11/07-11   -   Pressemeddelelse

Sikkerhed og voicemail - barnemad at aflytte andres beskeder

Sikkerheden bag voicemail systemet til såvel fastnet som mobiltelefoner er hos flere danske teleudbydere utilstrækkelig og åbner mulighed for systematisk aflytning bl.a. igennem såkaldte "caller-id spoofing" services (A-nummer forfalskning). Det åbner for udspionering og aflytning, viderestilling af opkald og videresendelse af indtalte beskeder, ændring af PIN koder osv osv.

Den populære Engelske tabloidavis "News of the World" har anvendt forskellige kreative teknikker til bl.a. at aflytte kendissers voicemails. De har derved kunnet opsnuse forskellige saftige historier, som systematisk er blevet bragt i avisen. Skandalen har i løbet af den forgangne uge vokset i omfang og i fredags besluttede ejerne at lukke avisen. Den sidste udgave udkommer i dag, søndag.

Hvad er Voicemail?
Voicemail er din indbyggede telefonsvarer, der automatisk tager imod talebeskeder, når du ikke besvarer opkaldet. Voicemail er en moderne telefonsvarer med en række avancerede funktioner. Den mest benyttede er naturligvis at aflytte indtalte beskeder.

Flere teleudbydere - også herhjemme i Danmark - anvender et centralt nummer man ringer ind til via sin mobil eller fastnet telefon, og som baseret på dit opkaldsnummer, placerer dig i den relevante voicemail mappe. Kendes dit nummer ikke vil en venlig stemme anmode dig om at angive nummer og den tilknyttede PIN kode. Hvis din voicemail ikke er PIN beskyttet eller anvender en standardkode som f.eks. 1234, er den eneste validering mod aflytning af din voicemail, det nummer som opkaldet kommer fra, og det kan desværre "spoofes"/forfalskes igennem forskellige tjenester. Det kan give en person mulighed for at aflytte din telefonsvarer og endda gennemføre ændringer i opsætningen.

CSIS har testet diverse såkaldte "caller-ID spoofing services" og teknikker og flere store danske teleudbydere vil rent faktisk tilsidesætte PIN kode sikringen til fordel for caller-id/A-numret numret. Det betyder at tusindvis af danske voicemails kan tilgås uden at kende PIN koden, eller for den sags skyld opgive en PIN kode.

En anden måde er at ringe til ofrets voicemail central/teleoperatør fra et vilkårlig fastnet eller mobil telefon. Her forventes det så at man kender eller kan gætte PIN koden. En meget stor del af fastnet og mobilnumre anvender standardkoder.

Flere teleudbydere tillader også, at man via Internettet kan konfigurere sin voicemail til at videresende beskeder som almindelige e-mails. Selv sagt åbner denne funktion også risiko for misbrug, hvis der ikke er valgt en tilknyttet PIN kode eller hvis PIN koden er nem at gætte.

Anbefalinger
CSIS anbefaler, at man aktiverer den personlig PIN på sin voicemail. Det kan ske ved at ringe ind til det nummer man normalt bruger til at aflytte telefon beskeder. Gå til hovedmenuen i voicemailen og følg anvisningerne. Men hvis du ikke bliver bedt om PIN kode, når du ringer fra din telefon til din voicemail selv efter du har aktiveret en PIN kode, så er det på nuværende tidspunkt ikke muligt at beskytte sig mod denne form for aflytning, andet end at slå sin voicemail helt fra, indtil teleudbyderen får lavet en mere sikker løsning.

Generelt er det også vores anbefaling at man løbende rydder op i sine voicemails - indforstået, at de slettes når de er aflyttet, så risikoen for eventuelt misbrug/aflytning begrænses til et minimum.

Relevant information

https://www.csis.dk/da/csis/news/3275/