För två veckor sen avslöjade Surfa att Telia har lurats vid två tillfällen att kapa kunders telefonnummer. Någon har ringt in till Telias kundtjänst och lurat teleoperatören att flytta telefonnummer till SIM-kort som inte ägs av numrets sanna ägare. I sina rapporter om händelserna som Telia skickade till Post- och telestyrelsen uteslöt teleoperatören information som vanligen måste skickas till myndigheten. PTS påbörjade då en tillsyn och bad Telia beskriva mer i detalj vad som hänt och vad teleoperatören gör för att lösa problemen. Nu har de svarat.
Telia-butiker blir enda valet
I brevet som Surfa tagit del av och som skickades till PTS i går, berättar Telia att rutinerna för att aktivera SIM-kort har förändrats. För att teleoperatören ska kunna skydda sig mot personer som försöker lura kundtjänst via telefon, måste nu alla kunder ta sig till en fysisk Telia-butik och visa upp legitimation för att aktivera ett SIM-kort. Det går alltså inte längre att lösa problem som kräver aktivering av ett SIM-kort via telefon. Detta sägs skydda konsumenters säkerhet. Det gör det dock betydligt svårare för ärliga personer att snabbt fixa strulande SIM-kort och telefonnummer.
Trots att PTS begärde svar från Telia den 14 december, kom svaret till myndigheten först dagen efter. Det försenade brevet innehåller ytterst få detaljer. Trots att PTS ber om ”utförliga” svar, ger Telia bara PTS svar i form av en mening. Teleoperatören skriver inget om hur kunder som känner sig osäkra kan skydda sig. Utöver legitimationskontroll har Telia inget svar på hur kunder aktivt kan skydda sina telefonnummer mot attack.
Möjlig lösning finns – erbjuds inte
Telia erbjuder alltså ingen extra säkerhetsåtgärd för att skydda kunders telefonnummer. På andra sidan Atlanten verkar det dock finnas en lösning på problemet. I en artikel skriven av Lorrie Cranor, FTC Chief Technologist, som alltså jobbar för den amerikanska motsvarigheten till svenska PTS, beskrevs i somras de system som används av amerikanska teleoperatörer för att skydda kunders telefonnummer. Cranor skriver att alla stora amerikanska teleoperatörer erbjuder kunder möjlighet att skydda sitt konto med ett lösenord. Det betyder att en person som vill göra en ändring i sitt konto, måste ange ett lösenord för att göra en förändring.
Surfa har vid upprepade tillfällen försökt få ett svar från Telia om hur kunder kan skydda sig mot en attack men teleoperatören är tyst. I ett epost-meddelande som skickades till redaktionen under dagen hänvisar Telia till brevet som skickades till PTS, där det inte nämns något om hur kunder kan skydda sig.
300 km för strulande nummer
Telias ”lösning” på problemet kan bli oerhört opraktisk för många ärliga kunder. Personer som bor i glesbygden kan få det extra svårt. En person som bor i Idre och som får problem med sin telefon kan till exempel tvingas resa långt. Teleoperatören påstår att aktivering av SIM-kort endast kan göras i Telia-butiker. En kund som stöter på problem kan därför behöva resa 300 kilometer till Hudiksvall, en resa som tar nästan fyra timmar med bil, för att lösa problem som kräver aktivering av ett SIM-kort.
När vi frågar Telia vad kunder aktivt kan göra för att skydda sig mot en attack är teleoperatören fortsatt tyst. Telias pressansvarige hänvisar till det brev som skickades till PTS där det enda svaret är att legitimation krävs för att aktivera SIM-kort i en Telia-butik. Kunder som känner sig utsatta verkar alltså inte ha någon annan möjlighet att aktivt skydda sig.
Kan få svåra konsekvenser
Kapade telefonnummer är oftast inte ett hot mot vem som helst. Attacker mot telefonnummer är oftast riktade mot enskilda personer. När ett telefonnummer har kapats kan det användas för att ta emot SMS och samtal från automatiserade system. Detta kan ge en attackerare tillgång till epost-konton, sociala medier-konton och andra system. Telefonnummer agerar alltså som en typ av legitimation eller verifiering av en persons identitet. Endast ett kapat telefonnummer kan därför få allvarliga konsekvenser för individuella personer, företag och organisationer.
Källa: FTC