To amerikanere anholdt for at stjæle 3,5 millioner kroner med sim-swap

Illustration: Metelev Andrei | Bigstock
Der er gode penge at hente for kriminelle, hvis det lykkes dem at stjæle kontrollen over andres telefonnumre. Det vidner en ny sag fra USA om. Version2 har flere gange bevist, at denne type angreb er nemme at udføre i Danmark.

Det amerikanske justitsministerium har annonceret, at man over den næste tid vil rejse tiltale mod to formodede svindlere, der via sim-swapping har snydt amerikanere for op mod 16,5 millioner kroner, hovedsagelig gennem bitcoin-tyverier.

Læs også: Svindlerens drøm: Danske telebutikker udleverer sim-kort til eksisterende numre - helt uden at se ID

Som et led i den indsats er to mænd nu blevet arresteret for at have svindlet 10 ofre for 3,5 millioner kroner i bitcoins samt for at have overtaget ofrenes sociale konti som Facebook, Twitter og Instagram.

Især konti med gode brugernavne var i høj kurs hos de kriminelle. Det skriver The Hacker News.

Version2 har ad flere omgange beskrevet, hvor nemt det er at udføre sim-swapping.

Man kan blot gå ind i en dansk telebutik og bede pænt om et nyt sim-kort til en andens nummer.

Herefter kan man på ti minutter få adgang til offerets e-mail og alt, der er tilknyttet offerets mailadresse.

Læs også: Tele-svigtet fortsætter: Efter tre uger kan du stadig få andres sim-kort på dit glatte ansigt

Ingen garanti for dansk sikring

Det er uvist, om problemet er løst i dansk kontekst, for teleselskaberne har ikke i én eneste opfølgende stikprøve vist, at de konsekvent overholder loven ved at kræve den fornødne ID.

Læs også: Pladask: Yousee falder i og udleverer aktivt sim-kort uden at se ID

De danske teleselskaber overvejer helt at stoppe med at udlevere sim-kort i butikkerne, netop fordi svindlen er for omfattende.

Samtidig afviser erhvervsminster Simon Kollerup (S) at gå ind i sagen, selvom han finder den manglende sikkerhed omkring de danske sim-kort 'dybt beklagelig'.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jonas Iversen

Problemet er ikke at teleselskaber evt. fejlagtigt udleverer simkort, problemet er at organisationer og virksomheder anser simkort indentifikation som sikker, det er hér problemet ligger!
Uanset hvad, så må ens identitet ikke være i hænderne på en 3.part som f.eks. et teleselskab. Selvom der, rent hypertetisk, aldrig mere ville blive fejlagtigt udleveret et SIM kort, så vil selve teleselskabet (og især dets medarbejder, det er faktisk set IRL) have fuld rådighed over din identitet.
Version2, det ville være super hvis I begyndte at medtage denne vinkel i jeres artikler, det er virkelig vigtigt. Måske en beslutningtager et sted læser med, og det er vigtigt de forstår denne sammenhæng ;-)

  • 5
  • 1
Jan Heisterberg

Vil du uddybe dit indlæg - altså med en teknisk beskrivelse, ikke et polemisk indlæg om "big brother" og alt det der.

Læsere her har sikkert forstået hvordan et fejlagtigt udleveret simkort kan bruges - og læst om nogle modforholdsregler.

Hvad / hvordan mener du en svigagtig medsarbejder hos et teleselskab kan svindle ?

  • 0
  • 0
Christian P. Broe Petersen

Hvad / hvordan mener du en svigagtig medsarbejder hos et teleselskab kan svindle ?

Det kan han jo fordi han jo netop kan generere et nyt simkort eller måske endda bare læse personens SMS'er. SMS'erne er jo ikke end to end krypteret. Da mange firmaer bruger SMS som den sidste ultimative sikkerhed, så vil man kunne få resat sit password ved at få tilsendt en SMS. Hvis de så kan snuppe den, så kan de hurtigt få lavet ravage.

  • 2
  • 0
Jan Heisterberg

Det har jeg forstået, men det forudsætter vist en lidt mere indviklet kæde end blot udlevering i en butik ?

Hvis jeg sammenligner med andre processer, som også på overfladen er usikre, så må de vel erfaringsmæssigt være "sikre nok". For eksempel postforsendelse af pas, kørekort, NemId og naturligvis SIM kort.
Min finger peger ikke på postsystemet, men nævnte ender dog i en ikke særlig sikker placering postkasse / postkasseanlæg. Her er det så antal og tilfældighed som er den beskyttende faktor. (= Fugle i flok).

Nogle af de nævnte er særligt udsatte fordi modtageren ikke ved hvornår modtagelse vil ske. 3-5-7-13 dage ?
Så længe vil en lukket mobiltelefon, som resultat af "nyt simkort", nok ikke gå upåagtet hen.

I eksemplet med tele-medarbejderen skal der kunne bestilles nyt simkort (det MÅ være sporbart), sendes til egne adresse (forhåbentlig kan det KUN være den registrerede adresse og ikke en "ny" (svarende til indringning med ny adresse)) som benyttes.

Men jeg medgiver, at dårlige systemer, eller almindelig sløseri, hos teleudbyderne KAN være endnu et svagt led i kæden.
Jeg håber de læser dette og gennemtænker processen - ud fra princippet om "adskillelse af opgaver" som er hævdvunden praksis (alle andre steder en en vis styrelse vi hører meget om).

Men spørgsmålet til simkort-udstederne er så:
- hvilken adskillelse har I indført for at sikre kunderne ?

  • 1
  • 0
Jonas Iversen

Der var netop en sag i offentligheden indenfor den sidste måned, hvor netop en medarbejder var blevet betalt af nogen IT kriminelle for at lave et nyt sim-kort! Det var ikke i Danmark, men det er egentlig irrelevant.
Hvis en tilfældig medarbejder i en telebutik har beføjelser til dette, så er der nok rigtig mange medarbejdere som har. Men bare én er jo én for mange. Der er INGEN som må kunne udgive sig for at være dig! Så igen, det er ikke dér problemet ligger.
Microsoft login bruger også sim-kort identifikation (alias SMS), men KUN i samspild med email.
Man kan lave en analogi til CPR nummer-problematikken. Det største problem er ikke at CPR numre ofentliggøres, problemet er dém (organisationer, myndigheder og virksomheder), som anser CPR numre for hemmelige og sikre, og derfor bruger dem som sikker identifikation, f.eks. når det bliver oplyst af en kunde/borger. Og ny kører vi gudhjælpende en runde mere, bare med simkort. Ret kritikken mod dem som bruger SMS alena, som sikke indentifikation, ikke teleselskaberne (jo jo, de skal selvfølgelig ikke bare kaste rundt med deres SIM kort), men det vil ALDRIG blive sikkert og bruger SMS/SIM-KORT, så man kan lige så godt lade være med at bruge det (i hvert fald ikke alene)

  • 1
  • 0
Jan Heisterberg

Det teoretisk klart, at det er en fejlagtig opfattelse / anvendelse, når et CPR-nummer anvendes som sikker identifikation.

Mig bekendt er mantraet, at sikker login kan hvile på noget man har (kan være et NemId-kort eller vel sim-kort), og noget man ved (kodeord).
Det bygger vel på sandsynligheden for at kompromitere begge er lille.
Det løser ikke hjemme-røveriproblemet, hvor det man har tages OG det man ved "trues" frem.

Den største sikkerhedsrisiko er sikkert kodeord som er simple, systematiske, nedskrevet, korte, intuitive eller lignende. Og det er der vel ingen løsning på ?

Som jeg skrev, så har alle involverede virksomheder et ansvar for adskillelse af opgaver og logning. Hertil kan tilføjes tilfældig jobroration, som kan være et ansættelsesvilkår. Som de kendte historier om spioner viser, så løser det en del af problemet.

De involverede personer har alle et medansvar for at følge anbefalinger og spilleregler - og også leve med at ting bliver besværlige i sikkerhedens navn. Det er ogå besværligt at bruge en husnøgle, at lukke vinduerne, at tænde en lampe og meget andet - som forebygger.

Det vi måske savner er offentliggørelse af eksempler på sikkerhedsbrud som skyldes xxxxxx. "
Borger nnnn er frarøvet kr.x, hvilket var muligt fordi yyyyyyyy".
I øjeblikket, bortset fra de to spetakulære sager, så ved vi vel ikke hvor ofte og hvorfor der sker svindel og "indbrud" ?

Så længe sagens genstand er penge, så er det jo - til en vis grænse - "bare" penge. Værre er det med dybe personlige oplysninger, hvis deling eller offentliggørelse reelt er uerstattelig (= ingen kompensation eller straf kan omgøre / erstatte tabet, smerten, ubehaget, ......).

  • 0
  • 0
Log ind eller Opret konto for at kommentere