Skat: Pas på, vi sender stadig e-mails med links

Illustration: REDPIXEL.PL/Bigstock
På trods af kritik vil Skat fortsætte med at bruge links i e-mails. Brugerne skal tænke sig om, inden de klikker, lyder opfordringen.

I en pressemeddelelse gør Skat opmærksom på, at man fortsat vil bruge links i mails. Beslutningen er taget for at gøre det nemmere for borgerne at navigere rundt på Skats hjemmeside.

»Vi vil gerne gøre det så nemt som muligt at tjekke sin årsopgørelse og få svar på spørgsmål om skat. Her kan e-mail med link være en stor hjælp,« udtaler kontorchef i Skatteministeriet, Henrik Kähler.

Læs også: Skat: Usikkert, om brugerne kan skelne vores e-mails fra phishing-mails

Skat vil dog ikke sende links ud, som fører direkte til login-sider, da det strider mod Digitaliseringsstyrelsens retningslinjer om links i e-mails.

Tænk dig om

Henrik Kähler opfordrer borgerne til at tænke sig om, før man klikker:

»I vores e-mail om årsopgørelsen for 2011 gør vi opmærksom på, at sider fra SKAT altid har domænenavnet skat.dk eller toldskat.dk i adresselinjen. Det indikerer, at man er kommet til den rigtige side,« udtaler Henrik Kähler.

Rådet for Større IT-sikkerhed har tidligere kritiseret brugen af links i mails, fordi det gør det nemmere for it-kriminielle at føre borgerne ind på falske sider, som stjæler login-oplysninger.

Læs også: Gmail og Hotmail laver forbudte links i e-mails fra Skat

»Hvis nogen laver en phishing-mail, som ligner Skats, så kan de jo skrive præcis det samme, som Skat har gjort, men lave et link, som i stedet sender folk til en phishing-side. Det vil sige, at man som borger ville være ilde stedt til at vurdere, om det her er en legitim Skat-side eller ej,« siger formanden for Rådet for Større IT-sikkerhed, Christian Wernberg-Tougaard.

Læs også: Pærelet at narre NemID fra dig med klonede hjemmesider

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Ebbe Hansen

Kære skat Der er stadig for mange problemer med jeres service. Og for få oplysninger når det er galt fat. Som nu her sidst jeg skulle indberette moms. Jeg måtte gennem 3 forskellige browsere, inden jeg pudsede min støvede ie af og allernådigstblev lukket indenfor. I lyset af de senete nemid knæk, så burde jeg nok have kontaktet skat og forhørt mig om, hvorfor de ikke reagerede på mine logins. Heldigvis forholdt det sig som jeg troede; deres skrammel af en hjemmeside kunne ikke hitte ud af det, med mindre jeg brugte ie. På intet tidspunkt modtog jeg en melding om, at det der skete på skærmen, var utilsigtet. Jeg blev blot sendt tilbage til start, når jeg prøvede at logge ind.

Så hvis vi lever op til skats opfordring om at tænke os om, så får skat mere end rigeligt at se til, indtil de får rettet fejlene.

  • 2
  • 0
#2 Thomas Nielsen

Det sjove er, at eogs.dk (bekræftet af dem selv) faktisk kun fungerer i Firefox når man skal lave ændringer i virksomhedsregisteret og at dét afstedkommer en email fra Skat, hvori der er et link til skat.dk som per ovenstående. Jo, det bliver et ganske langt og sejt træk at digitalisere Danmark.

  • 1
  • 0
#5 Jørgen Elgaard Larsen

Det er rart, at Skat har indset, at NemID ikke kan lappes ved blot at lade være med at sende links til folk.

Selv hvis ingen ærlige mennesker sendt links, ville folk jo alligevel falde i, første gang, der kom et link fra en phisker. "Nå, Skat er endelig begyndt at sende links til mig".

Skat udmærker sig iøvrigt ved, at man kan bruge mange af deres services uden NemID. Tak for det!

  • 2
  • 0
#6 Klavs Klavsen

et værre problem er at mails oftest er i HTML - og et link til f.ex. www.fisker.com kan sagtens se sådan ud: www.skat.dk - så man ikke kan se det, uden at kigge på HTML koden - og ikke alle email klienter advarer om at dette muligvis kan være en falsk email (og de kan jo tage fejl- og så ignorer folk mail klientens advarsel).

Derudover er der hele IDN problematikken - at bogstaver i andre alfabeter ligner bogstaver i vores, således at et link til www.skat.dk kan være et link hvor det der ligner et a kunne være et cyrillisk a.

så skal angriberen bare være heldig med at få købt et sådant domæne i f.ex. .nu eller lign. domæneansvarlig (kan man forhåbentlig ikke hos DK-Hostmaster) og så er det nemt at snyde. så vil er så stå www.skat.nu selvfølgelig..

Man kan også DNS Spoofe osv. - der er en milliard måder at snyde folk på - som ikke forudsætter at de er fjolser der slet ikke checker hvad det er de (tror!) de trykker på.

  • 1
  • 0
#7 Thue Kristensen

et værre problem er at mails oftest er i HTML - og et link til f.ex. www.fisker.com kan sagtens se sådan ud: www.skat.dk - så man ikke kan se det, uden at kigge på HTML koden - og ikke alle email klienter advarer om at dette muligvis kan være en falsk email (og de kan jo tage fejl- og så ignorer folk mail klientens advarsel).

Hvilket er hvorfor brugerne skal lære at læse linket når det står i adressebaren.

Derudover er der hele IDN problematikken - at bogstaver i andre alfabeter ligner bogstaver i vores, således at et link til www.skat.dk kan være et link hvor det der ligner et a kunne være et cyrillisk a.

Niks - browsernes adressebar har diverse regler indbygget, så dit eksempel med et cyrillisk a vil blive vist som punycode, som ikke kan snyde nogen.

www.skat.nu

Et eller andet sted er man nødt til at antage at brugerne ikke er totale idioter :). Man må fortælle brugerne (og ikke bare have det som en hemmelig regel) at ser skal stå https://www.skat.dk .

  • 0
  • 1
#8 Klavs Klavsen

selv hvis de tilfældigvis anvender en tilstrækkelig ny email klient SOM faktisk forsøger at beskytte brugeren imod dette (mange bruger vist Outlook ekspress er mit indtryk - i XP udgaven) - så er der stadig problemet med en "kontrolleret - ie. hacket pc", DNS spoofing mm. tilbage.

Der er efterhånden MANGE som med garanti har malware på deres PC - som snildt kunne sikre sit at al trafik til www.skat.dk røg afsted til en anden server når angriberen ønskede det.

Det er altid muligt at finde en måde og at automatisere det - sålænge sikkerheden i NemID er som den er.

De skulle hellere tage at lave et ordentligt system, man rent faktisk kunne stole på.

Noget ordentligt challenge/response - hvor begge parter checker hinanden - og der bruges f.ex. et kort man putter i en kortlæser (eller special usb nøgle til formålet), som således skal modtage en challenge der er korrekt - for at den ved at det er "Den ID ansvarlige" der har sendt den challenge og at den ikke er blevet pillet ved.

Både det tyske og det svenske system er væsentligt nærmere end ordentlig løsning.

Jeg er sikker på at man kunne konstruere et system der var sikkert. Sikkert OG brugervenligt er selvf. så udfordringen :)

Det bliver jo nødt til at være noget med en separat enhed, der IKKE kan tilgå internettet og pilles ved.. :) - smartcard eller anden enhed til dette formål (f.ex. det pico koncept PHK blog'ede om engang)

  • 0
  • 0
#10 Thue Kristensen

selv hvis de tilfældigvis anvender en tilstrækkelig ny email klient SOM faktisk forsøger at beskytte brugeren imod dette (mange bruger vist Outlook ekspress er mit indtryk - i XP udgaven) - så er der stadig problemet med en "kontrolleret - ie. hacket pc", DNS spoofing mm. tilbage.

[...]

De skulle hellere tage at lave et ordentligt system, man rent faktisk kunne stole på.

Med mindre du har en ekstern sikker enhed med en skærm, hvor du kan se hvad du skriver under på, så er det game over hvis din PC er kontrolleret.

I mellemtiden synes jeg at de burde lave et system, så opmærksomme borgere faktisk kan beskytte sig. Dvs sige at man kun må taste sit NemID-password ind når der står https://www.nemid.dk i adresse-linjen. I modsætning til i dag, hvor man tilsyneladende bare skal taste sit NemID-login ind hvorsomhelst.

  • 0
  • 0
Log ind eller Opret konto for at kommentere