»Ingen kan stole på de afsendernumre, vi ser på vores mobiler. Hverken når det er mor, lægen, bankrådgiveren eller chefen, der ringer eller skriver,« siger Torben Rune, der er telekonsulent for blandt andet de danske teleselskaber.
Hans advarsel kommer som kommentar til en undersøgelse foretaget af Version2, der viser, at danske numre nemt og billigt kan angribes med såkaldt spoofing – uanset hvilket teleselskab nummeret har hjemme hos.
- emailE-mail
- linkKopier link
Fortsæt din læsning
- Sortér efter chevron_right
- Trådet debat
"Har før fået opkald ud af det blå fra "banken" du skal lige oplyse alle de har personlige oplysninger over telefonen, for at vi kan opdatere vores system, de fik venligt at vide, hvis banken ville noget, måtte de sende forespørgslen internt i deres app/netbank istedet."
Jeg havde en gang spærret mit dankort, og ville så have lukket det op igen da jeg fandt det i revnen i sofaen, hvilket jeg skrev i netbanken.
Men bankpersonen ville have jeg skulle møde op personligt.
Indtil jeg fik dem overbevist om at havde jeg som skurk adgang til netbanken så ville at jeg var i besiddelse af dankortet ikke gøre den store forskel; så ville jeg allerede havde sendt pengene til Bahamas.
:-)
Er det ikke bare et spm. om altid at tænke lidt kritisk når man modtager et opkald.
Hvis det er nogen der udgiver sig for nogen man kender stemmen på, familie, venner, nogle man arbejder tæt sammen med på arbejdet, så kan man da ret hurtigt konkludere om det er reelt. (indtil AI når til et punkt, hvor det kan deepfakes).
Jeg ville personligt aldrig gøre et eller andet, bare pga. jeg fik en SMS der sagde et eller andet, uanset hvem de så udgiver sig for, er det fra staten må de sende noget på e-boks hvis det er noget jeg skal reagere aktivt på.
Men det handler jo også lidt om kontekst, hvis jeg er ved at logge ind et sted hvor de bruger SMS til 2FA, så ved jeg jo, om jeg lige har forsøgt at få adgang eller ej (ja det kan selvf. spoofes, derfor jeg personligt altid vælger noget andet end SMS/tlf til 2FA hvis det er muligt).
Hvis det er opkald på arbejdet (hvor jeg jævnligt har brug for at snakke med folk uden for EU), plejer det alligevel at foregå mest over zoom/teams møder i dag, hvor det tidligere var over tlf.
Har før fået opkald ud af det blå fra "banken" du skal lige oplyse alle de har personlige oplysninger over telefonen, for at vi kan opdatere vores system, de fik venligt at vide, hvis banken ville noget, måtte de sende forespørgslen internt i deres app/netbank istedet.
Men er tlf opkald, ikke lidt ved at være passe, for dem uden for ens normale omgangs kreds?, har som default sat blokering af ukendte numre på min tlf, gidder ikke spilde tid på dem, mange opkald til venner foregår allerede over voice opkald via fx snapchat, på arbejdet, som teams audio kald, ikke som tlf opkald.
Det er lidt det samme, med beskeder, bruger mest snapchat eller andre ikke SMS baserede tjenester til dem jeg allerede kender. (det kunne også være facebook app'en, men bruger af personlige grunde ikke FB).
Ved godt det med konkurser og at det ikke ser godt ud. Men heldigvis har jeg lært af dem.
Når man kigger på din historik, 9 konkurser i de sidste 10 år, så ville man ønske at du ikke starter flere virksomheder. 4 (måske 5) inden for SMS-branchen.
Det er ikke dit juridiske ansvar, men du risikerer, at blive smidt ud af din udbyder.
Jeg har ikke undersøgt om det juridisk er mit ansvar men jeg har selv påtaget mig at sørge for at mine kunder ikke kan sende uden at afsender nummeret er verificeret.
De får også mulighed for at bruge bogstaver istedet for et nummer men så er disse godkendte af mig.
Jeg vil i hvertfald sige du har et moralsk ansvar. Om du kan blive sagsøgt ved jeg ikke, men jeg er ret sikker på at telefonselskabet du afleverer til har fraskrevet sig ansvaret.er det MIT ansvar
Jeg er ved at lave en sms gateway som andre kan bruge og her er det MIT ansvar at mine kunder ikke har adgang til spoofing ved at kontrollere at deres afsender nummer er korrekt.
Det er forretningsmodellen for alle telefonselskaber efterhånden. Man sælger data, telefoni er man ligeglad med, og dermed også sikkerheden.At vi stadig hænger fast i tlf.nr. systemet er mig nu en gåde. Vi kunne let have et andet system, hvor vi kan ringe til hinanden, udenom teleselskaberne. De kunne så sælge os Internet på telefonen, og intet andet.
Og et system der ringer udenom teleselskaberne. P.t. findes der vel mindst 50 bud på dette. (Skype etc.) Jeg et ret sikker på at mange af dem også kan spoofes.
Det her er ikke noget man checker for for det er en del af designet i SMS systemet. Det er for at du kan f.eks. ringe til et fastnetnummer og ikke til afsenderens SMS modem - SMS'er var tænkt dels som intern systemfunktionalitet (de går f.eks. ikke ad samme kanal som talen på GSM) og dels som erstatning for Personsøgere. Mange GSM modemer havde indbygget i den medfølgende software at man kunne angive afsenderens telefonnummer frit.Jeg ved ikke hvor meget sanity tjek teleskaber laver på SMSer nu om stunder, men dengang jeg lavede SMS gatewayen var det nærmest "anything goes".
Der er med andre ord intet nyt i dette - det har været sådan siden GSM kom på banen og det er ikke en "fejl i designet" men intentionel del af designet.
Er man interesseret i syntaksen for brugen af AT kommandoer til afsendelse af SMSer i PDU mode så er linket her: <a href="https://www.developershome.com/sms/cmgwCommand3.asp">https://www.develo…;
Det var netop den hjemmeside jeg brugte (og flere andre), da jeg skrev SMS gatewayen. :-)
Men hvor er det så i PDUen, man kan tilføje 'D0' i stedet for '91' før den efterfølgende (septet?) kode er en tekstreng, så vil der stå et ord i stedet for et telefonnummer, som afsender?
Jeg ved jeg har fået det til at lykkedes med et Huawei USB modem, men du hen i tågerne hvordan. :-)
Det er som sagt 8 år siden jeg sidst beskæftiget mig med det, så jeg er mildest talt rusten. :-)
De to første 0'er angiver, at afsenderens telefonnumer er angivet implicit, men hvis du har lyst til at spoofe, så skal de to nuller skiftes ud med noget andet, så afsenders telefonnummer er angivet explicit.
Nej, det virker ikke - hverken i det danske eller i noget andet mobilnet.
Der er ikke tale om, at man udskifter afsenderens (a-) nummer med noget, men derimod at man skifter det implicitte nummer på SMSC (beskedcenteret) ud med det der angives i den binære besked.
Det betyder kun, at SMSen routes til et andet SMSC, hvor den formodentlig afvises fordi afsenderen ikke findes i HLR eller VLR for den pågældende gateway.
Der findes på nettet vedvarende rygter om, at man kan udskifte SMSC nummeret i en PDU med noget, og dermed snyde teleselskabet til at sætte indholdet på som afsender, dvs. spoofe et nummer. Men det virker ikke. Se: https://stackoverflow.com/questions/24637261/sms-spoofing-pdu
Som det også fremgår af linket, så er den eneste måde at spoofe et a-nummer på en SMS via en direkte forbindelse til SMSC, eventuelt indirekte gennem et selskab som tilbyder en sådan opkoblingstjeneste. Og den slags tjenester findes.
Er man interesseret i syntaksen for brugen af AT kommandoer til afsendelse af SMSer i PDU mode så er linket her: https://www.developershome.com/sms/cmgwCommand3.asp
Lang tid siden jeg sidst programmerede en SMS gateway.
Men hvis du behandler et USB modem som blot værende et serielt interface, så er det nemt at spoofe SMSer - så lang tid du kan dine Hayes kommandoer og du ved hvordan man kan lave en PDU.
For 8 år siden skrev jeg følgende Hayes kommando på StackOverflow:
AT+CMGS=17\r0001000A91xxxxxxxxxx000004F4F29C0E
Dette vil sende en SMS med beskeden "test" til det telefonnummer, som er skjult af de mange x'er.
De to første 0'er angiver, at afsenderens telefonnumer er angivet implicit, men hvis du har lyst til at spoofe, så skal de to nuller skiftes ud med noget andet, så afsenders telefonnummer er angivet explicit.
Der kræves dog en lille smule matematik involveret, fordi du skal tælle antallet af oktetter i telefonnummeret.
Jeg har ikke testet efter, men umiddelbart mener jeg at denne udvidelse har den ønskede effekt:
AT+CMGS=17\r0691xxxxxxxxxx01000A91yyyyyyyyyy000004F4F29C0E
Dette vil sende en beskeden "test" til modtager med telefonnummer yyyyyyyyyy, hvor det er angivet at afsenders telefonnummer er xxxxxxxxxx og begge numre er skrevet i "reverse nibble format", så 12 34 56 78 90 bliver til 21 43 65 87 09.
Begge telefonnumre er inklusiv landekode.
Og for at gøre det endnu mere drilsk:
Du kan også skifte afsenders telefonnummer ud med en tekststreng og tekstrengen må godt indeholder tal.
Jeg ved ikke hvor meget sanity tjek teleskaber laver på SMSer nu om stunder, men dengang jeg lavede SMS gatewayen var det nærmest "anything goes".
At vi stadig hænger fast i tlf.nr. systemet er mig nu en gåde. Vi kunne let have et andet system, hvor vi kan ringe til hinanden, udenom teleselskaberne.
Det eksisterer, der er bare ingen der vælger at bruge det udenom teleselskaberne. Jeg kan give dig IP adressen, eventuelt som et domæne, på min SIP telefon og så kan du ringe til den. Også fra din mobiltelefon hvis du installere en SIP klient. Nogle Android telefoner er tilmed født med SIP.
Nej, Signal sender SMS/MMS'er krypteret over Internet.
Jeg prøvede lige. Der er en lille åben hængelås på beskeder sendt fra mit nummer, men ellers så fremgår den i samme tråd, som alle de krypteret beskeder.
Så selvom vi bruger Signal til intern kommunikation herhjemme, så er spoofing altså svært at spotte på SMS fronten. Her burde man ellers let og tydeligt kunne gøre opmærksom på at beskeden ikke kommer fra den normale afsender.
Ja, man skal vise samfundssind i disse tider :-)Jeg tror jeg er kommet op på omkring 5 minutter før de indser at pranken er vendt om.
UPS. Det ser unægtelig sådan ud. Jeg mente at have læst det anderledes, beklager.Tjah --- citat fra <a href="https://www.borger.dk/bolig-og-flytning/Beskyttelse-mod-reklamer/Robins…;.
Men det er ikke helt håbløst. Et samtykke skal bruges inden for et år, ellers forældes det. Man kan til hver en tid tilbagekalde samtykker. Hvis det er et "massesamtykke", som ved de berygtede Fjæsbogkonkurrencer, skal sælgeren på opfordring oplyse hvem som har indhentet tilladelsen. Det fremgår også af den dokumentation af samtykket, som man har krav på. Her kan man så tilbagekalde samtykket, og de har pligt til at tilbagekalde det hos samtlige firmaer, som de har solgt det til.
eg har en en gang modtaget et fup-opkald fra +45 xx xx xx x Ja, kun 7 cifre. Danske telefonnumre har 8 cifre, servicenumre har 3/4/5/6 cifre. Der findes intet gyldigt tlfnummer med 7 cifre. Det burde have været ret let at filtrere ud.
Windows support opkald er typisk fra +45 XXXX XXXX Y numre, altså 9 cifre. Så ser det ud til at være et dansk nummer, men er et fup opkald. Havde netop ét i dag, og jeg prøver altid at trække tiden ud med "wait a moment, I need to start my computer" og så lader jeg telefonen ligge et par minutter, hvorefter de spørger "Is it up running", hvorefter jeg svarer "It says starting Windows XP"....
Vi nærmer os en situation, hvor folk kun tager telefonen fra numre, som de kan genkende. Og det kan blive telefontjenestens langsomme død.
At vi stadig hænger fast i tlf.nr. systemet er mig nu en gåde. Vi kunne let have et andet system, hvor vi kan ringe til hinanden, udenom teleselskaberne. De kunne så sælge os Internet på telefonen, og intet andet.
Spoofing og Signal
Version2 snød for eksempel et kærestepar i journalistens omgangskreds</p>
<p>Ville dette virke, hvis kæresteparet brugte fx Signal, som primær kommunikationsvej? Dvs. at begge har sat Signal til at være deres primær SMS applikation på telefonen?
Nej, Signal sender SMS/MMS'er krypteret over Internet.
Lad mig lige supplere denne lødige diskussion med lidt humor: Jeg forsøger ind i mellem at trække "Computer Support" opkaldene ud ved at lægge telefonen på bordet og med passende mellemrum at sige noget som "can you repeat that, please", "left or right click?" eller bare "I see". Jeg tror jeg er kommet op på omkring 5 minutter før de indser at pranken er vendt om.
Jeg har en voip-udbyder i USA. Jeg fandt ud af (ved en fejl naturligvis) at jeg kan sætte kontoen op til at præsentere hvilket som helst nummer i hele verden. Det burde ikke være muligt, men det koster jo penge for dem hvis det skal verificeres.
"Nej, det gør det bestemt ikke."</p>
<p>Ja, men den tager du bare med forbrugerombudsmanden.
.
Tjah --- citat fra https://www.borger.dk/bolig-og-flytning/Beskyttelse-mod-reklamer/Robinsonlisten-markedsfoeringsbeskyttelse
"Du kan undgå uopfordrede, nye adresserede salgsreklamer og telefonopkald fra sælgere, hvis du registrerer dig på Robinsonlisten, og registreringen er gratis. Vær opmærksom på, at hvis du allerede har givet dit samtykke til, at de må kontakte dig, kan du ikke tilbagekalde det ved at blive registret på Robinsonlisten. Du skal i stedet kontakte virksomheden direkte og tilbagekalde dit samtykke."
"Nej, det gør det bestemt ikke."
Ja, men den tager du bare med forbrugerombudsmanden.
Jeg skimmede lidt hurtigt over STIR/SHAKEN og må give Torben Rune ret i at det langt fra virker gennemførligt i en global kontekst. Medmindre vi da også skifter over til ren VoIP telefoni.
MEN ...
... da de fleste af os nu er kommet på fri SMS/Tale planer i DK og vi primært er nervøse for at blive udsat for falske SMS'er som foregiver at være fra andre danske numre, burde det vel være muligt at lave en SMS app, der helt skjult sender en challenge til det oplyste (danske) nummer, som skal returneres til det oprindelige modtagernummer. Dette kan ligeledes ske skjult for den oprindelige afsender, hvis denne også har en kompatibel app. Først når challengen modtages retur, notificeres og vises den egentlige SMS til modtageren.
Er man erhvervsbruger, der ofte modtager SMS'er fra bestemte brugere med udenlandske numre kan man koble challenge/response på disse også (det vil så koste modtageren og afsenderen en SMS takst).
Det har så den bivirkning at den indenlandske SMS trafik vil blive 3-doblet, hvis appen spredes bredt med statens og bankernes mellemkomst. Og så bliver det jo til en spareøvelse for teleselskaberne at implementere en indbygget sikkerhedsfunktion, så SMS-antallet igen kan nedbringes med 67%. Og ledelser trigges nu engang bedre af mulige besparelser end af hensyn til kunders sikkerhed.
Det samme kan laves med en opkaldsapp, der laver et returopkald med en stemmebåren kode, der skal indtastes af opkalderen før modtageren notificeres om opkaldsforsøget. Her kan man evt. slå det fra for gode venner med karakteristiske stemmer sålænge stemmesyntetisering ikke er udbredt. Eller hvis opkaldsnummeret er et mobilnummer kan man benytte challenge/response via SMS, så opkalderen blot får at vide "Afventer validering - Waiting for Validation".
Først argumenterer du for at A-nummer-validering ikke kan bruges til noget, og så advokerer du for en anti-spam-løsning som kun virker når der er A-nummer-validering.
A-nummer validering er ikke løsningen - det kan, som jeg skriver - være en delvis løsning, fordi man får en advarsel på nummeret inden man svarer. Det er klart at det slet ikke virker hvis først spoofing tager om sig, men jeg synes egentlig det er udmærket som indikation af at noget måske er galt, og man skal være opmærksom. Eksempel: Hvis min bank ringer og blacklisten mener det er spam, vil jeg meget sandsynligt svare opkaldet, men være på vagt. Indikationen er nemlig, at en anden har modtaget et falsk opkald på det nummer, og derfor har blacklistet det. Crowdsourcing af denne type kan godt bruges hvis ikke andre muligheder er til stede.
En tilmelding til Robinsonlisten, annullerer alle tidligere tilladelser, så telefonsælgeren lyver.
Nej, det gør det bestemt ikke. Det kan jo heller ikke på nogen måde valideres. Du skal aktivt tilbagekalde dit samtykke - i hvert tælde.
En løsning som delvist kan give en løsning er blacklisting i selve telefonen. Jeg har såden en tjeneste kørende på min mobil, og nummeret blinker rødt og siger SPAM, når et nummer genkendes.
Først argumenterer du for at A-nummer-validering ikke kan bruges til noget, og så advokerer du for en anti-spam-løsning som kun virker når der er A-nummer-validering.
Kan du ikke bestemme dig?
Ingen tvivl om, at spoofing ikke bør finde sted, men der findes også absolut seriøse anvendelser, som ikke bør forhindres.
Ja, det er ikke let det her. På den ene side er jeg træt af de "Microsoft support" opkald som ser ud til at komme fra danske numre - på den anden side er jeg taknemmelig over at jeg kan ringe billigt til mine venner i udlandet over Skype og mit mobilnummer kommer i deres display. Så jeg ville blive ked af det, hvis Skype ikke længere havde mulighed for at fake hvilket nummer samtalen kom fra - men det fungerer jo bare så længe der ikke er nogen som misbruger muligheden (som i Mogens Ritsholms tilfælde).
Jeg har en en gang modtaget et fup-opkald fra +45 xx xx xx x Ja, kun 7 cifre. Danske telefonnumre har 8 cifre, servicenumre har 3/4/5/6 cifre.
Jeg troede ikke at numre med mindre end 8 cifre kunne ringe ud?
Da jeg arbejdede hos Viptel solgte vi Svenske og Norske fastnet numre. Hvis man f.eks. flyttede til Spanien, kunne man tage sit nummer med.Hvis det faktisk er tilfælde at TDC kan se at opkaldet kommer fra Indien, så er det f. på tide at TDCs kunder får mulighed for at blokere opkald baseret på oprindelsesland.
Vi havde også tyske kunder som ringede til tyske kunder via dansk net, med tyske numre.
Jeg har en en gang modtaget et fup-opkald fra +45 xx xx xx x Ja, kun 7 cifre. Danske telefonnumre har 8 cifre, servicenumre har 3/4/5/6 cifre. Der findes intet gyldigt tlfnummer med 7 cifre. Det burde have været ret let at filtrere ud.
Det er ikke så let at filtrere telefonnumre på anden vis. F.eks. hvis hr. Jensen er i Indien med sin mobiltelefon og ringer til konen hjemme i Danmark, så bliver opkaldet normalt routed via det lokale indiske telefonselskab, måske via et andet indisk selskab, så via f.eks. Swiss Teelcom som har gode forbindelser, og så til f.eks. TDC. Så vidt jeg ved, så har modtagerselskabet (TDC i dette eksempel) ingen information om at opkaldet kommer fra Indien. Folk med kendskab til SS7 o.lign må gerne rette mig. Hvis det faktisk er tilfælde at TDC kan se at opkaldet kommer fra Indien, så er det f. på tide at TDCs kunder får mulighed for at blokere opkald baseret på oprindelsesland. Jeg har pt. ingen familie, venner, eller forretningspartnere i Indien og Pakistan, og dem vil jeg sådan set godt kunne blokere helt for. Vi ved jo godt allesammen hvor "microsoft support" opkaldene kommer fra. Hvad så med VoIP/skype-out/osv? Eftersom de er telefonselskabernes konkurrenter, så burde det være let at få telefonselskabernes hjælp til at sætte nogle regler op, som gør livet surt for de voip-termineringsselskaber som er for venlige overfor scammere.
Det må være i telefonselskabernes egen interesse at få begrænset antallet af fupopkald, fordi de reducerer tilliden til telefonsystemet. I yderste konsekvens vil folk droppe alm. telefonopkald og bruge VoIP-systemer i stedet. Hvordan skal hospitalet så ringe til nærmeste pårørende?
Iddelt set ønsker jeg en opsætning hos mit telefonselskab:
Tillad opkald fra:
- ☑ Danske fastnetnumre
- ☑ Danske mobilnumre i Danmark
- ☑ Danske mobilnumre i Norden
- ☑ Danske mobilnumre i EU
- ☑ Danske mobilnumre i resten af verdenen
- ☑ VoIP/call-out i Danmark
- ☑ Nordiske fastnetnumre
- ...
- ☐ Indien
- ☐ Pakistan
- ☐ Rumænien
Hvad har bandit selskabet at sige?En lidt bedre løsning kunne være at modificere nummert ved at tilføje ekstra cifre o.lin. så man ved at opkaldet kan være usikkert.</p>
<p>Hvis man kunne så vil det løse problemet - men det forudsætter at "bandit" teleselskabet vil være med til en sådan løsning. Mit gæt er, at de ikke har lyst til at være med.
Nu kender jeg ikke STIR/SHAKEN men kan man se det ikke er anvendt, fjerner man blot A nummeret. EOD
Så må telefonopkaldet fra ferierejsen være anonymt, sådan er det.
En sidebemærkning: Telefonsælgerne skal dokumentere en sådan tilladelse, hvis man beder om det. Det kan de sjældent, og så må man overveje om man orker at indbringe dem for forbrugerombudsmanden, men det giver ofte fred.Telefonsælgerne påstår, at jeg en gang for mange år siden har sagt ja til det, fordi jeg kortvarigt var inde på en falsk Bilkakonkurrence, hvor jeg gik ud, så snart spørgsmålene blev for mærkelige. Og så siger de, at det overruler min senere tilmeldelse til Robinsonlisten.
En tilmelding til Robinsonlisten, annullerer alle tidligere tilladelser, så telefonsælgeren lyver.
Tænk havde en artikelrække om dette for et par år siden. Jeg tror at de ligger bag betalingsmur, men man kan da prøve at google.
Mit mobilnr. blev benyttet til en eller anden form for kontakt til andre danskere, som så ringede tilbage til mig i en undelighed.
Det var møgirriterende, og man bliver jo usikker på hvad der foregår. Svindler de andre danskere, som så måske kaster deres forståelige vrede på mig.
Jeg anmeldte det derfor til politiet, som efter en tid meldte tilbage. De sagde, at der ikke var sket en forbrydelse, da jeg jo ikke havde lidt skade i øvrigt. Og det var så det. Men de skulle bruge 2 sider på den forklaring.
Jeg klagede også til mit teleselskab, som sagde, at jeg kunne få et nyt nummer.
Hvis spoofing er igang, kan man selvfølgelig spore opkaldene og finde vejen mod synderen. Men det gider hverken politi eller teleselskaber. Teleselskaber jagter kun sådanne kald, hvis de selv er udsat for fraud.
Jeg har også tidligere været udsat for opkald fra telefonsælgere uagtet at jeg er tilmeldt Robinsonlisten. Telefonsælgerne påstår, at jeg en gang for mange år siden har sagt ja til det, fordi jeg kortvarigt var inde på en falsk Bilkakonkurrence, hvor jeg gik ud, så snart spørgsmålene blev for mærkelige. Og så siger de, at det overruler min senere tilmeldelse til Robinsonlisten.
Så mit nummer figurerer åbenbart på en eller anden liste, der benyttes af tvivlsomme marketingbureauer.
Teleselskaberne tilbyder disse bureauer en tilslutningsform, hvor de kan overskrive A-nummeret og dermed også via A-nummer agere på deres klients vegne. Men de må kun bruge numre tilhørende deres klienter, hvor en aftale herom er indgået.
Men det er der ingen, der kontrollerer. Så I dette halvkriminelle miljø bruges tilslutningerne uden videre til alle mulige andre formål - herunder spoofing.
Vi nærmer os en situation, hvor folk kun tager telefonen fra numre, som de kan genkende. Og det kan blive telefontjenestens langsomme død.
Ansvaret er teleselskabernes eget, fordi de ikke har stået vagt om den unikke nummerplan, men medvirket til misbrug af den på flere måder.
STIR/SHAKEN virker ikke hvis Fupopkald.com også bruger det.
Kan ændringen af et par vaner ikke hjælpe gevaldigt på problemerne?
Det vil naturligvis være optimalt, hvis vi en gang kan komme til at stole op det nummer som vises som afsender/opkaldende telefon :-)
Jeg går ud fra at det aldrig koster noget for en dansk abonnement (og som befinder sig i Danmark) at tage telefonen og sige "Hallo", eller læse en sms/mms --- er det korrekt?
Når der er tale om en sms/mms fra "en person man kender" og kræver en aktiv handling med (økonomiske) konsekvenser for én selv, familien eller firmaet, kan man jo ringe til vedkommende og høre om det lyder som en man genkender --- eller kombinere det med at kontakte en person/firma der kan bekræfte at "Martin" er dér eller dér, og eventuelt får godkendelse af en højere oppe i systemet til at foretage den anmodede handling.
Hvis man tager et opkald og nummeret er ukendt, kan man vente et øjeblik med at sige noget, hvilket efter min erfaring ofte medfører at "Microsoft" afbryder forbindelsen (formoder det er en maskine der kalder op og hvis der ikke lyder en stemme når opkaldet tages lægger maskinen på).
Hvis det viser sig at der er et menneske i den anden ende, og man af samtalen vurderer at det er en platugle, er det blot at sige "baj, hav en god dag" og afbryde forbindelsen.
Hvis opkaldet virker troværdigt og indebærer konsekvenser at gøre som man bliver bedt om, kan man tage et tjek som beskrevet ovenfor.
En sms/mms kan man jo blot ignorere hvis den er for "tyk", eller får den bekræftet ved en telefonopringning
Naturligvis vil de eksempler i artiklen stadig kunne udføres, men der er skaden som regel nok til at overse.
Helt sikkert, men så er danskerne sikrede,...
Jeg kan godt følge argumentet. Problemet er blot, at der også er en vis usikkerhed forbundet i at fjerne a-nummeret. Mange danskere modtager jo trods alt opkald fra udlandet og jeg kunne godt forestille mig, at ulempen ved "Ukendt Nummer" kan være lige så stor som ulempen ved spoofing, da det jo fortsat ikke forhindre "banditter" i at ringe op og udgive sig for at være en anden.
En løsning som delvist kan give en løsning er blacklisting i selve telefonen. Jeg har såden en tjeneste kørende på min mobil, og nummeret blinker rødt og siger SPAM, når et nummer genkendes. Den finder omkring 60-70% af "bandit" opkaldene. Men det er selvfølgelig irriterende at man er nødt til at benytte sådan noget, fordi "bandit" teleselskasber ikke kan opføre sig ordentligt.
Hvis de ikke er til at fikse, så skulle man måske se på at forbyde de gamle, usikre protokoller. Der er jo rigeligt andre kommunikationskanaler, hvor af flere er meget mere sikre.
Ingen tvivl om, at spoofing ikke bør finde sted, men der findes også absolut seriøse anvendelser, som ikke bør forhindres.
I diskussionen ovenfor forudsættes det, at SMS kun sendes mellem telefoner, hvilket slet ikke er tilfældet. Der er en stor trafik, hvor en SMS sendes til medlemmer i en forening eller kunder i en forretning via et IT-system. Fx: "Svar på denne SMS og fra-/tilmeld dig mødet på lørdag" Arrangøren sætter så sit eget mobilnummer som afsender på de sendte SMSer. Hvis dette ikke kan lade sig gøre, så besværliggøres kommunikationen.
I øvrigt har visse teleselskaber allerede indført spærringer, som betyder, at de kun modtager SMSer fra gateways i mobilnettet, som betaler for at sende SMSer til teleselskabet. Dette har allerede reduceret trafikken en hel del i forhold til tidligere, hvor SMSer blev sendt uden betaling hos modtagerselskabet.
Det vil kun give danskere i Danmark denne sikkerhed. Resten af verden ville fortsat ikke kunne skelne om kaldet kom fra Danmark, eller fra et "bandit" teleselskab i udlandet som snyder med a-nummer.
Helt sikkert, men så er danskerne sikrede, det må være formålet for danske forbrugere - man er forhåbentligt mere skeptisk i udlandet hvis et dansk nummer ringer, på samme måde som jeg har fingeren klar på rød telefon hvis et udenlandsk nummer ringer til mig.
Jo, men skulle man ikke gøre det alligevel ?Det vil kun give danskere i Danmark denne sikkerhed.
Det er lidt som CO2-reduktion. Danmark fylder ganske lidt på verdensplan, men det afholder os ikke fra at gøre en indsats.
Version2 snød for eksempel et kærestepar i journalistens omgangskreds
Ville dette virke, hvis kæresteparet brugte fx Signal, som primær kommunikationsvej? Dvs. at begge har sat Signal til at være deres primær SMS applikation på telefonen?
Så teleselskaberne selv er også yderst godtroende i deres protokoller. Generelt set handler spoofing fortsat om misbrug af vor store tillid til hinanden, og en mangel på opdragelse i hvornår der bør studses, da svindel altid er en mulighed.
Det har du sådan set ret i. I telefoniens barndom, hvor disse systemer blev udviklet, havde ingen fantasi til at forestille sig, at man i et land med international opkobling til telefonsystemet kunne opleve, at et eller flere af selskaberne kunne finde på at sende falske a-numre.
I de første protokoller var der slet ikke a-nummer overførsel, og muligheden eksisterede derfor ikke. Senere var teknologien begrænset til SS7, dvs. tonepulser mellem teleselskaberne, men der var fortsat ikke behov for at sætte andet en landets egne numre på.
Så kom mobiltelefonerne, og med dem roaming - og dermed behovet for at sætte forskellige (ikke nationale) a-numre på opkald. Og det er så her problemerne begynder. For fristelsen til at tilbyde "banditter" mulighedne for at spoofe har åbenbart så stor økonomisk magt, at selv nationalt opkoblede telesleskaber kan misbruges til sådan noget.
Godtroende, ja måske - men nok mere en konsekvens af den teknologisk udvikling kombineret med meget større teknisk udbredelse og færdigheder hos "banditterne".
En lidt bedre løsning kunne være at modificere nummert ved at tilføje ekstra cifre o.lin. så man ved at opkaldet kan være usikkert.
Hvis man kunne så vil det løse problemet - men det forudsætter at "bandit" teleselskabet vil være med til en sådan løsning. Mit gæt er, at de ikke har lyst til at være med.
Hvis de indførte det i DK, så kunne man stole på opkald fra +45 numre
Det vil kun give danskere i Danmark denne sikkerhed. Resten af verden ville fortsat ikke kunne skelne om kaldet kom fra Danmark, eller fra et "bandit" teleselskab i udlandet som snyder med a-nummer.
Det er egentlig en kombination af to problemer:
- Der er brodne kar blandt teleselskaberne, og
- Telefonsystemet er koblet sammen verden over
Konsekvensen er, at hvis blot et enkelt teleslaskab i et eller andet obskurt land, tilbyder sine kunder adgang til det, kan kunderne sætte et hvilket som helst telefonnummer på som afsender nummer (a-nummer).
Modtageren og det danske teleselskab har ingen som helst chance for at se, at opkaldet kommen fra en "bandit" langt væk, a-nummeret f.eks. er et dansk og udkyldigt udseende nummer.
For at gøre ondt værre, så tilbyder disse obskure telefirmaer deres tjenester på nettet, så en dansk "bandit" kan bruge tjenesten til at sende et opkald ind i det danske telenet.
Man kan selvfølgelig godt lave en masse teknik som validerer og checker alt, men det nytter ikke, hvis blot et enkelt teleselskab ikke vil være med. Det eneste som hjælper er at afkoble "bandit" selskabet fra telenettet.
I Danmark holder danske teleselskaber øje med hvilke afstender numre der f.eks. kan sættes på VoIP opkald, så kun de numrer som er godkendt til det kan sættes på. Det bruges når store virksomheder har behov for at ringe ud med f.eks. sit hovednummer som a-nummer. Denne form for svindel er ikke mulig at udføre med et dansk teleselskab som a-nummer kilde.
:-) Mail er et gammelt system, der er nærmest lige så mange svindelmuligheder der, hvis man vil. Så hellere messeger eller skype eller whatsapp eller facetime eller ...... discord?SMS kan i de fleste tilfælde erstattes af e-mail?
Tilbage i 00erne skrev jeg lidt programmering, så en dum mobiltelefon kunne lave reportage live med video. Dengang var MMS-priserne helt i skoven, så jeg "oprettede" mit eget teleselskab som en programpakke på nettet. Dette modtag alle MMS-pakker, men "glemte" så at udløse den forventede regning til afsenderen...
Så teleselskaberne selv er også yderst godtroende i deres protokoller. Generelt set handler spoofing fortsat om misbrug af vor store tillid til hinanden, og en mangel på opdragelse i hvornår der bør studses, da svindel altid er en mulighed.
Hvad med kun at bruge videoopkald, så har man “biometrisk” identifikation? SMS kan i de fleste tilfælde erstattes af e-mail?
Hvorfor laver man ikke noget i stil med SPF på mail, hvor man laver et tjek på hvor telefonen, som nummeret er tilknyttet, befinder sig, og hvor opkaldet kommer fra. Man kan jo nærmest blive dømt for mord på baggrund af teledata, så det er da noget man kan stole på, i hvert fald nok til at lave sådan et tjek. Så kan man sende en kode med ud til brugeren, som telefonen kan bruge til ud over at vise nummeret, kan vise en besked om at man ikke er sikker på validiteten af afsender, og så kan modtager selv tage stilling til om telefonen skal tages eller blokeres.
En generel blokereing af danske tlf nr - vil også blokere for at du kan ringe hjem når du er ude at rejse! En lidt bedre løsning kunne være at modificere nummert ved at tilføje ekstra cifre o.lin. så man ved at opkaldet kan være usikkert.
Det drejer sig jo bare om penge, det andet er bare en dårlig undskyldning.
Hvis de indførte det i DK, så kunne man stole på opkald fra +45 numre, med mindre brugeren er i udlandet i et land som ikke har protokolen, og her kunne jeg som modtager sagtens leve med UKENDT NUMMER som afsender. Bum, så fik de andre landes teleselskaber pludselig også en interesse i at få det implementeret (ja, jeg er godt klar over at DK nok ikke har den store indvirkning på udlandet, men andre skal nok blive inspireret til at gøre det samme).
Ja, det lyder rigtigt nemt ikke ? Det er det ikke, den løsning vil blokerere for opkald og SMS'er som kommer fra mobiltelefoner som befinder sig i udlandet. De er jo netop på et udenlandsk net og kommer med dansk nummer.I første omgang må det vigtigste være at blokere for opkald og sms'er, der afsendes med danske telefonnumre som afsender. Kan STIR/SHAKEN hjælpe med det? Hvad ville der ske, hvis man blokerer for sms'er fra lande, der ikke implementerer denne protokol, evt. som en indstilling for den enkelte kunde?
Det mener de åbenbart i USA?Det vil ikke bibringe noget at implementere STIR/SHAKEN nationalt, da problemet er internationalt.
I første omgang må det vigtigste være at blokere for opkald og sms'er, der afsendes med danske telefonnumre som afsender. Kan STIR/SHAKEN hjælpe med det? Hvad ville der ske, hvis man blokerer for sms'er fra lande, der ikke implementerer denne protokol, evt. som en indstilling for den enkelte kunde?