Artikel top billede

Sådan undgår du at blive fuppet af Skat-svindlere

Klumme: Romancen mellem phishing-svindlere og Skat når nye højder i den søde forårstid med selvangivelser og årsopgørelser. Se her, hvordan du undgår at blive fuppet.

"Efter den sidste årlige beregning af din finanspolitiske aktivitet, vi har fastslået, at du er berettiget til at modtage en tilbagebetaling af skat af: DKK1,134.56."

Har du modtaget en mail med ovenstående besked? Så har du forhåbentlig hurtigt smidt den i papirkurven.

Ligesom jeg har du sikkert ingen "finanspolitisk aktivitet" af betydning, så svindelnummeret er nemt at gennemskue.

Der er tale om en mail, hvis eneste formål er at lokke dig hen på en webside og få dig til at afgive oplysninger om kreditkort og lignende. Phishing-svindel med andre ord.

Stor kærlighed

Falske mails fra Skat har cirkuleret længe, men foråret gør tydeligvis svindlernes kærlighed til myndigheden endnu større.

Det skyldes, at foråret ud over forelskelser også er tid for selvangivelse og tilbagebetaling.

Så der kommer flere svindel-mails, og de bliver stadig mere professionelt udført.

Senest har svindlerne gjort svindlen sværere at gennemskue. De har simpelthen kopieret en ægte mail fra Skat - inklusive de tilhørende logoer og anden grafik.

Kun navnet på modtageren mangler - og så er links naturligvis ændret til links til forfalskede websider.

Tjek før du klikker

Nogle sikkerhedsfolk mener, at offentlige myndigheder og banker helt skal holde op med at udsende mails, der indeholder links.

Tanken er, at borgerne skal vide, at der aldrig optræder et link i en mail fra Skat eller banken.

Den løsning tror jeg ikke på. Hvem af os studser over et link i en mail?

I stedet skal vi sætte ind med uddannelse: Borgerne skal lære at føre musen hen over et link og se, hvor det i virkeligheden fører hen.

Og de skal få at vide, at det altid er klogest at indtaste en URL i browseren frem for at klikke på et link i en mail.

Svindlen virker - også eksperter bliver narret

Desværre virker svindlen.

En kvinde fra Frederikssund udfyldte således skemaet, som mailen førte hende til.

Heldigvis kontaktede hendes bank hende og spurgte, om hun virkelig ønskede at overføre 2.000 euro til en konto i udlandet.

Eksperten blev narret

Men det er ikke let.

Mange års spam og phishing har gjort det svært for selv sikkerhedseksperter at kende forskel på ægte og falske mails.

For nylig udsendte den amerikanske organisation Educause en advarsel om, at de var blevet hacket.

I mailen var der et link, som man kunne klikke på for at ændre sit password.

En af modtagerne var professor Gene Spafford, der en anerkendt ekspert i it-sikkerhed.

Han skrev til Educause og advarede dem om, at han havde modtaget en phishing-mail, der angav at komme fra dem.

Han kunne se, det var en phishing-mail, fordi linket til password-ændring ikke førte til Educauses domæne.

"Det er en rimelig god forfalskning, og nogle mennesker vil nok falde for den," skrev han.

Men mailen var god nok. Det mystiske link skyldtes, at Educause brugte en udbyder af marketingtjenester til at håndtere udsendelsen af advarslen.

Den slags problemer med falske positiver kender vi også fra spamfiltre. Jeg hørte for nylig om en, der fandt en ægte mail fra Skat i mail-programmets mappe med frasorteret spam.

Sådan kan du stoppe for svindlen

Udnyt teknologier

It-ansvarlige kan ved hjælp af flere teknologier mindske risikoen for, at brugerne falder for phishing.

Med SPF (Sender Policy Framework) kan man i sin DNS-server angive for et mail-domæne, hvilke servere der har lov til at udsende mails på vegne af det.

Hvis modtagerens mailsystem anvender SPF, kan det afvise mails, der kommer fra en IP-adresse, som ikke er oplyst i afsenderdomænets SPF-oplysninger.

Man kan også overveje teknologien DKIM (DomainKeys Identified Mail).

Her bruges digitale signaturer til blandt andet at vise, at mailen er afsendt fra det domæne, der optræder som afsender.

Teknologier som SPF og DKIM er komplicerede. Der er mange muligheder for at indstille dem forskelligt - og forkert.

Derfor er det godt, at en række mail-udbydere for et års tid siden besluttede sig for at rydde op i forvirringen.

De har lavet specifikationen DMARC (Domain-based Message Authentication, Reporting & Conformance), der standardiserer, nøjagtig hvordan man bruger SPF og DKIM.

Uddannelse er nødvendig

På den tekniske side anbefaler jeg, at virksomheder og organisationer ser på mulighederne i SPF, DKIM og DMARC og andre relevante teknologier.

Men teknik er ikke nok.

Vi må sætte ind med uddannelse, så borgerne lærer at kende forskel på en ægte mail fra Skat og en forfalskning.

For intet tyder på, at svindlernes kærlighed til Skat er på retur.

DKCERT (www.cert.dk) er et dansk Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT udsender advarsler og tager imod henvendelser om sikkerhedsrelaterede hændelser på internettet. DKCERT er en tjeneste fra DeIC, Danish e-Infrastructure Cooperation, under DTU.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategisk IT-sikkerhedsdag 2022 - identificer, beskyt og forsvar

IT-sikkerhedstruslerne mod virksomhederne er i takt med tiden blevet større og værre, fordi virksomhederne er mere end nogensinde før afhængige af data og IT. Det stiller krav til de IT-ansvarlige, der konstant skal tage bestik af det skiftende trusselniveau. Det kræver blandt andet, at it-sikkerhed bliver sat på den strategiske dagsorden i virksomhederne – men hvordan?

25. januar 2022 | Læs mere


Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere