Reportage

Efter gentagne fadæser: Teleselskaber overvejer helt at droppe udleverering af sim-kort i fysiske butikker

18. oktober 2019 kl. 05:0328
Efter gentagne fadæser: Teleselskaber overvejer helt at droppe udleverering af sim-kort i fysiske butikker
Illustration: 3.
Telebranchen overvejer nu helt at stoppe med udlevering af sim-kort i fysiske butikker, efter Version2 og Ingeniøren flere gange har påvist problemer med sikkerheden ved denne praksis.
Mads Lorenzen
Mads Lorenzen
Journalist
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
Mads Lorenzen
Mads Lorenzen
Journalist

Det er åbenbart så svært at sikre sig mod sim-swap-svindel, at teleselskaberne nu over en bred kam overvejer helt at lukke ned for udleveringen af simkort i de fysiske telebutikker.

Version2 og Ingeniøren har gennem længere tid afdækket, hvordan det er muligt at få udleveret aktive sim-kort i landets telebutikker, uden at der er blevet fremvist den påkrævede billed-ID. På den måde åbner teleselskaberne for en lang række angreb mod persondata, onlinekonti og offerets private og professionelle kontakter.

»Det er ikke sikkert, at et totalt stop for udlevering af sim-kort i fysiske butikker er så langt væk igen,« lyder det fra TDC-ejede Yousees kommercielle direktør, Eva Bisgaard.

Sim-swapping

Når en angriber skaffer et aktivt sim-kort til et eksisterende telefonabonnement og dermed overtager offerets nummer, kaldes det sim-swapping.

Ingeniøren og Version2 har ved en stikprøve for seks uger siden vist, at fænomenet er yderst muligt i Danmark,

Det betyder, at danske numre så let som ingenting kan misbruges af angribere til alverdens svindel. Fra at sende beskeder og ringe til offerets kontakter til at trænge ind i mails og derigennem åbne for offerets onlineliv.

Allerede dengang lovede teleselskaberne, at de ville stramme op, men der er stadig problemer den dag i dag.

Artiklen fortsætter efter annoncen

Hun fortæller, at man i teleselskabernes brancheforening, Teleindustrien, har diskuteret, hvad pokker man skal stille op overfor sim-swaps. Nogle af disse møder og diskussioner er sat i stand som en direkte udløber ad stikprøverne.

»Det hjælper ikke, hvis det kun er ét teleselskab, der lukker ned for adgangen til sim-kort i de fysiske butikker. Det skal være en fælles beslutning,« siger Eva Bisgaard.

Skyldes også grovere svindel

I de stikprøver, Version2 og Ingeniøren har foretaget, har vi været lavpraktiske og undgået alt, der kræver falskneri eller tyveri. Vi har ikke brugt andres ID, ligesom vi heller ikke har forsøgt at stykke falske pas sammen.

Der var ellers mange butikker, der spurgte efter digitale billeder af pas, som man nemt kan forfalske.

Artiklen fortsætter efter annoncen

Eva Bisgaard fortæller, at langt de fleste svindelforsøg mod sim-kort netop baserer sig på grovere svindel, hvor ID’et enten er blevet stjålet eller forfalsket. Det gælder også NemID. Hvordan det nærmere foregår, vil Version2 komme ind på i en senere artikel.

Kritiske simkort

Når teleselskaberne ikke allerede har lukket ned for adgangen til sim-kort i de fysiske butikker, skyldes det, at det for kunder kan opleves som dårlig service, hvis man ikke kan få et nyt sim-kort med det samme, fortæller flere af selskaberne til Version2.

Derudover fortæller Eva Bisgaard, at der er visse sim-kort, man er nødt til at kunne få med det samme.

»Hvis vi lukker helt ned for den øjeblikkelige adgang til sim-kort, åbner vi bare for nogle nye problemer, blandt andet i forhold til kritiske sim-kort til overfaldsalarmer eller lignende,« siger Eva Birgitte Bisgaard.

Artiklen fortsætter efter annoncen

»Samtidig er det jo sådan, at det for de fleste af os vil være kritisk at være uden en telefon med forbindelse. Og det er derfor, vi tilbyder at udlevere sim-kort i butikkerne som en øjeblikkelig løsning, hvis man får brug for et nyt sim-kort,« siger Eva Bisgaard.

Hun understreger også, at de fleste sim-kort bliver udleveret til rigtige mennesker med reelle behov. Samtidig ønsker Eva Bisgaard dog ikke at oplyse, præcis hvor mange svindelforsøg Yousee er blevet udsat for det seneste år.

Selskabet har ellers lige gjort status efter Version2’s afsløringer.

Klare forbedringer

Da Version2 og Ingeniøren begyndte at afdække problematikken for mere end seks uger siden, var sim-kortudlevering i danske butikker en åben sikkerhedsmæssig ladeport. Vi kunne blot gå ind i en forretning og sige et telefonnummer. Og i tre ud af fire tilfælde udløste det et nyt, aktivt sim-kort.

I dag er det anderledes, viser vores seneste stikprøve.

Butikkerne vil, i overvejende grad, ikke udlevere sim-kort uden at se den påkrævede billed-ID. Ikke desto mindre lykkedes det i sidste uge Version2 at få endnu et sim-kort udleveret fra netop Yousee.

»Vi skal være de sidste til at læne os tilbage og sige, at det er o.k., når det kun sker en gang imellem,« lød det i den forbindelse fra Eva Bisgaard.

It-systemer og pauseskærme

Den umiddelbare forbedring af stikprøveresultatet i forhold til de øvrige selskaber skyldes blandt andet, at alle selskaberne har sendt deres medarbejdere adskillige remindere på mail og skruet op for fokus på problematikken i deres optræning af medarbejderne.

3 er et af de teleselskaber, der, modsat tidligere, denne gang klarede frisag.

Bliv medlem af Version2's udviklernetværk

Version2s nye netværk for udviklere er for IT-professionelle, som vil styrke egne kompetencer, sparre med nogle af branchens dygtigste folk og deltage i netværksmøder med relevante speakers.

Netværket mødes fysisk 5 gange årligt, til en spændende dag med indlæg fra én keynote, samt 1-2 sponsorer, hvor alle indlæg tager afsæt i specifikke og aktuelle emner/cases.

Derudover vil deltagerne i netværket kunne mødes online, på vores Meetup gruppe, hvor der er skabt rum til vidensdeling, debatter samt deling præsentationer fra de fysiske netværkmøder.

Næste møde 30. oktober: Azure infrastruktur for udviklere

Læs mere her.

»Ved jeres anden stikprøve må vi konstatere, at vi ikke var nået i mål med implementeringen af alle punkter. Men vi har arbejdet stenhårdt på det siden og glæder os over at høre fra jeres seneste stikprøve, at det går den rigtige vej,« siger salgschef i 3 Lasse Schneider, der også kan fortælle, at der er en it-mæssig stopklods på vej til at forhindre de helt simple sim-swaps i butikkerne.

»Vi er desuden om kort tid klar med en løsning, som gør, at medarbejderne ikke kan få adgang til at skifte en kundes sim-kort i vores it-system, før de har indtastet kundens pas- eller kørekortnummer,« lyder det fra Lasse Schneider.

En lignende løsning har man allerede implementeret hos Telia, der ligeledes har lavet deres pauseskærme om til ID-remindere. Og Telenor vil »se på nye systemtekniske måder at understøtte vores processer på«, som selskabet skriver i en mail til Version2.

Se den korte demonstration af vejen fra stjålet sim-kort til mailindbakke, der kan åbne for alvorlige svindel- og privacyproblemer, her:

Dette eksterne indhold er blokeret da du ikke har givet samtykke til markedsførings-cookies. To see the content, update your cookie settings.

Video: Mads Lorenzen

28 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
28
Henrik P. Stougaard Nielsen
11. november 2019 kl. 15:42

Selvfølgelig hjælper det, hvis blot ét selvskab lukker ned for det. Det hjælper for alle det selskabs kunder!

Det er bare en måde at unddrage sig ansvar. Det er nøjagtigt det samme, som når Danmark ikke vil gå enegang med nye regler og tiltag, men i stedet vil arbejde på det på EU-plan.

En åbenlys løsning på problemet kommer nok inden for de næste par år med eSIM, hvor man helt slipper for at udstede fysiske SIM-kort.

  • more_vert
    • insert_linkKopier link
27
Michael Poulsen
21. oktober 2019 kl. 14:07

Og her gøres det besværligt, for at løse et ikke-problem.
Der er ingen som beretter om falsk ID. Kun om sælgere, som er for fokuserede på salg af næste telefon, til at gide tjekke billedID.

Hej Gert,

Helt enig. Det er en måde at sikre sig at ID'et faktisk er blevet checket. Og her opleves det ikke som besværligt - sælgeren indtaster 8 eller 9 cifre og selve ID checket online tager 2 sekunder...

At det så også "løser" et ikke-problem (som nu er et problem som blot ikke fremgår af artiklen) er vel bare en bonus.

Synes artikel serien har vist med al tydelighed at en indskærpelse eller to tydeligvis ikke er nok... Så hvad skal man så gøre?

  • more_vert
    • insert_linkKopier link
26
Hans Nielsen
21. oktober 2019 kl. 10:12

Vi ser vel kun starten af problemmet nu.

Når man stort set kan overtage ens person digitale liv, og med lidt held også økonomiske, via et telefonnummer. Så bliver det vigtigere og vigtigere.

Forklaring efter 3 minuter.

https://www.youtube.com/watch?v=LlcAHkjbARs

  • more_vert
    • insert_linkKopier link
25
Gert Madsen
21. oktober 2019 kl. 09:44

Samt at selvsamme nummer/numre checkes online så man er mere sikker på bestilleren er den rigtige person (navn og adresse bliver returneret af ID checket og bestillingen kan foretages hvis det matcher med abonnementsholderen).

Og her gøres det besværligt, for at løse et ikke-problem. Der er ingen som beretter om falsk ID. Kun om sælgere, som er for fokuserede på salg af næste telefon, til at gide tjekke billedID. Som Kjeld Flarup Christensen skriver ovenfor, så burde det ikke være nødvendigt at registere nummeret. Det har ikke anden funktion, end at skubbe sælgeren til faktisk at tjekke ID.

  • more_vert
    • insert_linkKopier link
24
Povl Hansen
21. oktober 2019 kl. 09:23

Kerne-problemet er nok, at teleselskaber i egen optik "ejer" numrene, hvor det burde være en samfunds-opgave. Kunne de ikke oprette et selskab som kan drive den del for sig, ejet af de 3 udbydere?

For af kunne skifte nummer fra det ene selskab til det andet så man har allerede oprette det selskab du ønsker, deres opgave er så af holde styr på hvilken selskab der har hvilkent nummer.

Af telebutiken kun kan udleverer nødkort, til ledige numre er en god ide, på de måde, risikerer de ikke af kunder pludselig står uden telefon.

De kan stadig sælge både til turister og nye kunder, da ikke har behov for af få adgang til numrer allerede i brug

  • more_vert
    • insert_linkKopier link
21
Michael Poulsen
21. oktober 2019 kl. 05:56

Spørgsmålet er vel nærmere hvad man skal med pas og kørekort nummer.

Hej Kjeld,

Pas eller kørekort nummer er det man har her i Australien hvor man ikke har CPR nummer eller modsvarende. Pas eller kørekort nummer er heldigvis mere sikkert end CPR nummer da man netop kan bytte pas eller kørekortnummer ved at bestille et nyt hvis de er blevet stjålne ;-)

Men i Danmark skal det jo nok være en kombi af pas, kørekort eller CPR nummer...

  • more_vert
    • insert_linkKopier link
20
Michael Poulsen
21. oktober 2019 kl. 05:49

Hvorfor egentlig ?

Hej Gert,

Fordi man i vore GDPR tider har meget svært ved at nå til enighed om noget der vedrører adgang til følsomme persondata. Ikke et sekund i tvivl om at man kan blive enige, men ikke på den korte bane. På et år måske hvis stemningen er positiv :-) Men men skal have noget andet på den korte bane, og der kan jeg da godt lide idéen om en selvvalgt PIN kode... Har man glemt PIN koden, så kan man kun få det nye SIM kort sendt hjem til sig i posten eller noget...

  • more_vert
    • insert_linkKopier link
19
Michael Poulsen
21. oktober 2019 kl. 05:45

Hej Hans,

I bund og grund ved mange ikke engang hvis deres faktiske telefon er stjålet inden 2-10 minutter... SMS og email er jo reaktive i deres natur, men uanset hvor længe det tager dig at læse emailen, så er det alt andet lige med til at begrænse skaden. Jo hurtigere du læser din email, jo mere begrænses skaden.

Den proaktive sikkerhed består jo i at ekspedienten skal indtaste dit pas eller kørekortsnummer for overhovedet at lave bestillingen. Samt at selvsamme nummer/numre checkes online så man er mere sikker på bestilleren er den rigtige person (navn og adresse bliver returneret af ID checket og bestillingen kan foretages hvis det matcher med abonnementsholderen).

  • more_vert
    • insert_linkKopier link
17
Gert Madsen
20. oktober 2019 kl. 12:43

Første løsning er nok urealistisk på den korte bane i Danmark da det kræver at teleselskaberne får adgang til nationelle registre.

Hvorfor egentlig ? Det grundlæggende problem er jo at telefonsælgeren ikke beder om at se legitimation - ikke at det vrimler med folk, der viser falsk ID. Det burde selvfølgelig ikke være nødvendigt at gøre andet end at indskærpe den regel. Men man kan da have en registrering af pas/kørekort nummer, for at "hjælpe" på sælgerens hukommelse.

  • more_vert
    • insert_linkKopier link
16
Hans Nielsen
19. oktober 2019 kl. 15:19

Samtidigt får man email og SMS bekræftelse ved enhver ændring så man hurtigt kan reagere hvis der er lavet uautoriserede ændringer.

Meget hurtigt ? Hvis du er ude at køre, eller har lagt telefonen fra dig. ER du så sikkert på, at du på 2-10 minuter, kan få lukket eller ændret alle dine vigtige konti, Du får jo ingen SMS, hvis kortet er ændret, og er du sikkert på at ser alle din mail.

Det er derfor at SIM kortet er så vigtigt, det er for de fleste en af hovednøglener, til hel ens digitale liv.

  • more_vert
    • insert_linkKopier link
15
Michael Poulsen
19. oktober 2019 kl. 03:31

Her i Australien hvor jeg bor bruger teleselskaberne 1 af 2 varianter ved enhver ændring, såsom udlevering af SIM kort, ændring af abonnement, adresseændring m.v. Samtidigt får man email og SMS bekræftelse ved enhver ændring så man hurtigt kan reagere hvis der er lavet uautoriserede ændringer. Det gælder uanset om man gør det online eller i en butik.

  • Pas eller kørekort nummer.
  • Selvvalgt PIN kode ved abonnementsoprettelsen.

Første løsning er nok urealistisk på den korte bane i Danmark da det kræver at teleselskaberne får adgang til nationelle registre.

NemID er en dårlig løsning. eBoks ligeså, da de forhindrer ting som køb og aktivering af en ny mobil i butikken hvis ens mobil er stjålet.

  • more_vert
    • insert_linkKopier link
14
Kjeld Flarup Christensen
18. oktober 2019 kl. 22:45

NemID vil IMHO være en god mellemvej, da det eneste andet alternativ er at sende skitet til folks folkeregisteradresse, dvs. vente op imod 20 måneder på postdk...

Det vil kræve en ændring i produktionen af SIM kort, men man kan blot udlevere et SIM kort uden PIN og PUK kode påtrykket. De koder sender man med E-Boks.

Man kunne også lave et system, hvor selve aktiveringen sker med NemID.

Begge dele vil kræve ændringer af IT systemerne, men ikke så gennemgribende igen.

Dvs. jeg får stjålet min telefon. Så går jeg ned i butikken for at få et nyt SIM-kort og køber en ny telefon. For at udlevere SIM-kortet kræver butikken at jeg logger på med NemID, hvilket er meget nemt, jeg skal bare swipe til højre på min NemID-app... som ligger på den stjålne telefon.

Så går du ind på nemid.nu og melder dit nøglekort stjålet og får et nyt. Bare too bad du er uden telefon i et par dage så. Eller måske du opdager at du lever bedre uden :-D

  • more_vert
    • insert_linkKopier link
11
Morten Grouleff
18. oktober 2019 kl. 14:08

Problemet er jo ikke, at man kan få et SIM-kort. Det sker der ikke noget ved, så længe der ikke bindes et eksisterende nummer til det nye kort.

Problemet er, at man kan få adgang til et eksisterende nummer uden ordentlige check af at man "ejer" det nummer. Og når de to så sker samtidigt, sammen med en (provisionslønnet?) sælger, så er andres sikkerhed aldrig det vigtigste emne.

Så løs de opgaver hver for sig!

Så forsvinder undskyldningen med at give bedre service også - man kan sagtens få et SIM-kort nu og her, men før du får dit påståede nummer overflyttet, skal der sikkerhedhed i form af selvbetjening på en fælles hjemmeside (med nemid), eller fremmøde i Borgerservice.

Pointen er at adskille sælgeren i teleselskabet, der jo gerne vil "hjælpe" fra det kritiske skridt: Det skal ligge et sted, hvor der ikke sker et salg.

Borgerservice kan jo vælge at checke ID pas eller på andre måder, og de er traditionelt ikke er så nemme at løbe om hjørner med..

Turisterne vil stadig nemt kunne hente et SIM-kort, og burde være ligeglade med at få et "nyt" nummer til det.

Kerne-problemet er nok, at teleselskaber i egen optik "ejer" numrene, hvor det burde være en samfunds-opgave. Kunne de ikke oprette et selskab som kan drive den del for sig, ejet af de 3 udbydere?

  • more_vert
    • insert_linkKopier link
10
Rune Gori
18. oktober 2019 kl. 14:06

Nu kan der jo gives adgang til 3.-parter for at opsætte og aktivere simkort - ville det ikke være nærliggende at alarmselskaberne selv oprettede og aktiverede deres simkort? bum, så er den undskyldning ude af verden.

Det kunne være et fint tiltag at man skulle logge ind med NemID og autorisere udleveringen af et simkort for at medarbejderen i butikken kunne oprette det - og så synes jeg stadig de burde skulle notere sig kørekort- eller pasnummer for at gennemføre transaktionen, men det kræver nok noget snedkeri i baglokalet at få sådan et system på banen - ind til da synes jeg det lyder som en god løsning at stoppe udlevering i fysiske butikker.

  • more_vert
    • insert_linkKopier link
9
Svenne Krap
18. oktober 2019 kl. 13:34

Er det ikke lige meget med turister, der ikke har nemid?

Angrebet er vel uberettiget skift af et eksisterende simkort ?

NemID vil IMHO være en god mellemvej, da det eneste andet alternativ er at sende skitet til folks folkeregisteradresse, dvs. vente op imod 20 måneder på postdk...

  • more_vert
    • insert_linkKopier link
8
Lars T. Petersen
18. oktober 2019 kl. 13:16

99% af kunderne har NEM ID

Turister o.l. har ikke, og det ville være upraktisk for mange hvis ikke man nemt kan få et mobilabonnement i det land man fx er en måned i.

  • more_vert
    • insert_linkKopier link
7
Kasper Hansen
18. oktober 2019 kl. 12:53

</p>
<p>Dvs. jeg får stjålet min telefon. Så går jeg ned i butikken for at få et nyt SIM-kort og køber en ny telefon. For at udlevere SIM-kortet kræver butikken at jeg logger på med NemID, hvilket er meget nemt, jeg skal bare swipe til højre på min NemID-app... som ligger på den stjålne telefon.

Selvom du har installeret og aktiveret NemID app'en kan du altid vælge at bruge dit nøglekort istedet. Så kan det naturligvis være strjålet med tasken, men hvorfor har du det i tasken når du har NemID på din telefon?

At kræve NemID er ikke en perfekt løsning for NemID er ved spaghetti-monstret ikke nogen perfekt løsning på noget problem. Men det er en klar forbedring i mangel af bedre løsninger.

  • more_vert
    • insert_linkKopier link
6
Benny Amorsen
18. oktober 2019 kl. 12:30

Det kunne således blive et krav at kunden for at få udleveret et SIM kort loggede på et NEMID verificeret system for at få udleveret sit SIM kort.

Dvs. jeg får stjålet min telefon. Så går jeg ned i butikken for at få et nyt SIM-kort og køber en ny telefon. For at udlevere SIM-kortet kræver butikken at jeg logger på med NemID, hvilket er meget nemt, jeg skal bare swipe til højre på min NemID-app... som ligger på den stjålne telefon.

  • more_vert
    • insert_linkKopier link
5
Benny Amorsen
18. oktober 2019 kl. 12:27

Ens sikkerhed afhænger af at ikke en eneste medarbejder i teleselskabet er naiv, påvirkelig, eller korrupt. Helt ned til den nyeste ansatte i butikken i Ydre Udgaard.

Angrebet mod Nets foretaget af Aller viser at selv betroede medarbejdere kan lokkes.

Det er op ad bakke.

  • more_vert
    • insert_linkKopier link
4
Victoria Hansen
18. oktober 2019 kl. 12:04
  • og dem der har fået stjålet/mistet deres taske med pung & telefon.
  • more_vert
    • insert_linkKopier link
3
Simon Mikkelsen
18. oktober 2019 kl. 11:12

Hvis en almindelig dansker har brug for et nyt SIM-kort og oplever ikke at kunen få det, er der en vis sandsynlighed for at vedkommende bliver sur og skifter teleselskab. Derfor ønsker ingen formegentlig at gå enegang.

Kampen om kunderne er hård og langt størstedelen af dem der totalt ligeglade med simswapping indtil det sker for dem selv.

  • more_vert
    • insert_linkKopier link
2
Jørgen Kanters
18. oktober 2019 kl. 10:54

Det er vel ikke særligt svært. 99% af kunderne har NEM ID. Det kunne således blive et krav at kunden for at få udleveret et SIM kort loggede på et NEMID verificeret system for at få udleveret sit SIM kort. Så generede man ikke de 99% (udover de kriminelle) og den sidste % der ikke vil have NEMID måtte så tage den besværlige løsning

  • more_vert
    • insert_linkKopier link
1
Emil Kampp
18. oktober 2019 kl. 10:25

»Det hjælper ikke, hvis det kun er ét teleselskab, der lukker ned for adgangen til sim-kort i de fysiske butikker. Det skal være en fælles beslutning,« siger Eva Bisgaard.

Selvfølgelig hjælper det, hvis blot ét selvskab lukker ned for det. Det hjælper for alle det selskabs kunder!

  • more_vert
    • insert_linkKopier link