Svindlerens drøm: Danske telebutikker udleverer sim-kort til eksisterende numre - helt uden at se ID

Illustration: Mads Lorenzen
Flere telebutikker udsteder i strid med loven nye sim-kort uden at se ID. Det betyder, at dit nummer og dermed online-konti uden videre kan stjæles.

Helt uden at kræve ID udleverer adskillige telebutikker et nyt sim-kort til dit telefonnummer til alle, der beder om det. Enkelte beder end ikke om dit navn, før de overdrager dit telefonnummer – og dermed din mailkonto og adgang til blandt andet sociale medier – til komplet fremmede.

Det viser en stikprøveundersøgelse, Ingeniøren har foretaget i københavnske butikker fra de fire store teleselskaber Yousee, Telia, Telenor og 3.

Særligt 3 skiller sig ud ved i flere tilfælde end ikke at spørge om navn eller forsøge at bede om ID. Modsat var det for Ingeniøren umuligt at få udleveret sim-kort fra Yousee uden at vise billed-ID. Hos Telia var det i flere tilfælde muligt at få et aktivt sim-kort, hvis du kunne offerets CPR-nummer, mens en Telenor-­butik udleverede et sim-kort mod at få oplyst offerets navn og adresse.

Sårbarheden hos teleselskaberne er tidligere primært kendt fra udlandet, hvor angrebet kaldes sim-swapping. Angrebet er ikke blot kritisk, fordi enhver kan sende og modtage sms’er og opkald på dine vegne med dit sim-kort i hånden.

Telefonnummeret bliver også i stigende grad brugt som nøglen til dit digitale liv, i takt med at stadigt flere onlinetjenester bliver sikret med to-faktor-autentifikation og alternative kontaktmuligheder. I Ingeniørens egen test betød det, at mailboks, Tinder, Facebook og alverdens personlige oplysninger var i angriberens hænder allerede ti minutter efter han fik simkortet i hånden.

»Det her er eddermame rystende og skræmmende, både it- og samfundsmæssigt. Jeg ville forvente, at der blev passet meget bedre på vores telefonnumre,« siger Jacob Herbst, medstifter af it-sikkerhedsfirmaet Dubex, og han bakkes op af it-sikkerhedsspecialist hos Trend Micro Jesper Mikkelsen:

»Der er rigtig mange online­accounts, der er bundet op på telefonen. Hvis du først har sim-kortet, kan du benytte det til at nulstille og overtage andre konti. Det er både alarmerende og problemfyldt.«

Ulovlig praksis

Ifølge professor i teleret ved Copenhagen Business School Søren Sandfeld Jakobsen er det tilmed ulovligt, når teleselskaberne i Ingeniørens stikprøve udleverer sim-kort.

»Jeg mener, det er i strid med flere forskellige regler og dermed ulovligt. Alene ved at udlevere et sim-kort uden nogen form for kontrol er der sket et brud på persondatasikkerheden.«

Derudover er loven om net- og informationssikkerhed også brudt, når sim-kortet udleveres til de forkerte, vurderer han.

Hos 3, hvor to butikker har udleveret sim-kort til Ingeniøren uden at bede om ID, mener direktør for privatmarkedet David Elsass, at selskabets procedurer burde umuliggøre den slags angreb:

»Jeg tager det virkelig, virkelig seriøst, det her. Det lyder ikke godt, men vores regler på området er meget, meget klare. Når jeg taler med butiksfolk, er de ikke et sekund i tvivl om, at de skal tjekke ID.«

Samme besked lyder fra Tele­nor, hvor en enkelt butik udleverede et sim-kort mod at få oplyst navn og adresse.

»Vores procedure er, at vi altid skal se billed-ID ved sim-skifte. At det ikke er sket i dette tilfælde, er en alvorlig fejl,« skriver kommunikationschef i Telenor Lise Kirkegaard i en mail til Ingeniøren, efter selskabet har afvist at stille op til interview om sagen.

Men når selskaberne peger på deres procedurer, er det ikke nødvendigvis nok, vurderer Jacob Herbst:

»Al erfaring viser, at man ikke kan stole på, at en procedure bliver overholdt af den enkelte med­arbejder. Som teleselskab burde man have et system, der støtter op om proceduren ved for eksempel at bede om kørekortnummer.«

Telia udleverede under stikprøven flere gange ikke-aktiverede sim-kort, der kunne aktiveres telefonisk med offerets CPR-nummer. Men heller ikke denne metode er tilstrækkelig, erkender Telia.

»Jeg synes i det hele taget, jeres resultater er bekymrende,« siger udviklingschef Frederik Hviid og tilføjer, at selskabet nu vil stramme op, så det kræver flere informationer at få aktiveret et sim-kort telefonisk.

Se den korte demonstration af vejen fra stjålet simkort til mailindbakke, der kan åbne op for alvorlige svindel- og privacyproblemer herunder:

Video: Mads Lorenzen

Artiklen stammer fra denne uges udgave af avisen Ingeniøren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mogens Lysemose

VISA har indført 2-faktor-godkendelse så man både skal have VISA-kortnummer (+kontrolcifre) og nu også modtage en godkendelses-SMS.

Med et kapret telefonnummer kan svindlere altså omgå den tofaktor-godkendelse og handle løs indtil VISA-kortet bliver spæret.

Man kan også remote-installere apps fra Googles Play Store med den kaprede Google-konto som videoen overtager.
Så hvis man har fået lusket et spion-program ind i Google Play (kræver ikke godkendelse) så kan man altså også fortsætte med at have overtaget mobiltelefon og tablet efter at VISA-kort og SIM-kortet er spæret.

  • 8
  • 0
Anders Kjeldsen

Et problem er jo selvfølgelig at man kan gå ind i en butik og være heldig med ikke at blive spurgt om id.

Men er der overhovedet nogen sikring for at ansatte ikke kan gøre det samme?

Uden at vide meget om det lyder det jo til at være et kæmpe hul i hvordan den slags fungerer. I hvert fald når det kan bruges til ting som 2-faktor eller diverse betaling.

  • 8
  • 0
Jan Ferré

Det er godt nok sørgeligt - hele vejen rundt!

I telebutikken - navn, adresse, CPR-nummer er information - ikke autentifikation. Alle disse informationer kan findes på enkel vis. Men hvor meget registrering vil vi som borgere acceptere? At der bliver lavet billede og fingeraftryk, når vi skal købe et SIM-kort?

I mail-programmer og adgang til sociale medier - et telefonnummer er blot en information - ikke et bevis på, at du er den, du påstår, du er. Og det er frygteligt almindeligt, at de sender en sms med en kode, når man har glemt sit password.

Men det er da svært! Når man med kreditkort bruger telefonen som del af tofaktor-autentificering baserer det sig jo netop på, at den rette ejer har sin telefon. Og det har man jo ikke, hvis nummeret er flyttet over i en anden telefon.

Så måske er det gamle NemIDs papkort ikke så ringe en løsning alligevel?

  • 11
  • 0
Christian Nobel

I telebutikken - navn, adresse, CPR-nummer er information - ikke autentifikation. Alle disse informationer kan findes på enkel vis. Men hvor meget registrering vil vi som borgere acceptere? At der bliver lavet billede og fingeraftryk, når vi skal købe et SIM-kort?

Der er da noget fløjtende galt, hvis man bare kan troppe op i en telebutik, og få udleveret et sim-kort, udelukkende ud fra angivne oplysninger.

For så må en vilkårlig telebutik altså være i stand til at producere et sim-kort på stedet, uden bagvedliggende kontrol - hvordan sikrer man sig så mod brodne kar i selve butikken (rockerens "fætter" der arbejder der)?

Især er det rigtig skræmmende at det er så let, når politi og anklagemyndighed jo sætter lighedstegn mellem en person og en telefon, og tillægger teledata alt for megen betydning.

Det bør være sådan, at hvis man mister et sim-kort, så kan man kun få et nyt ved f.eks. at logge ind på sin konto hos selskabet, og så skal kortet sendes til en.

Det fjerner ikke 100% risikoen for svindel, hvis ens brevkasse bliver misbrugt rent fysisk, men det er så samme problematik fsva. NemID - det vil dog reducere risikoen for misbrug voldsomt.

At det så tager nogle dage må man leve med - alting skal ikke altid nødvendigvis gå så stærkt.

  • 7
  • 0
Lars Bendix

Det bør være sådan, at hvis man mister et sim-kort, så kan man kun få et nyt ved f.eks. at logge ind på sin konto hos selskabet, og så skal kortet sendes til en.

Har du prøvet at være uden kontakt med omverdenen i 10 dage fordi et erstatningskort ikke kom frem med posten? Det var lidt rystende at jeg var blevet så afhængig af at kunne kommunikere. Og Murphys lov siger jo at sådanne ting sker lige inden man skal til udlandet og har brug for at kunne koordinere afhentning med dem man skal besøge. Da var det rart til sidst at kunne smutte forbi en butik og få et nyt. Så vidt jeg husker ville de se kørekort.

Men det er da bekymrende at høre, at det åbenbart er så let at "overtage" mit telefonnummer/sim-kort.

  • 2
  • 0
Mogens Lysemose

lignende tests af mindre teleselskaber

Mit lavprisselskabs administrationsside ("Min side") tilbyder nyt kort for 50 kr. Mht. modtageradressen skriver de:
"Hvis du er flyttet adresse, skal du sende din nye adresse til kundeservice på e-mail: support@xxxxxxx.dk og vi opdaterer dine oplysninger"

Det er da interessant om de verificerer min flytning på nogen måde eller alle kan skrive mail i mit navn og at jeg er flyttet og så bestille nyt kort - blot hvis de skaffer sig adgang til telefonselskabets "Min side"...

  • 1
  • 0
Gert Madsen

Uden at vide meget om det lyder det jo til at være et kæmpe hul i hvordan den slags fungerer. I hvert fald når det kan bruges til ting som 2-faktor eller diverse betaling.


Det er vel kernespørgsmålet.
Validering af SIM-kort handler egentlig om hvem, som hænger på regningen for brugen af telefonen.
At banker, kreditkortselskaber (og Politiet) siden har hængt andet op på telefonen, behøver ikke nødvendigvis at være telefonselskabets problem.

  • 1
  • 0
René Larsen

Så vidt jeg ved, så behøver det ikke nødvendigvis at være et problem, at få udleveret et SIM kort, uden visning af ID.

Et SIM kort er ikke som standard registeret til et specifik telefonnummer - det bliver det først, når det bliver aktiveret - og dette behøver ikke at ske i den omhandlede tele butik* (ingen navne nævnt, da det er samme set op for alle)* - det gøres fx. når man kommer hjem.

Det var det jeg var igennem da jeg fik nyt SIM kort for et lille halvt års siden - jeg gik blot ind i en 3 butik, og fik et SIM kort med uden nogen spørgsmål til mit telefonnummer eller et ID - men jeg kunne så heller ikke benytte kortet før jeg aktivt havde aktiveret det, til tilhørende mit telefonnummer via 3's hjemmeside (kunde profil).

Men hvis den enkelte tele butik, "som en service" allerede i butikken registerer SIM kortet til et telefonnummer, uden at sikre sig at det også er kundens telefonnummer - ja, så er det et problem.

  • 3
  • 0
Christian Nobel

At banker, kreditkortselskaber (og Politiet) siden har hængt andet op på telefonen, behøver ikke nødvendigvis at være telefonselskabets problem.

Ikke nødvendigvis, men det burde være et vink med en vognstang til politiet et al, at det er pivhamrende forkert at benytte teledata til noget der bare lugter af bevisførelse.

Og så kunne det måske være rigtig interessant med en debat om hvordan vil får flyttet telefoni ind i det 21' århundrede, nemlig ved at teleselskaberne erkender at deres tid som formidler af samtaler mellem to 8 cifrede numre er passe.

I stedet skal de vedkende sig den nye virkelighed, nemlig at al tale bør foregå over IP (det er også nemmere at huske et navn end et telefonnummer), og de så udelukkende skal levere datakort - bevares sikkerhed skal så lægges på datalaget, men det vil gøre løsningen meget mere universelt brugbar, omend det vil gøre det sværere for politiet at indsamle store mængder samtaledata (ulovligt), hvilket jeg kun vil græde tørre tårer over.

  • 3
  • 2
Log ind eller Opret konto for at kommentere