Svindlerens drøm: Danske telebutikker udleverer sim-kort til dit nummer – helt uden at se ID
more_vert
close

Få de daglige nyheder fra Version2 og Ingeniøren. Læs mere om nyhedsbrevene her.

close
Ved at tilmelde dig accepterer du vores Brugerbetingelser, og du accepterer, at Teknologiens Mediehus og IDA-gruppen lejlighedsvis kan kontakte dig om arrangementer, analyser, nyheder, job og tilbud m.m. via telefon og e-mail. I nyhedsbreve, e-mails fra Teknologiens Mediehus kan der forefindes markedsføring fra samarbejdspartnere.

Svindlerens drøm: Danske telebutikker udleverer sim-kort til dit nummer – helt uden at se ID

Illustration: Mads Lorenzen

Helt uden at kræve ID udleverer adskillige telebutikker et nyt sim-kort til dit telefonnummer til alle, der beder om det. Enkelte beder end ikke om dit navn, før de overdrager dit telefonnummer – og dermed din mailkonto og adgang til blandt andet sociale medier – til komplet fremmede.

Det viser en stikprøveundersøgelse, Ingeniøren har foretaget i københavnske butikker fra de fire store teleselskaber Yousee, Telia, Telenor og 3.

Særligt 3 skiller sig ud ved i flere tilfælde end ikke at spørge om navn eller forsøge at bede om ID. Modsat var det for Ingeniøren umuligt at få udleveret sim-kort fra Yousee uden at vise billed-ID. Hos Telia var det i flere tilfælde muligt at få et aktivt sim-kort, hvis du kunne offerets CPR-nummer, mens en Telenor-­butik udleverede et sim-kort mod at få oplyst offerets navn og adresse.

Sårbarheden hos teleselskaberne er tidligere primært kendt fra udlandet, hvor angrebet kaldes sim-swapping. Angrebet er ikke blot kritisk, fordi enhver kan sende og modtage sms’er og opkald på dine vegne med dit sim-kort i hånden.

Telefonnummeret bliver også i stigende grad brugt som nøglen til dit digitale liv, i takt med at stadigt flere onlinetjenester bliver sikret med to-faktor-autentifikation og alternative kontaktmuligheder. I Ingeniørens egen test betød det, at mailboks, Tinder, Facebook og alverdens personlige oplysninger var i angriberens hænder allerede ti minutter efter han fik simkortet i hånden.

»Det her er eddermame rystende og skræmmende, både it- og samfundsmæssigt. Jeg ville forvente, at der blev passet meget bedre på vores telefonnumre,« siger Jacob Herbst, medstifter af it-sikkerhedsfirmaet Dubex, og han bakkes op af it-sikkerhedsspecialist hos Trend Micro Jesper Mikkelsen:

»Der er rigtig mange online­accounts, der er bundet op på telefonen. Hvis du først har sim-kortet, kan du benytte det til at nulstille og overtage andre konti. Det er både alarmerende og problemfyldt.«

Ulovlig praksis

Ifølge professor i teleret ved Copenhagen Business School Søren Sandfeld Jakobsen er det tilmed ulovligt, når teleselskaberne i Ingeniørens stikprøve udleverer sim-kort.

»Jeg mener, det er i strid med flere forskellige regler og dermed ulovligt. Alene ved at udlevere et sim-kort uden nogen form for kontrol er der sket et brud på persondatasikkerheden.«

Derudover er loven om net- og informationssikkerhed også brudt, når sim-kortet udleveres til de forkerte, vurderer han.

Hos 3, hvor to butikker har udleveret sim-kort til Ingeniøren uden at bede om ID, mener direktør for privatmarkedet David Elsass, at selskabets procedurer burde umuliggøre den slags angreb:

»Jeg tager det virkelig, virkelig seriøst, det her. Det lyder ikke godt, men vores regler på området er meget, meget klare. Når jeg taler med butiksfolk, er de ikke et sekund i tvivl om, at de skal tjekke ID.«

Samme besked lyder fra Tele­nor, hvor en enkelt butik udleverede et sim-kort mod at få oplyst navn og adresse.

»Vores procedure er, at vi altid skal se billed-ID ved sim-skifte. At det ikke er sket i dette tilfælde, er en alvorlig fejl,« skriver kommunikationschef i Telenor Lise Kirkegaard i en mail til Ingeniøren, efter selskabet har afvist at stille op til interview om sagen.

Procedurer er ikke nok

Men når selskaberne peger på deres procedurer, er det ikke nødvendigvis nok, vurderer Jacob Herbst:

»Al erfaring viser, at man ikke kan stole på, at en procedure bliver overholdt af den enkelte med­arbejder. Som teleselskab burde man have et system, der støtter op om proceduren ved for eksempel at bede om kørekortnummer.«

Telia udleverede under stikprøven flere gange ikke-aktiverede sim-kort, der kunne aktiveres telefonisk med offerets CPR-nummer. Men heller ikke denne metode er tilstrækkelig, erkender Telia.

»Jeg synes i det hele taget, jeres resultater er bekymrende,« siger udviklingschef Frederik Hviid og tilføjer, at selskabet nu vil stramme op, så det kræver flere informationer at få aktiveret et sim-kort telefonisk.

Se den korte demonstration af vejen fra simkort til mailindbakke, der kan åbne op for alvorlige svindel- og privacyproblemer herunder:

Video: Mads Lorenzen

sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

Hej Niels

Hvis du glemmer dit password tilbyder f.eks. Google at sende dig et nyt på sms. Så kan du komme ind helt uden om kode og to-faktor-løsning. Vi uddyber hvor langt man kan nå i en artikel her til formiddag.

Mvh Christian, Ingeniøren

  • 10
  • 0

Jeg benytter så vidt mulig en 2FA app, men mange (password reset) services er bundet op på et telefonnummer. Hvis vi ikke kan stole på den sikkerhed er det helt galt!
Troede slet ikke det var et problem, så tak for checket!
Håber at alle telefirmaer øjeblikkelig får rettet op på proceduren - men det viser desværre at det ikke er nok.

  • 3
  • 2

.. optræder denne artikel både på ing.dk og V2?

Er det ikke nok med et debatspor, eller giver det flere clicks?

  • 3
  • 1

Min mobiludbyder har heldigvis ikke nogen fysiske butikker, og bestilling af nyt SIM-kort kan kun ske via deres hjemmesides afdeling som kun er tilgængelig med login.

  • 0
  • 0

esim

esim "is soldered to a circuit board as part of the manufacturing process"

Jeg anvender to telefoner, hvor jeg flytter simkort mellem de to.
Hvordan gør jeg det med esim? lodder ud og ind?

esim lyder som en fin ide for producenter af mobiltelefoner: Køb 2, betal for 2.

  • 1
  • 0

Hej John

Esim begrænser ikke din telefon til et nummer, der kan være rigtig mange numre på samme telefon, og du vil kunne slå dem fra og til du vil bruge,

Samtidigt vil du kunne have det samme nummer på andre telefoner, altså ligesom med datasimkort i dag, så vil du kunne dele nummeret.

Det smarte er jo at det kan programmeres, så du netop ikke er afhængig af et stykke hardware.

  • 0
  • 0

Hej Per

Det afhænger - såvidt jeg forstår - af af koordinering mellem de enkelte telefonselskaber og telefonproducenter. 3 har taget det i brug i Danmark, men kun på få telefonmodeller. Flere andre har lovet at følge efter, men datoerne bliver konstant udskudt.

Flere selskaber har til gengæld taget det i brug på smartwatches, som ikke har plads til et gammeldags simkort.

MEN når det er sagt, så eksisterer dette problem også på e-sim. Når du skal have et nyt e-sim udleveret hos 3 får du et papkort med en QR-kode telefonen skal læse, en pinkode og en pukkode. Nogle af de simkort vi har fået udleveret hos 3 uden ID er e-sim.

Mvh Christian, Ingeniøren

  • 2
  • 0

Samtidigt vil du kunne have det samme nummer på andre telefoner, altså ligesom med datasimkort i dag, så vil du kunne dele nummeret.


Så vidt jeg ved kan du ikke have to sim kort til samme abonnoment. Hos nogle få udbydere, kan du købe op til et antal ekstra kort per måned, men de tilbyder det ikke på alle abonnomenter. Hos Telia kan du få op til 6, men de koster 119 kr. per måned per sim kort, og 149 kr. per måned per styk, hvis der skal være EU data dækning. Det kan dog være meget smart for virksomheder, da de derved kan få fri data, og fri tale til 6 medarbejdere, for en attraktiv pris i Danmark, Norden, og Baltikum, hvis de deler et abonnoment med gratis tale og data. Men, det er en pebret pris, for at have to telefoner, når man kunne skifte simkort i stedet for at betale 119 ekstra om måneden.

  • 0
  • 0
Bidrag med din viden – log ind og deltag i debatten