Kun teleselskabet kan redde dig fra simsvindel – her er fire ting du selv kan gøre

5. september 2019 kl. 05:135
Kun teleselskabet kan redde dig fra simsvindel – her er fire ting du selv kan gøre
Illustration: Lasse Gorm Jensen.
Mens de danske teleselskaber i Ingeniørens og Version2s stikprøve ikke har formået at sikre deres kunder mod sim-swapping, kan brugerne ganske enkelt mindske problemerne selv.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

I danske telebutikker er det ikke svært at få udleveret et simkort til en fremmed brugers nummer, selvom du ikke har billed-id med, slog Version2 og Ingeniøren i fredags fast i en stikprøve.

Og netop fordi ansvaret ligger hos teleselskaberne, er der meget lidt, man selv kan gøre for at undgå et angreb fuldstændigt.

Sim-swapping

Når en angriber skaffer et aktivt simkort til et eksisterende telefon-abonnement og dermed overtager offerets nummer kaldes det sim-swapping.

Ingeniøren og Version2 har ved en stikprøve vist, at fænomenet er yderst muligt i Danmark, men teleselskaberne lover, at de vil stramme op.

Med kontrol over nummeret kan angriberen starte en lang række svindel- og hackerangreb.

Fra at sende beskeder og ringe til offerets kontakter til at trænge ind i mails og derigennem åbne op for offerets onlineliv.


»Som enkeltperson vil jeg nok vurdere, at det er svært at gøre noget i forhold til sim-swapping. Når det lykkes jer at få udleveret et simkort på det glatte ansigt, er det noget man bør kigge nærmere på hos teleselskaberne,« vurderer it-sikkerhedsspecialist Jesper Mikkelsen fra Trend Micro.

Men et simkort i de forkerte hænder kan i løbet af ganske kort tid få store konsekvenser. I løbet af blot ti minutter havde vi eksempelvis adgang til vores 'offers' indbakke, sociale medier, datingtjeneste og dropbox samt en backup af offerets telefon og kopi af offerets pas – heldigvis var offeret os selv.

Læs også: Ti minutter: Stjålet SIM-kort kan knække dine koder, åbne din mail og blotte dit privatliv (Kræver Ingeniøren-abonnement)

Artiklen fortsætter efter annoncen

Men som forsøget viste, er det især en sårbarhed i mailkonti som Gmail og Outlook, der eskalerer et angreb fra at handle om at sende og modtage sms’er og opkald på dine vegne til at være en overtagelse af dit digitale liv.

Alligevel er det væsentligt ikke blot hovedløst at fjerne sit telefonnummer fra sin mailkonto, fastslår Jesper Mikkelsen. Hvis resultatet er, at man slår to-faktor-autentifikation fra, er det nemlig en forringelse af sikkerheden, understreger han.

»I it-sikkerhed er der altid mange udfordringer på én gang. Her er det for eksempel vigtigt, at vi ikke standser med at bruge to-faktor-løsninger,« siger han og peger på, at andet end sms kan bruges som to-faktor-løsning.

På baggrund af blandt andet det råd – og på opfordring fra utallige læsere – har vi derfor opsummeret et par råd, der kan hjælpe med at mindske risikoen og omfanget af et sim-swapping-angreb for den enkelte bruger.

Da der er tale om et yderst lavpraktisk problem, er løsningerne det også, vil de it-sikkerhedskyndige læsere bemærke. Ikke desto mindre er de vigtige:

1: Drop gendannelses-sms

Den eneste grund til, at et stjålet telefonnummer kan have så stor betydning er, at eksempelvis mailudbydere som Gmail lader dig nulstille dit password via sms og dermed omgå password og tilmed to-faktor-autentifikation. Hvis du slår telefonnummeret fra som gendannelsesmulighed på din konto, gør du den type angreb umuligt.

Hvis du vil sikre dig i tilfælde af, at du glemmer koden, bliver du så nødt til at have eksempelvis en anden mailadresse som gendannelses-kontakt.

Når den helt enkle adgang til mail-indbakken er udelukket, er der imidlertid lidt flere skridt, du kan tage for at sikre dine konti.

2: Skaf en bedre to-faktor-løsning

Vil du være endnu mere sikker, kan du kigge dig om efter en bedre måde at lave to-faktor-autentifikation på end sms og telefonopkald.

Selv om gendannelses-sms’er er slået fra på en konto, kan en svindler nemlig godt overtage din konto ved hjælp af dit telefonnummer, hvis de samtidig har stjålet dit password, eksempelvis i et af de mange password-dumps, der er sket de seneste år.

Afhængig af hvilken mailudbyder eller hvilket socialt medie, der er tale om, findes der forskellige typer to-faktor-løsninger, der kan bruges i stedet. De fleste tjenester lader dig printe to-faktor-koder, der – i stil med et papkort fra NemID – kan bruges i stedet for en sms-kode.

En app som Google Authenticator er også en udbredt løsning. Den genererer nye koder til forskellige tjenester hvert 30. sekund.

Endelig kan man anskaffe sig en hardwarenøgle, som arbejder efter FIDO U2F-standarden og autentificerer brugeren uden behov for at indtaste en kode. Den type nøgle understøttes i dag af de fleste større webtjenester.

Fælles for alle metoderne er dog, at de kun øger sikkerheden, hvis sms samtidig slås fra som mulighed i kontoindstillingerne.

3: Tal med dit teleselskab

Mens teleselskaberne har vist sig dårlige til at overholde egne procedurer, kan man i nogle tilfælde hjælpe dem på vej. Nogle selskaber tilbyder for eksempel at sikre din konto ekstra ved at tilføje en kode, du skal oplyse i butikken eller i telefonen, før der kan laves ændringer på din konto.

Det gælder eksempelvis teleselskabet 3, der i Ingeniørens test var særligt sløsede med ID-kontrollen i forhold til konkurrenterne.

Den ekstra kode er vel at mærke i tillæg til, at selskabet bør huske at bede om ID i butikken eller CPR-nummer over telefonen. Om selskabet er bedre til at tjekke koder end ID har Ingeniøren ikke tjekket.

Endelig kan man naturligvis genoverveje sit valg af teleselskab, påpeger Jacob Herbst, der er medstifter af it-sikkerhedsfirmaet Dubex.

»Jeg ville kraftigt overveje at skifte teleskab, hvis mit teleselskab lod andre tage mit nummer, netop fordi et telefonnummer er så kritisk og følsomt,« siger han.

»Hos Dubex ville vi også blive temmelig utilfredse, hvis vi finder ud af, at det her kan lade sig gøre med vores firmatelefon-numre,« fortsætter han

4: Reagér hurtigt, hvis du bliver ramt

Skulle du endelig blive ramt af sim-swapping, kan angrebet imidlertid hurtigt gribe om sig. Som Ingeniøren og Version2 har påvist i et forsøg, har vi kunnet skaffe os adgang til sociale medier, mail, datingtjeneste og alverdens personlige oplysninger om offeret på kun ti minutter.

Her hjælper det offeret, at det gamle simkort lukkes så snart det nye aktiveres.

»Som offer skal man reagere på, at simkortet går offline. Så længe man har adgang som tredjepart, kan man blive ved med at udnytte adgangen til systemerne,« påpeger Jesper Mikkelsen og fortsætter:

»Derfor er det vigtigt, at du reagerer. Jo hurtigere du gør det, desto hurtigere kan det mitigeres (imødegås, red.).«

Er du Google-bruger, findes der en løsning kaldet Advanced Protection, der samler flere af de ovenstående tiltag for at give ekstra beskyttelse målrettet brugere, der mener, at de er i særlig fare for at få deres konto stjålet.

Ovenstående råd er opsummeret på utallige opfordringer fra brugere, efter Version2 og Ingeniøren fredag kunne afsløre, hvor lidt der skal til for at få udleveret sim-kort i danske telebutikker. Har du yderligere råd, så skriv dem meget gerne i kommentarfeltet.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
20. september 2019 kl. 16:09

Interessant ide.

Hvor længe holder et taletidskort, hvis man ikke putter flere penge på det? Og opdager du, hvis det løber ud? Hvad gør du, hvis du mister taletidskortet (f.eks. tyveri af telefonen)?

7
5. september 2019 kl. 13:46

@Christian kan du uddybe dette lidt?

Hvad er lignende services, og hvad ser du problemet er?

6
5. september 2019 kl. 11:07

Er taletidskort også omfattet af "problemet", ellers kunne det være en løsning til brug ved gendannelse og 2 faktor. Mange telefoner kan i forvejen tage 2 simkort, så man kunne dedikere det ene til autentikation

3
5. september 2019 kl. 10:37

Fin-fin forklaring på hvordan vi løser de problemer som en lovløs telebranche står for i Danmark

NB. Og hvad så når TDC mobilnet går ned - det sker jo ofte i store dele af landet, skal vi så piske hen og skifte sim-kort? Netop fordi sim kortet ikke virker!

2
5. september 2019 kl. 09:48

Lad helt være med at bruge Googles, eller lignendes, "services".