Gmail og Hotmail laver forbudte links i e-mails fra Skat

Illustration: REDPIXEL.PL/Bigstock
Skats e-mails indeholder ikke længere klikbare links, men henvisninger til Skats hjemmeside. Men både Gmail og Hotmail laver Skats henvisninger om til links.

Skat fik sidste år forbud mod at sende links ud i e-mails for at mindske risikoen for phishing-angreb.

Det betyder, at Skat siden da har sendt links ud til TastSelv-hjemmesiden skat.dk/tastselv i klartekst, som danskerne dermed ikke kan klikke på.

Men nu viser det sig, at både Gmail og Hotmail automatisk laver Skats henvisninger om til klikbare links.

Det kan ifølge formanden for Rådet for Større IT-sikkerhed, Christian Wernberg-Tougaard, gøre det svært for brugerne at gennemskue, når de er udsat for phishing:

»Hvis nogen laver en phishing-mail, som ligner Skats, så kan de jo skrive præcis det samme, som Skat har gjort, men lave et link, som i stedet sender folk til en phishing-side. Det vil sige, at man som borger ville være ilde stedt til at vurdere, om det her er en legitim Skat-side eller ej,« siger Christian Wernberg-Tougaard til Version2.

Han forstår godt Skats dilemma, fordi man med digitalisering selvfølgelig vil gøre det nemt for brugerne.

Men han mener samtidig, at man bør undgå henvisninger, som ligner links, fordi man risikerer, at de alligevel bliver lavet om til klikbare links.

Christian Wernberg-Tougaard efterlyser derfor nogle bedre retningslinjer for, hvordan offentlige institutioner sender mails ud på en sikker måde.

Ændrede praksis efter Version2's dækning

Forbuddet mod links kom efter, at Version2 demonstrerede, hvordan it-kriminelle kan udgive sig for at være Skat og sende mails ud med links til falske NemID-sider og på den måde fiske brugernes NemID-informationer.

Læs også: Pærelet at narre NemID fra dig med klonede hjemmesider

Det førte til, at skatteminister Thor Möger Pedersen (SF) i december sidste år skrev følgende:

»På baggrund af Digitaliseringsstyrelsens anbefalinger har Skat nu ændret praksis. Skat har i denne forbindelse udsendt en intern meddelelse til medarbejderne i Skat, hvor det pointeres, at Skat fremadrettet ikke udsender e-mails til borgere og virksomheder, hvor der linkes til en login-side. I fremtidige masseudsendte e-mails til borgere fra Skat vil der derfor ikke være links til en NemID-login-side.«

Læs også: Sådan vil Thor Möger sikre NemID mod phishing-mails

Det har ikke været muligt at få en kommentar fra Skat.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Thomas Lønskov Luther

Er det en lov man kan bryde hvis man laver et link til en login side med NemID?

Tænker også der er rigtig mange andre mailklienter som laver det nemmere for brugerne ved at tage et tekst-link som ikke har links tags rundt om, og laver som rigtige klikbare links, det forventer jeg sådan set at min mailklient gør...

Egentlig så er det ret defekt at eneste sikkerhed mod phising er "forbuddet" mod at lave direkte links...

  • 14
  • 0
#3 Stig Christensen

Det er skægt at der nu fokuseres på noget som latterligt som links i mails. Hvis nu bare nemid login altid foregik via nemid.dk, så ville det være den eneste regel som hr. og fru Danmark skulle lære.

Selvfølgelig skal man kunne sende et link i en mail, der har intet med sikkerhed at gøre.

  • 14
  • 0
#4 Lars Sommer

Hvis vi havde en almindelig standard for kryptering og autentifikation i email, kunne de jo sende alle dokumenterne direkte, så vi slap for skattemapper, e-bokse, nempost, eposthuset, danskebankpost og hvad der ellers efterhånden findes af "sikre" postkasser til os på nettet.

Det kunne den forrige udgave af Digital Signatur fint. Kan NemID det engang?

Indtil da, må vi nøjes med at diskutere de forbudte links i emails. ...det lyder som en dårlig joke.

  • 17
  • 0
#5 Klaus Ellegaard

Der var engang, hvor man kunne være rimelig sikker på, at ens e-mail (eller webside for den sags skyld) så ud, som man havde skrevet den, når modtageren åbnede den.

Det kan man ikke længere - og mange tak for det.

Moderne klienter finder selv interessante data og gør noget Smart(tm) med dem. Såsom URL'er, også selvom de ikke har "http(s)://" foran. Men GMail opdager også pakke-tracking-numre, som den laver klikbare.

Indrømmet, den laver et link til US Postal Service i stedet for Post Danmark i øjeblikket, og USPS ved ikke ret meget om en pakke i Danmark. Men konceptet er fantastisk, selvom denne "forkerte" redirection jo egentlig er et utilsigtet og ganske uskyldigt eksempel på, at man igen dirrigeres forkert: jeg ville have fat i Post Danmark, men blev "narret" hen til USPS.

8-cifrede numre bliver tolket som danske telefonnumre, og man kan ringe til dem med Google Voice blot ved at klikke på dem - det er heligt. Men nummeret kunne jo også være et 8-cifret ordrenummer, som man ikke kan ringe til - fru Jensen i den anden ende ved næppe så meget om ordren, hvis man prøver. Og så videre.

Så det med at tro, at man kan "forhindre" linking eller på anden måde bestemme, hvordan præsentationen af en e-mail ser ud, kan man godt glemme. Hvilket igen betyder, at enhver form for links i e-mails ikke duer, selvom det selvfølgelig går ud over brugervenligheden. "Gå ind på SKATs hjemmeside og log på; du må selv gætte vores webadresse" kan nok formuleres pænere, og praktisk talt hele befolkningen er nok klar over, hvad SKATs hjemmeside hedder. Resten kan ringe til SKAT og få adressen. Og en enkelt stakkels borger gætter nok på "skat.evil" og får betalt B-skat til den russiske mafia.

De øvrige udfordringer med den overordnede sikkerhed i certifikater og brug af SSL generelt viser, at der ikke er nogen Smart(tm) løsning på "trust" generelt. Certifikater har spillet fallit, og umiddelbart er den eksisterende teknologi i NemID også indirekte ramt af den fallit. Det er ikke NemIDs skyld - det er et globalt problem for alle, der bruger certifikater fra de større udbydere.

Så spørgsmålet er, hvad man skal gøre fremadrettet. En løsning kunne jo være at pille NemID helt ud af browseren, og lade den være en decideret applikation på brugerens pc, for eksempel linket med Webkit, så den stadig kan præsentere HTML-sider som i en moderne browser.

Men så kan de kriminelle jo bare lave deres egen "kopi" af den applikation. Til gengæld ville man slippe af med både link- og certifikat-problematikken. Og skaffe sig nogle nye udfordringer på nakken....

  • 8
  • 4
#6 Christian Nobel

En sommer, da kornet stod højt på marken, havde molboerne fået besøg af en stork.

Den havde fået den grimme vane at spankulere frem og tilbage på deres mark for at fange frøer. Og det var jo en slem historie, for molboerne var meget bange for, at den skulle trampe al kornet ned på marken.

De talte længe sammen frem og tilbage om, ... ... hvordan de skulle få den jaget bort.

Til sidst blev de enige om, at hyrden skulle gå ind i kornet og drive storken ud.

Men lige da han stod og skulle gå ind i kornet, opdagede de, at han havde sådan nogle store og brede fødder, og så blev de bange for, at han skulle træde mere korn ned end storken.

Dér stod de - . Endelig fik en af dem en god idé! han foreslog, at man skulle bære hyrden ind på marken, så kunne han da ikke træde kornet ned.

Det syntes de alle var et godt råd. De gik derfor hen og løftede markleddet af og satte hyrden op på det; ... .. og så bar otte mand ham ind i kornet, for at han kunne jage storken ud.

På den måde trådte hyrden ikke spor korn ned med sine store fødder.

Er vi ikke blevet klogere her i landet, dels er der som andre siger intet "forbudt" i at diverse mailprogrammer prøver at gøre tilværelsen lettere for brugeren, dels er det fuldstændig forkert fokuseren på det forkerte, i stedet for at indse at hele "NemID" konstruktionen er en fadæse.

  • 20
  • 0
#7 Henning Hansen

Det kan man ikke længere - og mange tak for det.

Moderne klienter finder selv interessante data og gør noget Smart(tm) med dem.

Det er forhåbentlig ironisk ment, når du takker for ovenstående - de "intelligente" applikationer, som laver serienumre om til telefonnumre, skriver ord med stort, som er med småt, og meget mere, er noget af det mest frustrerende og ødelæggende for kommunikation mellem afsender og modtager i moderne software. Det er efterhånden helt uoverskueligt at konfigurere mailprogrammer, regneark, m.m. så man kan få lov at skrive, hvad man vil.

  • 4
  • 3
#8 Thue Kristensen

Det er skægt at der nu fokuseres på noget som latterligt som links i mails. Hvis nu bare nemid login altid foregik via nemid.dk, så ville det være den eneste regel som hr. og fru Danmark skulle lære.

Selvfølgelig skal man kunne sende et link i en mail, der har intet med sikkerhed at gøre.

Enig. Jeg forstår simpelthen ikke, hvorfor et ikke-klikbart link skulle være mere sikkert end et klikbart link. Måske hvis det var et spørgsmål om at det var et falsk link, hvor målet ikke svarede til linkets navn, men det argument er der jo ikke nogen som fremført. Hele denne her diskussion er jo en farce.

"Kontroversen" bunder i, at NemIDs regler siger at man ikke må linke direkte til en NemID login-dialog. Men gerne må linke direkte til en forside, hvor brugerne så selv skal klikke videre. Ud fra en eller anden absurd antagelse om at det er for meget arbejde for de kriminelle både at lave en falsk login-dialog OG en falsk forside.

Det har jo ikke meget med sikkerhed at gøre.

  • 4
  • 0
#12 Thomas Petersen

Sites som AOL har brugt keyword i maaange år. Hvorfor kan flere firmaer ikke bare bruge keywords. Hvis SKAT nu skrev at man skulle skrive "tastselv" i keywords feltet, så er der ingen links. Ellers kunne de jo bruge grafik til at vise linket med.

  • 1
  • 0
#13 Bo Petersen

lign. services en god ide. Bare Skat ville havde forsat med at sende post til eboks.

Jeg er ikke vild med at gmail/hotmail snager i min mail, men med 3 mnd. forsinkelse går det nok. Men at de direkte "piller" i min "post" er "invaderende-uacceptabelt" - hvad andet gør de on-the-fly ?.

Hvis min mail-client laver sådan noget kan jeg vælge at slå det fra - kan det slåes fra hos gmail ?

Jeg ville ønske at Skat og andre offentlige (myndigheder) insisterede på kun at sende e-post gennem services som eboks.

  • 0
  • 5
Log ind eller Opret konto for at kommentere