E-mails fra Skat punkterer DanID's forsvar for NemID-sikkerhed

Når Skat sender e-mails ud til borgerne med links til login med NemID, går det lodret imod, hvad DanID siger er praksis. Faktisk er det 'et godt koncept' for en it-kriminel, lyder DanID's vurdering.

Da Version2 og Ingeniøren med en videogennemgang af et fiktivt angreb på NemID satte fokus på sikkerheden i NemID, lød svaret fra DanID blandt andet, at det ikke er normalt at sende e-mails ud fra offentlige myndigheder med links til NemID-login.

Dermed skulle borgerne ikke være så nemme at narre med en phishing-mail, som var udgangspunktet både i sagen om otte Nordea-kunder, der blev franarret NemID-koder, og i Ingeniørens video.

Men samtidig har det meste af Danmarks befolkning modtaget en e-mail fra Skat med en opfordring til at følge et link til Skats hjemmeside og logge ind med NemID.

Hvordan harmonerer det med DanID’s udsagn, som helt præcist lød ’NemID, banker og offentlige tjenester vil normalt aldrig sende en uopfordret e-mail med et link, hvor du skal logge ind med NemID’?

»Jeg har også fået den mail fra Skat, og den starter med ’Kære Jette Knudsen’. Den er personaliseret til dig. Så en it-kriminel vil have svært ved at sende en byge ud, der er personaliseret på den måde,« forklarer kommunikationschef hos DanID Jette Knudsen til Version2.

Men I skriver jo, at ’NemID, banker og offentlige myndigheder vil normalt aldrig sende uopfordrede e-mails ud med links.’ Det er jo forkert, når Skat gør det med forskudsopgørelsen.

»Det ’farlige’ link i den mail går til Tastselv-login og derefter Nemlogin. Så den it-kriminelle skal lave to forsider.«

Men det er jo kun vigtigt, hvis danskerne generelt er helt klar over, hvordan det skal se ud, når de følger linket. Hvis en it-kriminel havde sendt en mail ud i sidste uge, uden navn, og med et link direkte til NemID-login, så havde det jo også virket?

»Så havde de haft et godt koncept, ja. Men vi siger jo heller ikke, at de it-kriminelle ikke vil lave sådanne forsøg, eller ikke kan lave det. Det er klart, at de vil kunne snyde nogen med en Skat-lookalike.«

Skal vi så have Skat til at stoppe med at sende den slags mails ud?

»Her har borgeren jo en god chance for at vurdere, om det er rigtigt, når borgerens navn står i mailen.«

Men der behøves jo ikke at stå et navn, hvis det er en phishing-angreb, når e-mailen ellers ligner noget fra Skat, og borgerne ikke ved præcist, om der er navn eller ej, eller om de skal forbi Tastselv-login.

»Generelt vil der altid være nogen, som falder for den slags, hvis det er pænt pakket ind. Så jeg kan jo ikke afvise, at man kan snyde nogen.«

Hvorfor kalder I så det fiktive angreb, som Ingeniøren har lavet en video om, for et teoretisk scenarie?

»Det gør vi heller ikke. Det er brugen af herlev-bibliotek.dk, der er et teoretisk scenarie. Man skal have nogen ind på den hjemmeside, men der bliver ikke gjort rede for, hvordan man får folk derind. Det skal være nogen, der har lånt på Herlev Bibliotek. Og så skal den første, der kommer ind, ikke opdage noget og klikke på andre links, men gå direkte til login. Det er tungt at lave som it-kriminel fra Ukraine eller Hviderusland. Der er mange præmisser, der skal være opfyldt, før det bliver et succesfuldt angreb. Og bagefter skal man ind i den rigtige bank, og man har kun ét skud i bøssen. Det er en lang vej at gå.«

Så hvis Ingeniørens video havde handlet om et falsk side fra Skat, havde det ikke været et teoretisk scenarium?

»Så ligner det jo langt mere Nordea-sagen. I det angreb vidste de jo, at det er Nordea-kunder, fordi kun Nordeakunder reagerede på mailen, som var sendt bredt ud. Det gør man ikke, hvis det er gennem Skat, så man skal også have held til at vælge den rigtige bank at bruge sit log-in på. «

Skal Skat holde op med at sende e-mails ud på den måde?

»Det skal vi jo snakke med Skat om, ikke med Version2 om. Deres links kunne også gå til forsiden af Skat.dk, så ville det være sværere at efterligne.«

Men som sagt, de fleste borgere ved jo ikke, hvordan det præcist skal se ud, når man følger et link fra en e-mail fra Skat?

»Det er klart, at man kan lave en lækker forskudsopgørelse-lookalike-mail, og det vil nogle kunne falde for. Vi er jo oppe mod it-kriminelle. Så det handler om at skærpe opmærksomheden over for denne slags angreb.«