Pinligt: Skat sender stadig ’phishing’-mails

Skatteministeren ville onsdag med 'øjeblikkelig virkning' stoppe udsendelsen af mails med links til login-sider. Torsdag morgen sender Skat stadig e-mails med links.

Onsdag skrev Version2, at det nu er definitivt slut med at modtage masseudsendte e-mails fra Skat, som linker til en side, hvor du kan logge på med NemID. Det sker, efter skatteminister Thor Möger Pedersen (SF) i et svar i Folketinget slog fast, at Skat ændrer praksis 'med øjeblikkelig virkning'. Alligevel sender Skat fortsat opfordrede mails med links til borgerne.

Læs også: Skat dropper 'phishing-mails' med øjeblikkelig virkning

Torsdag morgen modtog Jon Hauge en mail fra Skat med en opfordring til at logge ind på TastSelv. I mailen var også et link til Skats TastSelv-service. Den mail modtog han, fordi han i går aftes havde kontaktet Skat om sin forskudsopgørelse.

»Det er en del af en korrespondance fra Skat, men det er fuldstændig samme problematik som de andre mails. Det slår mig bare, at de garanteret har glemt at tjekke alle mails,« siger Jon Hauge til Version2.

E-mails fra det offentlige med links til login-sider er problematiske, fordi DanID, der står bag NemID, som led i sikkerheds-setuppet argumenterer med, at NemID, banker og offentlige tjenester normalt aldrig vil sende en uopfordret e-mail med et link, hvor man skal logge ind med NemID.

Udsagnet strider mod både Skats og Danske Banks hidtidige praksis for masseudsendte e-mails, og det var på baggrund af dette, at skatteministeren udtalte følgende i Folketinget:

»Digitaliseringsstyrelsen har i denne uge gjort opmærksom på, at banker og det offentlige fremadrettet af sikkerhedsmæssige årsager ikke bør udsende uopfordrede mails til borgere med links til NemID-login-sider. Derfor ændrer Skat med øjeblikkelig virkning praksis.«

Hos Skat lyder forklaringen, at de udelukkende er blevet kontaktet af Digitaliseringsstyrelsen angående masseudsendte og uopfordrede mails.

Kontorchef i Skatteministeriets vejledningskontor Natascha Dexters mener dog ikke, at problemstillingen om opfordrede og uopfordrede mails er den samme:

»Jeg synes ikke, man kan sige, at fordi vi har sagt, at vi ændrer praksis i forhold til masseudsendelser og uopfordrede mails, at det er den samme problematik med opfordrede mails.«

Der burde vel bare stå, at man har fået en besked på Skat, og at man så skal logge ind, uden der er et link i mailen?

»Ja, det kan godt være, vi skal kigge på det. Men det er ikke det, problemstillingen har handlet om. Det, man har talt om, er ikke, om mails er opfordrede, som denne her er. Der skulle man have en fornemmelse af, at borgeren godt ved, at der kommer et svar fra Skat. Den problematik, vi har udtalt os om, handler om, at man som borger, der ikke har rettet henvendelse til Skat, alligevel får en besked om at skulle logge ind.«

Læs også: Skat dropper links i e-mails: Sikkerhed kommer før brugervenlighed

Så du kan ikke se noget problem i, at man sender links i opfordrede mails?

»Det er i hvert fald ikke det, vi har sagt, vi ville ændre praksis i forhold til. Det er klart, at hvis Digitaliseringsstyrelsen i deres retningslinjer siger, at man også skal være opmærksom på denne her type mails, så tager vi selvfølgelig det til efterretning og får kigget på vores praksis på det område, men det er bare ikke der, problemstillingen har været.«

»Det undrer mig, at det ikke er blevet løst, uanset at jeg har opfordret dem til at sende en mail til mig, fordi jeg kontaktede Skat i går aftes,« siger Jon Hauge til Version2.

Det har ikke været muligt at få en kommentar fra skatteministeren inden deadline.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 John Anker Corneliussen

Tja der ser for mig ud som om at CSC som udsender disse mails for skat har "glemt" rfc 2821 afs 3.6 samt 4.1.4 mht heloname.

"An SMTP server MAY verify that the domain name parameter in the EHLO command actually corresponds to the IP address of the client."

Maileren siger "jeg hedder sktsens01mas03.csc.dk" samtidig med at den connecter fra 147.29.27.196. slår man sktsens01mas03.csc.dk op i dns fås 147.29.109.227...

Mon ikke csc og skat skulle se at få rettet deres heloname på tastselv spammeren ...

[ ip=147.29.27.196 rdns=skat.csc.dk helo=sktsens01mas03.csc.dk by=frederik.danak.lan ident= envfrom= intl=0 id =C5BA9121815D auth= msa=0 ] [ ip=147.29.11.17 rdns=dkcscd12.csc.dk helo=SMTP by= sktsens01mas03.csc.dk ident= envfrom= intl=0 id=pAA2lgWs023943 auth= msa=0 ]

  • 6
  • 0
#3 Klaus Skelbæk Madsen

Er det bare mig, eller vil en phishing mail ikke virke meget bedre hvis den ser ud til at være opfordret?

En mail med en tekst ala: "Vi har nu godkendt dine ændringer til forskudsopgørelsen. Du kan se din nye forskudsopgørelse ", ville da lokke flere til at klikke på linket end: "Din forskudsopgørelse er nu klar, du kan se den ". Specielt hvis man ved at man ikke har lavet nogle ændringer til sin forskudsopgørelse.

Det kan diskuteres om link forbudet vil have en effekt, men det er rimeligt klart at det vil kun kunne have en effekt hvis det gælder for al mail kommunikation.

  • 3
  • 0
#4 Lars Lundin

Ja.

For lige at skære det ud i pap, så ser det sådan her ud, når et man-in-the-middle angreb forsøges mod to parter, der har udvekslet de nøgler som en rigtig digital signatur består af (eksemplet er fra ssh):

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)!

Så hvis vi nu kunne få en rigtig digital signatur, så ville også de EDB-udfordrede kunne stole på at de vitterligt loggede ind det rigtige sted, uden at skulle skønne om en given mail er et phishing-forsøg eller ej.

  • 5
  • 0
#5 Daniel Udsen

Er det ikke symptomatisk for hele erfæren af politikerne/PR folkne siger det stik modsatte af hvad systemerne praktisk gør, hvilket kunne tyde på at man i danid/digitaliseringstyrelse/staten ingen effektiv process kontrol har.

Det er ligeprecis sådan nogle missere som ITIL/ISO9001 og hvad man ellers rutinemæssigt kræver i udbud skal garentere ikke sker. Noget kunne tyde på man har "glemt" at føre kontrol med nemid implementationerne rundt omkring.

  • 0
  • 0
#6 Thue Kristensen

... men som mange har påpeget, løser et udeladt link på ingen måde problemerne bag ved. Så spørg venligst skatteministeren, hvorfor han tror sådanne symbolske løsninger er nok.

Godt at det er top-kommentaren! Problemet er ikke at der sendes breve med links ud - problemet er at NemID ikke er designet, så man som bruger kan verificere hvem man sender sit password til. I modsætning til andre single sign-on designs.

  • 3
  • 0
Log ind eller Opret konto for at kommentere