Har du penge tilgode, eller skal du betale? Det er et spørgsmål, som de fleste af os år efter år er nysgerrige på at få svar på.

Det ved svindlerne, og de har igen i år tænkt sig at udnytte, at vi søger ind på Skats hjemmeside for at se, om vi skal have penge tilbage.

TjekDet kan afsløre, at svindlerne allerede nu - en måned før Skat officielt åbner for adgang til årsopgørelsen - er ved at oprette flere falske hjemmesider, der er designet til at snyde danskerne og høste vores penge eller personlige oplysninger gennem phishing.

Svindlerne har registreret domæner med navne som skatterefusion.com, dk-tastselv.com og arsopgorelseskat-dk.com. Navne som skal få os til at tro, at vi er inde på Skats officielle hjemmeside, hvor vi indtaster vores personlige oplysninger. Men nu havner oplysningerne i stedet hos kriminelle.

Metoden kaldes phishing.

Sådan gør de

Når svindlere vil lokke dig ind på deres phishing-sider, foregår det typisk gennem e-mails eller SMS’er, der indeholder et link. Nogle gange ser linket uskyldigt ud på overfladen, men i virkeligheden havner du på en adresse, som svindlerne kontrollerer, og hvor de kan høste alle de oplysninger, du indtaster.  

De fleste har nok prøvet at modtage beskeder fra mærkelige afsendere, der påstår, at du skal opdatere MobilePay, at du skal forny dit sundhedskort, eller at du ikke har mere plads i din Cloud. Sådan skaber svindlerne en følelse af, at du skal handle hurtigt for ikke at miste penge, adgang til en service eller billeder og video.

Samme kneb bruges også i forbindelse med Skat og årsopgørelsen. Her kan du eksempelvis opleve at modtage en SMS fra et tilsyneladende dansk nummer, der fortæller, at du skal have penge tilbage i Skat, eller at du allerede nu kan se din årsopgørelse.

Ofte vil der være tale om såkaldt spoofing, hvor svindlere får det til at se ud som om, at beskeden kommer fra en dansker eller fra et dansk telefonnummer, selvom afsenderen er en anden. Spoofing kan du læse mere om her.

Andre gange modtager du en e-mail med en lignende besked, hvor afsenderen skal forestille at være Skat. Ofte ændrer eller maskerer svindlerne mailadressen eller navnet tilknyttet e-mailadressen, så det er sværere at gennemskue, at Skat ikke er afsenderen. 
 

Her ses et nyligt eksempel på en falsk mail fra “Skattestyrelsen”. Linket i mailen fører til en phishingside, hvor svindlerne stjæler dine oplysninger. Foto: Skærmbillede fra email.

I ovenstående eksempel påstår svindlerne, at du nu kan se din årsopgørelse. I dette tilfælde er mailen modtaget af en af TjekDets journalister.

Svindlerne har som altid indsat et link, der i dette tilfælde ligner, at du havner på tastselv.skat.dk, som er den hjemmeside, du snart kan tilgå din årsopgørelse på. Men holder du musen hen over linket, kan du se, at du i virkeligheden havner et andet sted. Svindlerne kamuflerer altså deres links, så der er en større sandsynlighed for, at du klikker.

Når du klikker på linket, møder du ofte en hjemmeside på et domæne, der er oprettet til formålet. Det kunne være på skatterefusion.com. Svindlerne har dermed oprettet et domænenavn, der skal overbevise dig om, at hjemmesiden er legitim.

Selve hjemmesiden, du møder, ligner ofte Skats egen, hvorfra svindlerne har stjålet layout, logoer, faner og oplysninger. Derfra stjæles dine oplysninger trin for trin i takt med, at du indtaster eksempelvis navn, adresse, telefonnummer, email, CPR-nummer, kortoplysninger og MitId-brugernavn, så du kan få din påståede “tilbagebetaling”.  

I virkeligheden er det snarere dig, der betaler svindlerne. 

Sådan har vi gjort 

For at afsløre de falske Skat-domæner har vi brugt forskellige metoder. Dels har vi søgt på forskellige nøgleord, der giver associationer til Skat eller den nært forestående årsopgørelse. Vi har måttet gennem flere stavemåder og kombinationer for at ramme rigtigt. På den måde har vi fundet domænerne arsopgorelseskat-dk.com og dk-tastselv.com.  

En anden metode er ved at søge “baglæns” på andre, lignende eller tidligere phishingdomæner, der indgår i en anden sammenhæng, men med samme svindelformål. Det gælder eksempelvis falske sundhed.dk-domæner, som vi tidligere har skrevet om, og som fortsat oversvømmer danskerne med phishingforsøg.

Når vi laver et opslag på eksempelvis sundhed-forandring.com - der indeholder en aktiv phishingside - kan vi se, at domænet er tilknyttet en server med en bestemt ip-adresse. På den server finder vi mindst 16 domæner, der bliver brugt til eller er forberedt til svindel med og imitation af sundhed.dk.  

De 16 domæner ligger i en lang liste af andre domæner, hvis navne antyder phishing i relation til “post”, “konto” og adskillige udenlandske services. I samme liste finder vi også skatterefusion.com, der er oprettet 10. februar i år, og som tilsyneladende er ved at blive klargjort til at svindle danskere.  

Domænet arsopgorelseskat-dk.com er tilknyttet en anden server, der også indeholder flere phishingdomæner - blandt andet endnu et falsk sundhed.dk-domæne. Selvom der her er tale om en anden server, er arsopgorelse-dk.com oprettet samme dag som skatterefusion.com, nemlig 10. februar. Også her er der tale om et domæne, der lader til at være i en indledende fase.

Begge domæner er registreret hos samme udbyder eller registrar, og ip-adresserne fører til et datacenter i Holland, hvor samme såkaldte host går igen. Det kan tyde på, at samme svindlere står bag begge falske Skat-domæner.

Det spritnye domæne dk-tastselv.com, der er oprettet 22. februar, er vanskeligere at kæde sammen med andre phishingdomæner, blandt andet fordi det deler ip-adresser med knap 1200 domæner. En hurtig gennemgang af et mindre udsnit viser, at der er tale om domæner med legitime hjemmesider, der intet har med phishing at gøre. Alligevel er dk-tastselv.com altså klar til at blive brugt som phishingside, når årsopgørelserne snart rulles ud.

Pas på, hvis du har fået besked om nyt sundhedskort

Skat advarer

Hos Skat kender man til problemet, der vender retur år efter år. På skat.dk har de en dedikeret side, der advarer og viser eksempler på, hvordan tidligere svindel har set ud.  

Et domæne, som Skat selv advarer om, er skat.dk-krypto.com. Her forholder det sig en smule anderledes, da domænet faktisk er dk-krypto.com, men hvor svindlerne har lavet underdomænet - “skat” - som får det til at se ud som om, at der står “skat.dk”. Domænet er registreret 5. februar hos samme udbyder som dk-tastselv.com. Igen er der tale om et domæne, der deler ip-adresse med andre phishing-domæner - omkring 40 i alt.

Denne gang fører IP-adressen til Rusland og den russiske host Prospero OOO. Netop Prospero kan sættes i forbindelse med phishing-kampagner, malware og spyware. Der er altså god grund til at holde sig langt fra domæner og hjemmesider, der kan associeres med Prospero.

Vi kan ikke finde tegn på, at phishing-kampagnerne skulle stamme fra Danmark. I stedet tyder det i højere grad på, at der er tale om svindlere, der udfører phishingkampagner i flere lande på samme tid.  

Modtager du SMS’er eller mails, der påstås at være fra Skat, så er en god tommelfingerregel, at du lukker mailen ned og i stedet åbner skat.dk i din browser. På den måde er du sikker på, at du logger ind på Skats rigtige hjemmesider i stedet for en falsk.  

Er du faldet i fælden og har oplyst dine kreditkortoplysninger til svindlerne, bør du kontakte din bank.

Hvis du kan lide TjekDets artikler og vil være sikker på ikke at gå glip af den nyeste, så følg os på Facebook ved at klikke her. Du kan også tilmelde dig TjekDet's gratis nyhedsbrev, hvor vi tipper dig om vores seneste faktatjek - direkte i din mailindbakke. Tilmeld dig nyhedsbrevet her.