/kørekort nummer, for at "hjælpe" på sælgerens hukommelse.

  • 1
  • 0
Michael Poulsen

Hej Hans,

I bund og grund ved mange ikke engang hvis deres faktiske telefon er stjålet inden 2-10 minutter... SMS og email er jo reaktive i deres natur, men uanset hvor længe det tager dig at læse emailen, så er det alt andet lige med til at begrænse skaden. Jo hurtigere du læser din email, jo mere begrænses skaden.

Den proaktive sikkerhed består jo i at ekspedienten skal indtaste dit pas eller kørekortsnummer for overhovedet at lave bestillingen. Samt at selvsamme nummer/numre checkes online så man er mere sikker på bestilleren er den rigtige person (navn og adresse bliver returneret af ID checket og bestillingen kan foretages hvis det matcher med abonnementsholderen).

  • 0
  • 0
Michael Poulsen

Hvorfor egentlig ?

Hej Gert,

Fordi man i vore GDPR tider har meget svært ved at nå til enighed om noget der vedrører adgang til følsomme persondata. Ikke et sekund i tvivl om at man kan blive enige, men ikke på den korte bane. På et år måske hvis stemningen er positiv :-) Men men skal have noget andet på den korte bane, og der kan jeg da godt lide idéen om en selvvalgt PIN kode... Har man glemt PIN koden, så kan man kun få det nye SIM kort sendt hjem til sig i posten eller noget...

  • 0
  • 0
Michael Poulsen

Spørgsmålet er vel nærmere hvad man skal med pas og kørekort nummer.

Hej Kjeld,

Pas eller kørekort nummer er det man har her i Australien hvor man ikke har CPR nummer eller modsvarende. Pas eller kørekort nummer er heldigvis mere sikkert end CPR nummer da man netop kan bytte pas eller kørekortnummer ved at bestille et nyt hvis de er blevet stjålne ;-)

Men i Danmark skal det jo nok være en kombi af pas, kørekort eller CPR nummer...

  • 0
  • 0
Povl Hansen

Kerne-problemet er nok, at teleselskaber i egen optik "ejer" numrene, hvor det burde være en samfunds-opgave. Kunne de ikke oprette et selskab som kan drive den del for sig, ejet af de 3 udbydere?

For af kunne skifte nummer fra det ene selskab til det andet så man har allerede oprette det selskab du ønsker, deres opgave er så af holde styr på hvilken selskab der har hvilkent nummer.

Af telebutiken kun kan udleverer nødkort, til ledige numre er en god ide, på de måde, risikerer de ikke af kunder pludselig står uden telefon.

De kan stadig sælge både til turister og nye kunder, da ikke har behov for af få adgang til numrer allerede i brug

  • 0
  • 0
Gert Madsen

Samt at selvsamme nummer/numre checkes online så man er mere sikker på bestilleren er den rigtige person (navn og adresse bliver returneret af ID checket og bestillingen kan foretages hvis det matcher med abonnementsholderen).


Og her gøres det besværligt, for at løse et ikke-problem.
Der er ingen som beretter om falsk ID. Kun om sælgere, som er for fokuserede på salg af næste telefon, til at gide tjekke billedID. Som Kjeld Flarup Christensen skriver ovenfor, så burde det ikke være nødvendigt at registere nummeret. Det har ikke anden funktion, end at skubbe sælgeren til faktisk at tjekke ID.

  • 0
  • 0
Michael Poulsen

Og her gøres det besværligt, for at løse et ikke-problem.
Der er ingen som beretter om falsk ID. Kun om sælgere, som er for fokuserede på salg af næste telefon, til at gide tjekke billedID.

Hej Gert,

Helt enig. Det er en måde at sikre sig at ID'et faktisk er blevet checket. Og her opleves det ikke som besværligt - sælgeren indtaster 8 eller 9 cifre og selve ID checket online tager 2 sekunder...

At det så også "løser" et ikke-problem (som nu er et problem som blot ikke fremgår af artiklen) er vel bare en bonus.

Synes artikel serien har vist med al tydelighed at en indskærpelse eller to tydeligvis ikke er nok... Så hvad skal man så gøre?

  • 0
  • 0
Henrik Pløger Stougaard Nielsen

Selvfølgelig hjælper det, hvis blot ét selvskab lukker ned for det. Det hjælper for alle det selskabs kunder!

Det er bare en måde at unddrage sig ansvar. Det er nøjagtigt det samme, som når Danmark ikke vil gå enegang med nye regler og tiltag, men i stedet vil arbejde på det på EU-plan.

En åbenlys løsning på problemet kommer nok inden for de næste par år med eSIM, hvor man helt slipper for at udstede fysiske SIM-kort.

  • 0
  • 0
Log ind eller Opret konto for at kommentere