Digitaliseringsstyrelsen: Derfor må Skat alligevel godt linke i mails

Selvom Skat udsender mails til borgere med direkte links til selvbetjening hos Skat, så er det ikke et umiddelbart problem i forhold til phishing og Digitaliseringsstyrelsens regler på området, forklarer styrelsen.

For at dæmme op for phishing-angreb, der udnytter offentlige myndigheders troværdighed hos borgerne, har links i mails sendt fra Skat været diskuteret flere gange. Blandt andet her på Version2.

Som en læser for nyligt har bemærket, så sender Skat stadig links ud i mails, dog ikke direkte til en side med NemID-login, men derimod til en selvbetjenings-portal, hvor der kan klikkes videre til eksempelvis login med NemID. Og det må de godt, oplyser Digitaliseringsstyrelsen, der har udarbejdet en politik for, hvornår myndigheder må linke i mails.

Når Skat udsender en mail, som det konkret er sket for nyligt, om 'håndværkerfradrag for 2013' med et direkte link til http://www.tastselv.skat.dk/, så er det ifølge Digitaliseringsstyrelsen politik på området, ok, fordi det ikke er et link direkte til en side, hvor der skal indtastes login-oplysninger.

Men i princippet kunne en angriber godt sende en mail med et link til en side, som ligner Skats selvbetjeningsportal, og derfra narre folk videre til en side, som ligner et validt NemID-login og ad den vej få intetanende borgere til at aflevere deres login-data. Version2 har derfor spurgt Digitaliseringsstyrelsen, om styrelsen mener, det er mere sikkert at udsende mails med links til login-portaler sammenlignet med mails indeholdende links direkte til sider med NemID - som altså ikke er tilladt.

Læs også: Skat og phishing-svindlere gør det samme: Beder om dine kreditkortoplysninger

»Det er jo altid et spørgsmål om at skabe balance mellem brugervenlighed og sikkerhed, og det afspejler politikken også. Så så længe myndighederne holder sig inden for denne, som SKAT gør, så kommer vi ikke med yderligere vurderinger,« oplyser kontorchef i Digitaliseringsstyrelsen Cecile Christensen via styrelsens pressekontakt i en mail.

Derudover gør Cecile Christensen opmærksom på, at den overordnede anbefaling fra Digitaliseringsstyrelsen er, at myndigheder så vidt muligt undlader at sende uopfordrede e-mail med klikbare link.

»Da borgerne selv har tilmeldt sig servicen hos SKAT, er der i dette tilfælde ikke tale om uopfordrede e-mail.«

Hos Skat selv henviser specialkonsulent Thor Wilkens til, at mailen om 'håndværkerfradrag' følger retningslinjerne fra Digitaliseringsstyrelsen i og med at linkene ikke går direkte til den side, hvor modtageren kan indtaste loginoplysninger.

»For borgerne udgør links direkte til SKAT's løsninger generelt en betydelig service. Når årsopgørelsen er klar i Tastselv 10. marts, vil borgerne eksempelvis kunne komme fra e-mailen direkte til årsopgørelsen med to klik og et login. Servicen skal afvejes mod risikoen for phishing, men denne risiko kan aldrig helt undgås. Selv hvis SKAT lod være med at bruge links, kan 'piraterne' stadig kunne bruge dem i deres falske e-mails,« skriver Thor Wilkens fra Skat i en mail til Version2.

Læs også: It-ordfører: Indfør totalstop for links i mails fra Skat

Der er et andet element i mailen fra Skat, der muligvis kunne få phishing-alarmklokkerne til at ringe hos nogen. Når modtageren klikker på linket i mailen, skat.dk/tastselv, fører det nemlig til http://www.tastselv.skat.dk/. Altså den oplyste URL er ikke den, brugeren faktisk får vist i browseren efter at have klikket på linket i mailen. Om det skriver Skat:

»Begge sider befinder sig på domænet skat.dk - og det er altid et sikkert tegn på, at der er tale om en side fra SKAT. Brugen af forskellige URL'er til den samme side er meget udbredt. Men din læser kan have ret i, at en skiftende URL kan forvirre brugere, der er opmærksomme på falske e-mails. I de e-mails, SKAT sender ud om årsopgørelsen for 2013, vil vi ikke angive URL'en i link-teksten.«

Hvad synes du? Er det problematisk med links i mails fra Skat eller andre myndigheder?

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (29)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Nielsen

Jeg modtager adskillige e-mail rettet mod borgere, som ikke er mig - ganske simpelt fordi borgerne har oplyst en e-mail adresse som ender på et af mine domænenavne. Men jeg kan ikke afmelde, jeg kan ikke klikke "det er ikke den rigtige modtager" og "jeg" skal ikke godkende kommunikationen gennem denne e-mail adresse.

Jeg oplever at blive tilmeldt en del gennem mine domænenavne, men det er ofte nemt at komme ud af igen. Ofte skal jeg blot undlade at verificerer e-mail adressen. Men når det kommer til SKAT, må jeg opgive. Det er simpelthen ikke lykkedes mig af afmelde én eneste af de forskerte e-mail adresser.

Hvordan stiller det borgerne, når de ikke engang skal verificerer deres e-mail adresse?

Peter Reinhold

Det er jo tåbeligt, det giver ingen mening at have en "Ingen links i offentlige mails" politik, når man så laver en "Meeedmindre ..." klausul lige bagefter.

Den gængse bruger kan jo ikke sidde og vurdere om et givent link er tilladt eller ej.

Carsten Olsen

Det er fuldstændigt uforståeligt at man har en digitaliseringsstyrelse, hvor absolut ingen medarbejder aner noget-som-helst om digitalisering.

Er der overhovedet nogen af de fine DJØFer i digitaliseringsstyrelsen der er kompetente nok, til at finde ud af om de selv er kompetente? Noget kunne tyde på at det er der ingen i digitaliseringsstyrelsen der er.

Sven Waskönig

"»Det er jo altid et spørgsmål om at skabe balance mellem brugervenlighed og sikkerhed..."

Der er jeg i princippet enig med Cecilie Christensen; jeg er ikke sikker på, at man kan gøre sådan et system 100% tæt uden gå på kompromis med brugervenligheden. Men man behøver vel ikke ligefrem gøre det brugervenligt for hackerne?

Jeg synes det lugter lidt af, at man ikke lige vil bruge ressourcer på en bedre løsning, så man vælger at tilrette politikken frem for systemet.

Sune Marcher

Folk i det offentlige burde stoppe med at ryge så meget crack - og hvis argumentet er "brugervenlighed", så prøv eventuelt med en lidt nemmere navigationsstruktur (eller i det mindste forside-newsspots med relevante kampagner).

Hvis du er nødt til at sende deeplinks i en mail, er du ‪#‎brugervenlighedsfail‬

Allan Høiberg

Selv hvis SKAT lod være med at bruge links, kan 'piraterne' stadig kunne bruge dem i deres falske e-mails

Lige præcis derfor skal der INGEN links være overhovedet. Det er selvfølgelig optimistisk, men hvis alle ved at der ALDRIG er et link i en ægte mail fra offentlige myndigheder, banker og lignende, er der en lille chance for at udvikle en form for opmærksomhed på at noget kan være galt hos almindelige mennesker. Ellers ikke.

Eventuelt kunne man så aktivt tilmelde sig en jeg-ved-godt-hvad-jeg-skal-være-opmærksom-på-version af mailen hvor der er et link - så har man selv taget stilling til at man kan gennemskue det.

Seriøst, forklaringen med at man godt må linke til en side, der ikke skal logges ind på, minder mest af alt om historierne med fundamentalister, der tolker "du må ikke slå ihjel" i deres respektive hellige skrifter som "du må gerne dræbe, det er ikke det samme". Gaaaah!

Claus Pedersen

Det er da noget værre ævl.

Jeg synes det er komplet åndsvagt at man dropper links i mails fordi der er nogen der misbruger det.

Vi har mange der forsøger at phishe vores kunder med mails der ligner vores, men derfor skal vi da ikke lave elendig brugervenlighed i vores egne ting.

Vi må bekæmpe phishing med de midler der nu er (spf, dkim, dmarc) og advare hvis der er grelle cases. Men at undlade links vil da være direkte tåbeligt. Og det synes jeg også det vil være med Skat eller børneintra som der er nævnes i kommentarerne.

Der er også nogen der svindler med at sætte en falsk kortlæser på bankautomater. Skal vi så lade være med at have bankautomater.

Som IT folk har vi en sjov tendens til at tage skyklapper på i forhold til brugere når det kommer til sikkerhed.

Peter Knudsen

Hej Martin, det er du helt sikkert ikke. Vi er givetvis mange, der synes, det er praktisk med links. Forargelsen over Skats links er efter min mening noget overdreven.

Løsningen ligger netop ikke i at begrænse funktionaliteten, går man først den vej, kan man jo hurtigt få internettet reduceret til noget meget lidt brugbart.

Sune Marcher

Jeg synes det er komplet åndsvagt at man dropper links i mails fordi der er nogen der misbruger det.

Vi har mange der forsøger at phishe vores kunder med mails der ligner vores, men derfor skal vi da ikke lave elendig brugervenlighed i vores egne ting.


Der er forskel på om din målgruppe er (mere eller mindre) IT-kyndige, eller du sender information ud til folk der ikke ville studse over at afsenderadressen er @skát.nu - til sidstnævnte er det en fordel med MEGET NEMT FORSTÅELIGE RETNINGSLINIER MED BLOKBOGSTAVER - som fx. at der ADLRIG NOGENSINDE ER LINKS i mails fra det offentlige.

Argumentet med at manglende links er dårligt for brugervenlighed er bullshit. Selv hvis du har en håbløs navigationsstruktur på dit site (og det har det offentlige typisk), så kan det super nemt løses ved fx at smide kampagnerubrikker på forsiden af den relevante myndigheds website, der derefter deeplinker. Problem solved, og på en måde der ikke tager mange minutter at implementere.

Jørgen Elgaard Larsen

så jeg synes egentligt, det var en fin løsning, hvis de undlod links


Men selvom Skat undlader links, så forhindrer det jo ikke phishere i at sende mails med links.

Og selv hvis Skat havde plakater på hvert et gadehjørne om, at de aldrig sendte mails med links, så er jeg sikker på, at de fleste almindelige brugere alligevel ville klikke på links i en mail fra en kompetent phisher.

"Hey, fedt, endelig har Skat fundet ud af at lave links i mails".

Lars Sommer

Skat kunne også overgå til kun at benytte NemPost, SikkerPost, DigitalPost, Den Digitale Postkasse, E-Boks, eArkiv, E-Posthuset, Borger.dk's postfunktion eller en af de andre super smarte offentlige sikre postkasseløsninger til kommunikation med borgerne.

Eller opfinde en ny sikker postkasse til formålet.

Poul Pedersen

Og selv hvis Skat havde plakater på hvert et gadehjørne om, at de aldrig sendte mails med links, så er jeg sikker på, at de fleste almindelige brugere alligevel ville klikke på links i en mail fra en kompetent phisher.


Og det bliver jo netop ALDRIG anderledes så længe ingen gider bruge energi på at lave det om. Så længe folk accepterer at lukke kreditkort og ominstallere windows efter at have klikke på random crap, så gider Skat (og de andre store phishing-udbydere) da heller ikke bruge energi/penge på noget der ikke er deres problem.

At det så kunne hjælpe alle, hvis reglen om at skrive links i ren tekst og hoste ting på ikke-tvivlsomme-urls blev reglen i stedet for undtagelsen, er Skat og digitaliseringsstyrelsen tydeligvis helt ligeglade med.

Hvornår fatter folk at NEMT==FEJL, hvorfor var det lige at der var så megen ståhej om smølfebærrene?
One-click er dejligt nemt, så selv et barn kan finde ud af det... ja netop. :-(

Claus Pedersen

vornår fatter folk at NEMT==FEJL, hvorfor var det lige at der var så megen ståhej om smølfebærrene?
One-click er dejligt nemt, så selv et barn kan finde ud af det... ja netop. :-(

Hvorfor er det en fejl når noget er nemt?

Det er da dejligt når noget er nemt. At der så er nogle der udnytter det er da ikke grund til at besværliggøre det for alle andre.

Det er da ikke til at holde ud hvis man skal gøre alt besværligt for flertallet hver gang der er risiko for misbrug.

Kim Garsdal Nielsen

Det bliver vist som http://xn--skt-rla.dk/ i adresselinjen i min Chromium-browser (dvs punycode). Det bør vel ikke være noget problem.

Der er så meget, der ikke burde være et problem. Folk i dette forum har givetvis forståelse for adresselinjen og ville straks opdage, at den peger et obskurt sted hen. Jeg har imidlertid ofte oplevet brugere med total ignorans om adresselinjen, hvor man fornemmede, at de ikke anede at den eksisterede. Når folk går via Google for at komme til simple trebogstavsdomæner, som dgs.dk eller cvr.dk, selvom de bruger dem løbende i deres daglige arbejde, i stedet for blot at taste ind, så kigger de nok ikke meget på, hvad der står i adresselinjen? Jeg har sågar set en forelæser, der gik via Google for at finde ind på sit eget firmas site. Det site som høn holdt foredrag om brugen af (sic!). Det vidner ikke ligefrem om generel opmærksomhed på, hvad der står i adresselinjen.

Finn Thøgersen

Det bliver vist som http://xn--skt-rla.dk/ i adresselinjen i min Chromium-browser (dvs punycode). Det bør vel ikke være noget problem.

Det gælder også Chrome (big surprise), men Firefox viser skät.dk !

Jeg ville hellere have en enkel måde til at slå IDN domæner helt fra.

Sidst jeg checkede var det noget med at hacke direkte i config filer,
som så blev overskrevet ved hver ny browser version :-(

Oliver Billing

Flere debatterne mener i ramme alvor at fordi brugeren ikke forstår budskabet omkring browseradresse så skal de erstattes af budskabet omkring ingen links i offentlige emails. Sandheden er at brugerne er fløjtende ligeglade. Det her er en løsning på linje med password regler, komplicerede password ingen kan huske og derfor ikke bruger.

Løsning på dette problem skal være et andet sted og ikke lægges ud hos brugerne. Det er ren ansvarsfraskrivelse.

Jesper Nielsen

Løsningen på problemet med phishing er ikke at begrænse vores funktionalitet.

Hvorfor må funktionalitet ikke begrænses for at undgå skader. Jeg vil da mene at det er fint at lave regler om at men ikke må køre med speederen i bund overalt. Internettet er stadig nyt og eksperimenterende og jeg kan ikke se hvorfor at man ikke må ændre praksis når noget kan føre til skader, også selvom at det bliver lidt mere besværligt.

Sune Marcher

Flere debatterne mener i ramme alvor at fordi brugeren ikke forstår budskabet omkring browseradresse så skal de erstattes af budskabet omkring ingen links i offentlige emails.


Det er ikke en løsning (hvis jeg havde en god én, så sad jeg nok et varmere sted end Danmark lige nu), det er mitigering.

Til fok der mener at det er "sværere" når der ikke er links i mails, vil jeg gerne høre hvad der er svært ved den løsning jeg foreslår (tydelige kampagnerubrikker på forsiden)? Ja, det kræver at du manuelt går til skat.dk, og derefter klikker på link i kampagnerubrikken - det er en smule ekstra arbejde, men er det sværere? I min verden er der en ret stor forskel på dovenskab og om noget er svært.

Frank Vilhelmsen

Løsningen på at sende en mail sikkert mellem to parter kræver at vi er sikre på hvem der findes i hver ende. En skattebetaler i den ene ende og skat i den anden. Skattebetaleren har valideret sin egen mail og skat kunne sikre at man kun kunne sende emails fra skat.dk domain.. Det har de ikke gjort, og deres skatte emails kommer gerne fra forskellige CSC servere. Hvis man er sikker på hvorfra mail kommer er det næste at sikre at indholdet ikke er blevet forfalsket undervejs vha. kryptering.. Dette understøttes af alle mail klienter men skat har ikke dekrypteringsnøgler på deres domain hvilket vil sige at kryptering også er umuligt. Før skat prioritere dette område kan alle friske drenge med et middelmådigt kendskab til IT forfalske e-mails. De skal bare ha fat i din mail adr...

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize