Efter gentagne fadæser: Teleselskaber overvejer helt at droppe udleverering af sim-kort i fysiske butikker
Det er åbenbart så svært at sikre sig mod sim-swap-svindel, at teleselskaberne nu over en bred kam overvejer helt at lukke ned for udleveringen af simkort i de fysiske telebutikker.
Version2 og Ingeniøren har gennem længere tid afdækket, hvordan det er muligt at få udleveret aktive sim-kort i landets telebutikker, uden at der er blevet fremvist den påkrævede billed-ID. På den måde åbner teleselskaberne for en lang række angreb mod persondata, onlinekonti og offerets private og professionelle kontakter.
»Det er ikke sikkert, at et totalt stop for udlevering af sim-kort i fysiske butikker er så langt væk igen,« lyder det fra TDC-ejede Yousees kommercielle direktør, Eva Bisgaard.
Når en angriber skaffer et aktivt sim-kort til et eksisterende telefonabonnement og dermed overtager offerets nummer, kaldes det sim-swapping. Ingeniøren og Version2 har ved en stikprøve for seks uger siden vist, at fænomenet er yderst muligt i Danmark, Det betyder, at danske numre så let som ingenting kan misbruges af angribere til alverdens svindel. Fra at sende beskeder og ringe til offerets kontakter til at trænge ind i mails og derigennem åbne for offerets onlineliv. Allerede dengang lovede teleselskaberne, at de ville stramme op, men der er stadig problemer den dag i dag.Sim-swapping
Hun fortæller, at man i teleselskabernes brancheforening, Teleindustrien, har diskuteret, hvad pokker man skal stille op overfor sim-swaps. Nogle af disse møder og diskussioner er sat i stand som en direkte udløber ad stikprøverne.
»Det hjælper ikke, hvis det kun er ét teleselskab, der lukker ned for adgangen til sim-kort i de fysiske butikker. Det skal være en fælles beslutning,« siger Eva Bisgaard.
Skyldes også grovere svindel
I de stikprøver, Version2 og Ingeniøren har foretaget, har vi været lavpraktiske og undgået alt, der kræver falskneri eller tyveri. Vi har ikke brugt andres ID, ligesom vi heller ikke har forsøgt at stykke falske pas sammen.
Der var ellers mange butikker, der spurgte efter digitale billeder af pas, som man nemt kan forfalske.
Eva Bisgaard fortæller, at langt de fleste svindelforsøg mod sim-kort netop baserer sig på grovere svindel, hvor ID’et enten er blevet stjålet eller forfalsket. Det gælder også NemID. Hvordan det nærmere foregår, vil Version2 komme ind på i en senere artikel.
Kritiske simkort
Når teleselskaberne ikke allerede har lukket ned for adgangen til sim-kort i de fysiske butikker, skyldes det, at det for kunder kan opleves som dårlig service, hvis man ikke kan få et nyt sim-kort med det samme, fortæller flere af selskaberne til Version2.
Derudover fortæller Eva Bisgaard, at der er visse sim-kort, man er nødt til at kunne få med det samme.
»Hvis vi lukker helt ned for den øjeblikkelige adgang til sim-kort, åbner vi bare for nogle nye problemer, blandt andet i forhold til kritiske sim-kort til overfaldsalarmer eller lignende,« siger Eva Birgitte Bisgaard.
»Samtidig er det jo sådan, at det for de fleste af os vil være kritisk at være uden en telefon med forbindelse. Og det er derfor, vi tilbyder at udlevere sim-kort i butikkerne som en øjeblikkelig løsning, hvis man får brug for et nyt sim-kort,« siger Eva Bisgaard.
Hun understreger også, at de fleste sim-kort bliver udleveret til rigtige mennesker med reelle behov. Samtidig ønsker Eva Bisgaard dog ikke at oplyse, præcis hvor mange svindelforsøg Yousee er blevet udsat for det seneste år.
Selskabet har ellers lige gjort status efter Version2’s afsløringer.
Klare forbedringer
Da Version2 og Ingeniøren begyndte at afdække problematikken for mere end seks uger siden, var sim-kortudlevering i danske butikker en åben sikkerhedsmæssig ladeport. Vi kunne blot gå ind i en forretning og sige et telefonnummer. Og i tre ud af fire tilfælde udløste det et nyt, aktivt sim-kort.
I dag er det anderledes, viser vores seneste stikprøve.
Butikkerne vil, i overvejende grad, ikke udlevere sim-kort uden at se den påkrævede billed-ID. Ikke desto mindre lykkedes det i sidste uge Version2 at få endnu et sim-kort udleveret fra netop Yousee.
»Vi skal være de sidste til at læne os tilbage og sige, at det er o.k., når det kun sker en gang imellem,« lød det i den forbindelse fra Eva Bisgaard.
It-systemer og pauseskærme
Den umiddelbare forbedring af stikprøveresultatet i forhold til de øvrige selskaber skyldes blandt andet, at alle selskaberne har sendt deres medarbejdere adskillige remindere på mail og skruet op for fokus på problematikken i deres optræning af medarbejderne.
3 er et af de teleselskaber, der, modsat tidligere, denne gang klarede frisag.
Version2s nye netværk for udviklere er for IT-professionelle, som vil styrke egne kompetencer, sparre med nogle af branchens dygtigste folk og deltage i netværksmøder med relevante speakers. Netværket mødes fysisk 5 gange årligt, til en spændende dag med indlæg fra én keynote, samt 1-2 sponsorer, hvor alle indlæg tager afsæt i specifikke og aktuelle emner/cases. Derudover vil deltagerne i netværket kunne mødes online, på vores Meetup gruppe, hvor der er skabt rum til vidensdeling, debatter samt deling præsentationer fra de fysiske netværkmøder. Næste møde 30. oktober: Azure infrastruktur for udviklere Læs mere her.Bliv medlem af Version2's udviklernetværk
»Ved jeres anden stikprøve må vi konstatere, at vi ikke var nået i mål med implementeringen af alle punkter. Men vi har arbejdet stenhårdt på det siden og glæder os over at høre fra jeres seneste stikprøve, at det går den rigtige vej,« siger salgschef i 3 Lasse Schneider, der også kan fortælle, at der er en it-mæssig stopklods på vej til at forhindre de helt simple sim-swaps i butikkerne.
»Vi er desuden om kort tid klar med en løsning, som gør, at medarbejderne ikke kan få adgang til at skifte en kundes sim-kort i vores it-system, før de har indtastet kundens pas- eller kørekortnummer,« lyder det fra Lasse Schneider.
En lignende løsning har man allerede implementeret hos Telia, der ligeledes har lavet deres pauseskærme om til ID-remindere. Og Telenor vil »se på nye systemtekniske måder at understøtte vores processer på«, som selskabet skriver i en mail til Version2.
Se den korte demonstration af vejen fra stjålet sim-kort til mailindbakke, der kan åbne for alvorlige svindel- og privacyproblemer, her:
Video: Mads Lorenzen

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.