Mystik om skræmmende besked fra Skats app: Du har været udsat for phishing

skat
Der er midlertidigt lukket for indberetning af moms via Skats app.

Skat har lukket ned for en funktion til momsindberetning på styrelsens app. Omkring tidspunktet for lukningen rettede Version2 henvendelse til Skat på baggrund af et læsertip om, at den nu lukkede funktion gav brugeren en advarsel om et igangværende phishing-angreb.

Ifølge Skat hænger lukningen af funktionen dog sammen med problemer i forhold til brugergrænsefladen.

En læser stødte på ovenstående phishing-meddelelse under et forsøg på momsindberetning via Skats app.

»'Indberet moms' i Skats app blev midlertidigt lukket torsdag i sidste uge (nu forrige uge, red.). Det skete, fordi vi opdagede en fejl i servicens grafiske layout, som gjorde, at visningen i app’en ikke var optimal. For ikke at give brugerne en dårlig oplevelse ved brug af app’en valgte vi at lukke for at indberette momsen via app og i stedet henvise til at indberette via skat.dk. Vi arbejder på en løsning, men har endnu ikke et tidsestimat,« oplyser Rikke Madsen fra Presse og Kommunikation hos Skat via mail.

Version2 rettede i første omgang henvendelse til Skat i forhold til app'en og momsindberetning på baggrund af en læserhenvendelse fra fredag den 1. september. Det er dagen efter, at Skat oplyser, at man valgte at lukke for momsindberetningen i app'en.

Phishing

Læserhenvendelsen handlede som sådan ikke om brugergrænseflade-problemer, men om en advarsel om phishing, som læseren oplyser, han var blevet introduceret for under et forsøg på at tilgå moms-indberetningsdelen.

Det er ikke lykkedes at få en nærmere forklaring fra Skat på, hvad phishing-beskeden i den iøvrigt fejlramte momsindberetningsfunktion kan skyldes.

»Vi er stadig i gang med at undersøge, hvad det skyldes, at en bruger har fået en phishing-besked – herunder om der er tale om en fejl eller i værste tilfælde phishing,« oplyser Rikke Madsen via mail og fortsætter:

»De forskellige funktioner i Skats app er selvfølgelig testet, inden de er lanceret i vores app. Funktionen 'Indberet moms' har da også fungeret efter hensigten indtil i sidste uge (forrige uge, red.).«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (7)

Kommentarer (7)
Konstantin Slavin-Borovskij

Det kan vel godt forstås således, at beskeden om phishing er en fejl i brugergrænsefladen, hvis den vises på et forkert tidspunkt / ved falsk positiv. Mit umiddelbare gæt ville være, at indberet-siden kigger på hvorfra brugeren kommer derind, og hvis det ikke er fra *skat.dk/*, så viser de advarslen. Men noget i opbygningen af app'en har ændret sig, så de bliver fanget i deres eget filter. Ren spekulation naturligvis.

Simon Mikkelsen

Det var også min tanke. Et tjek på referer der ikke matcher det forventede. Man har måske været mere præcis end bare skat.dk og fordi den url har ændret sig virker tjekket ikke mere.

Det er et fornuftigt tjek at have, men det kræver at man koordinerer nogle ting. Det kan være det er lavet af en fornuftig udvikler uden den store koordinering, deraf forvirringen.

Man skal huske at SKAT ikke er et lille udviklerhus. Vi har SKAT, så har vi en del af organisationen der har med drift at gøre, den enkelte leverandør drifter måske deres system, som så bliver flettet ind i skat.dk, og denne del har leverandøren ingen indflydelse på. Man skal virkelig holde tungen lige i munden.

Peter Hansen

Et tjek på referer der ikke matcher det forventede.

Det er et fornuftigt tjek at have


Jeg er meget enig med dig i, at den mest sandsynlige forklaring er, at Skat blander sig i hvilken referer-URL man som besøgende har anvendt til at ankomme til den angivne adresse.

Når det er sagt så vil jeg erklære mig lodret uenig i din holdning om, at det er "et fornuftigt tjek at have". Skat skal overhovedet ikke blande sig i, om jeg eller andre har lyst til at bookmarke en URL eller oprette en selv-hosted side med link til den pågældende URL. Adfærden minder desværre meget om den misforståede formynderiskhed, som Skat tidligere har givet udtryk for ved at nægte folk, der brugte OS/X eller Windows 8 tilladelse til at downloade PDF'er pga. risikoen for, at dette skete ved en "offentligt tilgængelig maskine".

Mogens Lysemose

Det er uheldigt hvis det (meget realistisk) er en falsk positiv - f.eks. skyldes en ændring i serverdriften hvor man ikke havde tænkt på app'ens sikkerhedstjek.
Når man ikke ved hvordan tjekket teknisk er lavet bør man ikke ophøje sig til dommer!
Men der er så mange angreb på nettet så det er overordentligt fornuftigt at bygge sikkerhed ind i central infrastruktur. Se bare hvor galt det gik med Ukraines software til skatteindberetning (=> verdensomspændende cryptolocker-epidemi).

Jesper S. Møller

Hvis et webside virkelig vil udgive sig for at være SKAT, så er en kryptisk fejlbesked da netop en god strategi...

Fra "The Untouchables":
Malone: You're a treasury officer.
Elliot Ness: Yeah, how do you know that? I just told you I was.
Malone: Who would claim to be that, who was not?

Nå, spøg til side:

Altså, et phishingforsøg ville være hvis en falsk SKAT-lignende side forsøgte at få brugeren til at gøre noget (f.eks. logge ind med "tast-selv"-kode) i tro på at brugeren allerede var på SKATs side.
En sådan aktivitet kan SKAT jo af gode grunde ikke vide foregår, da den ikke rører deres server, MED MINDRE phishingsideer (for at virke troværdige) indeholder dybe links til SKAT-sider. Såfremt disse sider ikke "forventer" at have indgående links fra ikke-SKAT sites (målt ud fra referrer-adresse), så kan måske give en anelse mening (ud fra "defense in depth"-princippet).

App'en er jo "blot" noget lir oven på et webview, med en række faste navigations-"links" for de hyppigst anvendte funktioner. Når disse disse links aktiveres, får de ingen referrer. Hvis "phishing"-tjekket er tilføjet på webapplikationen uden at teste med app'en ... boom.

Når det så er sagt, er et referrer-tjek ikke nogen god substitut for at en egentlig CSRF-beskyttelse (cross-site request forgery). Ubeskyttet kunne SKATs løsninger jo misbruges til f.eks. afluring af information eller tilsvarende, ud fra den indloggede brugers session. Måske ikke en særlig realistisk/farlig angrebsvektor imod SKAT, men det bør være standardpraksis at beskytte systematisk imod CSRF.

Måske man hellere bare skulle logge referrer-siderne, og så reagere når nye referrer-URL'er dukker op, så man kan se om der er nye phishing-sider.

Kenn Nielsen

Når man ikke ved hvordan tjekket teknisk er lavet bør man ikke ophøje sig til dommer!


Og omvendt kunne man mene at :
"Når man ikke ved hvordan tjekket teknisk er lavet bør man ikke ændre i sine andre systemer, førend man har overblikket"...

Hvad der virkeligt bekymrer er at SKAT kommer med en ikke-info som lyder lidt i retning af:
"Det er en mindre kosmetisk fejl i grafikken, der nu gør at vi har lukket funktionen - og nu går ind i anden uge med ansvarlighed. Stol på os, vi véd hvad vi laver".

K

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 10:29

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017