It-kriminelle stjæler 29 danskeres overskydende skat

It-kriminelle har fisket TastSelv-oplysninger og overført overskydende skat til egne konti.

It-kriminelle har skaffet sig adgang til mindst 29 menneskers TastSelv-oplysninger og har på den måde stjålet 500.000 kroner. Bagmændene har fiflet med ofrenes fradrag og udbetalt overskydende skat til sig selv. Skat undersøger nu yderligere 62 sager med op til 1000 involverede personer, skriver Skat i en pressemeddelelse.

De kriminelle har fået adgang til TastSelv ved at lokke ofrene til at udlevere sine TastSelv-oplysninger. Der er ifølge Skat tale om dokumentfalsk og identitetstyveri.

Skat afviser, at der er tale om et sikkerhedshul.

»Der er ikke tale om hacking, og vi anser stadig TastSelv for at være et sikkert system. Men udleverer man nøglen til ens skatteoplysninger og skatteforhold til en, man ikke kan stole på, kan man selvfølgelig komme i klemme. Vi vil derfor gerne opfordre alle til at være meget påpasselige med at udlevere adgangskoder, « udtaler Lisbeth Rasmussen.

Nu har Skat ændret sin procedure, så når man fremover skal have overskydende skat udbetalt til en anden konto, skal man personligt henvende sig til et skattecenter. Her skal man fremover vise billedlegitimation og skrive under på, at man vil have pengene på en anden konto.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Erik Jacobsen

Fra pressemeddelelsen "..henvende sig personligt på et skattecenter ... skriftligt at forsikre ...".

Det er da lidt hen i retning af dagens nyhed: SKAT har erkendt at man ikke kan bruge NemID som digital underskrift.

  • 5
  • 0
Christian Nobel

Er der nogen mennesker af kød og blod der vil stå frem og fortælle offentligt at de er blevet bestjålet/narret, eller er det i virkeligheden en and der er udgået fra magtens korridorer i finansministeriet?

Skats tast selv system har eksisteret i mange år uden problemer, så er det et marketing stunt for at prøve at sætte NemID i et bedre lys - er der en ny grim NemID fadæse på vej, så man skal bruge noget til at lave et røgslør?

De nærmeste dage vil vise det.

  • 1
  • 4
Carsten Stenberg

Næh, men det kan godt være en konsekvensen af flere selvbetjeningsmuligheder og færre kontrolforanstaltning (=lig mindre personale) på Skat's hjemmesiden.

Men man kan da godt undre sig over kontrol af udbetalinger ikke fra starten er indtænkt i deres it-systemer - i det mindste for beløb som er over en vis størrelse !?

(Men jeg kan også frygte, at sagen vil blive misbrugt til at lukke for tastselv-login)

  • 0
  • 0
Erik Jacobsen

Jeg læser det som, at uanset om man har OCES-delen aktiveret eller ej, så skal man movere sig ned personligt. Der er ikke noget valg. Man kan simpelthen ikke bruge NemID ... og gætteri: fordi det ikke er sikkert nok ... ?

  • 2
  • 0
Jesper Lund

Mjoh, både og. Hvis de ramte personer ikke har OCES-delen af NemID aktiveret, så har de jo brugt deres hjemmelavede tastselv-kode. Og i og med de ikke har OCES, så må de jo bevæge sig ned på Skattecenteret.

Ud en samlet vurdering er OCES NemID ikke mere sikker end Skats tastselv koder, snarere tværtimod. Ændringen hos Skat betyder at du ikke kan få din restskat overført til andet end din Nemkonto medmindre du møder personlig op.

Men hvis de kriminelle laver et phisning angreb mod borgerens NemID, kan de ændre dit kontonummer for Nemkonto på nemkonto.dk og ændre dine skatteoplysninger så der bliver en overskydende skat.

Mange mennesker modtager kun betalinger på deres nemkonto 0-1 gange om året (fra Skat), så en ændring af nemkontoen vil næppe blive opdaget lige med det samme. Jeg tvivler på at Nemkonto sender et brev til borgeren? Vi skal jo digitalisere...

En Nemkonto kan i øvrigt være en konto i udlandet (formentlig på grund af EU/EØS konkurrenceregler).

  • 5
  • 0
Jørgen L. Sørensen

Kan godt lide overskriften - nu skal vi nok også snart til at læse om koben-, skrutrækker- og snakketøjs-kriminelle :-0

IT har blot været et værktøj - i princippet kunne fremgangsmåden være brugt da jeg var dreng og mælkemanden (vores nabo) hjalp mine forældre med deres forskuds- og selvangivelse. Det var dengang en computer var en datamat og fyldte et helt hus.

Så vidt jeg kan se er der tale om at nogle personer har "givet fuldmagt" (adgangskoden) til andre personer som så har misbrugt det. Det kunne lige så vel være gjort inden selvbetjeningstiden ved at "snydetampene" fik offerets personnummer og gik hen på skattekontoret og bad dem ændre fradrag, kontonummer mv.

  • 2
  • 0
Anonym

I forbindelse med IT, eller personligt på en mark, så ligger enhver sikkerhed i, at man kan tilspørge den enkelte, som den juridiske person, vedkommende er.
Skat, burde have checket op på, om en sådan fuldmagt nu også var reel.
dette kan gøres ved at kontakte den identitet det drejer sig om, og tilspørge om rigtigheden af fuldmagten.

Det er helt lige meget, om det foregår elektronisk, eller om det foregår med brevduer. Skat skal kun sikre sig, at de har fat i den rette identitet, når de spørger om fuldmagtens rigtighed.

Det er ikke muligt, at sikre denne rette identificering gennem NemID, da NemID er et 3'die persons system. Man SKAL kunne tilspørge den enkelte identitet.
Om man tilspørger over internettet, eller om man tilspørger ved hjælp af baunebål der tændes og slukkes i morsekode, er fuldstændigt lige meget, identifikationen kan sikres gennem at tilspørge den enkelte.

Det er helt klart Skat, der er ude i noget snavs her.
Skat har ikke gjort arbejdet ordentligt, men tilladt at holde døren åben for identitetstyve.
Det er simpelt smøl, fra Skat, at de på den måde har deltaget i at borgernes penge bliver stjålet.

  • 0
  • 0
Jørgen L. Sørensen

Det er helt klart Skat, der er ude i noget snavs her.
Skat har ikke gjort arbejdet ordentligt, men tilladt at holde døren åben for identitetstyve.
Det er simpelt smøl, fra Skat, at de på den måde har deltaget i at borgernes penge bliver stjålet.

Det er jeg ikke helt enig i - så vidt jeg kan se* er der tale om at nogle borgere har givet andre adgang til deres skattemappe. At de pågældende "fuldmagtshavere" så har misbrugt det er en anden sag.

I princippet kunne det samme ske med NemID ved at A giver B fuldmagt på reglementeret vis som f.eks. min kone har givet mig adgang til hendes skattemappe.

*) http://skat.dk/SKAT.aspx?oId=2044869&vId=0

  • 0
  • 0
Jesper Lund

Det er jeg ikke helt enig i - så vidt jeg kan se* er der tale om at nogle borgere har givet andre adgang til deres skattemappe.

Spørgsmålet er hvad der ligger i "givet andre adgang" -- det fremgår på ingen måde klart af Skats pressemeddelelse. Da det første NemID phishing angreb løb af stabelen sidste efterår, fik vi [også] sangen fra de varme lande om at NemID skam var helt sikker, men at de pågældende netbankkunder havde "udleveret deres sikkerhedskoder til andre".

MiTM og phishing er hvad der sker når man designer ud fra et sikkerhedsparadigme om personidentifikation på serveren, i stedet for at borgeren autoriserer transaktionen på klient-siden. Det sidste ville selvfølgelig kræve en rigtig digital signatur, og det har vi jo ikke. Så vi må leve med phishing angreb når digitaliseringstoget kører..

  • 0
  • 0
Jørgen L. Sørensen

Spørgsmålet er hvad der ligger i "givet andre adgang" -- det fremgår på ingen måde klart af Skats pressemeddelelse.


Ud fra Politikken (http://politiken.dk/incoming/ECE1601254/) og de første par linjer i SKATs pressemeddelelse, som jeg linkede til, opfatter jeg det som om ofrene frivilligt har givet login oplysninger med det formål at en anden person skulle kunne ændre i deres oplysninger for at kunne hjælpe dem. Nogle har så misbrugt det.

Hvis dette er korrekt mener jeg ikke man kan laste SKAT for misbruget. I princippet kunne misbruget også ske hvis A udleverer sit NemID brugernavn (oftest cpr-nr) sammen med kodeord til S.Lambert og samtidig lader S tage et foto af nøglekortet så S kan hjælpe/misbruge A.

Hvis min opfattele er forkert, og der er tale om phishing eller MiTM er det naturligvis en anden sag, og så er det SKAT og/eller andre myndigheders ansvar.

  • 0
  • 0
Log ind eller Opret konto for at kommentere