Skat: Pas på, vi sender stadig e-mails med links

Kære skat Der er stadig for mange problemer med jeres service. Og for få oplysninger når det er galt fat. Som nu her sidst jeg skulle indberette moms. Jeg måtte gennem 3 forskellige browsere, inden jeg pudsede min støvede ie af og allernådigstblev lukket indenfor. I lyset af de senete nemid knæk, så burde jeg nok have kontaktet skat og forhørt mig om, hvorfor de ikke reagerede på mine logins. Heldigvis forholdt det sig som jeg troede; deres skrammel af en hjemmeside kunne ikke hitte ud af det, med mindre jeg brugte ie. På intet tidspunkt modtog jeg en melding om, at det der skete på skærmen, var utilsigtet. Jeg blev blot sendt tilbage til start, når jeg prøvede at logge ind.

Så hvis vi lever op til skats opfordring om at tænke os om, så får skat mere end rigeligt at se til, indtil de får rettet fejlene.

Det sjove er, at eogs.dk (bekræftet af dem selv) faktisk kun fungerer i Firefox når man skal lave ændringer i virksomhedsregisteret og at dét afstedkommer en email fra Skat, hvori der er et link til skat.dk som per ovenstående. Jo, det bliver et ganske langt og sejt træk at digitalisere Danmark.

Jeg indberettede da moms for nylig med firefox 10, uden nemid, men med login og password

http://phisingsite.com?www.skat.dk/kopi_af_skattefars_forside_med_link_t... ??

Det opfylder kriteriet om at domænenavnet skat.dk skal optræde.... Og vil givetvis kunne narre nok til at det er interessant - ideen er hermed givet videre - fat det nu, NemId er en om'er..

Det er rart, at Skat har indset, at NemID ikke kan lappes ved blot at lade være med at sende links til folk.

Selv hvis ingen ærlige mennesker sendt links, ville folk jo alligevel falde i, første gang, der kom et link fra en phisker. "Nå, Skat er endelig begyndt at sende links til mig".

Skat udmærker sig iøvrigt ved, at man kan bruge mange af deres services uden NemID. Tak for det!

et værre problem er at mails oftest er i HTML - og et link til f.ex. www.fisker.com kan sagtens se sådan ud: www.skat.dk - så man ikke kan se det, uden at kigge på HTML koden - og ikke alle email klienter advarer om at dette muligvis kan være en falsk email (og de kan jo tage fejl- og så ignorer folk mail klientens advarsel).

Derudover er der hele IDN problematikken - at bogstaver i andre alfabeter ligner bogstaver i vores, således at et link til www.skat.dk kan være et link hvor det der ligner et a kunne være et cyrillisk a.

så skal angriberen bare være heldig med at få købt et sådant domæne i f.ex. .nu eller lign. domæneansvarlig (kan man forhåbentlig ikke hos DK-Hostmaster) og så er det nemt at snyde. så vil er så stå www.skat.nu selvfølgelig..

Man kan også DNS Spoofe osv. - der er en milliard måder at snyde folk på - som ikke forudsætter at de er fjolser der slet ikke checker hvad det er de (tror!) de trykker på.

et værre problem er at mails oftest er i HTML - og et link til f.ex. www.fisker.com kan sagtens se sådan ud: www.skat.dk - så man ikke kan se det, uden at kigge på HTML koden - og ikke alle email klienter advarer om at dette muligvis kan være en falsk email (og de kan jo tage fejl- og så ignorer folk mail klientens advarsel).

Hvilket er hvorfor brugerne skal lære at læse linket når det står i adressebaren.

Derudover er der hele IDN problematikken - at bogstaver i andre alfabeter ligner bogstaver i vores, således at et link til www.skat.dk kan være et link hvor det der ligner et a kunne være et cyrillisk a.

Niks - browsernes adressebar har diverse regler indbygget, så dit eksempel med et cyrillisk a vil blive vist som punycode, som ikke kan snyde nogen.

www.skat.nu

Et eller andet sted er man nødt til at antage at brugerne ikke er totale idioter :). Man må fortælle brugerne (og ikke bare have det som en hemmelig regel) at ser skal stå https://www.skat.dk .

selv hvis de tilfældigvis anvender en tilstrækkelig ny email klient SOM faktisk forsøger at beskytte brugeren imod dette (mange bruger vist Outlook ekspress er mit indtryk - i XP udgaven) - så er der stadig problemet med en "kontrolleret - ie. hacket pc", DNS spoofing mm. tilbage.

Der er efterhånden MANGE som med garanti har malware på deres PC - som snildt kunne sikre sit at al trafik til www.skat.dk røg afsted til en anden server når angriberen ønskede det.

Det er altid muligt at finde en måde og at automatisere det - sålænge sikkerheden i NemID er som den er.

De skulle hellere tage at lave et ordentligt system, man rent faktisk kunne stole på.

Noget ordentligt challenge/response - hvor begge parter checker hinanden - og der bruges f.ex. et kort man putter i en kortlæser (eller special usb nøgle til formålet), som således skal modtage en challenge der er korrekt - for at den ved at det er "Den ID ansvarlige" der har sendt den challenge og at den ikke er blevet pillet ved.

Både det tyske og det svenske system er væsentligt nærmere end ordentlig løsning.

Jeg er sikker på at man kunne konstruere et system der var sikkert. Sikkert OG brugervenligt er selvf. så udfordringen :)

Det bliver jo nødt til at være noget med en separat enhed, der IKKE kan tilgå internettet og pilles ved.. :) - smartcard eller anden enhed til dette formål (f.ex. det pico koncept PHK blog'ede om engang)

http://www.forbes.com/sites/andygreenberg/2011/08/17/could-a-crypto-comp...

selv hvis de tilfældigvis anvender en tilstrækkelig ny email klient SOM faktisk forsøger at beskytte brugeren imod dette (mange bruger vist Outlook ekspress er mit indtryk - i XP udgaven) - så er der stadig problemet med en "kontrolleret - ie. hacket pc", DNS spoofing mm. tilbage.

[...]

De skulle hellere tage at lave et ordentligt system, man rent faktisk kunne stole på.

Med mindre du har en ekstern sikker enhed med en skærm, hvor du kan se hvad du skriver under på, så er det game over hvis din PC er kontrolleret.

I mellemtiden synes jeg at de burde lave et system, så opmærksomme borgere faktisk kan beskytte sig. Dvs sige at man kun må taste sit NemID-password ind når der står https://www.nemid.dk i adresse-linjen. I modsætning til i dag, hvor man tilsyneladende bare skal taste sit NemID-login ind hvorsomhelst.