Foto: Thomas Borberg(arkiv)
Nettet

Skat afviser værktøj, der bekæmper svindelmails

Google bruger det. Det samme gør TDC, Microsoft og Facebook. Men Skat vil ikke.

Nettet

Med argumentet om, at det kun vil forhindre 10 procent af svindelforsøgene, afviser Skat, at det kan nytte noget at anvende et værktøj, som kan forhindre de dygtigste svindlere i at kopiere Skats afsenderadresse i de mails, myndigheden flere gange om året sender ud til samtlige danskere om restskat, selvangivelse og forskudsopgørelse.

Det resulterer i professionelt udførte svindelmails, hvor selv it-eksperter har svært ved at skelne kopien fra den ægte email. Og danskerne er så obs på risikoen for, at når Skat står som afsender, kan det i virkeligheden være en svindelmail, at hundredtusinder af danskere deler artikler om svindelmails, som er skrevet år tilbage.

LÆS ARTIKEL

Skat har fået kritik for ikke at gøre mere ved sikkerheden i de mails, de sender ud. For eksempel anvender Skat stadig aktive links i sine mails, som svindlere så kan kopiere og forsyne med nyt, farligt indhold, som fører folk helt andre steder hen end ind på Skats hjemmeside.

It-eksperter undrer sig

Chefen for DKCERT, der overvåger netsikkerheden for flere offentlige institutioner, Shehzad Ahmad, kalder det »meget betænkeligt«, at Skat fortsætter den praksis på trods af tydelige anbefalinger om ikke at gøre det fra eksperter. Han henviser blandt andet til bankerne, som af sikkerhedsgrunde aldrig anvender links i deres mails til kunderne.

Flere it-eksperter undrer sig også over, at Skat ikke for længe siden har indført tekniske barrierer som for eksempel det gratis værktøj DMARC, som en af de helt store maildistributører i Danmark, TDC, har implementeret for at forhindre en stor del af de mest professionelt udførte svindelnumre.

DMARC kan nemlig forhindre en svindler i at kopiere en emailadresse som skat@skat.dk

DMARC forhindrer de bedst udførte falske mails

Skat argumenterer i en mail til Politiken med, at myndigheden ikke vil anvende værktøjet, fordi det ikke forhindrer nogen i at forsøge at snyde modtageren ved at sende en mail med for eksempel afsenderen skat@gmail.com eller skat@hotmail.dk

»Der findes desværre ikke en it-teknisk løsning, der kan forhindre it-kriminelle i at udsende falske (phishing) e-mails, herunder DMARC. Da mere end 90 procent af de phishing e-mails, hvor Skats navn, logo m.v. benyttes af de it-kriminelle, ikke er forsynet med en skat.dk afsenderadresse, men med f.eks. en gmail eller en hotmail, giver DMARC desværre ikke den ønskede beskyttelse«, skriver Skat i en email til Politiken, som ikke har haft mulighed for at tale med en it-ansvarlig medarbejder i Skat.

At DMARC-systemet kun spærrer for en del af svindelforsøgene, giver it-sikkerhedsekspert Henrik Schack Skat delvist ret i. Selv om det er korrekt, at DMARC ikke forhindrer alle svindelforsøg, så forhindrer det de værste.

»DMARC forhindrer de teknisk veludførte phishing emails, altså dem, hvor selv øvede it-folk har svært ved at afgøre, om emailen er falsk eller ej«, siger han.

Når Skat stadig lægger aktive links i sine mails til borgerne, tvinges myndigheden også til at have en omfattende vejledning i, hvordan borgerne selv kan beskytte sig.

»I dag er Skats vejledning i, hvordan man spotter en falsk email en forholdsvis kompliceret sag at kæmpe sig igennem for Hr. og Fru Danmark. Den forvirrer næsten mere, end den hjælper, og jeg tror, de fleste giver op undervejs«, siger Henrik Schack.

LINKSe Skats vejledning om falske emails

»Med DMARC kunne den omskrives til, at man skal huske at se, om der står @skat.dk i 'From'-feltet. Det kan ikke forfalskes, når man har DMARC implementeret«, siger han.

Men Skats brug af aktive links i mails og myndighedens afvisning af tekniske barrierer for svindelmails afføder en helt anden metode, fremgår det i en mail fra Skat til Politiken:

»Den bedste metode er advarsler i medier, herunder Skats hjemmeside, TV, radio, aviser mm. om de falske e-mails«, skriver Skat.

  • Vi udsender servicemeddelelser på skat.dk med advarsel om disse phishing e-mails.
  • Vi informerer vores servicemedarbejdere, når vi kan se, der er større phishing-kampagner i gang, så de kan rådgive borgere og virksomheder, som henvender sig.
  • Vi politianmelder de større phishing-kampagner.
  • Vi har kontrakt med et eksternt sikkerhedsfirma (CSIS, red.), som får lukket de servere ned, hvorfra de pågældende e-mails udsendes.

Skat skriver også, at institutionen dog har »implementeret SPF, som er den ene del af DMARC«.

Artiklen fortsætter efter annoncen

Annonce

Men det giver it-sikkerhedsekspert Henrik Schack ikke meget for.

»Det er lidt som at købe en lås til døren, men at lade være med at montere den. SPF i sig selv giver ingen beskyttelse mod phishing«, siger han.

Han mener, at det virker, som om Skats metode it-sikkerhedsmæssigt går ud på at feje op efter ulykkerne frem for at forebygge.

»Der er udelukkende tale om symptombehandling. Der er altid nogen, der skal komme til skade først, før Skats aktioner igangsættes«, mener Henrik Schack.

TDC installerer tekniske barrierer mod svindelmails

Heller ikke teknisk ansvarlig sikkerhedschef hos en af Danmarks største maildistributører, TDC, er imponeret over Skats bestræbelser på at bekæmpe svindelmails.

»Vi går DMARC-vejen, fordi det fanger svindelmails. Det betyder, at hvis en svindler sender en mail, der udgiver sig for at komme fra en bestemt virksomhed og afsenderadressen gør brug af virksomhedens officielle maildomæne, så vil vi kunne afvise den med DMARC. Altså forudsat at virksomheden også gør brug af DMARC«, siger Lars Højberg.

Hvis svindleren derimod anvender et maildomæne, der blot ligner virksomhedens, så vil DMARC ikke afvise svindelmailen.

Lars Højberg vil ikke komme med en vurdering af, hvor mange af de omtalte svindelmails, der afvises med DMARC.

Det skyldes, at TDC først nu er færdig med at implementere DMARC på servere, der behandler indkommende mails til TDC's medarbejdere og mailkunder, og der er endnu ikke lavet statistik på systemet.

Senere skal teleselskabet implementere systemet på servere, der behandler udgående mails fra TDC-medarbejdere også.

»Det er ikke nogen lille opgave, men vi gør det, fordi det har en effekt. Vi kan se, at hvor systemet er udbredt, for eksempel i USA, er 80 procent af de typiske amerikanske emailkunder beskyttet af systemet, og på verdensplan drejer det sig nu om to milliarder emailkonti«, fortæller sikkerhedschefen.

På DMARCs hjemmeside fremgår det også, at Microsoft i 2013 kunne rapportere et fald i email-svindelforsøg på 50 procent på tjenesten Outlook.com, delvist som et resultat af implementering af DMARC.

Artiklen fortsætter efter annoncen

Annonce

Mest læste

  • Annonce

Annonce

For abonnenter

Annonce

Forsiden

Annonce