skat.dk phishing template

Jeg fik en email fra SKAT idag, det kan jo ske, specielt på denne tid af året, det usædvanlige var der var tale om en ægte SKAT email, det ser man jo ikke så tit 🙂
Emailen i sig selv var aldeles ligegyldig og blot et udtryk for hvor langsomt SKAT IT systemerne arbejder.
Her stopper historien naturligvis ikke.
Når jeg nu sidder med en email fra det firma som nok har Danmarksrekorden i phishing, skal der naturligvis lige tages et kig på sikkerheden i det fremsendte.
Ak & ve, SKAT leverer en køreklar phishing template, helt perfekt for IT kriminelle, de behøver ikke bøvle med Google Translate denne gang, det eneste der skal gøres er at udskifte linket til SKAT hjemmesiden med linket til deres eget phishingsite.
Som en ekstra hjælpende hånd til de kriminelle har SKAT ladet være med at sætte en SPF record på bounce.skat.dk hostnavnet, det kan dermed relativt problemfrit anvendes som Sender-Envelope domæne og de kriminelle kan slippe for de afslørende “via” headers som Gmail har for vane at vise. Med andre ord, SKAT giver de kriminelle en mulighed for at udsende perfekte phishing emails.
Burde man gøre et eller andet ? Ja bestemt, men den tekniske afsender som er CSC har en lang og skamfuld tradition for at levere elendige email løsninger, det holder de sgu’ nok ikke op med lige med det første, det virker umiddelbart som om tiden gik i stå for dem omkring starten af dette årtusinde, ihvertfald når man ser på teknikken i deres email løsninger.