Skat: Usikkert, om brugerne kan skelne vores e-mails fra phishing-mails

Digitaliseringsstyrelsens retningslinjer anbefaler ikke-klikbare links i mails fra offentlige institutioner. Men det er svært at overholde, når Gmail og Hotmail automatisk forvandler dem til links, der kan klikkes på.

Skat har intet klart svar på, hvordan brugerne kan skelne mellem en phishing-mail og en legitim mail fra Skat.

Det skriver Skat i et e-mail-svar til Version2's historie om, at Skats henvisninger til deres hjemmeside bliver til klikbare links i populære webmails som Hotmail og Gmail..

»Skat har ikke forudsætninger for at udtale sig om, hvordan brugere i almindelighed kan skelne mellem falske og rigtige mails.«

Læs også: Gmail og Hotmail laver forbudte links i e-mails fra Skat

Version2 havde spurgt Skat, hvordan danskerne kan skelne mellem rigtige e-mails fra Skat og phishing-mails, der er ude på at franarre brugerne deres login-oplysninger.

Skat stoppede sidste år med at sende klikbare links ud til brugerne i e-mails. Det giver nemlig mulighed for, at it-kriminelle kan sende falske e-mails ud, med henvisninger til en klon af Skats hjemmeside, som så stjæler ofrets login-oplysninger.

Skat burde ellers have sit på det tørre. Skat følger nemlig retningslinjerne fra Digitaliseringsstyrelsen, hvor ikke-klikbare links defineres som links uden 'http', 'https' eller 'www' foran.

Læs også: Sådan vil Thor Möger sikre NemID mod phishing-mails

Skat vil nu overveje, hvordan de fremover skal kommunikere med e-mails til kunderne, som har tilmeldt sig Skats e-mail-service.

»Skat vil i lyset af den forskellige fremtræden hos brugerne og den senest anbefalede sikkerhedspolitik fra Digitaliseringsstyrelsen for link i e-mail fra offentlige myndigheder til borgere overveje, hvordan vi kommunikerer til de kunder, som har tilmeldt sig en e-mail service hos os,« fremgår det af svaret.

Læs også: Pærelet at narre NemID fra dig med klonede hjemmesider

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Mikkel Riber

Hvad med blot at man inde fra skat tastselv skriver en huske sætning som så sendes ud med alle mails fra skat. Selvfølgelig skal folk så huske at denne sætning er en del af alle mails skat sender ud.

  • 0
  • 2
#2 Jesper Hedemann

Den idé er ikke særlig gennemtænk, når man så gensemskuer hvilken sætning der er så kan man jo bare kopier den med i en falsk mail.

Det er nemmer og fjerne linket i mailen, så folk selv skal gå ind på skats egen hjemmeside skat.dk og tag den derfra.

Mener faktisk at idé kommer her fra version2

  • 1
  • 1
#4 Adam Tulinius

Hvis forslaget med at fjerne links skulle give mening, så skulle det være et krav at fjerne adresser helt fra de emails der sendes ud. Men en vigtig pointe der ignoreres er altså at scammere stadigvæk bare kan smide et link med, og det vil snyde størstedelen af befolkningen (nej, jeg har ingen fin statistik til at underbygge dette, men lad os nu være realistiske mht. befolkningens generelle IT-formåen).

Heldigvis ligger en god løsning jo lige til højrebenet (som andre er inde på); SKAT!, signér jeres emails, få alle andre offentlige myndigheder med på idéen, og undervis borgerne i at ignorere usignerede emails.

  • 4
  • 0
#5 Thue Kristensen

Skat stoppede sidste år med at sende klikbare links ud til brugerne i e-mails. Det giver nemlig mulighed for, at it-kriminelle kan sende falske e-mails ud, med henvisninger til en klon af Skats hjemmeside, som så stjæler ofrets login-oplysninger.

Nej det gør ej. Skat har ikke for alvor prøvet at informere brugerne om, at de ikke sender emails med links ud. Så den gennemsnitlige bruger ved ikke, at et link i en email fra skat er et tegn på fishing, og brugeren vil gladeligt falde for den næste fishing-email. Og hvis hvert websted som sender emails ud har sit eget sæt af lignende arbitrære regler, så lærer brugerne det da aldrig.

Plus at skat da er nød til at henvise til en www-side på en eller anden måde, om så det adressen bliver skrevet ulinket. Men så kan phishere jo bare selv skrive adressen på et vellignende phishing-site uden at linke, og brugerne vil som de er trænet til selv taste adressen på phishing-sitet ind. Og husk at man ikke kan forvente at brugerne kender den rigtige adresse på alle de 100-vis af sider som bruger NemID (husk herlev-bibliotek.dk fra Version2's demo).

Ud over at være sikkerhedsmæssigt ineffektivt, så er det da også super besværligt ikke at måtte linke i en email.

Løsningen er at bruge fikse NemID, og så bruge det. Vedtag at NemID-login altid foregår på danid.dk, og informer brugerne om dette. Når man har været forbi en NemID-dialog på danid.dk, og er blevet sendt tilbage til siden man kom fra (fx skat.dk), så ved man at siden er reel, for ellers ville NemID ikke have sendt dig tilbage til den.

  • 3
  • 0
#6 Benjamin Krogh

Signering er alt for svært, og mangel på links har ringe opdragende effekt.

Derfor skal SKAT i fremtiden kun linke til scam og phishing sites. Således vil brugerne blive opdraget til at forstå, at alt der kan trykkes på i emails potentielt sprænger deres computer (og bankbog) i luften, og at dette potentiale stiger eksponentielt med vigtigheden af det der omtales i mailen.

  • 3
  • 0
#9 Deleted User

Mail.app på mac highlighter i hvert fald URLs uanset om de er sendt som HTML links eller blot står i ren tekst. Det er formentlig det samme i andre mailprogrammer. Så nej.. det handler ikke nødvendigvis om kompetancer hos SKAT.

  • 1
  • 0
#11 Tom Paamand

Skat kender vist godt teknikken med at få delvise link gjort synlige. På den side, som SKAT sendte det meste af Danmarks befolkning hen til, var linket for at komme frem til Tast Selv automatisk blevet til http://www.skat.dk/www.tastselv.skat.dk?newwindow=true Det fejlagtige link lå der et par dage...

Desværre kan jeg ikke bruge mit sædvanlige fif til at sortere Skat fra snot. Når jeg fx får mail fra PayPal, indeholder den mit fulde navn, men med det fiktive mellemnavn PP. Alle "paypal"-henvendelser uden dette, kan jeg altså slette omgående. Dette har jeg gjort i alle den slags registreringer, så kun hvis nogen har stjålet et adressekartotek, er den korrekte kombination kendt.

Oven i har jeg naturligvis særlige mail-adresser til forskellige kontakter, alt ender i samme bunke, men hvis fx "skat" skriver til en forkert mail, er det slet ikke Skat. Nemt og overskueligt.

Men grundlæggende er diskussionen om at undgå direkte links i officielle email for øget sikkerhed grinagtig. Tag lige og fix DumID i stedet.

  • 0
  • 0
#12 Mikkel Riber

Den idé er ikke særlig gennemtænk, når man så gensemskuer hvilken sætning der er så kan man jo bare kopier den med i en falsk mail.

Huske sætningen vil være noget brugeren selv sætter, og derfor vil den være forskellig fra bruger til bruger. Så hvis den falske mail skal indeholde denne betyder det er hackeren allerede har hacket brugerens email eller tast selv - og så er phising mails ret ligegyldige.

Huske sætningen bruger man blandt andet hos nogle banker samt Verified by VISA.

  • 0
  • 0
Log ind eller Opret konto for at kommentere