It-ordfører: Indfør totalstop for links i mails fra Skat

Illustration: leowolfert/Bigstock
Det er ikke nok med en politik, der forbyder links til NemID-loginsider i mails fra det offentlige. Skat skal helt lade være med at linke i deres e-mailkommunikation, mener Dansk Folkepartis it-ordfører.

Det skal være helt slut med links til hjemmesider i e-mails fra det offentlige.

Det mener Dansk Folkepartis it-ordfører Dennis Flydtkjær, efter at et ekstremt veludført phishing-forsøg med Skat som påstået afsender som en anden snestorm føg ind i danskernes indbakker.

Læs også: Pas på: Ekstremt vellavet snydemail fra 'SKAT' hærger danske indbakker

»Jeg kan godt forstå hvis det går galt for borgerne, og nogle går ind på linksene. Selvfølgelig skal folk selv være kritiske, men myndighederne skal simpelthen vænne sig selv og befolkningen til, at der aldrig er links i den slags mails. Er der noget, man skal være opmærksom på, kan Skat skrive i mailen, at man skal logge ind på skat.dk,« siger Dennis Flydtkjær til Version2.

Om denne politik vil kunne fungere i praksis er dog et åbent spørgsmål, da Version2 tidligere har dokumenteret, at gratis e-mailtjenester som Hotmail og Gmail automatisk laver alt, der ligner webadresser om til klikbare links.

Skat har tidligere været kritiseret for at sende mails, der linker dybt til hjemmesider med NemID-login. Dengang lovede den daværende skatteminister Thor Möger Pedersen, at Skat øjeblikkelig ville ophøre med den praksis.

Læs også: Sådan vil Thor Möger sikre NemID mod phishing-mails

Skat har efterfølgende præciseret, at af brugervenlighedshensyn stadig agter at sende links i e-mails.

Læs også: Skat: Pas på, vi sender stadig e-mails med links

Dennis Flydtkjær mener dog stadig, at Skat ikke har levet op til sit ansvar, når det kommer til at beskytte borgere mod phishing-mails, og den holdning bakker it-ordfører-kollegaen fra Venstre, Michael Aastrup Jensen, op:

»Nej, det er ikke godt nok. Det er noget, vi skal tage meget alvorligt. Det er et af de alvorligere tilfælde af phishing, her er tale om,« siger Michael Aastrup Jensen til Version2.

Læs også: Kreditkortbommert i phishing-advarsel fra Skat

Michael Aastrup Jensen påpeger, at man tidligere talte om at få indført nogle certifikater, så folk var sikre på, at mails fra Skat rent faktisk var fra Skat.

»Der er to ting, de kan gøre. De kan gå ud og informere borgerne bedre og lave oplysningskampagner. Og så kan de bruge nogle af de værktøjer, der eksisterer,« siger Michael Aastrup Jensen med tanke på de certifikater, der aldrig blev indført.

Læs også: Sådan beskytter du dig imod phishing-mails

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Kasper Grubbe

Links eller ej, så vil de her scam mails med links stadigvæk narre folk.

Den eneste løsning jeg kan se er at SKAT stopper med at sende mails ud til folks indbakker, og laver kampagner folk får indprintet på nethinden: "INGEN MAILS FRA SKAT!!".

Og så bør de begynde at benytte e-boks, og hvis de siger det er for dyrt, så må man altså arbejde på en bedre løsning, eller kigge på prisen.

  • 5
  • 1
#4 Frederik Nielsen

Det vil jo ikke hjælpe en radisse at folk får at vide at SKAT ikke længere bruger links i deres mails.. De har de glemt næste gang der rent faktisk kommer en mail fra SKAT med et link i..

I den nyeste phishing-mail står der faktisk også i bunden af den, at man ikke skal indtaste sine personlige oplysninger på en side der bliver linket til i mailen, men det er jo præcist hvad man skal.

Den eneste måde at komme uden om det på er at SKAT helt stopper med at sende emails, og kun bruger en kombination af snail-mail og E-boks.

  • 3
  • 1
#5 Anders Rosendal

Og så bør de begynde at benytte e-boks, og hvis de siger det er for dyrt, så må man altså arbejde på en bedre løsning, eller kigge på prisen.

Hvordan kan google opbevare mine mails fra skat, mens det åbenbart er for dyrt ved eboks?

  1. Mine mails fra skat om årsopgørelse mm. er åbenbart mere værd end jeg troede.
  2. Eboks kunne gøres smartere/billigere.

Hælder lidt til 2 :-)

  • 3
  • 0
#7 Christian Nobel

Den eneste måde at komme uden om det på er at SKAT helt stopper med at sende emails, og kun bruger en kombination af snail-mail og E-boks.

Nej tak til KMDs Facebook pendant.

Men det er da hamrende ligegyldigt om SKAT stopper med at sende mails eller ej, for det er jo ligesom ikke dem der laver phishing mailne - det nytter ikke ret meget at proppe fingeren i dæmningen, når vandet allerede står højere end hele dæmningen.

Så selv om skat stopper, så kan banditterne stadig sende sjove mails, Hr. og Fru Danmark ved da ikke bedre - det vil tage 5-10 år og en massiv oplysningskampagne at få folk til at ændre adfærd.

Derfor ville det da ikke være at foragte hvis det offentlige fandt ud af at sende signerede mails - men åhh, det kræver jo digital signatur, og det bruger vi jo ikke her i landet, hvor vi jo er åh-så-dygtige.

  • 6
  • 1
#8 Rene Madsen

Der er ingen måde at sikre folk mod phising e-mails og stupide brugere som ikke bruger hjernen når de får sådanne e-mails.

Fjern at bankerne dækker noget som helst ved phising, det må kunden selv dække at man er mindre begavet. Ja er softwaren blevet hacket, så dækker banken. Men når folk udlevere deres kreditkort informationer til gud og hver mand, så beder man også om det.

Folk må lære at tænke sig om og det gør de ikke så længe de bliver redet hele tiden.

Det er jo fuldstændig ligegyldigt om skat/bankerne sender mails med links i eller ej, for phising e-mails inderholder links og dem kan skat/bankerne ikke gøre noget ved for folk lytter ikke til gode råd!

Sund fornuft er den eneste vej frem og hvis folk ikke brænder nallerne, så lære de ikke at lade være med at gøre dumme ting.

Et simpelt papir brev fra kreditkortudstederne til samtlige kunder med noget ligende tekst ville kunne dræbe en del phising problemer:

"Indtaster du dit kreditkort nr på en hjemmeside og DU bliver bestjålet er det DIT ansvar og VI dækker IKKE noget!" og så et tydeligt billede af hvad det er for informationer på ens pågældende kort der er tale om.

  • 1
  • 5
#9 Michael Nielsen

"Indtaster du dit kreditkort nr på en hjemmeside og DU bliver bestjålet er det DIT ansvar og VI dækker IKKE noget!" og så et tydeligt billede af hvad det er for informationer på ens pågældende kort der er tale om.

Nej det skal vi ikke, fordi så ender du i den situation jeg endte i, nede i Australien, hvor de netop har disse regler.

Jeg havde købt noget hos en virksomhed, og de nægtede at afmelde mit abonnoment, og kontaktede min bank, banken nægtede at gøre noget fordi de ikke havde ansvar for brugen, så jeg lukkede min konto og mit kredit kort, og fik kort efter en regning fra banken, med trusler, pga at den virksomhed stadigvæk hævede penge på min konto - kunne måske havde gået igennem politiet, men da du en gang har givet lov, er det næsten umuligt at ophæve, da de har juridisk tilladelse..

Det endte med at jeg fortalte banken en lille løgn, mit kort var blevet stjålet, og så blev kortet lukket - noget de ikke kunne gøre ved at lukke kortet pænt..

Men bankerne har ingen interesse i at hjælpe forbrugerne, hvis forbrugeren bærer hele ansvaret, her er de Danske system bedre, da bankerne har en stor interesse i at stoppe misbrug, fordi de er ansvarlige for det. I øverigt er de også de eneste der kan lukke og blokere kort, det kan forbrugeren ikke.

En bedre løsning skal findes, men jeg kender ikke nogen god løsning ud over at smide NemID i skralde spanden og lave en rigtig digital signatur løsning, så man kan bekræfte identiteten af den man betaler til.

  • 6
  • 0
#10 Deleted User

Det handler jo ikke om hvad SKAT gør, men om hvad banditterne gør. At SKAT stopper med at linke, sende mails. etc. ændrer ikke på at fiskerne bliver ved, og derved alligevel vil få nogen i garnet.

Det kan ikke passe, at man er nødt til at stoppe med service-mails osv. fordi nogle fjolser skal udnytte det. Til sidst kan vi jo slet kommunikere med nogen som helst mere.

Løsning ligger i at få stoppet den slags. Gå efter banditterne i stedet for SKAT, der jo ikke er skurken i det her. Så svært kan det vel heller ikke være, at få fundet ud af hvor den slags kommer fra. Så længe nogen går i fælden, må pengene kunne følges, så der kan blive slået ned på det.

  • 4
  • 0
#11 Rene Madsen

Dit problem i australien har intet med phising at gøre, det er en sag mellem dig og den givne virksomhed. Ja banken kan være med til at hjælpe, det kunne være, at du som kunde har mulgihed for selv at lukke dit kreditkort. Men det er som sådan ikke bankens ansvar at den virksomhed ikke ønsker at ophæve en aftale med dig. Jeg kan ikke se, hvorfor banken skal til at bære et ansvar i sådanne tilfælde?

Min pointe er at langt største parten af misbrug af kreditkort er grundet mindre begavethed hos forbrugeren. Og forbrugerne holder ikke op med at agere dumt før det har konsekvenser for dem selv.

  • 0
  • 4
#12 Jesper Lund

Men alting skal vel foregå i en sikret form - al personlig email skal vel gå i eboks?

Du ser at der er ny post i e-boks ved at modtage en email ligesom med Skat..

Det bliver garanteret den næste store phishing bølge. "Du har ny post i din e-boks, log ind med NemID for at se den..."

Hvis man nu havde sendt almindelige emails som var krypterede og digitalt signerede med en ægte digital signatur, så... Men nej, det ville være for nemt for billigt, og det falder for "not-invented-here" reglen.

  • 9
  • 0
#13 Christian Nobel

Det kan ikke passe, at man er nødt til at stoppe med service-mails osv. fordi nogle fjolser skal udnytte det. Til sidst kan vi jo slet kommunikere med nogen som helst mere.

Løsning ligger i at få stoppet den slags. Gå efter banditterne i stedet for SKAT, der jo ikke er skurken i det her. Så svært kan det vel heller ikke være, at få fundet ud af hvor den slags kommer fra. Så længe nogen går i fælden, må pengene kunne følges, så der kan blive slået ned på det.

Grundlæggende kunne vi komme rigtig meget af dette til livs, hvis vi fik lavet et opgør med de gamle dogmer fsva. emails.

Relaying er et misfoster, og ikke nødvendigt i det 21 århundrede.

Hvis al post gik fra postserver til postserver (uden relays), og man så havde en challenge-response løsning, hvor der kun udveksles mail fra en mailserver, der var tilknyttet et domæne der eksisterer i DNS (sorry Dyn-dns), og hvorpå brugeren var oprettet, så ville stort set alt spam kunne elimineres.

Vi kan selvfølgelig ikke undgå at banditterne laver en hotmail konto specifikt til formålet, men det ville så falde tilbage på udbyderen, hvis de tillader ikke verificerede konti.

  • 0
  • 1
#14 Jørgen L. Sørensen

"Indtaster du dit kreditkort nr på en hjemmeside og DU bliver bestjålet er det DIT ansvar og VI dækker IKKE noget!" og så et tydeligt billede af hvad det er for informationer på ens pågældende kort der er tale om.

Det vil nok lægge en dæmper på e-handelen ...

Løsningen er ikke at bankerne/offentlige myndigheder lægger al ansvaret over på kunden/brugeren. Men kan godt følge dig langt hen ad vejen med at brugerne trænger til noget opdragelse og ansvarsfølelese.

  • 5
  • 0
#15 Rene Madsen

Det vil nok lægge en dæmper på e-handelen ...

Løsningen er ikke at bankerne/offentlige myndigheder lægger al ansvaret over på kunden/brugeren. Men kan godt følge dig langt hen ad vejen med at brugerne trænger til noget opdragelse og ansvarsfølelese.

Det har du ganske givet ret i, at folk så nok vil lægge en dæmper på nethandlen.

Men jeg er nok i bund og grund lettere træt af at os der godt kan finde ud af at kende forskel på legetime steder og så phising/scam/malware, skal betale for folk der ikke kan.

  • 0
  • 2
#16 Martin Kofoed

Det her kunne jo være en glimrende anledning til at udbrede en rigtig digital signatur. Al teknikken er til rådighed ganske gratis. Tænk lige, hvor langt vi ville være nået med en national nøgledatabase med PGP-nøgler. Det er altså en hel del lettere at oplære en befolkning i at smide mails væk baseret på en kæmpe, rød advarsel i toppen i stedet for al mulig snik-snak om farlige links.

I stedet har vi fået NemID, og derfor får vi sikkert også snart en eller anden national web-mail. I sikkerhedens navn, forstås.

  • 6
  • 0
#18 John Vedsegaard

burde være samlet et sted, så man for eksempel bare kunne se på det 1 gang hver 3. måned. Derefter behøver ingen offentlig myndighed at udsende mails overhovedet, det ville endda ret nemt kunne laves så man har pligt til at gennemse sig digitale post og status med faste mellemrum.

  • 0
  • 1
#19 Gert Madsen

Men når folk udlevere deres kreditkort informationer til gud og hver mand, så beder man også om det.

Så er spørgsmålet hvem der beder om hvad ?

Eks. diverse offentligt finansierede institutioner, DR, teatre etc. sælger billeter via Billetnet.

Prøv lige at bestille en billet hos Billetnet uden at efterlade dine kreditkort oplysninger.

Man må ganske vist ikke registrere unødige personlige oplysninger, men hver gang datatilsynet prøver at håndhæve loven, så rejser der sig en storm. Folk inklusive politikerne (og teknikere som burde vide bedre) lukker øjnene for sikkerheden, og vælger bekvemmeligheden. Hvordan kan man så forlange at menigmand skal agere anderledes ?

  • 0
  • 0
#20 Frej Soya

Tænkte på ... http://xkcd.com/1181/

Men der er en vattet holdning 'det kan vi ikke løse' ang. email sikkerhed. Signer/krypter mailen?!? Det holder jo ikke at du ikke må sende links i en email, der vel og mærke kan klikkes på. Hvor brugerfjendsk skal det blive?

Hvis NemID er for en elendig løsning til email (hvilket det er er) Så brug noget andet (S/MIME er ret i email klienter?). Det er sikker umuligt for de fleste brugere i starten. Men ellers lærer de det aldrig.

Og ja gmail er et kæmpe problem med at få udbredt sikker email. Men så kan gmail brugere lære det, og ja jeg har selv en gmail konto ;).

Er der noget jeg har misset ang. f.eks. S/MIME? Er det helt umuligt at bruge i outlook? Og hvad bruger folk egentlig som email klient?

--Frej Soya

  • 0
  • 0
#21 Henrik Kramselund Jereminsen Blogger

Er der noget jeg har misset ang. f.eks. S/MIME? Er det helt umuligt at bruge i outlook?

who cares

Og hvad bruger folk egentlig som email klient?

alt muligt, derfor er det første spørgsmål irrelevant.

Grunden til at internet, web og email er en fantastisk success er at der bruges åbne standarder, punktum.

Vi er allerede i en fremtid hvor flere snart bruger email oftere på ikke-pc systemer og derfor er det nødvendigt med løsninger som tager højde for dette.

OpenPGP har alle de år jeg har brugt sikker email fungeret LANGT bedre end tilsvarende CA-løsninger (Certificate Authority - som med SSL bøvl i disse år krakelerer hurtigere end vores drømme om grillfester i påsken)

S/MIME er IMHO for komplekst og utroværdigt, fordi man typisk skal stole på en CA, jeg stoler mest på mig selv, og kun engang imellem, hvis jeg er ædru - måske. Så hvorfor skal vi stole på en CA for at bruge sikker email?

Så nej, vi får ikke sikker email og uanset om links forbydes i de emails som Skat sender ud, vil det ikke forhindre andre i at sende emails med Skat logoer og få folk til at klikke på de links der er sendt med. OpenPGP på emails fra Skat ville være fint, og det har virket for mange andre organisationer igennem mange år, se emails fra diverse CERT organisationer og SANS.org m.fl.

De samme folk som VED Skat ikke sender links (hvis det nu var loven) ville være de samme som kender andre måder at genkende en phishing email. Det vil således hverken løse problemet af have signatur på eller regler for hvad Skat sender ud. TIl Rene Madsen ovenfor, tillykke du er officielt stupid dane of the day. Din arrogante holdning viser en del om dit kendskab til phishingproblemet.

Pt. kan man med lidt omtanke genkende mange phishing emails på gebrokkent dansk, men kvaliteten stiger og der findes mange eksempler på emails udsendte fra originale kilder som har fejl :-(

  • 0
  • 0
#22 Christian Nobel

Jeg vil stadig hævde, at hvis vi over tid kunne komme frem til en mere hensigtsmæssig kommunikation mellem postservere, så kunne vi komme langt.

Problemerne skal adresseres på postserver niveau, ikke klient niveau - men det kræver nye RFC'er.

Jeg vil mene, at hvis man gør på følgende måde:

Forudsætning:

Postserver A er en legitim postserver på et domæne - altså der skal være en MX record.

Tilsvarende for Postserver B.

En bruger skal være oprettet som bruger på en postserver.

Kommunikationen foregår så på følgende måde hvis jeg (cn@xxx.dk) vil sende en mail til f.eks. Henrik (hl@yyy.dk):

  1. På vanlig vis, fra min klient, sender jeg min mail som min postserver skal levere.

  2. Min postserver kontakter Henriks postserver, men i stedet for som på vanlig SMTP vis (glem greylisting og andet lige nu) at læsse mailen af, så sker der følgende:

yyy.dk: hej xxx.dk: hej, jeg har en mail til dig fra cn@xxx.dk yyy.dk: ok forbindelsen smides, og yyy.dk laver DNS opslag på xxx.dk (ikke Trend Micros misforståede reverse DNS!) og kontakter så xxx.dk. xxx.dk: hej yyy.dk: hej, yyy.dk her (underforstået), har du en mail fra cn til mig (i kø)? xxx.dk: ja det har jeg faktisk yyy.dk: ok, hit med den.

Hvis man gør det på den måde, og altid kommunikerer end to end postserver (ingen relaying), så skal postserveren være legitim, og klienten skal være legitim.

Som jeg ser det er der så kun to muligheder for misbrug muligt, nemlig hvis postserveren er hacket, men så kan det isoleres til udelukkelse af den pågældende server, det gør hurtigt ondt, eller hvis der bruges ikke verificerede Hotmail eller lignende navne, men det slår så hurtigt tilbage på udbyderen.

  • 1
  • 0
Log ind eller Opret konto for at kommentere