Romancen mellem phishing-svindlere og SKAT når nye højder i den søde forårstid med selvangivelser og årsopgørelser, skriver Shehzad Ahmad i denne klumme fra Computerworld.
Shehzad Ahmad, der er chef for det danske Computer Emergency Response Team (DKCERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
"Efter den sidste årlige beregning af din finanspolitiske aktivitet, vi har fastslået, at du er berettiget til at modtage en tilbagebetaling af skat af: DKK1,134.56."
Har du modtaget en mail med ovenstående besked? Så har du forhåbentlig hurtigt smidt den i papirkurven.
Ligesom jeg har du sikkert ingen "finanspolitisk aktivitet" af betydning, så svindelnummeret er nemt at gennemskue.
Der er tale om en mail, hvis eneste formål er at lokke dig hen på en webside og få dig til at afgive oplysninger om kreditkort og lignende. Phishing-svindel med andre ord.
Stor kærlighed
Falske mails fra SKAT har cirkuleret længe, men foråret gør tydeligvis svindlernes kærlighed til myndigheden endnu større. Det skyldes, at foråret ud over forelskelser også er tid for selvangivelse og tilbagebetaling.
Så der kommer flere svindel-mails, og de bliver stadig mere professionelt udført.
Senest har svindlerne gjort svindlen sværere at gennemskue. De har simpelthen kopieret en ægte mail fra SKAT – inklusive de tilhørende logoer og anden grafik.
Kun navnet på modtageren mangler – og så er links naturligvis ændret til links til forfalskede websider.
Tjek før du klikker
Nogle sikkerhedsfolk mener, at offentlige myndigheder og banker helt skal holde op med at udsende mails, der indeholder links.
Tanken er, at borgerne skal vide, at der aldrig optræder et link i en mail fra SKAT eller banken.
Den løsning tror jeg ikke på. Hvem af os studser over et link i en mail?
I stedet skal vi sætte ind med uddannelse: Borgerne skal lære at føre musen hen over et link og se, hvor det i virkeligheden fører hen.
Og de skal få at vide, at det altid er klogest at indtaste en URL i browseren frem for at klikke på et link i en mail.
Desværre virker svindlen.
En kvinde fra Frederikssund udfyldte således skemaet, som mailen førte hende til.
Heldigvis kontaktede hendes bank hende og spurgte, om hun virkelig ønskede at overføre 2.000 euro til en konto i udlandet.
Eksperten blev narret
Men det er ikke let. Mange års spam og phishing har gjort det svært for selv sikkerhedseksperter at kende forskel på ægte og falske mails.
For nylig udsendte den amerikanske organisation EDUCAUSE en advarsel om, at de var blevet hacket. I mailen var der et link, som man kunne klikke på for at ændre sit password.
En af modtagerne var professor Gene Spafford, der en anerkendt ekspert i it-sikkerhed. Han skrev til EDUCAUSE og advarede dem om, at han havde modtaget en phishing-mail, der angav at komme fra dem.
Han kunne se, det var en phishing-mail, fordi linket til password-ændring ikke førte til EDUCAUSE's domæne.
"Det er en rimelig god forfalskning, og nogle mennesker vil nok falde for den," skrev han.
Men mailen var god nok. Det mystiske link skyldtes, at EDUCAUSE brugte en udbyder af marketingtjenester til at håndtere udsendelsen af advarslen.
Den slags problemer med falske positiver kender vi også fra spamfiltre. Jeg hørte for nylig om en, der fandt en ægte mail fra SKAT i mail-programmets mappe med frasorteret spam.
Udnyt teknologier
It-ansvarlige kan ved hjælp af flere teknologier mindske risikoen for, at brugerne falder for phishing.
Med SPF (Sender Policy Framework) kan man i sin DNS-server angive for et mail-domæne, hvilke servere der har lov til at udsende mails på vegne af det.
Hvis modtagerens mailsystem anvender SPF, kan det afvise mails, der kommer fra en IP-adresse, som ikke er oplyst i afsenderdomænets SPF-oplysninger.
Man kan også overveje teknologien DKIM (DomainKeys Identified Mail). Her bruges digitale signaturer til blandt andet at vise, at mailen er afsendt fra det domæne, der optræder som afsender.
Teknologier som SPF og DKIM er komplicerede. Der er mange muligheder for at indstille dem forskelligt – og forkert.
Derfor er det godt, at en række mail-udbydere for et års tid siden besluttede sig for at rydde op i forvirringen. De har lavet specifikationen DMARC (Domain-based Message Authentication, Reporting & Conformance), der standardiserer, nøjagtig hvordan man bruger SPF og DKIM.
Uddannelse er nødvendig
På den tekniske side anbefaler jeg, at virksomheder og organisationer ser på mulighederne i SPF, DKIM og DMARC og andre relevante teknologier.
Men teknik er ikke nok.
Vi må sætte ind med uddannelse, så borgerne lærer at kende forskel på en ægte mail fra SKAT og en forfalskning. For intet tyder på, at svindlernes kærlighed til SKAT er på retur.
Oprindelig offentliggjort i magasinet Computerworld og på Computerworld Online den 19. april 2013