Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 20. maj 2005.
Den effektive bankstruktur mindsker risikoen for phishing. Men både ToldSkat og KMD anbefaler digital signatur som ekstra sikkerhed.
Den nye tids kriminelle, der "fisker" fortrolige oplysninger om bankkonto og kreditkort ud af intetanende borgere, bør holde sig væk fra den nok største honningkrukke af alle, de offentlige systemer. Sådan lyder rådet fra flere danske sikkerhedseksperter. Teoretisk set vil den kriminelle have mulighed for både at score overskydende skat og overførselsindkomster.
- Men risikoen for at blive opdaget er for stor, siger Allan Fischer-Madsen, formand for Rådet for IT-sikkerhed, nedsat af regeringen. Han henviser til, at bankerne har god kontrol med hvem, der har hvilke bankkonti. Samme forklaring gives af Preben Andersen, der står i spidsen for sikkerhedsorganisationen DK Cert.
Det er kombinationen af øget brug af selvbetjening via nettet i det offentlige og den nye type netkriminalitet kaldet phishing, der åbner for de teoretiske muligheder. ToldSkat lader for eksempel folk selv ændre det bankkontonummer, som overskydende skat vil blive sat ind på, og KMD (tidligere Kommunedata) giver også borgere mulighed for selv at ændre konti for overførselsindtægter.
Phishing rettet mod skattekronerne ville typisk ske ved, at man modtager en mail, der ser ud til at komme fra ToldSkat. Mailen opfordrer til at opdatere sine oplysninger. Vejledningen lyder på, at man skal trykke på det "link", der er i mailen. Det fører frem til et officielt udseende web-sted, hvor borgeren afkræves oplysninger om cpr.-nummer, adgangskode med videre, hvilket efterfølgende kan misbruges til selv at ændre kontonummeret.
- Risikoen er til stede, men det er ikke en sikkerhedsbrist hos os, men hos borgeren, siger Jens Lundgaard, sikkerhedskonsulent i ToldSkat.
Han påpeger dog, at borgeren let kan beskytte mod risikoen ved at bruge den digitale signatur, som TDC står bag.
Ifølge Jens Lundgaard er det under 100.000 borgere, der bruger den digitale signatur, når der skal rettes i skatteoplysninger. De øvrige bruger den kode, der står på selvangivelsen.
- Men den bliver man afkrævet en ændring af til en personlig pin-kode, første gang man bruger den. Så hvis tast-selv-koden ikke virker, bør alarmklokken ringe. Så er der en anden, der har været inde.
It-sikkerhedschef Torsten Friis, KMD, peger også på, at digital signatur vil forhindre phishing i at lykkes. Han tilføjer, at KMD aldrig sender mails ud, som borgeren skal svare på.
