Skat og phishing-svindlere gør det samme: Beder om dine kreditkortoplysninger

Illustration: leowolfert/Bigstock
Hvordan kan Skat advare borgere mod at indtaste kreditkortoplysninger, når Skat selv beder om samme oplysninger til indbetaling af restskatten? Læs it-direktørens forklaring.

En ekstremt vellavet phishing-mail, der er tæt på at være en tro kopi af en autentisk mail om årsopgørelsen fra Skat, har udfordret Skats politikker for, hvad man kan bede borgerne om.

Læs også: Pas på: Ekstremt vellavet snydemail fra 'SKAT' hærger danske indbakker

Phishing-mailen leder nemlig modtageren hen på et website, der er udformet som en Skat-hjemmeside, hvorefter brugeren bliver bedt om at indtaste sine kreditkortinformationer.

Som reaktion har Skat udsendt en pressemeddelelse, hvoraf det fremgår, at Skat aldrig vil bede om "kreditkort- og andre personlige oplysninger" pr. mail.

Læs også: Kreditkortbommert i phishing-advarsel fra Skat

Problemet er dog ikke løst ved, at Skat slår fast, at man ikke beder om kreditkortoplysninger pr. mail. Den omtalte mail beder nemlig ikke om "kreditkortkoplysninger pr. mail" - den leder i stedet hen til et website, hvor offeret bliver forsøgt narret til at udlevere oplysningerne. Version2 har tidligere har dokumenteret, at man som borger sagtens kan blive bedt om at indtaste sit kreditkortnummer hos Skat - blandt andet, når man skal indbetale restskat.

Derfor har Version2 bedt Skats it-direktør Jan Topp om at forklare, hvad der er op og ned i sagen.

»Vi beder ikke om kreditkort og andre personlige oplysninger i en mail. Det er en fast regel,« siger Jan Topp til Version2.

Men hvis jeg skal betale restskat, så har jeg jo netop mulighed for at gøre det med mit dankort?

»Ja, men vi vil aldrig bede om at få den slags oplysninger i en mail.«

Den omtalte phishing-mail er jo en kopi af jeres egen mail, så den beder jo heller ikke kreditkortoplysninger. Det er først, når man klikker ind på den linkede hjemmeside?

»Som borger skal man være opmærksom på, om man rent faktisk er havnet på Skats hjemmeside eller ej. I det konkrete tilfælde hedder siden noget med payment-skat/joomladevspace.com….«

Men når jeg skal betale restskat, havner jeg på en side, der hedder noget med dibs.com. Hvordan skal jeg som almindelig netbruger kunne se forskel?

»Man skal være enormt påpasselig hver eneste gang, man opgiver sine kreditkortoplysninger. En god ide vil være at selv at indtaste skat.dk og browseren og derefter logge på med NemID eller Tast Selv-kode, så man er sikker på at man er havnet det rigtige sted.«

Kan borgerne være trygge ved at klikke på links i mails fra Skat fremover?

»Hvis man er det mindste i tvivl om, hvad man klikker på, skal man hellere ringe til Skat en gang for meget end en gang for lidt eller slette mailen.«

Læs også: Sådan beskytter du dig imod phishing-mails

Opdateret 21. marts 14.54: Artiklens overskrift er efter en henvendelse fra Skats pressefunktion ændret.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Thue Kristensen

»En god ide vil være at selv at indtaste skat.dk og browseren og derefter logge på med NemID eller TastSelv-kode, så man er sikker på at man er havnet det rigtige sted.«

Det at der er en NemID-dialog på siden garanterer ikke at siden er reel. Det har Version2 selv lavet en demonstration af. Så her har Skats sikkerhedsdirektør en misforståelse af hvordan deres egen sikkerhed virker.

Hvis der var tale om et loginsystem med en fælles login-side, så ville man ved at checke adressen på den fælles login-side blive sikker på at den side man blev sendt tilbage til var reel. Fordi den fælles login-side kunne køre en whitelist af sider den ville sende tilbage til.

Men NemID har jo af uransaglige årsager ikke en fælles loginside (eller en effektiv sikkerhedsmodel for den sags skyld).

Hvis man bare sikrer sig at adressen starter med "https://*.skat.dk", så bør man være sikker. Hvis man vil vide hvem man taler med på Internettet, så er det domainenavnet man skal kigge på; andre regler er fyldt med undtagelser og huller.

  • 7
  • 3
#5 Martin Jensen

Så må man bare håbe, at ens DNS ikke er blevet overstyret :-)

Enig!

Når jeg viser 'blinde SSL tilhængere' hvad kombinationen af en private CA, et CA Root certifikat i trusted roots og en hosts fil kan gøre ved deres PC og https://banknavn.dk - og hvor lang tid det tager mig at lave tricket - så holder de også op med at have blind tiltro til SSL.

Det er en sund øvelse for alle.

  • 5
  • 0
#7 Martin Jensen

Og hvorfor har bl.a. skats it-direktør iøvrigt ikke sørget for DNSSEC kunne man spørge.

Velsagtens fordi at hans gage + hans predefinerede fratrædelsesgodtgørelse er af en størrelse der gør, at han - som en af de få - er helt ærlig hvis han siger, at han "er pisse fscking ligeglad".

Alternativerne ville strengt taget være værre, da det ellers kunne være inkompetence eller manglende rettidig omhu etc.

  • 3
  • 0
#8 Kent Klein Degerbøl

Hvis man bare sikrer sig at adressen starter med "https://*.skat.dk", så bør man være sikker. Hvis man vil vide hvem man taler med på Internettet, så er det domainenavnet man skal kigge på; andre regler er fyldt med undtagelser og huller.

Gad vide hvor mange der ville blive snydt at et domænenavn der hedder http(s)://skat.dk.indbetaling.nu

  • 5
  • 0
#10 Kaj Kingo

Det er direkte frækt at sige at man bare kan ringe til SKAT. Jeg kan kun konstatere at det er næsten umuligt at komme igennem til SKAT. Prøv selv . Eller endnu bedre: En højtstående medarbejder skulle prøve det!

  • 2
  • 1
#11 Michael Thomsen

NemID gør kun problemet værre. Eksempel:

  1. Du får en mail med at du skal betale restskat på 489 kr inden to dage, ellers kommer der renter på 31 kr og gebyr på 100 kr oveni, og som hjælp får du et link til skat.dk.tt/betalrestskat

  2. Du klikker på linket. Der kommer en nemid-applet frem. Du indtaster dit brugernavn og kodeord. Du får en challenge, som passer med dit nemid-nøglekort (fordi angriberen nu er ved at logge ind på din netbank, hvis han kender den, og hvis ikke fordi han er ved at logge ind på e.g. tastselv.skat.dk (åh, hvilken ironi)). Du indtaster din challenge.

  3. Du får ovenstående dialogboks hvor du indtaster dine kreditkort numre og får et ok med at beløbet er trukket.

  4. Du er glad og tilfreds fordi du har betalt din restskat og undgået renter og gebyrer.

  5. Hackeren er glad fordi han har nu alle dine kortoplysninger. Enten har han tjent 489 kr (og vil først blive opdaget om adskillige måneder når folk opdager, at restskatten ikke er betalt), eller langt mere fordi han a. har overflyttet en bunke penge fra din netbank, b. har hævet et andet beløb end de 489 kr, c. nu kan begynde at bruge dit kreditkort på andre webshops og/eller d. kan sælge dine verificerede kreditkortoplysninger til andre.

Vi er tilbage ved de gamle problemer, at nemid ikke er en to-vejs autentificering og ikke er beskyttet imod man-in-the-middle angreb.

  • 6
  • 0
#12 Niels Dybdahl

Som skats it-direktør siger, skal man selv indtaste adressen og ikke bruge links i emails. Så er det jo godt at den kommende generation lærer i folkeskolen at der hvis der er links til passwordsider i en email, så er det nok tale om phishing. Nå nej, det gør de ikke. SkoleIntra sender konsekvent emails ud med links til indlogningssider. Og eleverne i min yngstes drengs klasse har forbud mod at skifte deres password (som er deres fødselsdato).

  • 1
  • 0
Log ind eller Opret konto for at kommentere