Pladask: Yousee falder i og udleverer aktivt sim-kort uden at se ID

Illustration: Lasse Gorm Jensen
Der er nu ikke ét eneste af de fire store teleselskaber, der kan sige sig fri fra at have udleveret aktive sim-kort til eksisterende telefonnumre uden at se den fornødne ID.
23

Et af landets absolut største teleselskaber, TDC-ejede Yousee, har indtil nu, som det eneste store teleselskab, undgået at udlevere aktive simkort til Version2 under vores stikprøver.

Men det er slut nu.

I stikprøverne går vi på helt enkel vis ind i en telebutik og beder om et nyt sim-kort til et eksisterende nummer uden at fremvise den fornødne billed-ID.

Det gør vi for at sætte fokus på, at danske numre kan overtages så let som ingenting og misbruges af angribere til alverdens svindel. Fra at sende beskeder og ringe til offerets kontakter til at trænge ind i mails og derigennem åbne for offerets onlineliv.

Mens det hos Yousees tre konkurrenter 3, Telenor og Telia umiddelbart er blevet betydeligt sværere at få udleveret aktive sim-kort uden at vise ID, var det denne gang legende let hos Yousee. Det viser en ny, tredje stikprøve, som Version2 og Ingeniøren lavede i sidste uge i de danske telebutikker.

Denne seneste stikprøve er vel at mærke gennemført efter, at der i mere end seks uger har været massivt fokus på problematikken. Det har blandt andet betydet, at Erhvervsstyrelsen, Datatilsynet og Center for Cybersikkerhed i forskellig grad er gået ind i sagen.

Læs også: Svindlerens drøm: Danske telebutikker udleverer sim-kort til eksisterende numre - helt uden at se ID

»Jeg er rigtig, rigtig ked af, at det her er sket. Det er dybt beklageligt, og én gang er en gang for meget. Vi skal være de sidste til at læne os tilbage og sige, at det er o.k., når det kun sker en gang imellem,« lyder det fra Eva Bisgaard, der er kommerciel direktør i Yousee.

Læste nummer op fra seddel

I forbindelse med stikprøven var det eneste, vi oplyste i Yousee-butikken, et telefonnummer, som vi i øvrigt huskede forkert og måtte konsultere en lille, håndskrevet seddel for at sige rigtigt.

Ikke desto mindre gik ekspedienten straks i gang med at aktivere vores nye, stjålne sim-kort - uden så meget som at se os i øjnene. Efter 15 minutter i kø og 30 sekunders betjening havde vi, igen-igen, stjålet et dansk telefonnummer.

Læs også: Sådan udnytter svindlere teleselskaber til at hacke danskere

Et nummer, man som sagt kan bruge til at nulstille alverdens koder til mailkonti, Facebook og så videre gennem diverse kode-gendannelsesprocedurer. Eller til eksempelvis at omgå bankernes tofaktor-løsninger.

For ikke at snakke om alle de åbenlyse svindelmuligheder, der er i at kunne skrive og ringe på vegne af offeret.

Konkurrenter retter ind

I sidste uges opfølgende stikprøve indgik også uanmeldte besøg hos 3, Telenor og Telia, der tidligere har udleveret adskillige aktive sim-kort til os på vores glatte ansigt.

Men denne gang lykkedes det ikke at få nye, aktive sim-kort hos en eneste af de tre Yousee-konkurrenter. Flere steder ville ekspedienten end ikke høre telefonnummeret, det drejede sig om, uden at se ID.

Med andre ord var det altså en helt anden sang, der blev sunget i konkurrenternes telebutikker i forhold til første gang, vi aflagde butikkerne et besøg for mere end en måned siden.

Læs også: »Helt absurd«: Sag om sim-kort-sjusk afdækker telesektorens kludetæppe af myndigheder

I Telia har man sågar indført et system, der kræver, at der indtastes enten pas- eller kørekortnummer, kunne en ekspedient fortælle.

Yousee: Svært at forhindre helt

Et lignende system er faktisk på plads hos Yousee.

»Indtastning af ID-numre er en manuel proces, og de vil altid være forbundet med en risiko, hvilket også er derfor, det er lykkedes jer at få et sim-kort,« siger Eva Bisgaard.

»Hvis man vil undgå den risiko, skal man eliminere de manuelle processer ved eksempelvis at fjerne muligheden for at få udleveret sim-kort i de fysiske butikker,« siger Eva Bisgaard og fortæller, at når man har et system, der er baseret på mennesker, er det sårbart.

»På et eller andet tidspunkt går det igennem,« siger direktøren, der fortæller, at Yousee fortsat vil gøre deres bedste for at uddanne medarbejderne, og at man fra virksomhedens side er meget opmærksom på problematikken.

Læs også: FBI advarer: Sim-swapping bliver i stigende grad brugt til angreb

»Hver gang vi lukker et hul går der ikke længe, før et nyt dukker op,« siger Eva Bisgaard.

Men sim-swap er ikke noget nyt fænomen, slet ikke i internationale sammenhænge. I USA har man haft massive problemer, senest i en sag, hvor et sim-swap kostede en bitcoin-miner 160 millioner kroner i bitcoins.

»Samtidig er det jo sådan, at for de fleste af os kan det være ødelæggende, at man ikke har en telefon. Og det er derfor, vi tilbyder at udlevere sim-kort i butikkerne, der er en øjeblikkelig løsning, hvis man får brug for et nyt sim-kort. Og så skal vi huske, at de fleste simkort bliver udleveret til rigtige mennesker med reelle behov,« siger Eva Bisgaard.

Vil ikke oplyse omfang af svindel

Siden sagen begyndte at rulle for mere end en måned siden, har Yousee da også undersøgt, hvor mange gange der er blevet svindlet med teleselskabets sim-kort. Yousee ønsker ikke at oplyse til Version2, hvor mange tilfælde der er tale om.

Eva Bisgaard fortæller dog, at det er forholdsvis få sim-swap-forsøg, der er så lavpraktiske som blot at bede om et nyt sim-kort i en butik.

»De tilfælde, vi ser med sim-swap, er dog typisk af grovere karakter, hvor angriberen også stjæler NemID’et eller på anden vis fremviser falsk legitimation,« fortæller direktøren.

Se den korte demonstration af vejen fra stjålet sim-kort til mailindbakke, der kan åbne for alvorlige svindel- og privacyproblemer, her:

Video: Mads Lorenzen

Sponseret indholdSådan udfordrer DevOps din sikkerhed – og sådan løser du problemet
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jonas Iversen

som sagt mange gange før: det egentlige problem er at organisationer og virksomheder opfatter et SIM kort som en sikker og uniq ID af en person. Fuldstændig det samme som CPR numre, det er IKKE et problem de offentliggøres, det er et problem organisationer og virksomheder begragter dem som "hemmelige".

  • 6
  • 13
Andreas Corneliussen

Det vil jeg godt erklære mig delvist uenig i. Jeg er enig I at det er et problem at man mener at CPR er en hemmelighed som kan bruges til at identificere dig. Men hvad angår simkort så er det fuldstændigt entydigt et problem at man kan komme ind og få udleveret et sim-kort til et nummer der ikke tilhører en selv uden at skulle vise ID.

Selv uden at sim-kortet bliver brugt til at skabe adgang til systemer som gmail og lignende med personligt indhold så kan det da være en volsom oplevelse at nogen kan overtage mit nummer og begynde at ringe til nogen jeg har kær og udgive sig for at være mig. Det skal bare ikke kunne lade sig gøre.

Og det burde vel ikke være så svært at lave systemer ved teleoperatørerne der sikrer imod dette. Det skal simpelthen ikke være muligt for en medarbejder at lave et simkort til et nummer uden at have indtastet kørekortnummer eller pasnummer passende til personen der ejer nummeret. Så er vi i det mindste ude i at den menneskelige fejl der kan ske i den process er at personalet kan glemme at verificere at billedet på kortet eller i passet passer på til den person der står og prøver at få udleveret kortet.

  • 22
  • 0
Morten Hertz

Jeg tænker, at et workaround er at vælge en mobiludbyder, der ikke har fysiske butikker. Det gælder vel alle undtagen 3, Telia, Telenor og YouSee? På den måde er der ikke nogen mentalt fraværende medarbejdere, der kan udlevere ens SIM-kort til uvedkommende. Der er selvfølgeligt stadig mulighed for social engineering over telefonen til kundeservice hos de butiksløse udbydere, men (håber jeg) der er sikkerheden større, fordi de er tvunget til at sende SIM-kortet til en postadresse.

  • 6
  • 1
Per Larsen

Generelt er det ganske skræmmende, at medierne- her væsentligst pressen, såvel repræsenteret ved DR hhv. TV2, som igen - igen afslører slendrian og ulovligheder i såvel offentligt regi - som privat. Jeg spør' blot, - hvor var vi, hvis medierne ikke agerede som public "agenter", med div. og ofte groteske afsløringer i medierne. Det er stort set en daglig begivenhed.

Helt aktuelt er det da lidt af en indrømmelse, at Yousee (som tidligere duksedreng) ikke vil gi' os indblik i hvor mange sim svindel sager, de er eller har været eller er berørt af. Det ville i sandhedens interesse da være nyttigt for alle at vide. Ikke for at revse Yousee eller andre teleleverandører, men for at få belyst omfanget af den pågældende svindel. De har givet lært lektien nu! Hvis det havde været dette enkeltstående tilfælde, ville Yousee ikke ha' nægtet at gi' informationen. Al den stunde de skjuler informationen, må vi antage at omfanget er af en vis betydende størrelse, som man hellere vil holde for sig selv?

Mvh

  • 12
  • 0
Johnny Larsen

....så kan det da være en volsom oplevelse at nogen kan overtage mit nummer og begynde at ringe til nogen jeg har kær og udgive sig for at være mig. Det skal bare ikke kunne lade sig gøre.

Det behøver man ikke få et SIM kort for. Det kan gøres med spoofing, og sker ofte. Og der er intet teleselskaberne kan/vil gøre ved det,

https://tdc.dk/stopsvindel/spoofing

  • 4
  • 3
Ole Kaas

Det behøver man ikke få et SIM kort for. Det kan gøres med spoofing, og sker ofte. Og der er intet teleselskaberne kan/vil gøre ved det,

Det kan teleselskaberne godt - hvis de vil. Alle danske numre kan let slåes op i fælles database og kald kan blot afvises hvis det viste nummer og udbyder ikke passer sammen. Teleselskaberne imellem oplyses altid (sådan var det engang) nummer uanset om det hos modtager skal skjules eller der skal vises noget andet - f.eks. ifbm. viderestilling. (asserted-id, preferred-id, privacy)

Problemet er nok at man "har ladet stå til" og hvis det indføres vil der nok være en del kald der ikke går igennem. Forringelse af kundeoplevelsen => kunderne flygter til konkurrenten. Problemet forværres af at at teleselskaberne ikke altid afleverer kald direkte til hinanden, men anvender deres egen carrier. Så modtagende operatør får danske og udenlandske kald blandet sammen - lidt mere op ad bakke at filtrere.

  • 8
  • 0
Ole Steffensen

'Samtidig er det jo sådan, at for de fleste af os kan det være ødelæggende, at man ikke har en telefon.'

Hvis det er sådan, skal de jo netop ikke udlevere sim uden id, for det lukker ned for en eller andens telefon, og så... Ja, se ovenstående citat.

De kunne udlevere et sim taletidskort med et nyt nummer, så man var kørende igen, og så sende med posten efterfølgende.

  • 9
  • 0
Michael Cederberg

Det kan teleselskaberne godt - hvis de vil. Alle danske numre kan let slåes op i fælles database og kald kan blot afvises hvis det viste nummer og udbyder ikke passer sammen.

Helt rigtigt. Jeg forstår ikke hvorfor teleselskaberne ikke gør en indsats for at eliminere spoofing af danske numre samt den her SIM swapping. Det burde være relativt nemt.

For teleselskaberne er blandt de få der faktisk kan authentikere brugere på nettet på en nogenlunde sikker måde. Det er en service der har værdi og som google eller andre ikke bare kan kopiere. Jeg forstår ikke hvorfor de ikke udnytter dette.

  • 5
  • 0
Jan Heisterberg

Idag skal man vise billde-id for at købe en telefon / SIM-kort - efter reglerne.

Hvem har efterfølgende bevisbyrden, og skal sandsynliggøre at reglerne er fulgt ?

Eksempel: Politiet "finder" en telefon og undersøger ejerforholdet på grundlag af nummeret. Det viser sig at være f.eks. "Peter Nielsen". Hvad er svaret på følgespørgsmålet: hvordan legitimerede han sig ? - er der bare et kryds for "viste kørekort" eller "viste pas" eller - er der en mere entydig identifikation af det pågældende identitetsdokument ? (for betalinger oplyses jo et tre-cifret tal, som sandsynliggør at det fysiske kort er i hånden).

Hvad betyder egentlig følgende i artiklen: »Indtastning af ID-numre er en manuel proces, og de vil altid være forbundet med en risiko, hvilket også er derfor, det er lykkedes jer at få et simkort,« siger Eva Bisgaard. Hvad er "ID-numre" - er det personnummeret aflæst fra den fysiske ID ? Eller noget mere "sikkert" ?

P.S.: HVIS der bruges eet eller andet ID-nummer ved køb / SIM-swap, så er det vel ikke raket-videnskab (nu er det jo ikke Rigspolitiet) at gennemsøge kundedatabasen for MANGLENDE ID-numre på køb / SIM-swap transaktioner ?

  • 0
  • 0
Dave Pencroof

Datatilsynet har siden oprettelsen været ekstremt underbemandet, og fra starten ikke haft en chance, måske tilmed uden reel retning "figure it out boys 'n' girls !". De havde ikke ressourcer til at føre sager til måls, så de har konstant haft et uberettiget dårligt rygte, for folketinget har sat det op til at fejle, men samtidigt for at kunne vaske hænder (nu har vi gjort som i bad om !) !

Ja - men jeg synes efterhånden, at Datatilsynet også bør have en bøde.... for nøl/forhaling...

Uanset hvor mange ansatte Datatilsynet gives, så skal de til enhver tid SIKRE at landets og EU's love overholdes, ellers er det hele ikke en skid værd. Ligeledes så har de squ haft RIGELIGT at se til i de 18 mdrs tid de har haft til at sætte sig ind i stoffet, samt oplærer en bunke konsulenter som skal oplærer Danmark, passe det ind i DK lovgivning, for som jeg husker det, har det enkelte lands love præsedens !

Op til GDPR husker jeg også at folketinget nærmest tvangsfodrede Datatilsynet med adm opgaver og andre opgaver som mange i skarpe toner udtrykte ikke hørte hjemme hos Datatilsynet ! Uanset hvem der så må stå for at prioriterer hvilke sager der er mere vigtige end andre, vil også dette blive underkendt af dem hvis sager må vente. Datatilsynet HAR fakta fået ordnet div sager, men de kommer langt sjældnere i medierne end skatte og politi sager, for det de gør er tæt på lige så usynligt som div usynlige handicaps, og ikke synligt i det daglige. De lægger Alphabet og de andre tech giganter på køl som andre lande gør det, idet tech giganternes pengetanke, og endnu værre alle de andre "virkemidler" de har i værktøjskassen, er så omfattende, at EU skal stå samlet (og det sker ikke) for at have en LILLE chance, og så kan EU politikerene få alle EU's borgere på nakken hvis giganterne spiller hardball !

Jeg har selv kun meldt 2 sager til Datatilsynet pt, og i begge sager søgte de uddybning på detaljer, og hver gang stak jeg næsen LANGT frem og ja de har flere medarbejdere men langt fra nok (alle skal oplæres på dette og hint - hvilket tager TID og derfor ressourcer fra andre opgaver, kik på Skat og Politi) Husk at være mindst lige så utilfredse med dem, og husk så at det IKKE er dem men folketinget der udstikker retningslinierne - og befolkningen (OS) der vælger folketinget !

For ca 6 uger siden opdaget jeg at der pludseligt var et sim kort på mit-yousee, jeg VED at jeg ikke har bedt om et, så det blev stoppet. Jeg fik sat kode på mit abonnement hos Yousee som pt virker. Jeg forsøgte også at melde sagen til politiet, jeg var igennem 2 kontorbetjente som hørte hvad de ville høre og forsøgte at få mig til at falde i alle mulige verbale fælder, det var en yderst kvalmende oplevelse som fjernede de allersidste rester af tro på autoriteter. Jeg overvejer stadig at melde denne hændelse til rette myndighed. Alt i alt har FT kun gjort hvad som helst markant værre så længe jeg husker tilbage, og værst var mørklægningsloven, men kikker vi rundt og ud over grænserne, så er der kun to steder jeg måske kunne lokkes til hellere at ville være, og det er polerne men der er lidt for få gode butikker !

  • 1
  • 0
Morten Sørensen

Det er godt nok skræmmende, at dette forekommer.

Mere skræmmende er det jo egentlig også, hvor sårbart systemet er. Det behøver jo ikke nødvendigvis være en person, der som "kunde" kommer ind i butikken og udgiver sig for at være en anden - det vil jo være super nemt for de ansatte i teleselskaberne at udnytte dette.

  • 1
  • 0
Ulf Herold-Jensen

Angiveligt skulle eSim tage over fra det fysiske sim-kort inden alt for længe. Hvordan vil situationen så se ud; kan man få "udleveret" et nyt eSim hos ekspedienten eller skal man logge ind - med MitID el. lign - for at få genereret et nyt eSim? -Eller vil eSim helt udrydde grunden til at skifte sim-kode(r?) i det hele taget? -Og hvornår bliver eSim til virkelighed?

  • 1
  • 0
Kim Henriksen

Der er selvfølgeligt stadig mulighed for social engineering over telefonen til kundeservice hos de butiksløse udbydere, men (håber jeg) der er sikkerheden større, fordi de er tvunget til at sende SIM-kortet til en postadresse.

Vil gæt på at du godt kan ringe til mange af dem og få ændret postadressen og bestille et nyt simkort af den venlige kundeservicemedarbejder.

  • 0
  • 0
Kim Henriksen

Vil gæt på at du godt kan ringe til mange af dem og få ændret postadressen og bestille et nyt simkort af den venlige kundeservicemedarbejder.

Efter en samtale med en bekendt i branchen, blev jeg bekræftet i at det formentlig sagtens kan lade sig gøre og er meget nemt.

Så Version2, prøv da. Opret et mobil abb. hos et par af de mange forskellige brands der findes, og se om i bagefter kan få ændret post adressen via et simpelt opkald eller mail til kundeservicen - dagen efter ændringen beder i så om at få tilsendt et nyt simkort.

Dæk historien kan være noget med at udgive sig for at være pårørende.

  • 1
  • 0
Jørgen L. Sørensen

Det kan gøres med spoofing, og sker ofte. Og der er intet teleselskaberne kan/vil gøre ved det,

https://tdc.dk/stopsvindel/spoofing

Fra nævnte side: Hvis du vil sikre dig mod spoofing, kan du først og fremmest lade være med at besvare opkald fra numre, du ikke kender. Når folk har brug for at tale med dig, så er det mest normale, at de lægger en besked eller ringer tilbage til dig.

Kan der ske noget ved at besvare (tage telefonen) et opkald fra ukendt - dansk eller udenlandsk - nummer? Man kan jo altid afbryde samtale igen hvis det viser sig man ikke kender vedkommende...

Som jeg opfatter det kan mit nummer blive brugt til spoofing hvis det tilfældigvis bliver "udtrukket" og ikke ved at jeg besvarer et opkald.

  • 3
  • 0
Mogens Lysemose

Som jeg opfatter det kan mit nummer blive brugt til spoofing hvis det tilfældigvis bliver "udtrukket" og ikke ved at jeg besvarer et opkald.

Helt rigtigt. Det er besynderligt At du og jeg kan forstå problemet, mens Danmarks største teleselskaber misforstår problemet som de selv medvirker til. Man skulle næsten tro det er bevidst vildledning i stedet for at de skal gøre noget for at løse problemet...

Kriminelle, der udgiver sig fra at være fra Microsoft, bruger lokal tømrers telefonnummer til at ringe fra. Det har udløst en storm af henvendelser. ... Mange ringer derfor tilbage til mig. Jeg har p.t. min telefon slukket hele tiden. Hvis jeg ikke har det, får jeg 20-30 opkald i minuttet, hvis jeg konstant står og afviser opkaldene. ... Han har kontaktet sin teleudbyder, Telenor, men den eneste hjælp, de kan tilbyde, er at skifte hans telefonnummer.

Den løsning er Gynther Pedersen ikke glad for.

https://t.hsfo.dk/artikel/kriminelle-misbruger-hans-nummer-horsens-t%C3%...

  • 2
  • 0
Dave Pencroof

Jeg bruger en del tid på at yde IT-hjælp både via bibliotek og misbrugscenter, samt "fra mund til øre" og en del gange har jeg både ændret og oprettet abonnementer på tv/tlf oa, jeg har dog altid bedt om at få borgeren tilsendt en mail om ændringerne, for hvis man er positiv/omhyggelig/specifik og humoristisk, så fik jeg lov til det hele på mit stubbede fjæs ! Jeg er derfor overrasket over at dette overrasker i så høj grad at det fortsat køre løs her. Ja det er squ mildt sagt uhyggeligt at det kan ske og sker så ofte, når et tlf.nr idag er så vigtig i forhold til sikkerhed som det nu er. Heldigvis vare det nok ikke længe før der er typer af sikkerheds ordninger som vil overtage ! Tidligere har i talt om dokumentation som kørekort og/eller pas, Øhhh hva' med dem der ikke har disse dokumenter, jeg kender et par stk. Vi må have klare linier for hvordan disse få skal dokumentere hvem de er, ellers bliver de endnu mere isolerede, og en dom for nylig har klart vist at nogen borgere ikke må have NemID "implicit" ! Nets er ekstremt lidt opsat på at lade nogen hjælpe NemID analfabeter, selv flygtninge der mangler dybere forståelse af såvel eng som dk, sidst nægtede de helt at tale med mig, men da vi kun var os to så blev tlf sat på medhør ! Så GDPR er bestemt ikke kun et gode, div institutioners jurister overlæser teksten for at sikre at der ikke kunne være et ansvar for arb giveren !

  • 0
  • 0
Tobias Volfing

Det er da meget hyggeligt med et legimitationskort - men hvad hjælper det personer på kanten af samfundet der ikke har en folkeregister addresse, eller ikke kan hoste op med 150 kroner (+pasfoto) for at faa et ID kort?

Det er urimeligt at forvente at man betaler for at legitimere sig.

  • 1
  • 0
Dave Pencroof

Tak for det link Brian, dog er der stadigt individer som ikke har denne mulighed, bla fordi 150 kr er mad til et par dage og langt fra nok til div stoffer men dog på vej til ! Husk også at mm DK beslutter at indføre og gennemføre et genetisk renheds princip, samt i lighed med i en af Ray Bradbury's romaner, hvor ivdivider over en vis alder "genindvindes" til alles bedste, så vil der være "udkants individer" så længe der er mennesker !

Tobias husk lige at vi betaler for alle de andre gangbare billedlegitimationer som vi konsekvent afkræves, plus at vi også afkræves en adresse for at kunne noget som helst !

BTW. Udlændingestyrelsen burde i højere grad end noget andet undersøges af datatilsynet, for deres måde at godkende/afvise/udvise flygtninge af div etnisitet. Det virker jo som et rendyrket kaosprincip der må benyttes der (måske ønsker de at påkalde sig opmærksomhed ?) !

Nåhh ! Hav en forrygende weekend allesammen Mvh Dave

  • 1
  • 0
Log ind eller Opret konto for at kommentere

Finanstilsynet bekymret over bankernes it-sikkerhed: Corona har øget presset

3

Sådan blev Norges største sundhedsorganisation hacket

0

Hackerangreb koster dansk modefirma 7 mio. kroner - det kunne være gået endnu værre

3
Job fra Jobfinder
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Øget effektivitet, fleksibilitet og muligheder for hjemmearbejde med Cisco Webex
Whitepaper
Whitepaper
The Ultimate Guide to Headless CMS
Webinar
Webinar
Webinar: Sådan forbereder du din virksomhed til remote working
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder