Telia lurades att kapa SMS – PTS utreder

Surfa kan nu avslöja att Telia vid upprepade tillfällen på kort tid blivit lurade att kapa flera kunders telefonnummer. Både SMS och telefonsamtal har omdirigerats för att skickas till någon annan än ägarna av abonnemangen. Telia svarar inte på frågor om fallen och nu utreder Post- och Telestyrelsen fallen för att få svar på hur felen kunnat uppstå.

Två kapningar på kort tid

Efter flera liknande incidenter i USA har några av de första kända fallen av SIM-kortskapning rapporterats i Sverige. I oktober skickade Telia två så kallade Incidentrapporter till Post- och Telestyrelsen, den myndighet som ansvarar för att reglera telemarknaden i Sverige. I rapporterna berättar teleoperatören om två nästan identiska fall av SIM-kortskapning som skedde i oktober detta året. Vid båda tillfällena har kundtjänst mottagit samtal från en person som bett Telia flytta specifika telefonnummer till nya SIM-kort. Flytten har genomförts utan att Telia först sett till att det faktiskt var telefonnumrets ägare som ringde. Telia har alltså vid upprepade tillfällen lurats så att kunders telefonnummer flyttats till fel SIM-kort.

Sociala medier-konton kan kapas med SMS

Det är oklart exakt varför kapningarna har skett eller vad personen gjort med telefonnumrena. SMS används dock av många webbtjänster som ett sätt för att bekräfta en persons identitet. SMS används bland annat av många tjänster som ett säkerhetssteg vid inloggning. Genom att ringa en teleoperatör och flytta ett telefonnummer till ett annat SIM-kort kan en attackerare använda telefonnumret för att ta emot verifieringskoder som kan ge dem tillgång till viktiga konton.

I vissa fall kan SMS och samtal till och med användas för att helt återställa lösenord för vissa konton. Sociala medier så som Twitter och Facebook tillåter till exempel återställning av lösenord med ett telefonnummer som enda medel. Ett SMS skickas då till telefonnumret med instruktioner om hur lösenordet ska återställas. En attackerare som tagit över telefonnumret kan då också ta över vissa konton som är kopplade till numret.

Rapporter saknar viktiga detaljer

I rapporterna till Post- och Telestyrelsen har Telia inte skrivit med information som vanligen måste inkluderas i incidentrapporter till myndigheten. Företaget har bland annat inte rapporterat vilka datum kapningarna har skett och rapporterna beskriver inte heller de risker som händelserna kan innebära för de påverkade kunderna. Detta har fått Post- och Telestyrelsen att reagera. Myndigheten har beslutat att inleda tillsyn mot Telia. Företaget har nu till den 14 december på sig att svara på myndigheternas frågor.

Telia upptäckte inte felen

Post- och Telestyrelsen misstänker brister i Telias säkerhetsarbete. Myndigheten påpekar bland annat att Telia inte bara felaktigt aktiverat telefonnummer på fel SIM-kort. Teleoperatören har inte ens själv upptäckt felen. I båda fallen har de kapade SIM-korten upptäckts först efter att de påverkade kunderna ringt kundtjänst för att klaga på att deras telefonnummer plötsligt slutat fungera.

Surfa har pratat med Telia för att få svar på frågor angående händelserna och ge Telia möjlighet att kommentera. Telia har valt att inte svara på frågorna och menar att de kommer att besvaras i ett brev till Post- och Telestyrelsen. Telia har alltså fortfarande inga svar till allmänheten om hur SIM-kortskapningarna varit möjliga och om det finns rutiner för att skydda kunder.

Läs Surfas gräv om Comviqs hemliga nummer-skandal:

Comviq läckte hemliga nummer i mer än två månader

På Surfa.se jobbar vi utifrån konsumentjournalistiska principer för att ta reda på sanningen. Vi skriver utförliga artiklar och tester och tummar inte på kvalitet eller opartiskhet. Läs mer om hur vi jobbar för god journalistik här.

Rekommendationer från Svenska Smartphoneguiden

Bäst under 8 000 kronor Google Pixel 7 Lägsta pris

Bästa lilla telefonen Sony Xperia 5 IV Lägsta pris

Bäst under 5 000 kronor Xiaomi Redmi Note 12 Pro Lägsta pris