Eksperter: Skat bør bruge Digital Post for at mindske phishing

Illustration: REDPIXEL.PL/Bigstock
Hvis Skat brugte Digital Post, ville det gøre det nemmere for borgerne at spotte phishing-mails, vurderer flere eksperter. Myndigheden har dog ingen planer om at droppe mailkommunikation, når eksempelvis forskudsopgørelsen er tilgængelig.

Skats logo og navn er flere gange blevet misbrugt i forbindelse med phishing. Men har du for nylig modtaget en mail med beskeden om, at nu kan forskudsopgørelsen tilgås via Skats selvbetjeningsløsning, så er der muligvis tale om den ægte vare og ikke en svindelmail. Skat har nemlig netop udsendt mails om, at forskudsopgørelsen nu kan ses via TastSelv på skat.dk.

Det kan dog være svært at se forskel på de mails, der kommer fra Skat, og så mails, hvor it-kriminelle efterligner kommunikationen fra den offentlige myndighed og forsøger at narre blandt oplysninger om betalingskort ud af borgerne. Derfor bør Skat i stedet for mails anvende Digital Post, som borgerne i forvejen kender fra andre sammenhænge og derfor har lettere ved at genkende, påpeger flere eksperter.

Fra november 2014 sender Skat dog også breve ud via Digital Post til borgerne, men altså ikke relateret til eksempelvis forskudsopgørelsen.

Teknisk er der ikke noget til hinder for, at de it-kriminelle kan anvende samme logo og formuleringer, som Skat gør. Og dermed skal borgerne holde godt øje med detaljerne i de mails, de tilsyneladende modtager fra skattemyndigheden. Eksempelvis om der er links videre til en sikker HTTP-forbindelse - sådan en kan de it-kriminelle dog principielt også sætte op - og om det faktisk er Skats domæne, skat.dk, der fremgår af url'en i browseren, eller om det er et svindeldomæne, der måske ligner.

»Den typiske borger vil ikke kunne se forskel på, om det er en phishing-mail eller en rigtig mail. Og det kan man lige så godt undgå,« siger formand for Rådet for Digital Sikkerhed Birgitte Kofod Olsen.

Og i den forbindelse mener hun, at det vil gøre det lettere for borgerne at skelne mellem phishing-mails og ægte mails, hvis Skat fremadrettet anvendte Digital Post til beskeder om eksempelvis forskudsopgørelsen.

»Jeg synes, det er et væsentligt skridt at tage, fordi man minimerer risikoen set fra et borgerperspektiv.«

CSIS: Lettere med en enkelt indgang

Peter Kruse fra it-sikkerhedsvirksomheden CSIS, der har Skat blandt sine kunder, vurderer i udgangspunktet også, at det vil gøre det lettere at skelne ægte kommunikation fra myndigheder og phishing, hvis borgerne vidste, at hele den legitime kommunikation foregik via Digital Post. En samlet digital indgang i stedet for mange forskellige ville gøre det lettere at vurdere legitimiteten af login-portalen, vurderer Peter Kruse.

Han peger dog også på, at jo mere kommunikation der foregår via platformen for Digital Post, desto større et mål vil Digital Post også være for it-kriminelle, når det kommer til forsøg på at svindle borgerne.

»Men alt andet lige vil det måske være nemmere for den almindelige borger at gennemskue, om der er tale om en reel mail eller phishing i forhold til, om der er tusind forskellige steder, man skal forholde sig til,« siger Peter Kruse.

Kan du forstå, hvis folk i dag har svært ved at se forskel på en svindelmail og så en besked fra Skat om, at nu ligger forskudsopgørelsen klar?

»Ja, det kan jeg godt. Og jeg behøver ikke gætte mig til, at folk hopper på det, det ved jeg, de gør,« siger Peter Kruse.

I forhold til de mails, Skat i dag sender ud, mener chef for varslingstjenesten DK CERT Shehzad Ahmad slet ikke, de bør indeholde links.

»Der er ingen tvivl om, at borgerne kan blive forvirrede over at se mails fra myndigheder, specielt når den generelle anbefaling er, at man ikke skal klikke på links i mails. Og derfor er min anbefaling også til Skat, at man i stedet for at lægge links i mails skriver, at man skal gå ind på Skats hjemmeside,« siger Shehzad Ahmad.

Derudover tilslutter han sig synspunktet om, at kommunikation via Digital Post ville være at foretrække:

»Det ville gøre det nemmere for borgerne, hvis al kommunikation fra myndighederne og offentlige instanser peger mod det samme sted, som er den Digitale Postkasse.«

Shehzad Ahmad vurderer dog også, at Skat må have sine grunde til ikke at udsende beskeder om eksempelvis forskudsopgørelsen via Digital Post.

Skat: Vi er bevidste om svindel-risiko

Skat anvender Digital Post til nogen kommunikation, men altså ikke, når forskudsopgørelsens tilgængelighed skal kommunikeres ud. Version2 har spurgt myndigheden om følgende:

Hvorfor fortsætter Skat med at sende mails - fyldt med links - ud om, at årsopgørelsen og forskudsopgørelsen nu er tilgængelige via Skats hjemmeside i stedet for at sende førnævnte ud til den Digitale Postkasse, som de fleste borgere i dag er forpligtede til at have?

Er Skat enig i, at det ville gøre det lettere for borgerne at skelne mellem legitime henvendelser fra Skat og phishing-mails, hvis også Skat gik over til udelukkende at bruge Digital Post?

Skat, der efter myndighedens eget ønske fik spørgsmålene tilsendt skriftligt onsdag i sidste uge, 12. november, er vendt tilbage mandag i denne uge, 17. november, med følgende mailsvar fra Richard Hanlov, underdirektør for Afregning i Skat, sendt via Skats pressefunktion.

»Skat er meget bevidst om risikoen ved 'svindelmails'. Derfor skal borgeren altid logge ind med NemID fra de links, som Skat sender. Skat vil i en mail aldrig henvise direkte til en side, hvor borgeren skal indtaste fx kontooplysninger. På vores mails advarer Skat altid om faren ved 'svindelmails' (nederst i mailen med farvemarkering).«

Version2 har forsøgt at få Skat til at uddybe, hvordan borgerne umiddelbart skal skelne mellem de links, Skat sender, og så de eventuelle links, svindlere sender. Skat er dog ikke vendt tilbage i den forbindelse.

I forhold til, hvorfor Skat ikke konsekvent anvender Digital Post til kommunikation med borgerne, står der i svaret fra Skat:

»Skat har vurderet, at brug af mails på nuværende tidspunkt er den mest effektive brug af de forskellige kommunikationskanaler, Skat har til rådighed. Endvidere sikres det, at Digital Post overvejende bruges til dokumenter, som borgerne er interesseret i at gemme og ikke til rene henvisninger til selvbetjeningsløsninger,« står der i svaret, som fortsætter:

»Der bliver også sendt adviseringer til borgere, der ikke er omfattet af Digital Post, f.eks. borgere i udlandet og unge under 15 år. Til de borgere, der ikke logger på TastSelv, og som ikke har modtaget en mail, vil Skat også bruge Digital Post til at orientere om nyt i TastSelv.«

Ingen tvang om Digital Post

Skat er imidlertid ikke forpligtet til at anvende Digital Post. Det fremgår af en mail fra Digitaliseringsstyrelsen, hvor kontorchef Lone Berglykke dog også giver udtryk for, at styrelsen generelt gerne så, at offentlige myndigheder i højere grad begyndte at anvende Digital Post

»Det er dog sådan, at myndighederne ikke har pligt til at anvende den digitale postkasse. Myndighederne skal dog jf. den fællesoffentlige digitaliseringsstrategi sørge for, at 80 procent af deres kommunikation med borgere og virksomheder ved udgangen af 2015 skal foregå digitalt,« udtaler Lone Berglykke ifølge mailen, der er sendt via Digitaliseringsstyrelsens pressemedarbejder.

I mailen nævner Lone Berglykke desuden netop kommunikation via mail som en alternativ mulighed til Digital Post:

»Digital Post som digital forsendelseskanal, da der vil være kommunikation, som i konkrete tilfælde egner sig bedre til andre digitale kanaler. Derfor kan myndighederne vælge at opfylde målsætningen om, at 80 procent af kommunikationen med virksomheder skal ske digitalt på andre måder, fx ved at sende mails eller ved at anvende selvbetjeningsløsninger.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (27)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Nielsen

Jeg tænker at det er et spørgsmål om penge.

Det koster gratis at sende e-mails, men hvis SKAT skal sende os post via e-boks, så koster det hurtigt en del millioner kroner.

Og ja, det kan godt lade sig gøre at udvikle det sådan at der ryger specielle e-mails ud til de få, der ikke har mulighed for e-boks eller brev. Så der er ingen undskyldning, udover økonomien i projektet.

Christian Panton

Vi skulle bare have bidt i det sure æble og erkendt, at det digitale signatur var en bedre model end at låse folk inde i en digital postkasse med indbygget porto. Så skulle SKAT bare signere de udgående mails. Problem solved. Key-management på folks PC'er kunne nok løses med et chipkort eller lignende.

Henrik Schack

SKAT kunne jo også gå igang med at implementere DMARC (www.dmarc.org).
Så behøver man ikke være super IT kyndig for at kunne spotte en falsk email, man kan nøjes med at kigge på From adressen, ender den ikke på skat.dk er det en falsk email, så simpelt kan det gøres.

Det forudsætter selvfølgelig man anvender en emailudbyder som tester DMARC, men det gør Google, Yahoo, Microsoft og endda også TDC.

Thue Kristensen

»Det ville gøre det nemmere for borgerne, hvis al kommunikation fra myndighederne og offentlige instanser peger mod det samme sted, som er den Digitale Postkasse.«

Det ville være lettere hvis al min digitale post kom i min normale indbakke! Så jeg ikke skal logge ind seperat for at læse dem.

Hvis det skal være sikkert, så send al officiel digital post med afsender fra subdomainer af e-boks.dk, for eksempel skat.e-boks.dk, og brug SPF og DMARC til at sikre integriteten. Så kan man bare sige til brugerne at "hvis afsenderen har en email @*.e-boks.dk, så er det sikkert.

Så kort sagt: nedlæg e-boks, og erstat det med standard SPF og DMARC konfigurationer.

skat.dk har for resten en dmarc-politik med p=none, dvs at den ikke forhindrer at en angriber sender en phishing-email med en afsender @skat.dk! https://dmarcian.com/dmarc-inspector/skat.dk

e-boks.dk har slet ingen DMARC konfiguration. Det synes jeg er absurd, giver alle de emails med links demed det er en pseudooffentlig tjeneste, så hvad havde du regnet med... https://dmarcian.com/dmarc-inspector/e-boks.dk

Thomas Larsen

Det er da klart hvorfor SKAT bliver ved med at sende e-mails ud i stedet for at bruge digital post: Det er fordi genierne i Finansministeriet har indgået en kontrakt med en monopolleverandør som skummer fløden ved at afkræve to kroner for hver sikker post der skal udsendes til borgerne.

Det betyder med andre ord at SKAT ville skulle betale 8 mio. kr. hver gang de skal sende forskudsopgørelser osv ud til borgerne hvor de i dag kan sende deres mails mere eller mindre gratis.

Hvis genierne i Finansministeriet i stedet havde valgt en model hvor det offentlige rent faktiske ejede den udviklede løsning til digital post havde der ikke været disse kunstige barrierer for digitalisering men jeg gætter på at det var den sædvanlige suboptimering i det offentlige der gjorde at man valgte det billigste tilbud fordi det holdt sig inden for den bevilling som Finansministeriet havde fået mod at man til gengæld væltede en løbende brugsafgift ud på alle de andre offentlige myndigheder.

For de fleste myndigheder gjorde dette ikke noget fordi de stadig kan spare porto og kuverteringsomkostnigner per forsendelse men fordi SKAT var meget længere fremme end de andre offentlige myndigheder og for længst havde høstet digitaliseringsgevinsten var Finansministeriets discount-model en uspiselig løsning for dem.

Gad vide om genierne fra Finansministeriet har rettet denne fejl i udbuddet af digital post v2.0??

I øvrigt giver jeg ikke meget for udtalelsen fra SKATs spindoktor i det nedenstående:

Skat er meget bevidst om risikoen ved ”svindelmails”. Derfor skal borgeren altid logge ind med NEMid fra de links, som Skat sender.

Ja goddag mand økseskaft. Du har tydeligvis ikke forstået en hylende fis om digitalisering og it-sikkerhed. Det er sgu da ikke bedre at jeres links fører til en NemID-loginside. De kan nemlig også forfalskes. Det var det der skete sidste år hvor en række Nordea-kunder mistede penge på deres konto fordi en kløgtig svindler havde lavet falske NemID-loginsider som han brugte til at snuppe kundernes password og engangskoder hvorefter han skyndte sig ind og bruge engangskoden på kundernes netbank.

Så med andre ord: SKATs praksis er sikkerhedsmæssigt uforsvarlig men de er "tvunget" ud i den af økonomiske omstændigheder fordi genierne i Finansministeriet som sædvanlig har indgået en suboptimerende og kortsigtet kontrakt med en it-leverandør som nu og i al fremtid må forventes at have monopol på løsningen.

Henrik Biering Blogger
  1. Det er fuldstændigt ligegyldigt om fru Jensen bliver phishet via en falsk mail fra Skat eller en falsk mail fra E-boks om at der er ny beskeder fra Skat.

  2. Skats forskudsopgørelse er en digital tjeneste, som man interagerer online med. E-boks er en gammeldags asynkron dokumenttjeneste, hvor det kun er selve transporten, der foregår digitalt for at spare postbudet væk.

Så logikken fra CSIS og RfDS er altså en tretrinsraket om at man skal have en almindelig mail for at få besked om en proprietær mail (E-boks) som igen i en PDF-fil kan indeholde et link til SKAT's onlinetjeneste. Det må næsten kaldes "digitalt forhindringsløb".

Så jeg kan også kun tilslutte mig forslaget om straks at stramme op på DMARC-policy for Skat.dk (og indføre det på alle andre offentlige sider), så de fleste større mailtjenester konsekvent vil blokere for falske mails.

Og på sigt kommer der forhåbentlig en mere phishing-resistent afløser til NemID.

Steen Thomassen

De har ikke gjort noget at sikre med DMARC mv. Her er hvad Google mener om meddelelsen om at forskudsopgørelsen er klar:

Received-SPF: none (google.com: TastSelv@tastselvperson.skat.dk does not designate permitted sender hosts) client-ip=147.29.109.227;
Authentication-Results: mx.google.com;
spf=none (google.com: TastSelv@tastselvperson.skat.dk does not designate permitted sender hosts) smtp.mail=TastSelv@tastselvperson.skat.dk;
dmarc=fail (p=NONE dis=NONE) header.from=skat.dk

Henrik Schack

Til SKATs forsvar skal det siges at de siden sidste officielle email udsendelse nu har fået en SPF record på tastselvperson.skat.dk.

Dvs som kriminel der gerne vil have en vellignende skat.dk returnpath i SKAT phishing emails, bliver man nu nødt til at vælge et af de SPF ubeskyttede hostnavne, f.eks noreply.skat.dk

Michael Thomsen

»Skat er meget bevidst om risikoen ved ”svindelmails”. Derfor skal borgeren altid logge ind med NEMid fra de links, som Skat sender. Skat vil i en mail aldrig henvise direkte til en side, hvor borgeren skal indtaste fx kontooplysninger. På vores mails advarer Skat altid om faren ved ”svindelmails” (nederst i mailen med farvemarkering).«

Teknisk set har de ret, de linker ikke direkte til et sted, hvor man skal indtaste kontooplysninger.

Men for en svindler gør de noget, som er endnu bedre: De linker til en side, hvor man skal logge på med nemid.

Ok, så hvor svært er det at gøre følgende:
1. Sende en bunke phishing mails til danskere
2. som indeholder et link til skat.nu e.l. (nemid bruger fx IKKE .dk, så danskerne er allerede vænnet til at .nu og andet er ok)
3. Laver et MITM på nemid via en falsk nemid-login-side på fx skat.nu
4. Får offerets nemid brugernavn og kodeord og challenge-response med nøglekort
5. Logger på banken og overfører penge til passende konti man har kontrol over
6. Viser en passende nem-id fejl, fx "du har været for længe om at logge ind" og redirecter til skats rigtige side

Henrik Bøgh

Det koster:
http://www.digst.dk/Loesninger-og-infrastruktur/Digital-Post/Loesninger-...


Interessant. Jeg prøvede lige at beregne prisen på de tre nyeste breve i min e-boks (under forudsætning af at de alle afleverer som PDF):

Underretningsbrev, Københavns Kommune: 57.442kb = 289 ører
Licensregning, DR: 106.089kb = 472 ører
Lønseddel, Moderniseringsstyrelsen: 8.488kb = 101 ører

Man kan givetvis godt opstille et regnestykke for, hvornår (og ikke om) det faktisk er en bedre forretning for eks. DR, at anvende erhvervspost frem for e-boks (og læg så dertil omkostninger til drift af fagsystemer, tilslutning o.s.v....).

Min forskudsopgørelse fylder i øvrigt 50.759kb = 262 ører. Er min forskudsopgørelser nogenlunde repræsentativ, har skat med 4,6 mio. skatteborgere sparet godt 12 mio. kr...

Micki Pedersen

Kig igen. Prisen pr ekstra kb er 0,4 øre pr kb, ikke 4 øre pr kb.
Prisen er opført som 4 kr pr mb - spørgsmålet er om den opkræves pr påbegyndt mb eller kb? Går ud fra at det er pr kb, ellers giver det i hvert fald en meget stor merudgift.

Derudover ydes der volumenrabat.

Anders Lorensen

Du har regnet forkert med en faktor 8 på de fleste af dine beregninger.

Alle priser er i kilo/mega bit, ikke kilo/mega bytes. (bemærk lille b i prislisten)

Så priserne er en faktor 8 højere end det du er kommet frem til, hvilket betyder at der rammes loftet på 6,75kr per forsendelse for flere af tingene.

Jeg gjorde for over et år siden digitaliseringsstyrelsen opmærksom på at det nok var en fejl i deres prisliste, og de har ikke rettet det. Og da vi snakker om digitaliserings styrelsen, må man gå ud fra de kender forskellen på en bit og en byte. Så mon ikke det er fordi de rent faktisk tager penge per bit...

Henrik Bøgh

Kig igen. Prisen pr ekstra kb er 0,4 øre pr kb, ikke 4 øre pr kb.


Hov... Du har ret. Så bliver det kun h.h.v. 92 øre (Københavns Kommune), 110 øre (DR), 73 øre (Moderniseringsstyrelsen) og 89 øre (Skat).

spørgsmålet er om den opkræves pr påbegyndt mb eller kb?


I eksemplet på pris-siden, takseres lønseddel på 11kb til 74 øre, så det er nok pr. (givetvis påbegyndt) kb.

Alle priser er i kilo/mega bit, ikke kilo/mega bytes. (bemærk lille b i prislisten)


De kalder det dog et 'megabyte-tillæg' :)

Allan Høiberg

Derfor skal borgeren altid logge ind med NEMid fra de links, som Skat sender. Skat vil i en mail aldrig henvise direkte til en side, hvor borgeren skal indtaste fx kontooplysninger

Jow, så deeet...

1) IT-ukyndig modtager svindelmail med link til falsk SKAT-hjemmeside.
2) Falsk hjemmeside præsenterer forfalsket NemID-login
3) Bagmænd logger samtidigt ind som IT-ukyndig modtager hvor som helst de har lyst. Når de afkræves NemID, sender de forespørgslen videre til IT-ukyndig modtagers falske NemID-side og får svaret direkte fra vedkommendes papkort.

Godt gået, SKAT - I har lige optrappet fra at dressere almindelige mennesker til at blive phishet til, også at blive ofre for NemID-bekræftet identitetstyveri!

Brug dog for pokker den lette og forståelige løsning: Fortæl alle altid at der aldrig - ALDRIG - vil være et link fra det offentlige i en almindelig mail. Og tving så enhver medarbejder, der sender en mail med links alligevel, til at spise en cookie-bekendtgørelse dyppet i sarkasme.

Finn Christensen

Hvis genierne i Finansministeriet i stedet havde valgt en model hvor det offentlige rent faktiske ejede den udviklede løsning til digital post havde der ikke været disse kunstige barrierer for digitalisering men jeg gætter på at det var den sædvanlige suboptimering i det offentlige...

Du har ikke ret.

Hverken stakkels Frelle-Petersen & Co i Digitaliseringsstyrelsen eller andre ønsker eller magter pt. denne typer udvikling og drift - de har rigelige problemer med nuværende hullede systemer.

Der mangler opbygget en helt ny struktur med muskler + mandskab + bevilling, således både de nuværende sikkerhedsproblemer samles der, og de nye tiltag (som dit) kan komme ind under en kompetent styrelses paraply. Det nævnte sker hverken i denne regerings tid, eller af den næste regering; ikke før 'nogle børn bliver kørt over'.

Ulrik Suhr

Hvordan kan man godkende et system som laver porto på mails?
Det vil jo højest afføde et system mere som omgår denne hindring med link etc...

Et krypteret mail system hvor kun 1 bruger kan kommunikere med brugerne og ingen andre kan er vel definitionen på forfejlet implementering?

Hvad bliver det næste!
Nat post tillæg i version 2.0 eller haste post tillæg!!

Nu vil de så lave version 2.0!!
lige et lille citat der illustrere hvor langt ude den Danske digitale stat er.

"The definition of insanity is doing the same thing over and over and expecting different results."

Jeg forventer en næsten ens løsning når metoden til at bygge systemet er ens.

Kristian Klausen

Peter Kruse fra it-sikkerhedsvirksomheden CSIS, der har Skat blandt sine kunder, vurderer i udgangspunktet også, at det vil gøre det lettere at skelne ægte kommunikation fra myndigheder og phishing, hvis borgerne vidste, at hele den legitime kommunikation foregik via Digital Post. En samlet digital indgang i stedet for mange forskellige ville gøre det lettere at vurdere legitimiteten af login-portalen, vurderer Peter Kruse.

Hvis man lige startede med at gøre det med NemID..

Log ind eller Opret konto for at kommentere