For at dæmme op for phishing-angreb, der udnytter offentlige myndigheders troværdighed hos borgerne, har links i mails sendt fra Skat været diskuteret flere gange. Blandt andet her på Version2.
Som en læser for nyligt har bemærket, så sender Skat stadig links ud i mails, dog ikke direkte til en side med NemID-login, men derimod til en selvbetjenings-portal, hvor der kan klikkes videre til eksempelvis login med NemID. Og det må de godt, oplyser Digitaliseringsstyrelsen, der har udarbejdet en politik for, hvornår myndigheder må linke i mails.
Når Skat udsender en mail, som det konkret er sket for nyligt, om ‘håndværkerfradrag for 2013′ med et direkte link til http://www.tastselv.skat.dk/, så er det ifølge Digitaliseringsstyrelsen politik på området, ok, fordi det ikke er et link direkte til en side, hvor der skal indtastes login-oplysninger.
Men i princippet kunne en angriber godt sende en mail med et link til en side, som ligner Skats selvbetjeningsportal, og derfra narre folk videre til en side, som ligner et validt NemID-login og ad den vej få intetanende borgere til at aflevere deres login-data. Version2 har derfor spurgt Digitaliseringsstyrelsen, om styrelsen mener, det er mere sikkert at udsende mails med links til login-portaler sammenlignet med mails indeholdende links direkte til sider med NemID – som altså ikke er tilladt.
»Det er jo altid et spørgsmål om at skabe balance mellem brugervenlighed og sikkerhed, og det afspejler politikken også. Så så længe myndighederne holder sig inden for denne, som SKAT gør, så kommer vi ikke med yderligere vurderinger,« oplyser kontorchef i Digitaliseringsstyrelsen Cecile Christensen via styrelsens pressekontakt i en mail.
Derudover gør Cecile Christensen opmærksom på, at den overordnede anbefaling fra Digitaliseringsstyrelsen er, at myndigheder så vidt muligt undlader at sende uopfordrede e-mail med klikbare link.
»Da borgerne selv har tilmeldt sig servicen hos SKAT, er der i dette tilfælde ikke tale om uopfordrede e-mail.«
Hos Skat selv henviser specialkonsulent Thor Wilkens til, at mailen om ‘håndværkerfradrag’ følger retningslinjerne fra Digitaliseringsstyrelsen i og med at linkene ikke går direkte til den side, hvor modtageren kan indtaste loginoplysninger.
»For borgerne udgør links direkte til SKAT’s løsninger generelt en betydelig service. Når årsopgørelsen er klar i Tastselv 10. marts, vil borgerne eksempelvis kunne komme fra e-mailen direkte til årsopgørelsen med to klik og et login. Servicen skal afvejes mod risikoen for phishing, men denne risiko kan aldrig helt undgås. Selv hvis SKAT lod være med at bruge links, kan ‘piraterne’ stadig kunne bruge dem i deres falske e-mails,« skriver Thor Wilkens fra Skat i en mail til Version2.
Der er et andet element i mailen fra Skat, der muligvis kunne få phishing-alarmklokkerne til at ringe hos nogen. Når modtageren klikker på linket i mailen, skat.dk/tastselv, fører det nemlig til http://www.tastselv.skat.dk/. Altså den oplyste URL er ikke den, brugeren faktisk får vist i browseren efter at have klikket på linket i mailen. Om det skriver Skat:
»Begge sider befinder sig på domænet skat.dk – og det er altid et sikkert tegn på, at der er tale om en side fra SKAT. Brugen af forskellige URL’er til den samme side er meget udbredt. Men din læser kan have ret i, at en skiftende URL kan forvirre brugere, der er opmærksomme på falske e-mails. I de e-mails, SKAT sender ud om årsopgørelsen for 2013, vil vi ikke angive URL’en i link-teksten.«
Hvad synes du? Er det problematisk med links i mails fra Skat eller andre myndigheder?
