Skats logo og navn er flere gange blevet misbrugt i forbindelse med phishing. Men har du for nyligt modtaget en mail med beskeden om, at nu kan forskudsopgørelsen tilgås via Skats selvbetjeningsløsning, så er der muligvis tale om den ægte vare og ikke en svindelmail. Skat har nemlig netop udsendt mails om, at forskudsopgørelsen nu kan ses via TastSelv på skat.dk
Det kan dog være svært at se forskel på de mails, der kommer fra Skat, og så mails hvor it-kriminelle efterligner kommunikationen fra den offentlige myndighed og forsøger at narre blandt oplysninger om betalingskort ud af borgerne. Derfor bør Skat i stedet for mails anvende Digital Post, som borgerne i forvejen kender fra andre sammenhænge, og derfor har lettere ved at genkende, påpeger flere eksperter.
Fra november 2014 sender Skat dog også breve ud via Digital Post til borgerne, men altså ikke relateret til eksempelvis forskudsopgørelsen.
Teknisk er der ikke noget til hinder for, at de it-kriminelle kan anvende samme logo og formuleringer, som Skat gør. Og dermed skal borgerne holde godt øje med detaljerne i de mails, de tilsyneladende modtager fra skattemyndigheden. Eksempelvis om der er linkes videre til en sikker HTTP-forbindelse – sådan en kan de it-kriminelle dog principielt også sætte op – og om det faktisk er Skats domæne, skat.dk, der fremgår af url’en i browseren, eller om det er et svindel-domæne, der måske ligner.
»Den typiske borger vil ikke kunne se forskel på, om det er en phishing mail eller en rigtig mail. Og det kan man lige så godt undgå,« siger formand for Rådet for Digital Sikkerhed Birgitte Kofod Olsen.
Og i den forbindelse mener hun, at det vil gøre det lettere for borgerne at skelne mellem phishing-mails og ægte mails, hvis Skat fremadrettet anvendte Digital Post til beskeder om eksempelvis forskudsopgørelsen.
»Jeg synes, det er et væsentligt skridt at tage, fordi man minimerer risikoen set fra et borgerperspektiv.«
CSIS: Lettere med en enkelt indgang
Peter Kruse fra it-sikkerhedsvirksomheden CSIS, der har Skat blandt sine kunder, vurderer i udgangspunktet også, det vil gøre det lettere, at skelne ægte kommunikation fra myndigheder og phishing, hvis borgerne vidste, at hele den legitime kommunikation foregik via Digital Post. En samlet, digital indgang i stedet for mange forskellige ville gøre det lettere at vurdere legitimiteten af login-portalen, vurderer Peter Kruse.
Han peger dog også på, at jo mere kommunikation, der foregår via platformen for Digital Post, jo større et mål, vil Digital Post også være for it-kriminelle, når det kommer til forsøg på at svindle borgerne.
»Men alt andet lige vil det måske være nemmere for den almindelige borger at gennemskue, om der er tale om en reel mail eller phishing i forhold til, om der er tusind forskellige steder, man skal forholde sig til,« siger Peter Kruse.
Kan du forstå, hvis folk i dag har svært ved at se forskel på en svindelmail og så en besked fra Skat om, at nu ligger forskudsopgørelsen klar?
»Ja, det kan jeg godt. Og jeg behøver ikke gætte mig til, at folk hopper på det, det ved jeg, de gør,« siger Peter Kruse.
I forhold til de mails, Skat i dag sender ud, så mener chef for varslingstjenesten DK CERT Shehzad Ahmad slet ikke, de bør indeholde links.
»Der er ingen tvivl om, at borgerne kan blive forvirrede over at se mails fra myndigheder, specielt når den generelle anbefaling er, at man ikke skal klikke på links i mails. Og derfor er min anbefaling også til Skat, at man i stedet for at lægge links i mails, skriver, at man skal gå ind på Skats hjemmeside,« siger Shehzad Ahmad.
Derudover tilslutter han sig synspunktet om, at kommunikation via Digital Post ville være at foretrække:
»Det ville gøre det nemmere for borgerne, hvis al kommunikation fra myndighederne og offentlige instanser peger mod det samme sted, som er den Digitale Postkasse.«
Shehzad Ahmad vurderer dog også, at Skat må have sine grunde til ikke at udsende beskeder om eksempelvis forskudsopgørelsen via Digital Post.
Skat: Vi er bevidste om svindel-risiko
Skat anvender Digital Post til nogen kommunikation, men altså ikke, når forskudsopgørelsens tilgængelighed skal kommunikeres ud. Version2 har spurgt myndigheden om følgende:
Hvorfor fortsætter Skat med at sende mails – fyldt med links – ud om, at Årsopgørelsen og Forskudsopgørelsen nu er tilgængelige via Skats hjemmeside i stedet for at sende førnævnte ud til den Digitale Postkasse, som de fleste borgere i dag er forpligtede til at have?
Er Skat enig i, at det ville gøre det lettere for borgerne at skelne mellem legitime henvendelser fra Skat og phishing-mails, hvis også Skat gik over til udelukkende at bruge Digital Post?
Skat, der efter myndighedens eget ønske, fik spørgsmålene tilsendt skriftligt onsdag i sidste uge, 12. november, er vendt tilbage mandag i denne uge, 17. november med følgende mail-svar fra Richard Hanlov, underdirektør for Afregning i Skat, sendt via Skats pressefunktion.
»Skat er meget bevidst om risikoen ved ”svindelmails”. Derfor skal borgeren altid logge ind med NEMid fra de links, som Skat sender. Skat vil i en mail aldrig henvise direkte til en side, hvor borgeren skal indtaste fx kontooplysninger. På vores mails advarer Skat altid om faren ved ”svindelmails” (nederst i mailen med farvemarkering).«
Version2 har forsøgt at få Skat til at uddybe, hvordan borgerne umiddelbart skal skelne mellem de links, Skat sender, og så de eventuelle links svindlere sender. Skat er dog ikke vendt tilbage i den forbindelse.
I forhold til hvorfor Skat ikke konsekvent anvender Digital Post til kommunikation med borgerne, står der i svaret fra Skat:
»Skat har vurderet, at brug af mails på nuværende tidspunkt er den mest effektive brug af de forskellige kommunikationskanaler, Skat har til rådighed. Endvidere sikres det, at Digital Post overvejende bruges til dokumenter, som borgerne er interesseret i at gemme og ikke til rene henvisninger til selvbetjeningsløsninger,« står der i svaret som fortsætter:
»Der bliver også sendt adviseringer til borgere, der ikke er omfattet af digital post f. eks. borgere i udlandet og unge under 15 år. Til de borgere, der ikke logger på TastSelv, og som ikke har modtaget en mail, vil Skat også bruge Digital Post til at orientere om nyt i TastSelv.«
Ingen tvang om Digital Post
Skat er imidlertid ikke forpligtet til at anvende Digital Post. Det fremgår af en mail fra Digitaliseringsstyrelsen, hvor kontorchef Lone Berglykke dog også giver udtryk for, at styrelsen generelt gerne så, at offentlige myndigheder i højere grad begyndte at anvende Digital Post
»Det er dog sådan, at myndighederne ikke har pligt til at anvende den digitale postkasse. Myndighederne skal dog jf. den fællesoffentlige digitaliseringsstrategi sørge for, at 80 % af deres kommunikation med borgere og virksomheder ved udgangen af 2015 skal foregå digitalt,« udtaler Lone Berglykke ifølge mailen, der er sendt via Digitaliseringsstyrelsens pressemedarbejder.
I mailen nævner Lone Berglykke desuden netop kommunikation via mail som en alternativ muligvis til Digital Post:
»Digital Post som digital forsendelseskanal, da der vil være kommunikation, som i konkrete tilfælde egner sig bedre til andre digitale kanaler. Derfor kan myndighederne vælge at opfylde målsætningen om, at 80 % af kommunikationen med virksomheder skal ske digitalt på andre måder, fx ved at sende mails eller ved at anvende selvbetjeningsløsninger.«
Leave a Reply