Kun teleselskabet kan redde dig fra simsvindel – men her er fire ting du selv kan gøre

Illustration: Lasse Gorm Jensen
Mens de danske teleselskaber i Ingeniørens og Version2s stikprøve ikke har formået at sikre deres kunder mod sim-swapping, kan brugerne ganske enkelt mindske problemerne selv.

I danske telebutikker er det ikke svært at få udleveret et simkort til en fremmed brugers nummer, selvom du ikke har billed-id med, slog Version2 og Ingeniøren i fredags fast i en stikprøve.

Og netop fordi ansvaret ligger hos teleselskaberne, er der meget lidt, man selv kan gøre for at undgå et angreb fuldstændigt.

»Som enkeltperson vil jeg nok vurdere, at det er svært at gøre noget i forhold til sim-swapping. Når det lykkes jer at få udleveret et simkort på det glatte ansigt, er det noget man bør kigge nærmere på hos teleselskaberne,« vurderer it-sikkerhedsspecialist Jesper Mikkelsen fra Trend Micro.

Men et simkort i de forkerte hænder kan i løbet af ganske kort tid få store konsekvenser. I løbet af blot ti minutter havde vi eksempelvis adgang til vores 'offers' indbakke, sociale medier, datingtjeneste og dropbox samt en backup af offerets telefon og kopi af offerets pas – heldigvis var offeret os selv.

Læs også: Ti minutter: Stjålet SIM-kort kan knække dine koder, åbne din mail og blotte dit privatliv (Kræver Ingeniøren-abonnement)

Men som forsøget viste, er det især en sårbarhed i mailkonti som Gmail og Outlook, der eskalerer et angreb fra at handle om at sende og modtage sms’er og opkald på dine vegne til at være en overtagelse af dit digitale liv.

Alligevel er det væsentligt ikke blot hovedløst at fjerne sit telefonnummer fra sin mailkonto, fastslår Jesper Mikkelsen. Hvis resultatet er, at man slår to-faktor-autentifikation fra, er det nemlig en forringelse af sikkerheden, understreger han.

»I it-sikkerhed er der altid mange udfordringer på én gang. Her er det for eksempel vigtigt, at vi ikke standser med at bruge to-faktor-løsninger,« siger han og peger på, at andet end sms kan bruges som to-faktor-løsning.

På baggrund af blandt andet det råd – og på opfordring fra utallige læsere – har vi derfor opsummeret et par råd, der kan hjælpe med at mindske risikoen og omfanget af et sim-swapping-angreb for den enkelte bruger.

Da der er tale om et yderst lavpraktisk problem, er løsningerne det også, vil de it-sikkerhedskyndige læsere bemærke. Ikke desto mindre er de vigtige:

Læs også: Hackere kan overtage mailkonti hos Google og Microsoft alene via et telefonnummer

1: Drop gendannelses-sms

Den eneste grund til, at et stjålet telefonnummer kan have så stor betydning er, at eksempelvis mailudbydere som Gmail lader dig nulstille dit password via sms og dermed omgå password og tilmed to-faktor-autentifikation. Hvis du slår telefonnummeret fra som gendannelsesmulighed på din konto, gør du den type angreb umuligt.

Hvis du vil sikre dig i tilfælde af, at du glemmer koden, bliver du så nødt til at have eksempelvis en anden mailadresse som gendannelses-kontakt.

Når den helt enkle adgang til mail-indbakken er udelukket, er der imidlertid lidt flere skridt, du kan tage for at sikre dine konti.

2: Skaf en bedre to-faktor-løsning

Vil du være endnu mere sikker, kan du kigge dig om efter en bedre måde at lave to-faktor-autentifikation på end sms og telefonopkald.

Selv om gendannelses-sms’er er slået fra på en konto, kan en svindler nemlig godt overtage din konto ved hjælp af dit telefonnummer, hvis de samtidig har stjålet dit password, eksempelvis i et af de mange password-dumps, der er sket de seneste år.

Afhængig af hvilken mailudbyder eller hvilket socialt medie, der er tale om, findes der forskellige typer to-faktor-løsninger, der kan bruges i stedet. De fleste tjenester lader dig printe to-faktor-koder, der – i stil med et papkort fra NemID – kan bruges i stedet for en sms-kode.

En app som Google Authenticator er også en udbredt løsning. Den genererer nye koder til forskellige tjenester hvert 30. sekund.

Endelig kan man anskaffe sig en hardwarenøgle, som arbejder efter FIDO U2F-standarden og autentificerer brugeren uden behov for at indtaste en kode. Den type nøgle understøttes i dag af de fleste større webtjenester.

Fælles for alle metoderne er dog, at de kun øger sikkerheden, hvis sms samtidig slås fra som mulighed i kontoindstillingerne.

3: Tal med dit teleselskab

Mens teleselskaberne har vist sig dårlige til at overholde egne procedurer, kan man i nogle tilfælde hjælpe dem på vej. Nogle selskaber tilbyder for eksempel at sikre din konto ekstra ved at tilføje en kode, du skal oplyse i butikken eller i telefonen, før der kan laves ændringer på din konto.

Det gælder eksempelvis teleselskabet 3, der i Ingeniørens test var særligt sløsede med ID-kontrollen i forhold til konkurrenterne.

Den ekstra kode er vel at mærke i tillæg til, at selskabet bør huske at bede om ID i butikken eller CPR-nummer over telefonen. Om selskabet er bedre til at tjekke koder end ID har Ingeniøren ikke tjekket.

Endelig kan man naturligvis genoverveje sit valg af teleselskab, påpeger Jacob Herbst, der er medstifter af it-sikkerhedsfirmaet Dubex.

»Jeg ville kraftigt overveje at skifte teleskab, hvis mit teleselskab lod andre tage mit nummer, netop fordi et telefonnummer er så kritisk og følsomt,« siger han.

»Hos Dubex ville vi også blive temmelig utilfredse, hvis vi finder ud af, at det her kan lade sig gøre med vores firmatelefon-numre,« fortsætter han

Læs også: Twitter-direktørs telefonnummer kompromitteret og brugt til udsendelse af bombe-tweet

4: Reagér hurtigt, hvis du bliver ramt

Skulle du endelig blive ramt af sim-swapping, kan angrebet imidlertid hurtigt gribe om sig. Som Ingeniøren og Version2 har påvist i et forsøg, har vi kunnet skaffe os adgang til sociale medier, mail, datingtjeneste og alverdens personlige oplysninger om offeret på kun ti minutter.

Her hjælper det offeret, at det gamle simkort lukkes så snart det nye aktiveres.

»Som offer skal man reagere på, at simkortet går offline. Så længe man har adgang som tredjepart, kan man blive ved med at udnytte adgangen til systemerne,« påpeger Jesper Mikkelsen og fortsætter:

»Derfor er det vigtigt, at du reagerer. Jo hurtigere du gør det, desto hurtigere kan det mitigeres (imødegås, red.).«

Er du Google-bruger, findes der en løsning kaldet Advanced Protection, der samler flere af de ovenstående tiltag for at give ekstra beskyttelse målrettet brugere, der mener, at de er i særlig fare for at få deres konto stjålet.

Ovenstående råd er opsummeret på utallige opfordringer fra brugere, efter Version2 og Ingeniøren fredag kunne afsløre, hvor lidt der skal til for at få udleveret sim-kort i danske telebutikker. Har du yderligere råd, så skriv dem meget gerne i kommentarfeltet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere