Sådan udnytter svindlere teleselskaber til at hacke danskere

Illustration: Mads Lorenzen
Efter Ingeniørens stikprøve hos telebutikkerne var vi interesserede i at vide, hvor langt man kunne komme.

Som Version2 beskriver kan man ganske nemt stjæle andres telefonnummer ved at få udleveret nye simkort ud at vise ID i danske telebutikker.

Herefter kan nummeret bruges til at åbne op for offerets mails, snyde to-trinsgodkendelser og på den måde eskalere et omfattende svindel-angreb. På bare ti minutter lykkedes det således undertegnede at hacke sin egen mail, datingtjeneste og Facebook. Jeg fik sågar stjålet mit eget CPR-nummer og kunne potentielt have fået et billede af mit pas tilsendt.

I en artikel i Ingeniøren fredag viser jeg, hvordan jeg kan optrevle mit digitale liv og bid for bid eskalere sikkerhedsbruddet fra bekymrende til katastrofalt.

Her når jeg på under ti minutter at hacke Facebook, Linkein, Dropbox, Tinder og en stribe andre services.

»Det er kun kreativiteten, der sætter grænser for, hvordan man kan udnytte det her. Man kan nulstille alle mulige passwords, og man kan bruge telefonnummeret til at svindle over for offerets kontakter,« siger stifter af it-sikkerhedsvirksomheden Dubex, Jacob Herbst til Version2.

Ikke kun udenlandsk fænomen

Indtil nu har sim-hijacking hovedsagelig været et udenlandsk fænomen, hvor det i USA har givet alvorlige problemer for flere borgere. Blandt andet skriver Ingeniøren, at det sidste år lykkedes kriminelle at overtage en krypto­valuta-investors telefonnummer og derigennem stjæle kryptovaluta til en værdi af 23,8 mio. dollars.

Men nu bekræfter både 3 og Telenor, at de har oplevet sager, som selskaberne dog ikke vil beskrive i detaljer, da de efterforskes af politiet. Hos 3 er der tale om en enkelt sag, mens Telenor angiveligt oplever flere problemer.

»Vi ser desværre et stigende antal forsøg på sim-swapping mod vores butikker og kunder. Vi har og vil fortsætte med at skærpe vores ID-kontrol i butikkerne, så vi sikrer, at der altid vises gyldig legitimation ved sim-skifte,« skriver kommunikationschef i Telenor Lise Kirkegaard i en mail til Ingeniøren, efter at selskabet har afvist at stille op til interview om sagen.

Ingeniøren har desuden talt med en butiksmedarbejder hos Yousee, der fortæller, at der har været konkrete forsøg på misbrug med selskabets numre. Og at medarbejderen af samme årsag ikke ville udlevere et nyt sim-kort til os.

Eva Bisgaard, der er kommerciel direktør i Yousee, vil hverken be- eller afkræfte, om der har været konkrete forsøg på sim-swapping i virksomhedens butikker.

Teleselskaber lover at stramme op

Hos 3 og Telenor er der i dag procedurer på plads, som imidlertid ikke er blevet fulgt i Ingeniørens stikprøve. Hos 3, hvor det var lettest for Ingeniøren at få udleveret sim-kort uden ID, har resultaterne ført til en intern undersøgelse.
»Vi laver selvfølgelig vores egen undersøgelse nu baseret på det, I fortæller os her. Man kunne for eksempel overveje kun at sende sim-kort hjem til kunden fremover, men det er en rigtig dårlig kundeoplevelse, at man skal vente på posten i et antal dage,« påpeger direktør for privatmarkedet i 3, David Elsass til Ingeniøren.

I Telia har man samme udfordring med at finde en balance mellem god kundeservice og et rimeligt sikkerhedsniveau. Nu vil selskabet gøre det betydeligt sværere telefonisk at aktivere sim-kort, der udleveres uden ID.

»På baggrund af jeres henvendelse ved vi nu, at det er problematisk, og derfor har vi valgt at kræve, at der efterlyses mere fra kunden end bare et CPR-nummer,« siger selskabets udviklingschef, Frederik Hviid til Ingeniøren.

Præcis hvad der skal til af informationer, ønsker selskabet af sikkerhedshensyn ikke at oplyse.

Og der er grund til, at selskaberne bør tage problemet alvorligt. Professor i teleret ved Copenhagen Business School, Søren Sandfeld Jakobsen påpeger, som vi beskrev tidligere i dag, at der er tale om brud på flere forskellige regelsæt og dermed en ulovlig praksis.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Palle Due Larsen

»Vi laver selvfølgelig vores egen undersøgelse nu baseret på det, I fortæller os her. Man kunne for eksempel overveje kun at sende sim-kort hjem til kunden fremover, men det er en rigtig dårlig kundeoplevelse, at man skal vente på posten i et antal dage,« påpeger direktør for privatmarkedet i 3, David Elsass til Ingeniøren

Nu er jeg ikke kunde hos merbemeldte selskab, men hvis mit teleselskab medvirkede til tyveri af min identitet gennem hacking af samtlige mine konti, så ville jeg synes det var den dårligste kundeoplevelse nogensinde.

  • 0
  • 0
Pilu Kasper Bech

Palle jo du har helt ret men nu har de jo ret mange kunder som ikke bliver hacket. Og jeg tror først jeg ville spørger pænt om de har tænk sig at dække mine tab. Og sagsøge tele selskabet for skader pga. grov uagtsomhed i at sikre mine data og mit simkort hvis ikke.

Og hvis selskabet betaler og dækker alle skader ville jeg sådan syns det var en fin behandling. Selvfølge pisse irreterne hvis det skulle ske men hvis de punger ud for deres fejl ok. Men har nok min tvivil om de dækker en million eller to i bit coins ;)

  • 0
  • 0
Log ind eller Opret konto for at kommentere