Pærelet at sende snyde-sms'er og lave falske opkald: »Dybt problematisk«

Det er legende let at ringe og sms'e på vegne af andre, uden modtageren har en chance for at se, at noget er galt.

Når du modtager en sms fra din partner eller et opkald fra din læge, ja, så kan det være en god idé lige at dobbeltjekke, at det faktisk er den rigtige person, du kommunikerer med.

Der er nemlig flere tjenester på det åbne internet, der gør det legende let at sende sms'er og foretage opkald, så det ser ud som om, de kommer fra et andet afsendernummer, end der reelt er tale om. Teknikken kaldes også spoofing.

»Det er dybt problematisk,« siger Torben Rune, civilingeniør og grundlægger af tele-konsulentvirksomheden Netplan A/S.

Der er som sådan ikke noget nyt i, at det kan lade sig gøre at fuske med eksempelvis sms-beskeder, så PostNord står som afsender, selvom det reelt set er en svindler, der står bag.

Men det er formentligt de færreste, der lige går og tænker over, at nettet byder på særdeles brugervenlige tjenester, der kan få opkald og sms'er til at se ud som om, de kommer fra lægen, chefen eller ministeren.

I udgangspunktet er det relativt let at opdage, at der er tale om et et opkald eller en sms fra et fup-nummer. Det kræver blot, at en bruger fatter mistanke og ringer eller skriver tilbage og tjekker med den retmæssige indehaver af nummeret, at der ikke er tale om svindel.

Men for at folk kan fatte mistanke, så forudsætter det naturligvis, at de i første omgang er opmærksomme på, at der let kan snydes med telefonnumre. Og det mener Torben Rune generelt set ikke er tilfældet.

»Viden om, at sådan noget overhovedet kan lade sig gøre, er ekstrem nyttig, og det burde være kendt af alle,« siger han.

Uløseligt problem

Torben Rune fortæller, at der ikke er nogen let løsning på spoofing af telefonnumre, som han beskriver som en international problemstilling. Og i mangel af en teknisk løsning efterlyser han i stedet end højere grad af kommunikation fra teleselskaberne om problemet.

»Det er næsten et uløseligt problem. Det jeg synes teleselskaberne burde gøre, det er at sige til folk, at du kan under ingen omstændigheder regne med hverken afsender-telefonnummer eller den tekst, der står som afsender,« siger Torben Rune.

Han bemærker, at der også kan være helt legitime forretningsmæssige årsager til at anvende eksempelvis sms-tjenester, så der står et firma-navn som afsender i forbindelse med udsendelse af en besked.

Version2 har identificeret og testet flere online-tjenester, der gør det muligt at spoofe sms'er og og opkald, så de ser ud som om, de kommer fra eksisterende danske numre.

Det koster godt nok penge at bruge tjenesterne, men så fungerer de også som adviseret. Det er i øvrigt muligt at betale prisen for at anvende tjenesterne med bitcoin. Betaling med kryptovalutaen kan gøre det lettere for en svindler at skjule sin identitet.

Det siger teleselskaberne

Version2 har forelagt Torben Runes kritik af manglende kommunikation for de fire danske teleoperatører TDC Group (herunder YouSee), Telenor, 3 og Telia. TDC/Yousee, Telenor og 3 bekræfter, at spoofing af opkald og sms'er er et problem. Telia har - grundet ferie - ikke kunnet nå at undersøge sagen nærmere inden deadline.

»Det er korrekt, at hele branchen oplever dette problem i perioder. Der er en fortsat dialog mellem selskaberne om hvordan det fremadrettet kan håndteres bedst muligt. Det er dog vigtigt at understrege, at teleselskaberne ingen kontrol har med, at nogle vælger at oprette tjenester til spoofing,« lyder det i et skriftligt svar fra pressekontakt hos TDC Group Helle Hvidt Wallentin.

Både 3 og Telenor understreger, at selskaberne har meget få henvendelser fra kunder om spoofing.

»HVIS vi får henvendelser, så har vi en klar proces, hvor vi er behjælpelige med at udrede sagen for kunden, og hvor kunden kvit og frit kan få et nyt nummer med det samme, hvis det ønskes,« skriver pressekontakt hos 3 Hanne Damgaard i en mail.

Hos Telenor fortæller pressechef Anne Faigh Rydell - ligeledes via mail - at virksomheden har haft enkelte sager i forhold til spoofing.

»Skulle dette vise sig at blive et problem for flere af vores kunder, vil vi se på om vi skal informere vores kunder yderligere om denne problematik, da vi naturligvis er interesseret i at vores kunder ved hvad de skal være ekstra opmærksomme på.«

En lang liste

Listen over mulige misbrugs-scenarier ved spoofing af telefonnumre virker nærmest uendelig lang.

På redaktionen har det i hvert fald ikke skortet på idéer til, hvordan spoofing af folks numre ved både tale og sms vil kunne misbruges.

For ikke at bidrage til, at de forkerte får for gode idéer, nøjes vi her med at nævne nogle oplagte eksempler, som svindlere stort set allerede benytter sig af.

CEO-Fraud: Svindelformen, hvor en tidspresset regnskabsmedarbejder får en besked, der ser ud til at komme fra chefen, om straks at overføre et større beløb til en eller anden konto i udlandet.

Denne form for svindel kan foregå via mail. Alt efter hvor sikkert den pågældende virksomhed har opsat mailsystemet, kan det være forholdsvis let at opdage, at noget lusk er på færde, og at mailen faktisk ikke reelt kommer fra chefen men fra en svindler.

Hvis en svindler i stedet sender en sms, der ser ud til at komme fra chefens mobilnummer, til førnævnte regnskabsmedarbejder, så vil sms'en i udgangspunktet glide ubesværet ind i en eventuel eksisterende sms-tråd, der måtte være mellem chefen og pågældende medarbejder. Det vil selvsagt øge troværdigheden nærmest uendeligt sammenlignet med en mail sendt fra en 'næsten korrekt' mail-adresse.

Derudover kan svindleren jo, hvis han eller hun går rundt med en lille skuespiller i maven, eventuelt følge sms'en op med et opkald til regnskabsmedarbejderen. Opkaldet ser naturligvis også ud til at komme fra chefens mobiltelefon.

'Der er en pakke til dig': Et kendt svindelnummer er en sms, der ser ud til at komme fra eksempelvis PostNord om, at der er en pakke klar til afhentning.

Brugeren bliver i den forbindelse lige bedt om at klikke på et link. Ved denne form for svindel, så skriver afsenderen eksempelvis PostNord (i stedet for et telefonnummer). Og hvis tidligere, legitime beskeder, er sendt fra samme afsendernavn, så ryger svindelbeskeden, der måske indeholder et ondsindet link, ofte direkte ind i tråden med de legitime beskeder.

Resultatet er - ligesom med sms'en med CEO-fraud - at svindelbeskeden nu lukrerer på den troværdighed, der måtte være forbundet med den ellers legitime beskedtråd.

Opkald fra kundesupport: Betalingskortoplysninger, kodeord og brugernavn er formentlig lidt lettere at lokke ud af intetanende ofre, når det fremgår af telefonens display, at et opkald ser ud til at stamme fra en kendt virksomhed.

Hvad det angår, så har flere telefoner en indbygget funktion, der automatisk søger på nummeret, så det tilhørende virksomhedsnavn bliver vist.

Vi har forsøgt at få en kommentar fra både Center for Cybersikkerhed og Rigspolitiet i forhold til spoofing-problematikken, og at det åbenbart ikke er muligt at stole på de telefonnumre, der knytter sig til sms’er og opkald.

Det er dog ikke lykkedes at få svar fra de to organisationer inden deadline. Vi vender tilbage, såfremt der er relevant nyt at fortælle i den forbindelse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (78)
Christian E. Lysel

Hvis jeg får viderestillet det spoofet telefon nummer til et andet, hvordan er det så let at opdage?

Jeg har flere gange fået viderestillet telefon numre, uden jeg havde nogen direkte relation ... dvs. jeg ringede fra min private mobil telefon (da telefonsystemet var nede) og fik min arbejdsgivers hovednummer viderestillet til et andet firma (vi lige havde købt).

Yoel Caspersen Blogger

Jeg har flere gange fået viderestillet telefon numre, uden jeg havde nogen direkte relation ... dvs. jeg ringede fra min private mobil telefon (da telefonsystemet var nede) og fik min arbejdsgivers hovednummer viderestillet til et andet firma (vi lige havde købt).

Man kan vel sige, at det nok mere hører under de sikkerhedsprocedurer, et teleselskabs kundeservice skal anvende, når de modtager opkald fra folk, der påstår at være deres kunder.

Det er selvfølgelig en afvejning mellem at løse et akut problem for kunden (telefonsystemet er nede) og sikre, at man ikke uforvarende kommer til at medvirke til et svindelnummer. Havde teleselskabet haft en liste over "godkendte numre", der måtte ringe og bede om ændringer, havde dette systemet været pivåbent for misbrug. I stedet burde teleselskabet nok have en på forhånd aftalt kode, som kunden skulle oplyse i telefonen, eller stille nogle kontrolspørgsmål for at se, om der er tale om den rigtige person i den anden ende.

Det er nødvendigt at kunne omskrive caller ID, hvis opkaldet viderestilles ud i byen, da modtageren af kaldet ellers blot vil se nummeret på den telefon, der viderestiller, og ikke det telefonnummer, der oprindeligt ringede ind. Fx er der mange virksomheder, hvor det er kritisk at en weekend-vagt kan ringe tilbage til en kunde, der har ringet ind til firmaets vagtnummer og er blevet viderestillet til vagten, som ikke nåede at tage telefonen, men har et ubesvaret opkald på sin mobil. Her vil systemet i øvrigt fungere fint, da vagtens retur-kald til kunden netop verificerer identiteten.

Problematikken omkring caller ID er sådan set ikke ny. I den analoge verden kan man jo også skrive en hvilken som helst afsender-adresse på et brev, og sjovt nok er der mange virksomheder, der i dag beder om at modtage forespørgsler på officielt brevpapir - som om det på nogen måde skulle validere en forespørgsel.

Løsningen på validering af identitet kunne (jeg tør næsten ikke sige det) være krypterede opkald med forudbestemte nøgler i hver ende. Det er næppe praktisk gennemførligt med gammeldags telefoni baseret på PSTN, men efterhånden som mere og mere telefoni overgår til VoIP, også hos slutbrugerne, begynder det så småt at give mening.

Christian E. Lysel

Problemer er der er mange der ikke kan undvære disse features.

Fx du har 100 butikker rundt om i landet, nu centralisere du deres telefoni, men vil gerne spoofe at når butikkerne ringer ud, kommer kaldet fra deres gamle nummer. Og gerne fra to sites, så din løsning virker, selvom det ene site er nede.

Eller når jeg skifter til en SIP udbyder, og gerne vil have det ser ud som mine ansatte ringer fra deres mobil nummer, selvom de ringer fra en SIP telefon. Her kan vi blot spoofe deres mobilnumre.

Det er jo ganske pratisk i det daglige og det ville forvirre endnu mere, hvis vi slog spoofing fra.

Christian E. Lysel

Man kan vel sige, at det nok mere hører under de sikkerhedsprocedurer, et teleselskabs kundeservice skal anvende,

Uha, nu er du inde på noget af det rigtige ....

Hvis jeg krydre opkaldet med hele vores IT system er nede, og vi kan ikke se hvad koden er, så er det ikke svært at gætte hvad kundeservice gør?

Igennem tiden har jeg fået:

1) Post adresser udfra IP adresser.
2) IP adresser udfra post adresser.
3) Opkaldslister på telefon numre jeg basalt intet har at gøre med.

I de faktiske situtationer var det til fejlsøgning, så min forklaring var reel nok, men hvem som helst bør kunne komme med de samme forklaringer, og få adgang til oplysningerne.

Jeg håber det ser bedre ud i dag.

Peter Makholm Blogger

at det kan være så godt som umuligt at undgå problemet. Jeg er overhovedet ikke inde i hvordan det teknisk fungerer, men det må da kunne løses hos teleudbyderne.

Telefoni er i høj grad baseret på en række protokoller kendt under betegnelsen SS7. Disse protokoller er grundlæggende set designet ud fra et verdensbillede hvor nationale teleselskaber havde monopol inden for deres geografiske område.

Det betyder at sikkerheden i systemet i høj grad er baseret på at man har tillid til de andre teleoperatøre. Men i dag kan gud og hvermand blive teleoperatør og dermed er der ikke længere et tillidsforhold mellem operatørene.

Som jeg forstår det er der ikke længere fuld adgang til at lave ravage gennem SS7, men den grundlæggende arkitektur er stadigvæk den samme selvom man har forsøgt at rette op på forskellige måder.

Desuden er der nogle at de usikre elementer i SS7 der med tiden er ophøjet til rigtige ønskværdige features. For eksempel muligheden for at kunne manipulere med Caller-ID, derfor er det ikke lige til at lukke for denne mulighed.

At få tilpas mange teleoperatører til at lave grundlæggende om i deres protokol-stak er svært – meget svært.

Carsten Kanstrup

Det er dog vigtigt at understrege, at teleselskaberne ingen kontrol har med, at nogle vælger at oprette tjenester til spoofing,

Nej, men der sendes altså ikke nogen SMS'er ud til mobiltelefoner, med mindre de går via teleudbydernes sendenet, så hvis teleudbyderne bare sørger for at kontrollere fra hvilken kilde, beskederne går ind i dette sendenet, burde problemet let kunne undgås.

Hvis en besked sendes fra en fysisk mobiltelefon, kommer den ind via én af sendenettets master, og så har teleudbyderen via SIM-kortets IMSI nummer og evt. telefonens IMEI nummer fuldstændig styr over, at beskeden ikke er falsk, for ellers kunne de jo ikke fakturere korrekt, og det skal de nok sørge for :-) Man kan derfor uden problemer mærke beskeden med telefonnummer - også ved omstilling - og være sikker på, at det er korrekt.

Hvis beskeden derimod kommer ind i nettet fra en hvilken som helst anden kilde end lige netop en sendemast, kunne man blot fjerne nummeret og evt. erstatte det af "Hemmeligt nummer", "Robotopkald", "Ukendt nummer" eller lignende.

Hvor svært kan det være, når man uden problemer kan lave lukkede, interne sendenet og har 100% styr over det sidste stykke fra mast til mobiltelefon, og dette stykke ikke kan forfalskes (med mindre man laver sit eget sendenet)?

Ak ja. Teleudbyderne tillader udsendelse af meddeleleser med falsk nummer på trods af, at det formodentlig ville være let at stoppe. Microsoft og andre tillader kørsel af programmer fra ukendte hjemmesider uden brugerens tilladelse. Hvor længe skal vi finde os i, at leverandørerne bare lader sikkerheden være op til brugeren i stedet for at tilbyde sikre løsninger? F.eks. er internettet baseret på, at man skal kunne klikke sig frem til nye oplysninger, hvilket i sagens natur indebærer nye og dermed hidtil ukendte hjemmesider, så "usikre" klik eksisterer ganske simpelt ikke, hvis internettet skal kunne bruges, som det er tiltænkt.

Microsoft, TDC, andre teleudbydere og ikke mindst dem, der på bl.a. det offentliges vegne køber IT udstyr for milliarder af kr. og derfor kan stille krav - vågn nu op - men I magter det måske ikke, og så er det selvfølgelig lettere bare at skylde skylden på gamle fru Olsen, som let burde kunne indse, at en SMS med det rigtige nummer og evt. billede ikke kommer fra f.eks. hendes barnebarn!

Kjeld Flarup Christensen

Et andet problem som teleselskaberne vil stå med er roaming. Hvis jeg tager til Tyskland og sender en SMS til Danmark, vil jeg jo gerne have vist mit danske nummer. Dette betyder at teleselskaber verden over reelt kan sende både SMS og almindelige kald, som kom de fra min telefon.

Teleselskabet kan via SIM kortet se at jeg har ret til at bruge nummeret (hvis de altså stoler på SIM kortet). Men der er intet i protokollerne som gør at denne identifikation kan føres med.

Email har det samme problem, men her er der begyndt at komme forskellige protokoller som sikrer afsenderen. Det betyder reelt, at uanset hvorfor i verden man sender en email, skal mailen omkring hjemmeserveren.

Det gør telefonsamtaler ikke når der roames, det ville være løsningen. Problemet er bare at ingen ser en forretning i at ændre ret meget ved funktionaliteten i telenettet. Forretningen går Pt. over mod datanetværk. Samtaler er blot noget som gives med, og internationale samtaler er en Cash Cow.

På trods af at teleselskaberne sidder på et unikt nummersystem, hvor hele verden kan nå hinanden, så skubber man markedet over på nye internet tjenester.

Ivo Santos

Jeg er af flere omgange blevet ringet op af, hvad jeg kan se, et dansk telefon nummer, men stemmen i den anden ende er ikke en dansker, men lød mere som en der ringede fra enten Pakistan eller Indien, eller fra det pågældende område, så jeg gætter på at nummeret må være falsk, eller være blevet ændret et eller andet sted i kæden.

Ivo Santos

Jeg er af flere omgange blevet ringet op af, hvad jeg kan se, et dansk telefon nummer, men stemmen i den anden ende er ikke en dansker, men lød mere som en der ringede fra enten Pakistan eller Indien, eller fra det pågældende område, så jeg gætter på at nummeret må være falsk, eller være blevet ændret et eller andet sted i kæden.

Carsten Kanstrup

Det betyder at sikkerheden i systemet i høj grad er baseret på at man har tillid til de andre teleoperatøre. Men i dag kan gud og hvermand blive teleoperatør og dermed er der ikke længere et tillidsforhold mellem operatørene.

Men det er ikke gud og hvermand, der har sit eget sendenet med master eller graver kobber eller fiber ned i jorden. Antallet af reelle sendenet og kablede net i Danmark er vel ikke mere end omkring 10-20 stykker, og det samme gælder nok også mange andre lande, så det burde være muligt at skabe gensidig tillid mellem disse store og relativt få selskaber. At der så er teleoperatører, som lejer sig ind på et eksisterende net, har vel intet med sikkerheden at gøre. Det er vel nærmest et spørgsmål om fakturering.

Carsten Kanstrup

Fx du har 100 butikker rundt om i landet, nu centralisere du deres telefoni, men vil gerne spoofe at når butikkerne ringer ud, kommer kaldet fra deres gamle nummer. Og gerne fra to sites, så din løsning virker, selvom det ene site er nede.

Hvad er problemet? Hvis en virksomhed f.eks. har hovednummeret 70 12 34 00, og underafdelingerne har numrene 70 12 34 01 - 70 12 34 99, har virksomheden selvfølgelig lov til at sende SMS med et vilkårligt afsendernummer i gruppen 70 12 34 xx; men bare ikke noget som helst andet, og det kan let sikres af et indgangsfilter hos den teleudbyder, der har den fysiske forbindelse til abonnenten (radio eller kabel) og dermed kan garantere afsenderens identitet.

Tilbage et så call-centre og SMS-bureauer, som forpester verden med spam; men her kan vi vist godt leve med, at deres SMS'er bliver mærket med f.eks. "RobotSMS" eller lignende i stedet for telefonnummer, og at firmanavnet så må stå i selve SMS'en; men det reelle problem er måske, at teleudbyderne tjener for meget på spam til at ville reducere mulighederne for at udgive sig for hvem som helst?

Peter Makholm Blogger

Antallet af reelle sendenet og kablede net i Danmark er vel ikke mere end omkring 10-20 stykker


Det fysiske transmissionslag og selve teleydelsen er ikke længere tæt forbundet med hinanden. Derfor er der langt flere egentlige tele-operatører end det.

Du kan så mene at den struktur er skidt for sikkerheden, men virkeligheden i dag svare altså ikke til din ønskeverden.

Baldur Norddahl

Men det er ikke gud og hvermand, der har sit eget sendenet med master eller graver kobber eller fiber ned i jorden. Antallet af reelle sendenet og kablede net i Danmark er vel ikke mere end omkring 10-20 stykker, og det samme gælder nok også mange andre lande, så det burde være muligt at skabe gensidig tillid mellem disse store og relativt få selskaber. At der så er teleoperatører, som lejer sig ind på et eksisterende net, har vel intet med sikkerheden at gøre. Det er vel nærmest et spørgsmål om fakturering.

Der er mere end hundrede registrerede teleoperatører alene i Danmark. En del af dem er VoIP operatører og deres indgangsvinkel til det fysiske telenet kan være hvor som helst i verden.

Tænk på internettet. Vi har nøjagtig samme problem med spoofede afsender IP adresser. På telenettet er IP adressen blot et MSISDN (telefon) nummer.

Der er ikke direkte forbindelse mellem samtlige teleoperatører i verden. En mindre operatør i Frankrig har måske en aftale med France Telecom som har en aftale med Deutsche Telekom som har en aftale med TDC som har en aftale med din lokale udbyder. Hver gang kaldet går til det næste net i kæden stoler du på at de ikke selv har opfundet nummeret. Samtlige led i kæden har muligheden for at fuske. Da ingen har et overblik over hvem der har aftaler med hvem, så kan stort set samtlige selskaber i verden ringe med et vilkårligt telefonnummer.

Som en anden nævner, så gør roaming det ikke nemmere. Et dansk mobiltelefonnummer kan flyttes rundt til de fleste lande i verden.

Når din lokale operatør modtager et opkald til dig gennem deres aftale med TDC, så følger der IKKE en liste over mellemliggende operatører med. De aner faktisk intet om det kald. Din operatør aner ikke om kaldet kommer fra TDC selv eller via en lang kæde af operatører. Præcis ligesom en IP pakke ikke indeholder en trace route af de internet udbydere som pakken har været på vej igennem.

Konsekvensen er at din lokale operatør maksimalt kan filtrere deres egne telefonnumre. Lad os sige at din operatør har en aftale med både Telia og TDC. Men det betyder ikke at de kan filtrere numre der tilhører Telia blot fordi opkaldet kommer ind via TDC. Det er ikke til at vide om Telia har valgt at sende det den vej eller om der er tale om noget viderestilling, roaming eller noget helt tredje.

Ja det kunne have været lavet smartere men på nuværende tidspunkt bliver det ikke lavet om.

Carsten Kanstrup

Du kan så mene at den struktur er skidt for sikkerheden, men virkeligheden i dag svare altså ikke til din ønskeverden.

Nej, dagens IT svarer ganske rigtigt ikke til min ønsketænkning, og det er jeg egentlig ret sikker på, at Mærsk eller dem, der har været udsat for identitetstyveri eller falske SMS'er, heller ikke mener; men der er bare ingen, der gør noget grundlæggende ved det, så det bliver bare værre og værre, og alle skylder bare skylden på brugeren, for det kan "selvfølgelig" ikke være anderledes.

De fysiske teleoperatører har den enestående fordel, at de med (næsten) 100% sikkerhed kan garantere identiteten af en abonnent, da de har en fysisk forbindelse til vedkommende via. fiber eller kabel eller via. radio sikret med SIM kort. Det er næsten lige så godt som NemID. De har formodentlig også interne, lukkede net, som forbinder den fysiske infrastruktur. Det eneste, der mangler, er så bare et filter på indgangssiden, der afgør hvilke afsendertelefonnumre, den enkelte abonnent eller mindre teleoperatør, som lejer sig ind, har tilladelse til at sende ind i nettet.

Hver gang kaldet går til det næste net i kæden stoler du på at de ikke selv har opfundet nummeret.

En meddelelse kan rent fysisk kun transmitteres via nogle få, store og seriøse udbydere med egen fysisk infrastruktur, og hvor mange er der reelt set af dem? Er man stor nok til at sætte master op og/eller grave kabler ned, stoler jeg på, at man ikke også har en sidebeskæftigelse med udsendelse af falske SMS'er. Enhver kan nedsætte sig som teleoperatør; men har man intet fysisk net, må man nødvendigvis basere sig på andres, og så er det vel kun et spørgsmål om fakturaskrivning, hvor alt det tekniske må overlades til andre. På tilsvarende måde er elnettet og gasnettet jo også liberaliseret, men drives reelt set af ganske få operatører, som let kan samarbejde om sikkerheden. Alle meddelelser går fra starten til en stor operatør og derefter videre til andre store. Der er ingen meddelelser, som går fra lille til lille.

Selvfølgelig kan en tvivlsom operatør leje sig ind og så sende falske SMS'er inden for sin egen nummergruppe; men hvis man konstaterer, at der udsendes falske SMS'er i ens navn, kan man jo bare skifte til en anden operatør og få nummeret overført, og det vil hurtigt rygtes, så en operatør, der tillader det, ret hurtig er færdig.

Anders Christensen

Det virker som om at du, Carsten Kanstrup, nægter at indse de tekniske begrænsninger til trods for, at flere har forsøgt at gøre dig opmærksom på det.
Du sidder måske med den gyldne løsning, som kan tvinge samtlige 1.400 fysiske teleoperatører i hele verdenen til at ændre deres infrastruktur, som påvirker millarder af mennesker i hele verden, ligeledes?
Mit bud: nej.
We get it, du er utilfreds, men stop da med, at bare skrive det samme om og om igen.

Baldur Norddahl

En meddelelse kan rent fysisk kun transmitteres via nogle få, store og seriøse udbydere med egen fysisk infrastruktur, og hvor mange er der reelt set af dem?

Jeg ved ikke hvorfor du tror det. Bare inden for Europa kan dit kald nemt gå igennem 10 eller flere net med egen fysisk infrastruktur. Det gamle telenet blev bygget ud fra antagelsen af at hvert land havde en monopol udbyder med kabler til grænsen, hvorfra den næste monopol udbyder overtager ansvaret til næste landegrænse. Hvor mange grænser er der herfra og til Australien?

Det var dengang. Nu er antallet af udbydere eksploderet. Samtidig er der ikke længere nogen binding til det fysiske net. Meget trafik bliver overført som IP telefoni over internettet. Pludselig kan dit opkald godt gå direkte fra Australien til Danmark via internettet som VoIP. En stor del af abonnementerne er i dag VoIP abonnementer og et opkald kommer måske aldrig ind på det gamle fysiske net.

Men hvordan ved du at det opkald faktisk kommer fra Australien og ikke fra en fusker i Rusland?

Du tænker sikkert at det kun er danske telefonnumre der skal sikres. Men det er jo præcis samme problem i mindre skala. Dog stor nok skala til at der ikke rigtigt er mulighed for at ændre systemet. Dertil kommer roaming problemet.

Baldur Norddahl

Enhver kan nedsætte sig som teleoperatør; men har man intet fysisk net, må man nødvendigvis basere sig på andres, og så er det vel kun et spørgsmål om fakturaskrivning, hvor alt det tekniske må overlades til andre. På tilsvarende måde er elnettet og gasnettet jo også liberaliseret, men drives reelt set af ganske få operatører, som let kan samarbejde om sikkerheden. Alle meddelelser går fra starten til en stor operatør og derefter videre til andre store. Der er ingen meddelelser, som går fra lille til lille.

Jeg er ejer af en internetudbyder der hedder Gigabit. Vi startede for et par år siden med at leje rå fiber af TDC på det gamle DONG fibernet. Det er ikke vores fiber men det er vores udstyr i enderne af fiberen. Både ude hos kunden og på centralen. Vi har endvidere lejet rå fiber mellem centralerne og på den måde bygget vores egen backbone.

Gigabit har i dag direkte peering med omkring 200 andre internetudbydere. Det betyder at trafik fra en af vores kunder til kunderne hos en af disse 200 internetudbydere aldrig kommer forbi tredjemand.

Alt dette uden at eje et fiberkabel i jorden.

Medmindre at trafikken skal til en TDC kunde, så kommer vores trafik aldrig i nærheden af aktivt TDC udstyr. TDC ejer fiberkablerne men de transportere ikke vores trafik. De aner faktisk ikke hvad vi laver med de kabler, hvilken hastighed vi bruger eller blot hvilken teknologi. TDC er ikke vores uplink og forbindelse til resten af internettet. Vores uplink er nogle store amerikanske selskaber og der er mere end én.

Nu er vi også gået i gang med at grave vores egen fiber ned. Det er der dog mindst 100 andre danske virksomheder der har gjort før os. Der er naturligvis Global Connect og energiselskaberne. Men også diverse virksomheder og foreninger der beskæftiger sig med bolignet. Der er virksomheder der levere trådløst internet via Wifi og der er foreninger som Samsø nettet. Og kommuner, jernbaneselskaber, vandværker og mange andre der ejer større eller mindre fibernet uden at du tænker over det.

Der er ikke nogen sammenhæng mellem hvem der ejer fysiske net og hvem der udveksler trafik direkte via peering.

Vi sælger kun internet men telefon fungerer på samme måde. Ligesom vi har Internet Exchange (DIX etc) til internet, så har vi tilsvarende for telefoni. Eksempel: https://ams-ix.net/services-pricing/mobile-peering/grx

Du kan leje dig ind på andres mobilnetværk men selv stå for transport af kald til andre net. Det er du muligvis nødt til, for det er der du kan tjene noget. Det betyder at du selv kan lave aftaler med andre operatører om terminering af opkald fra dine kunder i stedet for at køre på eksempelvis TDCs aftaler.

Hvor en gammel operatør som TDC måske bruger det oprindelige telenet til at transportere en samtale til Australien, så vil de nye virtuelle operatører næsten altid vælge en VoIP løsning over internettet til at få kaldet derned.

Michael Kjærsgård

Tilbage et så call-centre og SMS-bureauer, som forpester verden med spam; men her kan vi vist godt leve med, at deres SMS'er bliver mærket med f.eks. "RobotSMS" eller lignende i stedet for telefonnummer, og at firmanavnet så må stå i selve SMS'en; men det reelle problem er måske, at teleudbyderne tjener for meget på spam til at ville reducere mulighederne for at udgive sig for hvem som helst?


Bare lige så vi alle spiller på samme hold, kan jeg så ikke lige lokke dig til at uddybe hvordan det skal fungere i praksis?

Skal alle teleudbyderne sætte sig sammen over en kop kaffe og blive enige om, at de fremover kun vil tillade hver enkelt operatørs egne numre samt "RobotSMS" som eneste alfanumeriske afsender? Vil en sådan aftale mellem operatørerne være OK for konkurrencemyndighederne, eller vil det måske være en smule misbrug af monopollignende forhold - også set i forhold til der er virksomheder (Cooltel etc.) der har maskinelt afsendte SMS som et primært forretningsområde.

Nu hvor vi er blevet enige om at alle maskinelt afsendte SMS skal mærkes "RobotSMS", er vi så i øvrigt sikre på, at når der - jf. dit forslag - står "Med venlig hilsen Danske Bank", så er det også Danske Bank der har sendt beskeden?

Skal operatørerne i øvrigt samtidigt blive enige om at blokere alle SMS fra udenlandske numre? Fra lille Danmark kan vi jo nok dårligt kontrollere at hele verden accepterer vores kaffebords-aftale om kun at sende SMS fra afsendernumre man selv råder over.

Eller skal vi nøjes med at blokere alfanumeriske SMS fra udlandet, og i så fald er det OK med dig at din aktiveringskode fra VISA, Facebook og Gmail samt din check-in SMS fra Norwegian ikke nårfrem?

Beklager jeg hænger mig i små detaljer, de griske teleselskaber må jo selvfølgelig bare se at rette ind...

Carsten Kanstrup

Jeg ved ikke hvorfor du tror det. Bare inden for Europa kan dit kald nemt gå igennem 10 eller flere net med egen fysisk infrastruktur.

Og? Det er da ligegyldigt, bare man har tillid til alle 10 eller flere net.

Meget trafik bliver overført som IP telefoni over internettet.

Hvad har telefoni (lydopkald) med korrekte og troværdige SMS afsendernumre at gøre?

Carsten Kanstrup

Alt dette uden at eje et fiberkabel i jorden.

Om I ejer eller lejer er vel lige meget. De lejede kabler kobler ikke direkte til andres net.

Hvis nogen af jeres abonnenter vil udsende en SMS, må I nødvendigvis ind i en af teleoperatørernes net, hvis det skal være muligt, og så er det vel rimeligt, at nogen sikrer, at jeres abonnenter ikke kan sende SMS'er med andre afsendernumre, end deres egne. Har teleoperatøren tillid til jer, kan I foretage den test, hvilket er det letteste. Ellers må de selv.

Mener du virkelig, at det ikke er teknisk muligt at sikre, at telefonnumre altid er troværdige, når I nu selv har direkte fat i abonnenten og derfor med sikkerhed kender identiteten?

Carsten Kanstrup

Skal alle teleudbyderne sætte sig sammen over en kop kaffe og blive enige om, at de fremover kun vil tillade hver enkelt operatørs egne numre samt "RobotSMS" som eneste alfanumeriske afsender?

Ja, nummeret skal erstattes med f.eks. "RobotSMS", med mindre ejeren af nummeret skriftligt har godkendt, at andre bruger det.

Vil en sådan aftale mellem operatørerne være OK for konkurrencemyndighederne, eller vil det måske være en smule misbrug af monopollignende forhold - også set i forhold til der er virksomheder (Cooltel etc.) der har maskinelt afsendte SMS som et primært forretningsområde.

Hvis en virksomhed ønsker at benytte et bureau til udsendelse af SMS'er, bliver de nødt til at godkende, at andre sender i deres navn. Det kan f.eks. sikres med en simpel SMS fra teleudbyderen til virksomheden som f.eks.: "Vil du give tilladelse til, at bureau XX udsender SMS'er med følgende af dine telefonnumre: xxx". Den slags verifikation benyttes jo allerede mange steder.

står "Med venlig hilsen Danske Bank", så er det også Danske Bank der har sendt beskeden?

Det kan man aldrig sikre; men telefonnummeret bør kunne være et globalt nummer, der med sikkerhed identificerer en abonnent. Det farlige er, at telefonen både viser navn og evt. billede på hvad man tror er afsenderen. Står nummeret som "RobotSMS", bør alarmklokken ringe hos brugeren.

Skal operatørerne i øvrigt samtidigt blive enige om at blokere alle SMS fra udenlandske numre?

Nej. Telefonnummeret skal bare fjernes eller erstattes, hvis man ikke kan garantere integriteten.

Eller skal vi nøjes med at blokere alfanumeriske SMS fra udlandet, og i så fald er det OK med dig at din aktiveringskode fra VISA, Facebook og Gmail samt din check-in SMS fra Norwegian ikke nårfrem?

VISA, Mastercard, Facebook og andre udsender vel ikke falske SMS'er; men burde ærlig talt have overordentlig stor interesse i SMS sikkerhed, da de jo netop idag bruges det til 2 faktor sikkerhed! Det er jo netop den manglende SMS sikkerhed, der også er ved at ødelægge den mulighed.

Baldur Norddahl

Mener du virkelig, at det ikke er teknisk muligt at sikre, at telefonnumre altid er troværdige, når I nu selv har direkte fat i abonnenten og derfor med sikkerhed kender identiteten?

Ja det er teknisk umuligt med den nuværende protokol SS7. Det kræver at alle operatører i verden er til at stole på og det er bare ikke tilfældet. F.eks. kan du ikke stole på china Telecom. Skal TDC så bare nægte at modtage opkald og SMS fra Kina?

Michael Kjærsgård

Ja, nummeret skal erstattes med f.eks. "RobotSMS", med mindre ejeren af nummeret skriftligt har godkendt, at andre bruger det.

Du sprang lidt let hen over hvordan det praktisk skulle iværksættes, og om du virkelig mener Konkurrencestyrelsen vil bifalde at de 4 netejere på den måde stort set kvæler forskellige SMS-udbyderes eksistensgrundlag?

Hvis en virksomhed ønsker at benytte et bureau til udsendelse af SMS'er, bliver de nødt til at godkende, at andre sender i deres navn. Det kan f.eks. sikres med en simpel SMS fra teleudbyderen til virksomheden som f.eks.: "Vil du give tilladelse til, at bureau XX udsender SMS'er med følgende af dine telefonnumre: xxx". Den slags verifikation benyttes jo allerede mange steder.

OK, så vi skal i fremtiden vænne os til at gå og huske på at Danske Bank har - og sender SMS fra +4545121100 men at +4545111200 potentielt kunne købes af en svindler der skriver han kommer fra Danske Bank. Gør det det virkelig nemmere for gamle Fru Olsen?

Nej. Telefonnummeret skal bare fjernes eller erstattes, hvis man ikke kan garantere integriteten.

Aha - så vi skal ligefrem ind og ændre i beskeden? Du vil ikke have teleselskaberne til at scanne for anstødeligt sprogbrug og potentiel kriminalitet nu de er i gang (man kunne sikkert komme noget narkosalg til livs på den måde!). Spændende.

VISA, Mastercard, Facebook og andre udsender vel ikke falske SMS'er

Øhhh nej..? Det er vel netop hele konceptet i det vi diskuterer, at afsenderen er en anden end de udgiver sig for. Men indtil du er kommet op med en plan for, hvordan vi får hele verden med på vores kaffebords-aftale, er vi jo nødt til at antage at alt fra udlandet ikke kan stoles på, og derfor skal blokeres. Eller nå nej, vi skulle bare redigere i det.

Jeg må jo nok igen slutte af med at beklage - denne gang at jeg sådan ser begrænsninger frem for muligheder (for selvfølgelig er der også nogle muligheder, og den dag i dag filtrerer teleudbyderne meget skrammel væk, men det er - af grunde beskrevet her i tråden - svært at fange alt).

P.S. Hvis der nu, stærkt mod forventning, skulle være enkelte kunder der ringer og ikke synes det er særligt fedt at deres SMS er redigerede og/eller ikke kommer frem - må vi så viderestille dem til dig, så du kan forklare hvorfor denne nye metode er til alles bedste?

Carsten Kanstrup

F.eks. kan du ikke stole på china Telecom. Skal TDC så bare nægte at modtage opkald og SMS fra Kina?

Næ, men de skal bare erstatte telefonnummeret med noget andet, hvis de ikke stoler på identiteten. Indholdet af SMS'en kan de bare lade gå uændret videre.

Verden skriger på IoT og alle kalder det fremtiden; men hvis man ikke kan stole på afsenderadressen, kan man jo heller ikke stole på data! Den traditionelle IT verden har for længst gjort det muligt at forfalske både e-mail- og IP-adresser, og det er lige træls, hver gang man igen må konstatere, at én eller anden bruger ens e-mail adresse og dermed domænenavn til at udsender spam, uden at man kan gøre noget. Teleoperatørerne har derimod stadig muligheden for at gøre telefonnummeret næsten 100% sikkert, fordi de har fysisk fat i abonnenten og dermed kan garantere identiteten, og hvis de så gjorde det muligt for abonnenten at udvide nummeret med ekstra brugerdefinerede cifre til vedkommenes dimser, kunne de skabe et næsten 100% sikkert IoT net; men den gren, som i fremtiden kan blive milliarder af dollar værd, er de nu ved at save over ved at tillade at alle og enhver kan udgive sig for alle og enhver uden tilladelse, så heller ikke telefonnumrene længere er sikre. Hvordan skal vi i fremtiden kunne kommunikere mellem maskiner eller med tekst (uden lyd og evt. video), når ingen kan stole på nogen, og ingen kan garantere, hvorfra en meddelelse kommer?

Carsten Kanstrup

Du sprang lidt let hen over hvordan det praktisk skulle iværksættes, og om du virkelig mener Konkurrencestyrelsen vil bifalde at de 4 netejere på den måde stort set kvæler forskellige SMS-udbyderes eksistensgrundlag?

Det gjorde jeg da ikke. Jeg beskrev jo netop en procedure for, hvordan det kunne foregå. Der er ingen, der kvæler nogen, og dermed ingen problemer med konkurrencestyrelsen. Det eneste, der skal til, er, at teleoperatøren, som SMS-udbyderen er forbundet til, skal indhente tilladelse fra ejeren af telefonnummeret, før det indsættes i filtret hos teleoperatøren, så SMS-udbyderen kan udsende SMS'er med det afsendernummer, og den procedure kan ske helt automatisk.

OK, så vi skal i fremtiden vænne os til at gå og huske på at Danske Bank har - og sender SMS fra +4545121100 men at +4545111200 potentielt kunne købes af en svindler der skriver han kommer fra Danske Bank. Gør det det virkelig nemmere for gamle Fru Olsen?

Ja, der gør det i høj grad, for hvis man er lidt kvik, forespørg mobiltelefonen lige op på nummere +4545111200, hvis det ikke allerede står i mobiltelefonens adressekartotek, og så får man netop ikke fat i Danske Bank, men formodentlig "Ukendt nummer", "Hemmeligt nummer" eller lignende - hvis man vel at mærke kan stole på telefonnumrene! Ellers gør hackeren nemlig det, at han som afsendernummer i stedet benytter +4545121100, og så vil selv et opslag i en telefonbog ikke afsløre noget!

Aha - så vi skal ligefrem ind og ændre i beskeden? Du vil ikke have teleselskaberne til at scanne for anstødeligt sprogbrug og potentiel kriminalitet nu de er i gang (man kunne sikkert komme noget narkosalg til livs på den måde!). Spændende.

For pokker da - hvad med at læse, hvad jeg skiver, inden du beskylder mig for noget, jeg ikke mener og aldrig har udtalt. Som jeg har skrevet flere gange, er det udelukkende telefonnummeret, der skal erstatte af noget andet, hvis det er utroværdigt. Indholdet af SMS'en skal bare passere uændret!

Øhhh nej..? Det er vel netop hele konceptet i det vi diskuterer, at afsenderen er en anden end de udgiver sig for. Men indtil du er kommet op med en plan for, hvordan vi får hele verden med på vores kaffebords-aftale, er vi jo nødt til at antage at alt fra udlandet ikke kan stoles på, og derfor skal blokeres. Eller nå nej, vi skulle bare redigere i det.

Igen beskylder du mig for noget, jeg ikke mener og aldrig har sagt. Jeg har tværtimod skrevet, at hvis man er stor nok til at grave egne kabler ned eller sætte master op, er man nok også til at stole på; men der kan selvfølgelig være f.eks. kinesiske firmaer, hvor man ikke kan garantere afsenderidentiteten og derfor må fjerne afsendernummeret, som afsenderen så bare kan skrive i SMS teksten.

P.S. Hvis der nu, stærkt mod forventning, skulle være enkelte kunder der ringer og ikke synes det er særligt fedt at deres SMS er redigerede og/eller ikke kommer frem - må vi så viderestille dem til dig, så du kan forklare hvorfor denne nye metode er til alles bedste?

Det vil da være langt bedre først at gå til ens teleudbyder for at spørge, hvordan i alverden de kan tillade, at andre sender med det telefonnummer, som man som den eneste i verden betaler for, uden at man skriftligt har givet tilladelse til det. Er de ligeglade eller bare siger, at det ikke kan være anderledes, må man gå til politikerne, for kun ved EU-krav kan teleoperatørerne bankes på plads, så vi i fremtiden får i det mindste ét nummersystem, der er til at stole på.

Michael Kjærsgård

Vi bliver vist ikke enige - det havde jeg nu heller ikke forventet - så jeg vil stoppe her.

Jeg kan dog med 100% sikkerhed love dig, at hvis vi legede med tanken at det du foreslår (ændre afsender på alle udenlandske og maskinelt afsendte SMS til "RobotSMS") blev implementeret i morgen, så vil der komme noget lignende et ramaskrig fra alle ledder og kanter.

Carsten Kanstrup

Du glemmer f.eks. roaming scenariet jeg nævnte ovenfor.

Roaming er slet ikke noget problem, for det er udelukkende relevant for mobiltelefoner, og en mobiltelefon kan ikke udgive sig for et andet nummer end det, der svarer til SIM-kortet.

Problemet opstår udelukkende, fordi teleoperatørerne blindt tillader, at en SMS-gateway sender SMS'er ud med andre afsendertelefonnumre, end den specifikt har tilladelse til. Det eneste, der skal til, er derfor, at teleoperatøren, der fysisk modtager signalet fra gateway'en, har en white-list, som angiver hvilke afsendernumre, den pågældende gateway må benytte, og det er naturligvis ikke gateway'en selv, der skal oprette den liste. Hvis nogen ønsker at benytte andre telefonnumre end ens egne, er det vel overordentlig rimeligt, at teleoperatøren indhenter skriftlig tilladelse fra ejeren af nummeret, inden man åbner for den mulighed.

Yoel Caspersen Blogger

Er de ligeglade eller bare siger, at det ikke kan være anderledes, må man gå til politikerne, for kun ved EU-krav kan teleoperatørerne bankes på plads, så vi i fremtiden får i det mindste ét nummersystem, der er til at stole på.

Hvorfor vil du kæmpe den forrige krig her?

PSTN-nettet er på vej ud, og alt kommer til at køre via internettet i fremtiden. Tag nu fx alle iPhone-brugerne derude - SMS'er fra en iPhone-bruger til en anden kører allerede nu uden om PSTN-nettet, og det samme vil kaldene gøre, når det lykkes Apple m.f. at banke teleselskaberne på plads og få dem til at indse, at de kun er rene bitflyttere.

Tankegangen om at teleselskaberne skal styre kommunikationen fra den ene ende til den anden er passé - den døde med internettet, hvor man gik over til pakke-baseret trafik efter best-effort-princippet i stedet for reserverede timeslots. Man kan ikke stole på IP-pakker, ligesom man heller ikke kan stole på A-numre på PSTN-kald, men til gengæld kan man løse det på et højere niveau i OSI-modellen vha. kryptering og certifikater.

Carsten Kanstrup

Tag nu fx alle iPhone-brugerne derude - SMS'er fra en iPhone-bruger til en anden kører allerede nu uden om PSTN-nettet.

Ja, men en iPhone eller nogen som helst anden mobiltelefon kommer aldrig nogensinde til at køre uden om de fysiske sendemaster. Om kommunikationen i telenettet derefter foregår med gammeldags switchede netværk (PSTN) eller er moderne pakkekoblet er fuldstændig ligegyldigt - når bare man ikke tillader alle og enhver at indsætte pakker med falsk afsender. Problemet med internettet er jo netop, at man i sin iver efter at åbne op for nye, spændende muligheder, som de nye teknologier giver, fuldstændig glemmer hvad de muligheder også kan bruges til, og så har vi problemet med bl.a. false SMS'er, virus, ransomware, usikre dokumenter med macroer etc.

Man kan ikke stole på IP-pakker, ligesom man heller ikke kan stole på A-numre på PSTN-kald, men til gengæld kan man løse det på et højere niveau i OSI-modellen vha. kryptering og certifikater.

Og hvordan skal det så foregå i praksis, så man sikrer identiteten af afsenderen 100% og samtidig kan sende til alle og enhver og derfor ikke på forhånd kan aftale en krypteringsnøgle med modtageren? Ved f.eks. et public-key system kan hackeren jo bare kryptere med den offentlige nøgle, og så er man lige vidt og har bare kompliceret systemet unødigt.

Flere i denne tråd mener, at et simpelt white-list filter hos teleoperatøren, som blokkerer for alle andre afsenderadresser, end en abonnent har tilladelse til at benytte, vil være næsten uoverkommeligt at implementere, så hvordan i alverden skulle man kunne indføre et langt mere kompliceret worldwide krypterings- og certificeringssystem og have 100% tillid til det - uanset om så beskederne kommer fra Kina eller Somalia?

Carsten Kanstrup

TDC har ikke en jordisk chance for at tjekke en roaming SMS fra et Telenor nummer i udlandet.

Nej, og?

Hvis SMS'en kommer ind i Telenor's net fra en mobiltelefon, er der som sagt ingen problemer, da en mobiltelefon ikke kan sende med falsk adresse. Telenor kan derfor roligt sende SMS'en videre, og ingen behøver at checke noget som helst.

Problemet opstår udelukkende med SMS-gateways og lignende, og dem flytter man vel ikke rundt på hele tiden fra den ene teleoperatør til den anden, og hvis man gør, er det så bare den nye teleoperatør, der nu har den fysiske forbindelse til gateway'en, der skal oprette white-listen.

Peter Makholm Blogger

Ja, men en iPhone eller nogen som helst anden mobiltelefon kommer aldrig nogensinde til at køre uden om de fysiske sendemaster.


Stop nu med den der kontrafaktuelle argumentation.

Der bliver i højere og højere grad udbudt teleydelser over IP-netværk helt ud til slutbrugeren, herunder til mobiltelefoner som suplement til GSM-forbindelsen. Det betyder at medmindre du ønsker at samtlige IP-udbydere skal lave deep packet inspection, så holder din teori om en fysisk udbyder ikke længere.

Der er behov for et sikkert og troværdigt kommunikationsnetværk, det er der ingen der modsiger. Løsningen er dog ikke at rulle tiden tilbage da datatransmision og teleydelser var to side af samme sag og understøttede en central kontrol fordelt på meget få spillere.

Carsten Kanstrup

Der bliver i højere og højere grad udbudt teleydelser over IP-netværk helt ud til slutbrugeren, herunder til mobiltelefoner som suplement til GSM-forbindelsen. Det betyder at medmindre du ønsker at samtlige IP-udbydere skal lave deep packet inspection, så holder din teori om en fysisk udbyder ikke længere.

Som jeg har skrevet før, er mobiltelefoner ikke noget problem, da de aldrig udsender SMS'er med falsk nummer, så glem dem! Om man så roamer fra Kina eller Somalia, eller benytter WiFi som supplement til GSM, som nogle danske teleoperatører er begyndt på, behøver ingen at checke noget som helst.

Problemet opstår f.eks. hvis en hacker benytter en SMS-gateway til at sende falske SMS'er. Hvis teksten er tilstrækkelig troværdig, og nummeret findes i adressebogen, så det korrekte navn og evt. billede vises på skærmen, skal gamle fru Olsen nok hoppe på den.

Når Per Jørgensen eller andre morer sig med at sende falske SMS'er:

Tja - en enkelt SMS gateway og man kan få det til at ligne hvem som helst der har sendt den mail. Jeg har lavet gas med vennerne ind i mellem og send dem en sms fra deres eget nummer - som de så skriver tilbage til og kan slet ikke forstå det

... har den SMS'gateway, som benyttes, jo en fysisk forbindelse til internettet. Internetudbyderen, der ejer den forbindelse, skal så bare checke, at den pågældende abonnent i det hele taget har tilladelse til at fungere som SMS-gateway og i så fald ikke udsender SMS beskeder med andre numre end abonnementsnummeret for SMS-gateway'en selv, som den selvfølgelig altid har ret til at bruge, eller de numre, som ejeren af det benyttede telefonnummer skriftligt har givet internetoperatøren tilladelse til at overføre fra gateway'en. Kan 100% korrekt nummer af én eller anden årsag ikke garanteres, dvs. hvis et white-list filter hos internetoperatøren ikke specifikt har signeret en besked som verificeret og godkendt, skal nummeret erstattes af "Ukendt nummer", "RobotSMS" eller andet, inden SMS'en udsendes (ufiltrerede meddelelser godkendes ikke).

I det gamle switchede net, var det ikke muligt at sende med falsk afsender; men det er det i et pakkekoblet net, og så må man bare sørge for at blokkere for den mulighed, hvis nettet skal være troværdigt, og det burde ikke være særlig svært eller omfattende, da problemet kun findes for dubiøse SMS-bureauer, SMS-gateways og lignende.

Carsten Kanstrup

Hvordan kan TDC vide om det er SMS gateway hos en kinesisk operatør eller om Telenor kunden er i Kina og roamer?

Der er to muligheder:

1) Hvis f.eks. et netværk af seriøse europæiske teleoperatører (TDC og andre) ikke har tillid til SMS gateways i Kina og heller ikke til én eneste kinesisk teleoperatør, er der ikke andet at gøre end at erstatte samtlige SMS-numre fra Kina med f.eks. "Ukendt nummer" eller "Udenlandsopkald".

2) Hvis man har tillid til, at en kinesisk operatør kan skelne sikkert mellem SMS'er modtaget fra mobiltelefoner og SMS'er modtaget fra gateways, men stadig ikke stoler på kinesiske gateways, beder man den kinesiske operatør om enten at fjerne nummeret fra alle SMS'er fra alt andet end mobiltelefoner eller gøre der muligt at skelne mellem de to typer telegramkilder. Kan eller vil operatøren ikke det, må man ty til løsning 1.

Yoel Caspersen Blogger

... har den SMS'gateway, som benyttes, jo en fysisk forbindelse til internettet. Internetudbyderen, der ejer den forbindelse, skal så bare checke, at den pågældende abonnent i det hele taget har tilladelse til at fungere som SMS-gateway

Kan du ikke (sådan rent principielt) forklare, hvordan det skulle kunne lade sig gøre, som internettet fungerer i dag (husk på at end-to-end-kryptering benyttes ganske mange steder af helt legitime årsager), og hvilke andre ting, internetudbyderne også skulle filtrere for, nu man alligevel er i gang?

Peter Makholm Blogger

har den SMS'gateway, som benyttes, jo en fysisk forbindelse til internettet. Internetudbyderen, der ejer den forbindelse, skal så bare checke, at den pågældende abonnent i det hele taget har tilladelse til at fungere som SMS-gateway

Idag er det ikke unormalt at køre tele-ydelser over en IP-baseret VPN-løsning over DWDM leveret af tre forskellige firmaer. Det er endda ikke umuligt at det er et helt fjerde firma der ejer selve fiberen.

Selve antagelsen om at der er en udbyder af en fysiske forbindelse som bestemmer over data er i bedste fald en anakronisme. Selv bare med ISDN er det en sandhed med modifikationer.

Men jeg tror ikke at vi kommer længere i denne debat.

Carsten Kanstrup

Kan du ikke (sådan rent principielt) forklare, hvordan det skulle kunne lade sig gøre, som internettet fungerer i dag (husk på at end-to-end-kryptering benyttes ganske mange steder af helt legitime årsager), og hvilke andre ting, internetudbyderne også skulle filtrere for, nu man alligevel er i gang?

SMS-er bliver ikke udsendt af sig selv fra en mast eller som det er blevet moderne - via fiber eller kabel og derefter WiFi til den pågældende modtager. Hvis nogen vil sende en SMS, bliver de nødt til at benytte en teleoperatør, og den SMS-forespørgsel, som teleoperatøren nødvendigvis må få, skal operatøren naturligvis kunne læse, så evt. kryptering er intet problem. Kender operatøren ikke nøglen og forstår protokollen, sendes der ganske simplet ikke noget ud fra masten, og hvis ikke SMS-telegrammet er forsynet med et "stempel" fra en godkendt teleoperatør, der viser, at nummeret er verificeret og godkendt, bør det erstattes af f.eks. "Ukendt nummer".

Internettet er ikke andet end en kommunikationskanal. Hvis man skal kunne udsende en SMS fra en gateway, er man nødt til at have en protokol, som både gateway og sendenettet forstår, og har man det, kan man da let læse nummeret og verificere det mod en white-list. I dag kan vi jo netop læse, at Telenor holder øje med egne numre - se https://www.version2.dk/artikel/telenor-holder-oeje-med-maerkeligt-moens... :

I dag fungerer det sådan, at hvis et ‘spoofing’-kald går igennem vores netværk, dvs. fra en Telenor kunde til en anden, vil afsendernummeret automatisk blive korrigeret af os, så et falsk afsendernummer ikke kan misbruges og spoofing-opkald dermed ikke går igennem.

Problemet med den løsning er så muligvis SMS-bureauer, som nødvendigvis må kunne udsende med andre numre end deres egne. Hvordan Telenor har løst det problem, ved jeg ikke; men godt at nogen gør noget konstruktivt i stedet for bare at sige som TDC, at det kan vi ikke gøre noget ved - se https://www.version2.dk/artikel/spoofing-telefonnumre-naar-iben-ikke-kun... :

Det er dog vigtigt at understrege, at teleselskaberne ingen kontrol har med, at nogle vælger at oprette tjenester til spoofing,

Folk kan oprette alle de tjenester, de vil, men har de ikke deres eget sendenet, har teleoperatørerne da fat i den lange ende og kan blokkere for hvad, de vil. TDC synes måske bare, det er for bøvlet eller kræver for store og dyre tekniske ændringer?

Carsten Kanstrup

Idag er det ikke unormalt at køre tele-ydelser over en IP-baseret VPN-løsning over DWDM leveret af tre forskellige firmaer. Det er endda ikke umuligt at det er et helt fjerde firma der ejer selve fiberen.

Og?

Hvad har en yderst privat punkt-til-punkt VPN forbindelse med falske SMS numre at gøre?

Selve antagelsen om at der er en udbyder af en fysiske forbindelse som bestemmer over data er i bedste fald en anakronisme. Selv bare med ISDN er det en sandhed med modifikationer.

Det påstår jeg da heller ikke! Læs dog, hvad jeg skriver. Indholdet af en SMS (data) kan være skrevet på arabisk, krypteret eller aldeles ulæseligt. Det er hamrende ligegyldigt. Det er telefonnummeret, vi diskuterer, og det er kendt af teleudbyderne, da det formodentlig ligger i protokollen og ikke i datadelen af telegrammet. Ellers kunne Telenor jo ikke erstatte det i egne net efter stort set samme princip, som jeg foreslår.

Casper Hansen

Dine forslag, Carsten, er på en og samme tid smarte og fuldstændigt tæt på det dummeste, som er foreslået på et techmedie. Du har absolut ingen forstand på den tekniske opbygning af hverken internettet eller telenettet.

I det her tilfælde gør det virkelig ondt, at se dig sidde og argumentere for dine absurde ideer, om hvordan telenettet skal bygges om. Det er fuldstændigt umuligt - nu og resten af din levetid - og så derefter fortsætter det med at være umuligt.

Der er mange, som har forsøgt at fortælle dig hvordan telenettet fungerer, og hvilke drastiske skridt det kræver, men det sidder du overhørigt. Strukturen er opbygget, sådan at man har tillid og derved stoler på hinanden. Det gælder både internettet men også telenettet.

Du bør høre på hvad de kloge mennesker Baldur og Yoel fortæller dig, og især bide mærke i hvad Yoel skriver til dig:

PSTN-nettet er på vej ud, og alt kommer til at køre via internettet i fremtiden. Tag nu fx alle iPhone-brugerne derude - SMS'er fra en iPhone-bruger til en anden kører allerede nu uden om PSTN-nettet, og det samme vil kaldene gøre, når det lykkes Apple m.f. at banke teleselskaberne på plads og få dem til at indse, at de kun er rene bitflyttere.

Om ganske få år, så er "problemet" løst - hvis det da nogensinde har været et problem, siden den første SMS blev sendt i 1992.

Dine forslag minder i øvrigt også meget om de restriktioner, som er indført i andre - diktatoriske - lande. Altså lande hvor ytringsfrihed er en mangelvare. Hvor muligheden for fri information er dybt begrænset.

Jeg er rimelig sikker på at vi kunne fortælle dig stolpe op og stolpe ned omkring telenettets opbygning, men du er så stædig, at det flyver ud igen hurtigere end du kan nå, at sige: "robotsms".

Carsten Kanstrup

Dine forslag, Carsten, er på en og samme tid smarte og fuldstændigt tæt på det dummeste, som er foreslået på et techmedie. Du har absolut ingen forstand på den tekniske opbygning af hverken internettet eller telenettet.

Skal vi ikke starte ved telenettets begyndelse? Her var nettet switchet, og ingen kunne spoofe noget so helst.

Så fik vi nummerviserne; men det var ikke abonnentens egen telefon, der udsendte nummeret, men centralen på baggrund af den punkt-til-punkt forbindelse, der gik fra teleselskabet ud til abonnenten, så der var stadig ingen spoofing mulighed.

Nu begyndte man så på pakkekoblede net; men der var stadig intet problem! Hverken mobiltelefoner eller fastnettelefoner udsender deres eget nummer. For mobiltelefonernes vedkommende er det en konvertering fra SIM-kortets nummer, og for fastnettelefoner var det stadig centralen.

Nu var det så, at én eller anden fik den "gode" idé at åbne op for, at andet end mobiltelefoner og fastnetproblemer kan benytte telenettet; men vedkommende glemte fuldstændig sikkerheden og så opstod problemet.

Om internettet så var baseret på brevduer, er fuldstændig lige meget, så jeg behøver ikke at kende protokollen for at udtale mig om dette. Internettet er bare et transmissionsmedie. Fejlen er udelukkende, at man har lukket nogen ind i et lukket net uden den fornødne sikkerhed, og nu er det måske for besværligt eller dyrt at lave om, og så er det jo meget lettere at bilde hr. og fru Danmark ind, at det ikke kan lade sig gøre.

Iøvrigt har jeg de sidste ca. 35 år beskæftiget mig med industriel kommunikation og feltbussystemer, så jeg er ikke en helt novice, når det kommer til OSI model, kommunikationsprotokoller etc.

Baldur Norddahl

Skal vi ikke starte ved telenettets begyndelse? Her var nettet switchet, og ingen kunne spoofe noget so helst.

Man har haft mulighed for at spoofe a nummer visning lige siden det blev indført. Det er sandt at en analog fastnet forbindelse ikke overfører nummeret til centralen, men det gjorde de lokalcentraler som større virksomheder fik installeret. Og lige siden dag et var det almindeligt at teleselskabet glemte at sætte et filter på, så at kun de numre tilhørende virksomheden kunne anvendes.

Husk at a nummer blot er meta data der ikke anvendes til noget.

Baldur Norddahl

Indholdet af en SMS (data) kan være skrevet på arabisk, krypteret eller aldeles ulæseligt. Det er hamrende ligegyldigt. Det er telefonnummeret, vi diskuterer, og det er kendt af teleudbyderne, da det formodentlig ligger i protokollen og ikke i datadelen af telegrammet

En SMS indeholder to afsender numre. Det første er nummeret på den tekniske afsender som IKKE er en mobiltelefon. Det er i stedet en SMSC der står placeret i afsenderens net. Dette nummer bliver ikke vist til brugeren.

Det andet nummer står i payload delen og er ren meta data, dvs nettet bruger det ikke til noget. Det er derfor at det kan erstattes med små beskeder der som bogstaver bestemt ikke udgør et valid telefonnummer.

SMS fungerer faktisk ligesom email. Brugerne sender dem ikke direkte men via en server. Email har som bekendt også store udfordringer med spam og falske afsendere.

Baldur Norddahl

A call placed behind a private branch exchange (PBX) has more options. In the typical telephony environment, a PBX connects to the local service provider through Primary Rate Interface (PRI) trunks. Generally, although not absolutely, the service provider simply passes whatever calling line ID appears on those PRI access trunks transparently across the Public Switched Telephone Network (PSTN). This opens up the opportunity for the PBX administrator to program whatever number they choose in their external phone number fields.

https://en.m.wikipedia.org/wiki/Caller_ID

Søren Larsen

Meget interessant debat at følge. Jeg tror at det hele kan koges ned følgende misforståelse:

Problemet opstår f.eks. hvis en hacker benytter en SMS-gateway til at sende falske SMS'er. Hvis teksten er tilstrækkelig troværdig, og nummeret findes i adressebogen, så det korrekte navn og evt. billede vises på skærmen, skal gamle fru Olsen nok hoppe på den.

Når Per Jørgensen eller andre morer sig med at sende falske SMS'er:

Tja - en enkelt SMS gateway og man kan få det til at ligne hvem som helst der har sendt den mail. Jeg har lavet gas med vennerne ind i mellem og send dem en sms fra deres eget nummer - som de så skriver tilbage til og kan slet ikke forstå det

... har den SMS'gateway, som benyttes, jo en fysisk forbindelse til internettet. Internetudbyderen, der ejer den forbindelse, skal så bare checke, at den pågældende abonnent i det hele taget har tilladelse til at fungere som SMS-gateway

Internetudbyderen kan naturligvis ikke pålægges at kontrollere om en kunde har tilladelse til at benytte en bestemt protokol eller hvad der iøvrigt sendes over udbyderens forbindelse. Dermed har en SMS gateway frit spil.

Desuden modsiger du dig selv; først erkender du qua ovenstående at SMS'er kan sendes fra en gateway, og senere:

SMS-er bliver ikke udsendt af sig selv fra en mast eller som det er blevet moderne - via fiber eller kabel og derefter WiFi til den pågældende modtager. Hvis nogen vil sende en SMS, bliver de nødt til at benytte en teleoperatør

Lad os holde fast i at SMS'er kan origineres fra både mobiletelefoner og SMS gateways,
og at det ikke kan sikres om en internetopkoblet kunde må opføre sig som en SMS gateway.

Så er der vel ikke mere at diskutere?

Søren Larsen

https://en.m.wikipedia.org/wiki/Caller_ID

Arhh! Som så mange andre artikler om telefoni, er denne tydeligvis påvirket at den måde man gjorde/gør det på i USA, og jeg kan love dig for at de danske teleselskaber ikke tillader andre numre på PRI forbindelser, end dem kunden har betalt for - med mindre kunden og teleselskabet har indgået en aftale om at kunden evt. kan bruge et fælles kaldenummer. En sådan aftale indgås med kundens underskrift på en tro og love erklæring.

Baldur Norddahl

Jeg kan love dig for at de danske teleselskaber ikke tillader andre numre på PRI forbindelser, end dem kunden har betalt for

De spoofede opkald kommer fra udlandet så hvad er din pointe?

Det er desuden ikke rigtigt i mere komplicerede tilfælde. Som der nævnes i wikipedia artiklen, så er der lovlige tilfælde hvor en virksomhed har brug for at ringe ud med virksomhedens egne numre hjemhørende i andre lande eller hos andre operatører. De danske operatører siger ikke nej til at byde på en kontrakt ud fra en idealistisk ide om at sådan gør vi ikke. Men hvordan verificerer men så at de fremmede numre tilhører virksomheden? Det gør man ikke.

Der er mange danske virksomheder som køber billig telefoni af en udenlandsk SIP operatør. Og så får de det lavet så deres danske indgangsnummer bliver vist selvom opkaldet i virkeligheden kommer udefra. Skal det blokkeres? EU kommissionen bliver nok ikke imponeret...

Søren Larsen

De spoofede opkald kommer fra udlandet så hvad er din pointe?

Dit indlæg antydede en generel ligegyldighed som jeg ikke fandt helt rimelig. Dermed reagerede jeg - lidt for hurtigt. Jeg medgiver at det ikke er relevant i denne sammenhæng.

Jeg er ikke sikker på at du har ret når vi taler alm. telefoni. Jeg mener at den internationale central/gateway screener således at der ikke tillades f.eks. danske A-numre i et kald som sendes til Danmark.

Mht. SIP har du helt sikkert ret, men det kræver så, hvis jeg har ret i ovenstående, at SIP operatøren har direkte SIP interconnect med den danske operatør.

Carsten Kanstrup

Internetudbyderen kan naturligvis ikke pålægges at kontrollere om en kunde har tilladelse til at benytte en bestemt protokol eller hvad der iøvrigt sendes over udbyderens forbindelse. Dermed har en SMS gateway frit spil.

Hvordan hænger de to ting sammen? Man kan selvfølgelig sende alt det, man vil, via internettet; men det sidste stykke vej en SMS eller et opkald er nødt til at benytte, går via en teleudbyder, og hvis vedkommende ikke mener, at man kan stole på de metadata, der skal vises som telefonnummer, kan man jo bare erstatte dem af noget andet. Det gør man jo allerede idag, hvor visse numre vises som "Udenlandsopkald" og lign.

Det er da meget enkelt: Erstat alle den slags metadata, som man ikke med garanti har tillid til, med f.eks. "Ukendt nummer" eller lignende. Så vil alle SMS fra gateways etc. automatisk ryge i den gruppe, og det vil alle SMS og opkald fra Kina måske også. Så har man med ét slag sikkerheden på plads og kan så derefter vha. gensidig tillid mellem store selskaber kombineret med white lists åbne op for sikre kilder. Man skal bare ikke gøre som idag, hvor man æder alle metadata fuldstændig ukritisk og uden nogen som helst kontrol.

Desuden modsiger du dig selv; først erkender du qua ovenstående at SMS'er kan sendes fra en gateway, og senere:

SMS-er bliver ikke udsendt af sig selv fra en mast eller som det er blevet moderne - via fiber eller kabel og derefter WiFi til den pågældende modtager. Hvis nogen vil sende en SMS, bliver de nødt til at benytte en teleoperatør

Jeg modsiger da ikke mig selv. Den teleoperatør, der udsender signalet, har fat i den lange ende og kan gøre alt det, vedkommende vil, med metadata, som beskrevet ovenfor.

Carsten Kanstrup

Og lige siden dag et var det almindeligt at teleselskabet glemte at sætte et filter på, så at kun de numre tilhørende virksomheden kunne anvendes.

Lige netop - man glemte sikkerheden - som det også er tilfældet med de fleste moderne IT systemer, når man åbner op for nye muligheder.

Det var intet problem for lokalcentraler, for de blev sat korrekt op af ordentlige folk, men man kan altså ikke have blind tillid til hackere, svindlere, internetpirater etc., så når man åbner sine lukkede net op for andet end mobiltelefoner, fastnettelefoner og lokalcentraler må man ganske simpelt finde den "dørmand" frem, som man ikke fik "ansat" den gang.

Carsten Kanstrup

Der er mange danske virksomheder som køber billig telefoni af en udenlandsk SIP operatør. Og så får de det lavet så deres danske indgangsnummer bliver vist selvom opkaldet i virkeligheden kommer udefra. Skal det blokkeres?

Ja, selvfølgelig skal de metadata, som skal vises som telefonnummer, ændres, hvis man ikke kan stole 100% på dem. Teksten (eller lyden) i meddelelsen eller opkaldet skal selvfølgelig ikke røres, så hvis man vælger et dubiøst teleselskab, må man finde sig i, at afsendernummeret ikke kommer frem på displayet; men resten fungerer uændret.

EU kommissionen bliver nok ikke imponeret...

Hvis Margrethe Vestager ikke køber den umiddelbart, behøver man bare at udsende et stort antal falske SMS'er i hendes navn. Så skal hun nok komme på andre tanker :-)

Baldur Norddahl

Ja, selvfølgelig skal de metadata, som skal vises som telefonnummer, ændres, hvis man ikke kan stole 100% på dem.

Kender du udtrykket at skyde gråspurve med kanoner?

Jeg tror ikke jeg nogensinde har modtaget et opkald eller en SMS med falsk afsender.

For at løse dette såkaldte problem mener du at jeg skal have blokeret nummervisning på alle opkald fra udlandet? Må jeg frabede mig din hjælp her?

Carsten Kanstrup

For at løse dette såkaldte problem mener du at jeg skal have blokeret nummervisning på alle opkald fra udlandet?

Nej, selvfølgelig kun den nummervisning, som man ikke kan stole på.

Må jeg frabede mig din hjælp her?

Hvis det laves rigtigt, så man bare mærker metadata som sikre eller usikre, kan man vente med at fjerne usikre numre til SMS'en eller opkaldet skal udsendes det sidste stykke til abonnenten. Dermed kan enhver abonnent individuelt bestemme, hvad vedkommende vil have:

1) Alle numre vist, men risiko for falske numre.

2) Kun sikre numre vises, men dermed vil visse numre ikke vises, selv om de er sikre.

Du kan så bare vælge abonnement 1, hvor jeg vil foretrække abonnement 2.

Peter Lundtofte

En SMS indeholder to afsender numre. Det første er nummeret på den tekniske afsender som IKKE er en mobiltelefon. Det er i stedet en SMSC der står placeret i afsenderens net. Dette nummer bliver ikke vist til brugeren.

Opklaring ift SMSC. Hvis nu en dansker går ind på en amerikansk hjemmeside der tilbyder at sende en SMS til et dansk nummer med valgfri afsender-nummer, vil det så fremgå af den tekniske del af SMS'en, at den er afsendt fra en amerikansk SMSC? Eller hvordan vil det se ud?

Baldur Norddahl

Nej, selvfølgelig kun den nummervisning, som man ikke kan stole på.

Du kan stole på 0% af nummervisningen, selv det der kommer fra Danmark. Dit forslag er så at branchen skal tage sig sammen og ryde op. Og indtil da blokkere de numre hvor man ikke er sikker. Hvilket vil sige alle opkald der kommer ude fra eget net.

Som du kan læse wikipedia er det standard at PBX løsninger er uden filter. Hvor mange tror du lige der er af dem? En debattør påstår det kun gælder USA men jeg tvivler. Jeg har selv haft admin adgang til et PBX system på kollegiet hvor der var fri mulighed for at ringe ud med et vilkårligt nummer. Det er 20 år siden men mon ikke der er et par steder i Danmark, hvor der fortsat ikke er styr på det.

Hvis et selskab har åbne huller er du også nødt til at blokkere deres uplink da problemet er rekursivt af natur. Hvilket igen medfører at du er nødt til at blokkere alt udefrakommende. Hvis to selskaber med direkte forbindelser aftaler at de blokkere for hinanden, så kan de og kun da åbne op for ikke at blokkere nummervisning fra opkald via den andens net.

Baldur Norddahl

Opklaring ift SMSC. Hvis nu en dansker går ind på en amerikansk hjemmeside der tilbyder at sende en SMS til et dansk nummer med valgfri afsender-nummer, vil det så fremgå af den tekniske del af SMS'en, at den er afsendt fra en amerikansk SMSC? Eller hvordan vil det se ud?

Ja der vil være et amerikansk nummer på SMSC. Forudsat at den amerikanske hjemmeside benytter en SMSC i USA. Det er jo internet så de vil typisk bruge en SMSC et vilkårligt sted i verden hvor det er billigst. Når man skal sende SMS til Danmark vil det typisk være en SMSC i Skandinavien.

Vi er ikke spor bedre end andre. Der er penge at tjene på at sende SMS og det vil de hjemmelige operatører også være med på. Naturligvis inklusiv muligheden for at sætte et nummer på. I 99% er der ikke tale om spoofing men blot om at det skal være et nummer folk kan ringe tilbage til eller kan genkende.

Michael Kjærsgård

Opklaring ift SMSC. Hvis nu en dansker går ind på en amerikansk hjemmeside der tilbyder at sende en SMS til et dansk nummer med valgfri afsender-nummer, vil det så fremgå af den tekniske del af SMS'en, at den er afsendt fra en amerikansk SMSC? Eller hvordan vil det se ud?

Den amerikanske hjemmeside sender højst sandsynligt SMS'en ud via. en SMSC i en eller anden ø-stat i Asien, men bortset fra det så ja, du kan se hvilken SMSC beskeden kommer fra. En sådan trafik er derfor af en type der relativt nemt kan filtreres væk.

Baldur Norddahl

Masser af danskere er blevet ringet op af "Microsoft" support, det er desværre aldrig sket for mig.

Jeg kender ikke microsofts nummer så nummer spoofing vil ikke gøre nogen forskel. For at det skal være effektivt skal de ringe på vegne af nogen jeg har i min opkaldsliste i forvejen.

Jeg siger ikke at det ikke sker. Men hold lige hestene, vi forhindrer ikke scam opkald ved at stoppe nummer spoofing. Hvis man kender lidt til telefonisystemet, så kan man se at det vil koste rigtigt meget og medføre store ulemper som ikke står mål med problemets omfang.

Carsten Kanstrup

Jeg kender ikke microsofts nummer så nummer spoofing vil ikke gøre nogen forskel. For at det skal være effektivt skal de ringe på vegne af nogen jeg har i min opkaldsliste i forvejen.

Det behøver de da ikke. Som det fremgår af Version2's video, slår nogle telefoner automatisk nummeret op - se https://www.version2.dk/artikel/spoofing-telefonnumre-naar-iben-ikke-kun...

I den forbindelse er det værd at bemærke, at telefonen - som flere andre telefoner - automatisk knytter et navn til det indgående nummer, så der ender med at stå YouSee i displayet.

Peter Lundtofte

Jeg kender ikke microsofts nummer så nummer spoofing vil ikke gøre nogen forskel. For at det skal være effektivt skal de ringe på vegne af nogen jeg har i min opkaldsliste i forvejen.

Nej, det var også mere pointen, at det godt kan ske for mange, selvom det ikke sker for mig, i stil med at dit argumenter om at du aldrig har modtaget en falsk sms eller opkald. Derfor kan problemet godt være udbredt. :)

eg siger ikke at det ikke sker. Men hold lige hestene, vi forhindrer ikke scam opkald ved at stoppe nummer spoofing. Hvis man kender lidt til telefonisystemet, så kan man se at det vil koste rigtigt meget og medføre store ulemper som ikke står mål med problemets omfang.

Selvfølgelig skal det stå i mål med hinanden. Danskerne er generelt blevet bedre til ikke at reagere på udenlandske numre - men opkald fra danske numre har folk mere tillid til, specielt dem (flertallet) som ikke aner, eller kunne forestille sig, at et nummer kan være spoofet. Det er specielt en katastrofe, når du kan sende en falsk SMS, som falder ind i en betroet, tidligere, tråd. PostDanmark som eksempel.

Har du kendskab til problemets omfang? Og hvilket?

Peter Lundtofte

En sådan trafik er derfor af en type der relativt nemt kan filtreres væk.

Tak.

Så teoretisk, inden vi forholder os til de praktiske problemer, så kan man lave et filter i stil med "hvis SMSC nummer = udenlandsk, og afsender = dansk" filtrer SMS eller man kunne tagge afsender nummer med "muligvis_scam_nummer"?

Dertil kan teleudbyderne relativt nemt indføre en mekanisme der kan låse unikke navne (og deres tilhørende numre) som for eks PostDanmark, MobilePay, Skat m.v.. En sådan afsender godkendes kun, hvis den kommer fra en specifik godkendt SMSC? I stil med "hvis afsender = PostDanmark, tillad kun hvis SMSC = godkendt SMSC"?

Det er vel forholdsvis simpelt at forlange, at når Skat (og deres nummer) sender en SMS at de skal bruge en autoriseret SMSC? Og at alle andre SMSC forsøg på at sende med Skat eller deres nummer, bliver filtreret?

Peter Lundtofte

Vi er ikke spor bedre end andre. Der er penge at tjene på at sende SMS og det vil de hjemmelige operatører også være med på. Naturligvis inklusiv muligheden for at sætte et nummer på. I 99% er der ikke tale om spoofing men blot om at det skal være et nummer folk kan ringe tilbage til eller kan genkende.

Selvfølgelig. Der skal være balance mellem sikkerhed, økonomi osv, ingen tvivl. Og der er jo masser af legitime årsager til at man "spoofer" numre, for at pege på hovednummer, brugervenlighed m.v. Men det kan jo også misbruges - så derfor skal man jo hele tiden følge udviklingen, og måske, i videst muligt omfang, forudse mulige problemer. Altså, antage at hvis noget kan misbruges, så vil det blive misbrugt. Det har man jo ikke gjort ved mange tidligere protokoller og teknologier.

Michael Kjærsgård
Peter Lundtofte

I praksis vil der så ske det at svindlerne i stedet sender fra

S K A T
Ska t
ToldSkat
Told&Skat
Skat!

Jojo, man er aldrig sikret 100%. Deri ligger den evindelige kamp - når politiet køber hurtigere biler, stjæler bankrøverne endnu hurtigere biler.

At vi ved de kriminelle altid vil forsøge at omgå sikkerheden, kan jo ikke medføre at vi så slet ikke skal forsøge noget. :) Det handler om at gøre det så besværligt som muligt, samtidig med en høj grad af mulig opklaring. Det er altid katten efter musen, så at undgå det, er der vel ingen der tror på. :) Hvis vi ikke gør noget, giver vi de kriminelle frit lejde.

Baldur Norddahl

Så teoretisk, inden vi forholder os til de praktiske problemer, så kan man lave et filter i stil med "hvis SMSC nummer = udenlandsk, og afsender = dansk" filtrer SMS eller man kunne tagge afsender nummer med "muligvis_scam_nummer"?

Det ville lukke ned for alle SMS tjenester der ikke sender ud via en dansk udbyder. EU vil slå ned på det med en kæmpe hammer.

Man kan ikke kritisere de danske teleselskaber for at undlade at tage midler i brug som er ulovlige. Og det jo ikke bare EU der er dumme, det handler reelt om at markedet skal være åbent for alle i Europa. De danske selskaber vil nok ellers elske at tage den metode i brug, da vil være en ret effektiv måde at beskytte deres egen forretning på.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017