Et af landets absolut største teleselskaber, TDC-ejede Yousee, har indtil nu, som det eneste store teleselskab, undgået at udlevere aktive simkort til Version2 under vores stikprøver.
Men det er slut nu.
I stikprøverne går vi på helt enkel vis ind i en telebutik og beder om et nyt sim-kort til et eksisterende nummer uden at fremvise den fornødne billed-ID.
Det gør vi for at sætte fokus på, at danske numre kan overtages så let som ingenting og misbruges af angribere til alverdens svindel. Fra at sende beskeder og ringe til offerets kontakter til at trænge ind i mails og derigennem åbne for offerets onlineliv.
Mens det hos Yousees tre konkurrenter 3, Telenor og Telia umiddelbart er blevet betydeligt sværere at få udleveret aktive sim-kort uden at vise ID, var det denne gang legende let hos Yousee. Det viser en ny, tredje stikprøve, som Version2 og Ingeniøren lavede i sidste uge i de danske telebutikker.
Denne seneste stikprøve er vel at mærke gennemført efter, at der i mere end seks uger har været massivt fokus på problematikken. Det har blandt andet betydet, at Erhvervsstyrelsen, Datatilsynet og Center for Cybersikkerhed i forskellig grad er gået ind i sagen.
Læs også: Svindlerens drøm: Danske telebutikker udleverer sim-kort til eksisterende numre - helt uden at se ID
»Jeg er rigtig, rigtig ked af, at det her er sket. Det er dybt beklageligt, og én gang er en gang for meget. Vi skal være de sidste til at læne os tilbage og sige, at det er o.k., når det kun sker en gang imellem,« lyder det fra Eva Bisgaard, der er kommerciel direktør i Yousee.
Læste nummer op fra seddel
I forbindelse med stikprøven var det eneste, vi oplyste i Yousee-butikken, et telefonnummer, som vi i øvrigt huskede forkert og måtte konsultere en lille, håndskrevet seddel for at sige rigtigt.
Ikke desto mindre gik ekspedienten straks i gang med at aktivere vores nye, stjålne sim-kort - uden så meget som at se os i øjnene. Efter 15 minutter i kø og 30 sekunders betjening havde vi, igen-igen, stjålet et dansk telefonnummer.
Et nummer, man som sagt kan bruge til at nulstille alverdens koder til mailkonti, Facebook og så videre gennem diverse kode-gendannelsesprocedurer. Eller til eksempelvis at omgå bankernes tofaktor-løsninger.
For ikke at snakke om alle de åbenlyse svindelmuligheder, der er i at kunne skrive og ringe på vegne af offeret.
Konkurrenter retter ind
I sidste uges opfølgende stikprøve indgik også uanmeldte besøg hos 3, Telenor og Telia, der tidligere har udleveret adskillige aktive sim-kort til os på vores glatte ansigt.
Men denne gang lykkedes det ikke at få nye, aktive sim-kort hos en eneste af de tre Yousee-konkurrenter. Flere steder ville ekspedienten end ikke høre telefonnummeret, det drejede sig om, uden at se ID.
Med andre ord var det altså en helt anden sang, der blev sunget i konkurrenternes telebutikker i forhold til første gang, vi aflagde butikkerne et besøg for mere end en måned siden.
I Telia har man sågar indført et system, der kræver, at der indtastes enten pas- eller kørekortnummer, kunne en ekspedient fortælle.
Yousee: Svært at forhindre helt
Et lignende system er faktisk på plads hos Yousee.
»Indtastning af ID-numre er en manuel proces, og de vil altid være forbundet med en risiko, hvilket også er derfor, det er lykkedes jer at få et sim-kort,« siger Eva Bisgaard.
»Hvis man vil undgå den risiko, skal man eliminere de manuelle processer ved eksempelvis at fjerne muligheden for at få udleveret sim-kort i de fysiske butikker,« siger Eva Bisgaard og fortæller, at når man har et system, der er baseret på mennesker, er det sårbart.
»På et eller andet tidspunkt går det igennem,« siger direktøren, der fortæller, at Yousee fortsat vil gøre deres bedste for at uddanne medarbejderne, og at man fra virksomhedens side er meget opmærksom på problematikken.
»Hver gang vi lukker et hul går der ikke længe, før et nyt dukker op,« siger Eva Bisgaard.
Men sim-swap er ikke noget nyt fænomen, slet ikke i internationale sammenhænge. I USA har man haft massive problemer, senest i en sag, hvor et sim-swap kostede en bitcoin-miner 160 millioner kroner i bitcoins.
»Samtidig er det jo sådan, at for de fleste af os kan det være ødelæggende, at man ikke har en telefon. Og det er derfor, vi tilbyder at udlevere sim-kort i butikkerne, der er en øjeblikkelig løsning, hvis man får brug for et nyt sim-kort. Og så skal vi huske, at de fleste simkort bliver udleveret til rigtige mennesker med reelle behov,« siger Eva Bisgaard.
Vil ikke oplyse omfang af svindel
Siden sagen begyndte at rulle for mere end en måned siden, har Yousee da også undersøgt, hvor mange gange der er blevet svindlet med teleselskabets sim-kort. Yousee ønsker ikke at oplyse til Version2, hvor mange tilfælde der er tale om.
Eva Bisgaard fortæller dog, at det er forholdsvis få sim-swap-forsøg, der er så lavpraktiske som blot at bede om et nyt sim-kort i en butik.
»De tilfælde, vi ser med sim-swap, er dog typisk af grovere karakter, hvor angriberen også stjæler NemID’et eller på anden vis fremviser falsk legitimation,« fortæller direktøren.
Se den korte demonstration af vejen fra stjålet sim-kort til mailindbakke, der kan åbne for alvorlige svindel- og privacyproblemer, her:
Video: Mads Lorenzen