Skat: Pas på, vi sender stadig e-mails med links

1. marts 2012 kl. 16:0310
På trods af kritik vil Skat fortsætte med at bruge links i e-mails. Brugerne skal tænke sig om, inden de klikker, lyder opfordringen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

I en pressemeddelelse gør Skat opmærksom på, at man fortsat vil bruge links i mails. Beslutningen er taget for at gøre det nemmere for borgerne at navigere rundt på Skats hjemmeside.

»Vi vil gerne gøre det så nemt som muligt at tjekke sin årsopgørelse og få svar på spørgsmål om skat. Her kan e-mail med link være en stor hjælp,« udtaler kontorchef i Skatteministeriet, Henrik Kähler.

Skat vil dog ikke sende links ud, som fører direkte til login-sider, da det strider mod Digitaliseringsstyrelsens retningslinjer om links i e-mails.

Tænk dig om

Henrik Kähler opfordrer borgerne til at tænke sig om, før man klikker:

Artiklen fortsætter efter annoncen

»I vores e-mail om årsopgørelsen for 2011 gør vi opmærksom på, at sider fra SKAT altid har domænenavnet skat.dk eller toldskat.dk i adresselinjen. Det indikerer, at man er kommet til den rigtige side,« udtaler Henrik Kähler.

Rådet for Større IT-sikkerhed har tidligere kritiseret brugen af links i mails, fordi det gør det nemmere for it-kriminielle at føre borgerne ind på falske sider, som stjæler login-oplysninger.

»Hvis nogen laver en phishing-mail, som ligner Skats, så kan de jo skrive præcis det samme, som Skat har gjort, men lave et link, som i stedet sender folk til en phishing-side. Det vil sige, at man som borger ville være ilde stedt til at vurdere, om det her er en legitim Skat-side eller ej,« siger formanden for Rådet for Større IT-sikkerhed, Christian Wernberg-Tougaard.

10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
2. marts 2012 kl. 11:39

Det er rart, at Skat har indset, at NemID ikke kan lappes ved blot at lade være med at sende links til folk.

Selv hvis ingen ærlige mennesker sendt links, ville folk jo alligevel falde i, første gang, der kom et link fra en phisker. "Nå, Skat er endelig begyndt at sende links til mig".

Skat udmærker sig iøvrigt ved, at man kan bruge mange af deres services uden NemID. Tak for det!

6
2. marts 2012 kl. 13:45

et værre problem er at mails oftest er i HTML - og et link til f.ex. www.fisker.com kan sagtens se sådan ud: www.skat.dk - så man ikke kan se det, uden at kigge på HTML koden - og ikke alle email klienter advarer om at dette muligvis kan være en falsk email (og de kan jo tage fejl- og så ignorer folk mail klientens advarsel).

Derudover er der hele IDN problematikken - at bogstaver i andre alfabeter ligner bogstaver i vores, således at et link til www.skat.dk kan være et link hvor det der ligner et a kunne være et cyrillisk a.

så skal angriberen bare være heldig med at få købt et sådant domæne i f.ex. .nu eller lign. domæneansvarlig (kan man forhåbentlig ikke hos DK-Hostmaster) og så er det nemt at snyde. så vil er så stå www.skat.nu selvfølgelig..

Man kan også DNS Spoofe osv. - der er en milliard måder at snyde folk på - som ikke forudsætter at de er fjolser der slet ikke checker hvad det er de (tror!) de trykker på.

7
2. marts 2012 kl. 14:13

et værre problem er at mails oftest er i HTML - og et link til f.ex. <a href="http://www.fisker.com">www.fisker.com</a&gt; kan sagtens se sådan ud: <a href="www.fisker.com"></a><a href="http://www.skat.dk">www.skat.dk</a&gt; - så man ikke kan se det, uden at kigge på HTML koden - og ikke alle email klienter advarer om at dette muligvis kan være en falsk email (og de kan jo tage fejl- og så ignorer folk mail klientens advarsel).

Hvilket er hvorfor brugerne skal lære at læse linket når det står i adressebaren.

Derudover er der hele IDN problematikken - at bogstaver i andre alfabeter ligner bogstaver i vores, således at et link til <a href="http://www.skat.dk">www.skat.dk</a&gt; kan være et link hvor det der ligner et a kunne være et cyrillisk a.

Niks - browsernes adressebar har diverse regler indbygget, så dit eksempel med et cyrillisk a vil blive vist som punycode, som ikke kan snyde nogen.

www.skat.nu

Et eller andet sted er man nødt til at antage at brugerne ikke er totale idioter :). Man må fortælle brugerne (og ikke bare have det som en hemmelig regel) at ser skal stå https://www.skat.dk .

8
2. marts 2012 kl. 15:34

selv hvis de tilfældigvis anvender en tilstrækkelig ny email klient SOM faktisk forsøger at beskytte brugeren imod dette (mange bruger vist Outlook ekspress er mit indtryk - i XP udgaven) - så er der stadig problemet med en "kontrolleret - ie. hacket pc", DNS spoofing mm. tilbage.

Der er efterhånden MANGE som med garanti har malware på deres PC - som snildt kunne sikre sit at al trafik til www.skat.dk røg afsted til en anden server når angriberen ønskede det.

Det er altid muligt at finde en måde og at automatisere det - sålænge sikkerheden i NemID er som den er.

De skulle hellere tage at lave et ordentligt system, man rent faktisk kunne stole på.

Noget ordentligt challenge/response - hvor begge parter checker hinanden - og der bruges f.ex. et kort man putter i en kortlæser (eller special usb nøgle til formålet), som således skal modtage en challenge der er korrekt - for at den ved at det er "Den ID ansvarlige" der har sendt den challenge og at den ikke er blevet pillet ved.

Både det tyske og det svenske system er væsentligt nærmere end ordentlig løsning.

Jeg er sikker på at man kunne konstruere et system der var sikkert. Sikkert OG brugervenligt er selvf. så udfordringen :)

Det bliver jo nødt til at være noget med en separat enhed, der IKKE kan tilgå internettet og pilles ved.. :) - smartcard eller anden enhed til dette formål (f.ex. det pico koncept PHK blog'ede om engang)

10
2. marts 2012 kl. 17:17

selv hvis de tilfældigvis anvender en tilstrækkelig ny email klient SOM faktisk forsøger at beskytte brugeren imod dette (mange bruger vist Outlook ekspress er mit indtryk - i XP udgaven) - så er der stadig problemet med en "kontrolleret - ie. hacket pc", DNS spoofing mm. tilbage.</p>
<p>[...]</p>
<p>De skulle hellere tage at lave et ordentligt system, man rent faktisk kunne stole på.

Med mindre du har en ekstern sikker enhed med en skærm, hvor du kan se hvad du skriver under på, så er det game over hvis din PC er kontrolleret.

I mellemtiden synes jeg at de burde lave et system, så opmærksomme borgere faktisk kan beskytte sig. Dvs sige at man kun må taste sit NemID-password ind når der står https://www.nemid.dk i adresse-linjen. I modsætning til i dag, hvor man tilsyneladende bare skal taste sit NemID-login ind hvorsomhelst.

1
1. marts 2012 kl. 16:33

Kære skat Der er stadig for mange problemer med jeres service. Og for få oplysninger når det er galt fat. Som nu her sidst jeg skulle indberette moms. Jeg måtte gennem 3 forskellige browsere, inden jeg pudsede min støvede ie af og allernådigstblev lukket indenfor. I lyset af de senete nemid knæk, så burde jeg nok have kontaktet skat og forhørt mig om, hvorfor de ikke reagerede på mine logins. Heldigvis forholdt det sig som jeg troede; deres skrammel af en hjemmeside kunne ikke hitte ud af det, med mindre jeg brugte ie. På intet tidspunkt modtog jeg en melding om, at det der skete på skærmen, var utilsigtet. Jeg blev blot sendt tilbage til start, når jeg prøvede at logge ind.

Så hvis vi lever op til skats opfordring om at tænke os om, så får skat mere end rigeligt at se til, indtil de får rettet fejlene.

3
1. marts 2012 kl. 22:53

Jeg indberettede da moms for nylig med firefox 10, uden nemid, men med login og password

2
1. marts 2012 kl. 18:39

Det sjove er, at eogs.dk (bekræftet af dem selv) faktisk kun fungerer i Firefox når man skal lave ændringer i virksomhedsregisteret og at dét afstedkommer en email fra Skat, hvori der er et link til skat.dk som per ovenstående. Jo, det bliver et ganske langt og sejt træk at digitalisere Danmark.