Investor sagsøger amerikansk teleselskab efter SIM-svindel

Illustration: Bigstock
AT&T sagsøges for 223,8 millioner dollars, efter kriminelle ifølge anklage fik adgang til konto gennem SIM-svindel.

Den amerikanske kryptovaluta-investor Michael Terpin har sagsøgt det amerikanske teleselskab AT&T for uagtsomhed og svindel, som han hævder var skyld i et tyveri af kryptovaluta til en værdi på 23,8 millioner dollars.

Det skriver The Verge.

Ifølge Michael Terpin var AT&T hans teleudbyder, da kriminelle skaffede sig adgang til hans mobiltelefon ved at lave et såkaldt 'SIM swap'. Det vil sige, at de overførte hans telefonnummer til et andet SIM-kort uden hans godkendelse. Det stjålne nummer blev så brugt til at hacke Terpins konto, og herefter stjæle hans tokens.

Læs også: Social engineering på højt niveau: Hackere stjæler adskillige konti kun med offerets telefonnummer

I alt sagsøger han for 223,8 millioner dollars. AT&T har fortalt Reuters , at de bestrider anklagen.

»Hvad AT&T gjorde, var ligesom et hotel, der giver en tyv med et falsk ID en værelsesnøgle og en nøgle til værelsets pengeskab, så tyven kan stjæle smykkerne i pengeskabet fra den retmæssige ejer,« står der i søgsmålet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Povl H. Pedersen

Man er nødt til at gøre et eksempel. Teleudbydere er så væsentlige i vores digitale infrastruktur at telenetværket nationalt regnes som kritisk infrastruktur.

At der så nu har været så mange sager at SMS regnes som ubrugeligt til 2-FA hvor der er særlig risiko/finansielle interesser er sekundært.

Men det er vel svært at finde ud af hvordan de skal straffes.

Hvis vi tager en teoretisk dansk sag hvor Peter Hansen får rettet sin postadresse hos PostNord, hacker bestiller pas og nyt NemID, og lænser konti, samt sælger Peter Hansens ejendom, så vil det være svært at kræve økonomisk kompensation af hverken PostNord, Paskontoret eller NemID.

Der er faktisk en sag for år tilbage hvor en beboer i en fremlejet lejlighed gjorde dette. Bestilte nyt ID i udlejers navn (med sit eget billede), tømte konti og solgte lejligheden. Og her kunne krav kun gøres med svindler.

  • 3
  • 0
Hans Nielsen

Svindel eller misbrug af NemID, (ikke, pas, post, telefon, sms,..) bør straffe meget strengt, måske altid minimum 10- 15 års fængsel. Det er ligesom møntfalskneri.

NemID identitet er så vigtigt en del af samfundet og og der er meget vigtigt at der er tillid til dette, og det ikke misbrugs. Så derfor skal misbrug eller tyveri af dette være højere end "hvad man fortjener" For at beskytte fundamentet i samfundet, som med tilliden til penge.

Det kan så godt være at chancen for at blive fanget ikke er så høj, men hvis strafferammen til gengæld er meget høj. Så øger det sandsynligheden for, at svindler ikke har lyst til at tage selv denne lille risiko.

Lidt lige som hjemmerøverier er næsten stoppet, efter at straffen nærmere sig et mordforsøg - Det er nogle ting vi bare ikke vil have.

  • 3
  • 2
René Nielsen

Hvis man forfalsker en underskrift (uanset om det er via nemid) er dette altid en stærk ugyldighedsgrund.

Det betyder at aftalen (om lån, køb, salg eller hvad det nu er), er ugyldig overfor enhver, anset om denne handlede i “god tro” eller ej.

Hvis man helt uvidende er blevet den ulykkelige ejer af 20 nye quicklån plus en masse købt på afbetaling, så er jeg helt med på, at det kan det være ganske slidsomt at slippe ud af klørene på svindlerne og de retsforfølgende kreditorer, selvom man har retten på sin side.

Det er i min optik brug for ny lovgivning omkring digital kriminalitet og især digital identitetstyveri. Skærpet straf er en sølje, en anden søjle er at man lavede dobbelt bevisbyrde ved digitale kredithandler, således at kreditor altid skal bevise, at debitor er den rette debitor uanset at der er anvendt nemid.

Kreditor kan så sende de indkøbte produkter til f.eks. en GLS shop og der bede GLS shoppen om nøje at kontrollerer identiteten af kunden med billedelegitimation som pas, kørekort og evt. sygesikring. Og hvis billedlegitimationen er helt ny, evt. kræve kontant betaling.

I en digital verden kan det ikke både være nemt og sikkert på samme tid, hvis man vil undgå svindel. Der er nødt til at være en betryggende validering for både debitor og kreditor.

  • 3
  • 0
Gert Madsen

I en digital verden kan det ikke både være nemt og sikkert på samme tid, hvis man vil undgå svindel.


Ja, det er ufatteligt, at man har ignoreret århundreders erfaring med at kvalificere sikkerhed.
Brug Nemid til de 90% af handlingerne, som de er egnet til - skoleindskrivning, registrering af ferie etc.
Og brug noget mere sikkert i de situationer, der virkeligt betyder noget. Feks. handel med fast ejendom . Og hvis man ikke kan finde ud af at lave det digitalt, så fred være med det. Det er alligevel meget sjældent at folk har brug for det.

  • 0
  • 0
Jens Madsen

»Hvad AT&T gjorde, var ligesom et hotel, der giver en tyv med et falsk ID en værelsesnøgle og en nøgle til værelsets pengeskab, så tyven kan stjæle smykkerne i pengeskabet fra den retmæssige ejer,«

Umiddelbart kan jeg ikke se ovenstående er korrekt. Det er korrekt, at AT&T har givet en tyv adgang til værelset med et falsk ID. Men, jeg kan ikke se, hvordan de skulle give adgang til pengeskabet. Hvis de har haft koden til pengeskabet, så er det ejeren, som ikke har haft fornøden sikkerhed. Det er tåbeligt, at have et pengeskab i et hotelværelse, og give nøglen til hotellets ejere. Det svarer til, at ejeren lægger nøglen til pengeskabet under måtten, eller lader den side i.

Endeligt, så vil man næppe kunne opnå en så stor erstatning overfor et hotel - med mindre, at man har en særlig forsikring.

  • 1
  • 0
Hans Nielsen

Det svarer til, at ejeren lægger nøglen til pengeskabet under måtten, eller lader den side i.


Som jeg forstår det. Så er der sikkert brug 2 faktor sikkerhed ved hjælp af telefonnummeret.

Han mener så at AT&T ikke har sikret sig tilstrækkeligt om at "dem" som bad om at få et nyt SIMkort, da det gamle var blevet væk ikke var ham.

Men hans telefon/pcer var sandsynligvis også hacket. Med de beløb han have lignende kunne det nok svare sig at bruge tid på det. Endda også et fysik indbrud og lignende.

Men vil du ikke selv mene at "dit" telefonnummer skulle være rimelig beskyttelse mod hacking af f.eks din gmail konto hvis du bruge 2 faktor ? som et opkalde eller SMS.

Tror det i Danmark ville være svært at få erstatning. Men der jo ikke samme regler som i nogle stater i USA.

Men hvis din bank have solgt dit hus og overført alle penge til en udenlandsk konto, fordi du have ringet, og de kunne se det var dig. På grund af dit telefonnummer hvad så ?

Men historien falder lige ind i debatten om password og sikkerhed i en anden tråd. For hvordan skulle han have beskyttet sig, så dette ikke kunne ske ?

  • 1
  • 0
Niels Danielsen

Sikkerheden i SIM er primært rettet imod at sikre Teleselskaberne imod de omkostninger der kan opstå ifm. misbrug af abonnement.
Da misbrug vil blive opdaget ved et forbrug på 10 til 50kkr, og misbrug er forholdsvis sjældent, er sikkerheden omkring SIM formodentligt tilstrækkeligt for teleselskaberne.
Problemet er at mange firmaer (Google, Apple, Facebook, Nemid etc.) gerne vil tilbyde 1fa og 2fa uden at stille nogen garantier, og uden at nævne hvor store beløb/værdier der må sikres med deres teknologi.
Ved Nemid ligger sikkerheden i at papkortet sendes til folkeregister adressen. For 23M$ kunne man kunne man godt få nogle til at holde øje med en postkasse i 14 dage.
Sikkerheden i nemID kunne forbedres hvis man kunne vælge at der kun måtte bruges hardware token.
Sikkerheden ved udskiftning af token/papirkort kan forbedres ved at man udnævner nogle personer som man stoler på som garanter for ens identitet. Kan kunne f.eks. udnævne forældre, søskende, og ægtefælde, og kræve at to af dem via. NemID skulle kvittere for at jeg havde modtaget et nyt token.

  • 1
  • 0
Michael Yde

En tvist i dette paradoks er feks
borgerservice.
Hvor man nok får en form for service.
Hvor det så også kan gå galt.
Eksempelvis skriver du under på en plade, men får ingen kvittering på det du skriver under på.
Alligevel kan du blive anklaget for dokument falsk. Selv om du ikke har en mulighed for at se hvor ekspedienten har sat kryds. Måske et helt fejl sted, som du så kan klandres for. Hmmmm.... Ja der er mange aspekter på det digitale.....

  • 0
  • 0
Log ind eller Opret konto for at kommentere