Svindlerens drøm: Danske telebutikker udleverer sim-kort til eksisterende numre - helt uden at se ID

30. august 2019 kl. 05:1112
Svindlerens drøm: Danske telebutikker udleverer sim-kort til eksisterende numre - helt uden at se ID
Illustration: Mads Lorenzen.
Flere telebutikker udsteder i strid med loven nye sim-kort uden at se ID. Det betyder, at dit nummer og dermed online-konti uden videre kan stjæles.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Helt uden at kræve ID udleverer adskillige telebutikker et nyt sim-kort til dit telefonnummer til alle, der beder om det. Enkelte beder end ikke om dit navn, før de overdrager dit telefonnummer – og dermed din mailkonto og adgang til blandt andet sociale medier – til komplet fremmede.

Det viser en stikprøveundersøgelse, Ingeniøren har foretaget i københavnske butikker fra de fire store teleselskaber Yousee, Telia, Telenor og 3.

Særligt 3 skiller sig ud ved i flere tilfælde end ikke at spørge om navn eller forsøge at bede om ID. Modsat var det for Ingeniøren umuligt at få udleveret sim-kort fra Yousee uden at vise billed-ID. Hos Telia var det i flere tilfælde muligt at få et aktivt sim-kort, hvis du kunne offerets CPR-nummer, mens en Telenor-­butik udleverede et sim-kort mod at få oplyst offerets navn og adresse.

Sårbarheden hos teleselskaberne er tidligere primært kendt fra udlandet, hvor angrebet kaldes sim-swapping. Angrebet er ikke blot kritisk, fordi enhver kan sende og modtage sms’er og opkald på dine vegne med dit sim-kort i hånden.

Sådan gjorde vi

Redaktionen blev opmærksom på, at en enkelt 3-butik udleverede et nyt kort uden at bede om ID.

Vi undersøgte derefter en håndfuld butikker fra hvert af de fire teleselskaber, der har fysiske butikker: 3, Telia, Tele­nor og Yousee. Vi benyttede nyoprettede abonnementer såvel som egne eksisterende abonnementer.

Ved henvendelse i butikkerne fortalte vi, at vi havde brug for et nyt sim-kort til et givent telefonnummer. I de tilfælde, hvor vi blev spurgt, oplyste vi navn og adresse, men fortalte, at vi ikke havde fået ID-kort med.


Telefonnummeret bliver også i stigende grad brugt som nøglen til dit digitale liv, i takt med at stadigt flere onlinetjenester bliver sikret med to-faktor-autentifikation og alternative kontaktmuligheder. I Ingeniørens egen test betød det, at mailboks, Tinder, Facebook og alverdens personlige oplysninger var i angriberens hænder allerede ti minutter efter han fik simkortet i hånden.

Artiklen fortsætter efter annoncen

»Det her er eddermame rystende og skræmmende, både it- og samfundsmæssigt. Jeg ville forvente, at der blev passet meget bedre på vores telefonnumre,« siger Jacob Herbst, medstifter af it-sikkerhedsfirmaet Dubex, og han bakkes op af it-sikkerhedsspecialist hos Trend Micro Jesper Mikkelsen:

»Der er rigtig mange online­accounts, der er bundet op på telefonen. Hvis du først har sim-kortet, kan du benytte det til at nulstille og overtage andre konti. Det er både alarmerende og problemfyldt.«

Ulovlig praksis

Ifølge professor i teleret ved Copenhagen Business School Søren Sandfeld Jakobsen er det tilmed ulovligt, når teleselskaberne i Ingeniørens stikprøve udleverer sim-kort.

»Jeg mener, det er i strid med flere forskellige regler og dermed ulovligt. Alene ved at udlevere et sim-kort uden nogen form for kontrol er der sket et brud på persondatasikkerheden.«

Derudover er loven om net- og informationssikkerhed også brudt, når sim-kortet udleveres til de forkerte, vurderer han.

Resultaterne

To 3-butikker udleverede sim-kort uden at bede om hverken personoplysninger eller ID – de øvrige bad om ID.

En Telenor-butik udleverede et sim-kort mod at få navn og adresse, de øvrige nægtede at udlevere uden billed-ID. De henviste alle til nylige sager med ID-svindel. En butik sagde endda, at en uge tidligere havde vores chancer været større grundet mindre fokus på problematikken.

Flere Telia-butikker udleverede sim-kort uden at se billed-ID. Det skulle imidlertid efterfølgende aktiveres ved hjælp af CPR-nummer. En enkelt butik krævede billed-ID.

Samtlige Yousee-butikker krævede billed-ID.


Hos 3, hvor to butikker har udleveret sim-kort til Ingeniøren uden at bede om ID, mener direktør for privatmarkedet David Elsass, at selskabets procedurer burde umuliggøre den slags angreb:

»Jeg tager det virkelig, virkelig seriøst, det her. Det lyder ikke godt, men vores regler på området er meget, meget klare. Når jeg taler med butiksfolk, er de ikke et sekund i tvivl om, at de skal tjekke ID.«

Samme besked lyder fra Tele­nor, hvor en enkelt butik udleverede et sim-kort mod at få oplyst navn og adresse.

»Vores procedure er, at vi altid skal se billed-ID ved sim-skifte. At det ikke er sket i dette tilfælde, er en alvorlig fejl,« skriver kommunikationschef i Telenor Lise Kirkegaard i en mail til Ingeniøren, efter selskabet har afvist at stille op til interview om sagen.

Men når selskaberne peger på deres procedurer, er det ikke nødvendigvis nok, vurderer Jacob Herbst:

»Al erfaring viser, at man ikke kan stole på, at en procedure bliver overholdt af den enkelte med­arbejder. Som teleselskab burde man have et system, der støtter op om proceduren ved for eksempel at bede om kørekortnummer.«

Telia udleverede under stikprøven flere gange ikke-aktiverede sim-kort, der kunne aktiveres telefonisk med offerets CPR-nummer. Men heller ikke denne metode er tilstrækkelig, erkender Telia.

»Jeg synes i det hele taget, jeres resultater er bekymrende,« siger udviklingschef Frederik Hviid og tilføjer, at selskabet nu vil stramme op, så det kræver flere informationer at få aktiveret et sim-kort telefonisk.

Se den korte demonstration af vejen fra stjålet simkort til mailindbakke, der kan åbne op for alvorlige svindel- og privacyproblemer herunder:

Remote video URL

Video: Mads Lorenzen

Artiklen stammer fra denne uges udgave af avisen Ingeniøren.

12 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
12
30. august 2019 kl. 15:30

At banker, kreditkortselskaber (og Politiet) siden har hængt andet op på telefonen, behøver ikke nødvendigvis at være telefonselskabets problem.

Ikke nødvendigvis, men det burde være et vink med en vognstang til politiet et al, at det er pivhamrende forkert at benytte teledata til noget der bare lugter af bevisførelse.

Og så kunne det måske være rigtig interessant med en debat om hvordan vil får flyttet telefoni ind i det 21' århundrede, nemlig ved at teleselskaberne erkender at deres tid som formidler af samtaler mellem to 8 cifrede numre er passe.

I stedet skal de vedkende sig den nye virkelighed, nemlig at al tale bør foregå over IP (det er også nemmere at huske et navn end et telefonnummer), og de så udelukkende skal levere datakort - bevares sikkerhed skal så lægges på datalaget, men det vil gøre løsningen meget mere universelt brugbar, omend det vil gøre det sværere for politiet at indsamle store mængder samtaledata (ulovligt), hvilket jeg kun vil græde tørre tårer over.

11
30. august 2019 kl. 15:20

Så vidt jeg ved, så behøver det ikke nødvendigvis at være et problem, at få udleveret et SIM kort, uden visning af ID.

Et SIM kort er ikke som standard registeret til et specifik telefonnummer - det bliver det først, når det bliver aktiveret - og dette behøver ikke at ske i den omhandlede tele butik* (ingen navne nævnt, da det er samme set op for alle)* - det gøres fx. når man kommer hjem.

Det var det jeg var igennem da jeg fik nyt SIM kort for et lille halvt års siden - jeg gik blot ind i en 3 butik, og fik et SIM kort med uden nogen spørgsmål til mit telefonnummer eller et ID - men jeg kunne så heller ikke benytte kortet før jeg aktivt havde aktiveret det, til tilhørende mit telefonnummer via 3's hjemmeside (kunde profil).

Men hvis den enkelte tele butik, "som en service" allerede i butikken registerer SIM kortet til et telefonnummer, uden at sikre sig at det også er kundens telefonnummer - ja, så er det et problem.

10
30. august 2019 kl. 14:27

Uden at vide meget om det lyder det jo til at være et kæmpe hul i hvordan den slags fungerer. I hvert fald når det kan bruges til ting som 2-faktor eller diverse betaling.

Det er vel kernespørgsmålet. Validering af SIM-kort handler egentlig om hvem, som hænger på regningen for brugen af telefonen. At banker, kreditkortselskaber (og Politiet) siden har hængt andet op på telefonen, behøver ikke nødvendigvis at være telefonselskabets problem.

8
30. august 2019 kl. 14:02

Kan du se hvilken adresse de bruger? For ellers er et muligt angreb vel at sende en masse mails med adresseændring til samme adresse og så vente til en af deres kunder bestiller nyt kort.

7
30. august 2019 kl. 13:30

lignende tests af mindre teleselskaber

Mit lavprisselskabs administrationsside ("Min side") tilbyder nyt kort for 50 kr. Mht. modtageradressen skriver de: "Hvis du er flyttet adresse, skal du sende din nye adresse til kundeservice på e-mail: support@xxxxxxx.dk og vi opdaterer dine oplysninger"

Det er da interessant om de verificerer min flytning på nogen måde eller alle kan skrive mail i mit navn og at jeg er flyttet og så bestille nyt kort - blot hvis de skaffer sig adgang til telefonselskabets "Min side"...

6
30. august 2019 kl. 13:22

Det bør være sådan, at hvis man mister et sim-kort, så kan man kun få et nyt ved f.eks. at logge ind på sin konto hos selskabet, og så skal kortet sendes til en.

Har du prøvet at være uden kontakt med omverdenen i 10 dage fordi et erstatningskort ikke kom frem med posten? Det var lidt rystende at jeg var blevet så afhængig af at kunne kommunikere. Og Murphys lov siger jo at sådanne ting sker lige inden man skal til udlandet og har brug for at kunne koordinere afhentning med dem man skal besøge. Da var det rart til sidst at kunne smutte forbi en butik og få et nyt. Så vidt jeg husker ville de se kørekort.

Men det er da bekymrende at høre, at det åbenbart er så let at "overtage" mit telefonnummer/sim-kort.

5
30. august 2019 kl. 12:27

I telebutikken - navn, adresse, CPR-nummer er information - ikke autentifikation. Alle disse informationer kan findes på enkel vis. Men hvor meget registrering vil vi som borgere acceptere? At der bliver lavet billede og fingeraftryk, når vi skal købe et SIM-kort?

Der er da noget fløjtende galt, hvis man bare kan troppe op i en telebutik, og få udleveret et sim-kort, udelukkende ud fra angivne oplysninger.

For så må en vilkårlig telebutik altså være i stand til at producere et sim-kort på stedet, uden bagvedliggende kontrol - hvordan sikrer man sig så mod brodne kar i selve butikken (rockerens "fætter" der arbejder der)?

Især er det rigtig skræmmende at det er så let, når politi og anklagemyndighed jo sætter lighedstegn mellem en person og en telefon, og tillægger teledata alt for megen betydning.

Det bør være sådan, at hvis man mister et sim-kort, så kan man kun få et nyt ved f.eks. at logge ind på sin konto hos selskabet, og så skal kortet sendes til en.

Det fjerner ikke 100% risikoen for svindel, hvis ens brevkasse bliver misbrugt rent fysisk, men det er så samme problematik fsva. NemID - det vil dog reducere risikoen for misbrug voldsomt.

At det så tager nogle dage må man leve med - alting skal ikke altid nødvendigvis gå så stærkt.

4
30. august 2019 kl. 12:27

Jeg synes at det her er meget alvorligt. Kunne i fra redaktionens side gøre op med lignende tests af mindre teleselskaber?

Mvh. Michael.

3
30. august 2019 kl. 12:03

Det er godt nok sørgeligt - hele vejen rundt!

I telebutikken - navn, adresse, CPR-nummer er information - ikke autentifikation. Alle disse informationer kan findes på enkel vis. Men hvor meget registrering vil vi som borgere acceptere? At der bliver lavet billede og fingeraftryk, når vi skal købe et SIM-kort?

I mail-programmer og adgang til sociale medier - et telefonnummer er blot en information - ikke et bevis på, at du er den, du påstår, du er. Og det er frygteligt almindeligt, at de sender en sms med en kode, når man har glemt sit password.

Men det er da svært! Når man med kreditkort bruger telefonen som del af tofaktor-autentificering baserer det sig jo netop på, at den rette ejer har sin telefon. Og det har man jo ikke, hvis nummeret er flyttet over i en anden telefon.

Så måske er det gamle NemIDs papkort ikke så ringe en løsning alligevel?

2
30. august 2019 kl. 12:00

Et problem er jo selvfølgelig at man kan gå ind i en butik og være heldig med ikke at blive spurgt om id.

Men er der overhovedet nogen sikring for at ansatte ikke kan gøre det samme?

Uden at vide meget om det lyder det jo til at være et kæmpe hul i hvordan den slags fungerer. I hvert fald når det kan bruges til ting som 2-faktor eller diverse betaling.

1
30. august 2019 kl. 09:26

VISA har indført 2-faktor-godkendelse så man både skal have VISA-kortnummer (+kontrolcifre) og nu også modtage en godkendelses-SMS.

Med et kapret telefonnummer kan svindlere altså omgå den tofaktor-godkendelse og handle løs indtil VISA-kortet bliver spæret.

Man kan også remote-installere apps fra Googles Play Store med den kaprede Google-konto som videoen overtager. Så hvis man har fået lusket et spion-program ind i Google Play (kræver ikke godkendelse) så kan man altså også fortsætte med at have overtaget mobiltelefon og tablet efter at VISA-kort og SIM-kortet er spæret.