Skat og phishing-svindlere gør det samme: Beder om dine kreditkortoplysninger

20. marts 2013 kl. 12:2312
Hvordan kan Skat advare borgere mod at indtaste kreditkortoplysninger, når Skat selv beder om samme oplysninger til indbetaling af restskatten? Læs it-direktørens forklaring.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

En ekstremt vellavet phishing-mail, der er tæt på at være en tro kopi af en autentisk mail om årsopgørelsen fra Skat, har udfordret Skats politikker for, hvad man kan bede borgerne om.

Phishing-mailen leder nemlig modtageren hen på et website, der er udformet som en Skat-hjemmeside, hvorefter brugeren bliver bedt om at indtaste sine kreditkortinformationer.

Som reaktion har Skat udsendt en pressemeddelelse, hvoraf det fremgår, at Skat aldrig vil bede om "kreditkort- og andre personlige oplysninger" pr. mail.

Problemet er dog ikke løst ved, at Skat slår fast, at man ikke beder om kreditkortoplysninger pr. mail. Den omtalte mail beder nemlig ikke om "kreditkortkoplysninger pr. mail" - den leder i stedet hen til et website, hvor offeret bliver forsøgt narret til at udlevere oplysningerne. Version2 har tidligere har dokumenteret, at man som borger sagtens kan blive bedt om at indtaste sit kreditkortnummer hos Skat - blandt andet, når man skal indbetale restskat.

Artiklen fortsætter efter annoncen

Derfor har Version2 bedt Skats it-direktør Jan Topp om at forklare, hvad der er op og ned i sagen.

»Vi beder ikke om kreditkort og andre personlige oplysninger i en mail. Det er en fast regel,« siger Jan Topp til Version2.

Men hvis jeg skal betale restskat, så har jeg jo netop mulighed for at gøre det med mit dankort?

»Ja, men vi vil aldrig bede om at få den slags oplysninger i en mail.«

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Den omtalte phishing-mail er jo en kopi af jeres egen mail, så den beder jo heller ikke kreditkortoplysninger. Det er først, når man klikker ind på den linkede hjemmeside?

»Som borger skal man være opmærksom på, om man rent faktisk er havnet på Skats hjemmeside eller ej. I det konkrete tilfælde hedder siden noget med payment-skat/joomladevspace.com….«

Men når jeg skal betale restskat, havner jeg på en side, der hedder noget med dibs.com. Hvordan skal jeg som almindelig netbruger kunne se forskel?

»Man skal være enormt påpasselig hver eneste gang, man opgiver sine kreditkortoplysninger. En god ide vil være at selv at indtaste skat.dk og browseren og derefter logge på med NemID eller Tast Selv-kode, så man er sikker på at man er havnet det rigtige sted.«

Kan borgerne være trygge ved at klikke på links i mails fra Skat fremover?

»Hvis man er det mindste i tvivl om, hvad man klikker på, skal man hellere ringe til Skat en gang for meget end en gang for lidt eller slette mailen.«

Opdateret 21. marts 14.54: Artiklens overskrift er efter en henvendelse fra Skats pressefunktion ændret.

Emner
12 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
12
Niels Dybdahl
24. marts 2013 kl. 11:09

Som skats it-direktør siger, skal man selv indtaste adressen og ikke bruge links i emails. Så er det jo godt at den kommende generation lærer i folkeskolen at der hvis der er links til passwordsider i en email, så er det nok tale om phishing. Nå nej, det gør de ikke. SkoleIntra sender konsekvent emails ud med links til indlogningssider. Og eleverne i min yngstes drengs klasse har forbud mod at skifte deres password (som er deres fødselsdato).

  • more_vert
    • insert_linkKopier link
11
Michael Thomsen
21. marts 2013 kl. 11:26

NemID gør kun problemet værre. Eksempel:

  1. Du får en mail med at du skal betale restskat på 489 kr inden to dage, ellers kommer der renter på 31 kr og gebyr på 100 kr oveni, og som hjælp får du et link til skat.dk.tt/betalrestskat

  2. Du klikker på linket. Der kommer en nemid-applet frem. Du indtaster dit brugernavn og kodeord. Du får en challenge, som passer med dit nemid-nøglekort (fordi angriberen nu er ved at logge ind på din netbank, hvis han kender den, og hvis ikke fordi han er ved at logge ind på e.g. tastselv.skat.dk (åh, hvilken ironi)). Du indtaster din challenge.

  3. Du får ovenstående dialogboks hvor du indtaster dine kreditkort numre og får et ok med at beløbet er trukket.

  4. Du er glad og tilfreds fordi du har betalt din restskat og undgået renter og gebyrer.

  5. Hackeren er glad fordi han har nu alle dine kortoplysninger. Enten har han tjent 489 kr (og vil først blive opdaget om adskillige måneder når folk opdager, at restskatten ikke er betalt), eller langt mere fordi han a. har overflyttet en bunke penge fra din netbank, b. har hævet et andet beløb end de 489 kr, c. nu kan begynde at bruge dit kreditkort på andre webshops og/eller d. kan sælge dine verificerede kreditkortoplysninger til andre.

Vi er tilbage ved de gamle problemer, at nemid ikke er en to-vejs autentificering og ikke er beskyttet imod man-in-the-middle angreb.

  • more_vert
    • insert_linkKopier link
10
Kaj Kingo
21. marts 2013 kl. 10:45

Det er direkte frækt at sige at man bare kan ringe til SKAT. Jeg kan kun konstatere at det er næsten umuligt at komme igennem til SKAT. Prøv selv . Eller endnu bedre: En højtstående medarbejder skulle prøve det!

  • more_vert
    • insert_linkKopier link
8
Kent Klein Degerbøl
20. marts 2013 kl. 18:55

Hvis man bare sikrer sig at adressen starter med "https://*.skat.dk", så bør man være sikker. Hvis man vil vide hvem man taler med på Internettet, så er det domainenavnet man skal kigge på; andre regler er fyldt med undtagelser og huller.

Gad vide hvor mange der ville blive snydt at et domænenavn der hedder http(s)://skat.dk.indbetaling.nu

  • more_vert
    • insert_linkKopier link
9
Martin Nyhjem
21. marts 2013 kl. 09:34

Det er der mange der ville. Det samme med tastselv.skal.dk. Specielt hvis du laver det som et link, hvor teksten er stavet rigtigt, men selve urlen har "stavefejlen". Folk vil ikke opdage noget som helst, og det er derfor der er så god en forretning for nogen mennesker :)

  • more_vert
    • insert_linkKopier link
6
Richard Bundgaard
20. marts 2013 kl. 15:05

Kombinationen er OK, den mangler dog udbredelse og deraf følgende browser understøttelse.

  • Og hvorfor har bl.a. skats it-direktør iøvrigt ikke sørget for DNSSEC kunne man spørge.

check selv via: http://dnssec-debugger.verisignlabs.com

  • more_vert
    • insert_linkKopier link
1
Thue Kristensen
20. marts 2013 kl. 13:16

»En god ide vil være at selv at indtaste skat.dk og browseren og derefter logge på med NemID eller TastSelv-kode, så man er sikker på at man er havnet det rigtige sted.«

Det at der er en NemID-dialog på siden garanterer ikke at siden er reel. Det har Version2 selv lavet en demonstration af. Så her har Skats sikkerhedsdirektør en misforståelse af hvordan deres egen sikkerhed virker.

Hvis der var tale om et loginsystem med en fælles login-side, så ville man ved at checke adressen på den fælles login-side blive sikker på at den side man blev sendt tilbage til var reel. Fordi den fælles login-side kunne køre en whitelist af sider den ville sende tilbage til.

Men NemID har jo af uransaglige årsager ikke en fælles loginside (eller en effektiv sikkerhedsmodel for den sags skyld).

Hvis man bare sikrer sig at adressen starter med "https://*.skat.dk", så bør man være sikker. Hvis man vil vide hvem man taler med på Internettet, så er det domainenavnet man skal kigge på; andre regler er fyldt med undtagelser og huller.

  • more_vert
    • insert_linkKopier link
4
Carsten Hansen
20. marts 2013 kl. 14:10
Hvis man bare sikrer sig at adressen starter med "https://*.skat.dk", så bør man være sikker. Hvis man vil vide hvem man taler med på Internettet, så er det domainenavnet man skal kigge på; andre regler er fyldt med undtagelser og huller.

Så må man bare håbe, at ens DNS ikke er blevet overstyret :-)

  • more_vert
    • insert_linkKopier link
2
Thue Kristensen
20. marts 2013 kl. 13:29

I mange tilfælde vil de kriminelle jo netop være ude efter din NemID-kode, som kan bruges til at tømme din bankkonto. Så sikkerhedschefens råd om "hvis du er usikker på om du er på en phishing-side, så indtast din NemID-kode" er jo helt forrykt.

  • more_vert
    • insert_linkKopier link
3
Thue Kristensen
20. marts 2013 kl. 13:47

Men måske er det ikke det han siger, han nævner jo at man skal checke adressen først. Så ignorer de to svar ovenfor :).

  • more_vert
    • insert_linkKopier link